10 formas con las que el CFO puede reducir el riesgo de la seguridad informática.

10 formas con las que el CFO puede reducir el riesgo de la seguridad informática.

Actualmente, en esta era digital, la seguridad de los datos críticos para los negocios no solamente incumbe al equipo de Tecnología. Una violación o explotación de una brecha de vulnerabilidad tiene un impacto que abarca a todas las áreas de la organización, así, lo que en el pasado podía considerarse en un reto y responsabilidad de TI, el presente nos demuestra que puede convertirse en la pesadilla de toda la organización. Es bajo estos cada día más frecuentes escenarios donde agregar perspectiva y experiencia financiera al esfuerzo de la empresa refuerza y afina la protección y capacidad de respuesta.

Actualmente, en esta era digital, la seguridad de los datos críticos para los negocios no solamente incumbe al equipo de Tecnología. Una violación o explotación de una brecha de vulnerabilidad tiene un impacto que abarca a todas las áreas de la organización, así, lo que en el pasado podía considerarse en un reto y responsabilidad de TI, el presente nos demuestra que puede convertirse en la pesadilla de toda la organización. Es bajo estos cada día más frecuentes escenarios donde agregar perspectiva y experiencia financiera al esfuerzo de la empresa refuerza y afina la protección y capacidad de respuesta.

Una seguridad informática mal manejada es materia de riesgo financiero, afectando el éxito o inclusive la sobrevivencia de la compañía ya que una brecha de datos puede traer altos costos derivados de un impacto a la continuidad de la operación, pérdida de información, penalizaciones por manejo inadecuado, servicios profesionales para la remediación y consecuencias de largo plazo como afectar la relación con los clientes y la reputación de la empresa, convirtiéndose así inevitablemente en una responsabilidad que está requiriendo la participación de los directores de finanzas de América Latina. Un rápido ejemplo, ahora CFOs gestionan consecuencias financieras y supervisan relaciones con los inversores después de una fuga de datos. Un estudio reciente realizado por Ponemon Institute1 reveló que los precios de las acciones de una empresa caen en un promedio del 5 por ciento después de una violación de ciberseguridad.

En algunos casos, los ataques han tenido consecuencias desastrosas para la rentabilidad de las empresas. En 2016, un empleado del área de finanzas de una empresa multinacional fue víctima de un tipo de ataque que aprovechó vulnerabilidades en los procesos. Los ciberdelincuentes enviaron un correo electrónico al empleado y se hicieron pasar por el CEO de la compañía. Exigieron que el empleado transfiriera millones de dólares a una cuenta bancaria extranjera para una adquisición falsa. La organización terminó perdiendo tantos millones, que eliminó sus ganancias de todo el año.

Los negocios, activos y recursos están convenientemente conectados a internet y en todos participan, dispositivos, procesos y humanos que están sujetos a ser analizados en busca de vulnerabilidades. Las técnicas, estrategias y objetivos de ataque están evolucionando y expandiéndose rápidamente tanto con tácticas montadas desde el exterior como con los que utilizan a nuestros colaboradores y/o activos internos como “operador” o escalón.

Una desconexión arriesgada, un CFO que no participa en la definición y seguimiento de las estrategias de prevención y protección puede ser considerado ya una vulnerabilidad.

A pesar de estos riesgos, muchos líderes de TI no consideran que los directivos de las demás áreas estén haciendo lo suficiente para salvaguardar los datos, la postura de seguridad y por ende el futuro de sus organizaciones. Por ello, en RICOH brindamos 10 formas en que los CFO pueden alinear mejor al equipo, sumar con TI y disminuir drásticamente riesgos.

