El director financiero, obligado a atender a la ciberseguridad

El departamento financiero es, sin duda, el principal objetivo de los ciberatacantes cuando se trata de acceder a las empresas. Debido a su criticidad, estos empleados, y sobre todo el director financiero (CFO), tienen que poner especial cuidado y formarse exhaustivamente en estas lides. Un análisis de la empresa BDO pone de relieve que entre estos directivos hay una importante brecha entre el “saber y el hacer”, y esto, asegura, es consecuencia de la escasa concienciación y capacitación de los miembros de los consejos de administración de las compañías.

Sin embargo, matizan desde BDO, los directores financieros no necesitan convertirse en profesionales certificados de la seguridad, “pero evidentemente deben aumentar sus conocimientos básicos y aprovechar sus propias habilidades de liderazgo para conceptualizar y administrar el riesgo en términos estratégicos y establecer los recursos que se deben emplear para mejorar la defensa cibernética de sus compañías”.

Según Sergio Esteve, director de consultoría de BDO, los CFO “tienen una función transversal y tienen que atender aspectos que no son de su total responsabilidad. En el caso de la ciberseguridad tienen un papel activo aportando una perspectiva financiera y del nivel de inversión razonable”. Por ello, la firma ha elaborado un decálogo de acciones prioritarias que estos directivos deben llevar a cabo:

• Analizar cuáles son los activos de información/digitales más valiosos de la organización

• Determinar el seguro de responsabilidad cibernética para proteger financieramente los activos de la compañía

• Establecer cuál es el riesgo de una posible brecha de ciberseguridad

• Crear un programa de amenazas internas para mitigar el riesgo de una violación cibernética dentro de la organización

• Asegurar el cumplimiento con los estándares de seguridad de la información (ISO 27001, ENS,...)

• Llevar a cabo una evaluación independiente de la adecuación de amenazas de correo electrónico y red

• Realizar una evaluación independiente de la adecuación de la cobertura de seguro de responsabilidad cibernética

• Comprobar que todos los servicios de seguridad (MSS) de monitoreo, detección y respuesta (MDR) están correctamente interrelacionados para logar una seguridad real, entre lo que destaca precisar si los recursos internos de MDR funcionan o se deben subcontratar y poder evaluar el consiguiente coste

• Determinar si la organización cuenta con respuesta integral a incidentes (IR), recuperación ante desastres (DR) y planes de continuidad del negocio (BCP)

• Dibujar escenarios de crisis: ante un ransomware, ¿pagaría la empresa el rescate?; ¿hay que presupuestarlo?; ¿lo cubre el seguro de responsabilidad cibernética?