10 actividades con las que el CFO (y la realidad es que todo nivel C) robustece la postura de seguridad informática:

Involucrarse en el entendimiento de las posibilidades de la seguridad informática: Como CFO es importante entender de manera general los principios y alcances de la tecnología en esta materia. Deben aprovechar el conocimiento tecnológico aprendido circunstancialmente en estas décadas de interacción computacional. También es clave permitir al CIO explicar y compartir interesante información al respecto para conocer su actual estrategia de seguridad informática, cuáles son los dispositivos y servicios profesionales de seguridad con los que se cuentan, a cuánto asciende la inversión anual. Este será el inicio de pláticas de optimización y mejora dentro de varias áreas.

Diagramar con el CIO la forma cómo la organización general almacena, modifica y elimina datos: Sea privada, confidencial, comercial, legal o financiera; entender, dónde se genera, cómo se transporta, dónde se almacena, dónde y cada cuándo se respalda, cuántas copias fuera de sitio existen, cómo se verifica que no haya sido modificada o manipulada sin autorización y todas las preguntas lógicas que desde el ángulo C puedan resultar e incluyan cómo se gestionan los archivos en papel o, ¿los miembros del equipo financiero dejan documentos confidenciales desatendidos en sus escritorios?, ¿Extienden archivos en papel en varias ubicaciones, como diferentes oficinas o instalaciones de procesamiento?

Implementar tecnología de automatización financiera: Los equipos financieros a menudo se basan en procesos manuales en papel. Sin embargo, esto puede comprometer su seguridad. Los CFO están invirtiendo en tecnología de automatización para optimizar sus procesos y proteger mejor sus datos. Según el CFO Sentiment Study 20182 , más del 50 por ciento de los CFO planean aumentar su inversión en tecnología de automatización financiera este año. A través de este tipo de soluciones, pueden almacenar todos sus archivos en un sistema central y seguro. Además, reduce la dependencia de documentos que pueden faltar y permite colocar controles de seguridad alrededor de sus documentos. Mantener todos los datos financieros en un único repositorio también facilita que los empleados encuentren información. Además, brinda visibilidad bajo demanda, lo que ayuda a tomar decisiones informadas y mantener auditorías detalladas.

Identificar al recurso humano que tiene acceso a esta información, y alinearlo a los procesos y considerar que todas las herramientas permiten adicional al acceso a los activos. Definir un perfil especificando derechos de lectura y/o escritura y/o modificación y/o copiado y/o borrado y otros. Dentro del campo del CFO se recomienda revisar los procesos financieros e identificar los cuellos de botella y usuarios relacionados que pueden ponerlo en riesgo. Por ejemplo, ¿sus procesos cuentas por pagar dependen de un gran volumen de puntos de contacto? Cuantos más pasos y personas participen en un proceso, mayor será la probabilidad de errores y filtraciones de datos. Obtener control sobre quién accede a los datos: La tecnología de administración de derechos digitales (DRM) permite crear políticas sobre quién puede y no puede acceder a los datos. Encripta los archivos para que solo los usuarios autorizados puedan acceder a ellos. También aplica políticas de seguridad en computadoras de escritorio, teléfonos inteligentes y otros dispositivos. De esta forma, los empleados pueden obtener acceso seguro para acceder a archivos y aplicaciones, sin importar su dispositivo o ubicación. Esto aumenta la productividad de los empleados, ya que no necesitan estar en su escritorio para ver los datos financieros y colaborar con otros.

Repasar las bases: No olvidar que pequeños y simples detalles pueden hacer una gran diferencia. En la seguridad informática, muchos (la gran mayoría), de los ataques son generados a través de vulnerabilidades básicas, conocidas o que pudieron haber sido prevenidas solo con buenas prácticas y políticas como: uso de contraseñas robustas, cambio periódico de las mismas, asignación correcta de usuarios, restricción de instalación de aplicaciones, hardening a sistemas operativos y aplicaciones con puertos de conexión no necesarios cerrados, antivirus / antimalware y otras tantas que no requieren grandes presupuestos para implementarse.

Presupuesto: es importante clasificar un presupuesto específico para el rubro de seguridad informática y acompañar su correcta aplicación e implementación ya que en ocasiones este apartado se mezcla con el presupuesto general de TI y las urgencias o eventos del negocio pueden recortarlo o postergarlo. Según Forreste3 , las organizaciones que invierten más en seguridad de TI experimentan 6.8 menos infracciones que otras. También ahorran más de $5 millones en costos de incumplimiento. Trabajar con el CIO para decidir cuánto gastar en privacidad de datos, seguridad cibernética y tecnología. También mantener informados a los inversores, a la junta directiva y a otras partes interesadas sobre los esfuerzos de seguridad de TI.

Auditar: la mayoría de los dispositivos y sistemas cuentan con una funcionalidad para ser monitoreados, el activar estos sistemas y verificar o automatizar la verificación de accesos, actividades y registros permite encontrar de manera simple el rastro de actividad maliciosa. El alcance tecnológico en este sentido es amplio, inclusive hay soluciones dentro de la industria donde sin importar los dispositivos la red de comunicaciones (carretera obligatoria) actúa como el sensor y detector de patrones de ataque ya conocidos o sospechoso.

Actuar de acuerdo a cálculos de riesgo y perdida financiera: Es importante que un recurso con experiencia en la elaboración de ejercicios de riesgo y retornos de inversión pueda comparar con sólidas bases las probabilidades y alcances de posibles impactos versus el costo de la prevención de los mismos, así como las decisiones y prioridades de acciones antes, durante y después de un ataque.

Involucrar a un socio tecnológico con experiencia al análisis de la situación actual y diseño de las estrategias y soluciones de prevención, contención y remediación. Sin duda, en este proceso de aumentar la seguridad de la información, resulta clave para los CFO’s encontrar un socio de negocio con una gran trayectoria en el asesoramiento en temas de digitalización y seguridad. En este punto, RICOH Advanced Services puede ayudar a cualquier organización a crear soluciones de flujo de trabajo y contenido altamente eficientes que aseguren que los empleados obtengan la información que necesitan cuando la necesitan, todo mientras mantienen su información y su organización seguras. Por otro lado, los expertos de RICOH también pueden ayudar a automatizar, optimizar y asegurar el correcto cuidado de la información dentro de los procesos vitales de negocio.

Compartir la responsabilidad y el beneficio: crear campañas para distribuir y explicar las políticas, el objetivo es crear conciencia, saber la importancia de encontrarnos permanentemente protegidos, considerar que nuestros colaboradores y su información personal son también blanco del cibercrimen. Hay que beneficiarlos con estos esfuerzos e inversiones y construir en conjunto un entorno más seguro.

En conclusión, La mayoría de los niveles C de la organización entienden que comparten responsabilidad dentro del manejo de la seguridad de su área, pero ejercerla cabalmente sin establecer procesos y autorizaciones que disminuyen la fluidez y agilidad de la organización es un constante reto que puede disminuir si los líderes de la organización se encuentran en la misma página que TI respecto a este tema. De esa manera, se puede comprender y diseñar en conjunto las formas convenientes de generar, transmitir y almacenar información; manejar datos de clientes, diferenciarse de comunicados y canales ficticios. Los CFO tienen la oportunidad de asumir un rol proactivo en la seguridad de los datos de sus organizaciones. El primer paso es examinar sus procesos existentes para detectar ineficiencias y brechas de seguridad. Posteriormente, trabajar con el CIO para determinar qué tecnologías pueden minimizar sus riesgos mientras aumenta la productividad del equipo.

Para más información, favor de contactar a:

Edgar Matamoros

IT Services Solutions Manager

Edgar.Matamoros@ricoh-la.com

1 | https://www.centrify.com/media/4772757/ponemon_data_breach_impact_study_uk.pdf

2 | https://s3.amazonaws.com/new.ax.production/knowledges/media/original/1781.pdf?

3 | https://www.centrify.com/media/4594046/stop-the-breach.pdf