Los directores financieros (CFO) de grandes compañías se sienten frustrados por una brecha de "saber" versus "hacer" en materia de seguridad cibernética. Esta es una de las conclusiones a las que llegó un análisis realizado por el Grupo BDO sobre las medidas que deben considerar los ejecutivos de finanzas para 2019 en esta materia.
Al respecto, Mauricio Magofke, director de Risk & Advisory Services IT Manager de BDO Chile, indica que estos ejecutivos no necesitan convertirse en profesionales certificados de seguridad de sistemas de información, sino más bien, "deben aumentar su conocimiento de los conceptos básicos de seguridad cibernética y aprovechar sus propias habilidades de liderazgo para conceptualizar y gestionar el riesgo en términos estratégicos".
Para hacerse una idea, el año pasado, el 65% de los bancos con más de 5 mil trabajadores fue víctima de un ataque cibernético que logró su objetivo, mientras que 43% de los medianos y 19% de los pequeños sufrieron ataques exitosos. En suma, 9 de cada 10 bancos fueron objetivo de ataques cibernéticos según un estudio de la Organización de Estados Americanos (OEA)
Juan Miguel Tirado, director regional de marketing de Gosocket, señala que los bancos se están defendiendo solos y sin coordinación, a pesar de las recomendaciones de los organismos internacionales; "los eventos de phishing, ingeniería social, y software espía (malware o troyanos) son los más frecuentes ataques que sufre el sector financiero".
Las acciones para 2019
BDO elaboró una lista 10 acciones efectivas y proactivas que un ejecutivo de finanzas, principalmente un director financiero, puede emprender de inmediato para enfrentar el 2019 en materia de defensa cibernética para su compañía.
La primera acción es determinar cuáles son los activos de información digitales más valiosos de la organización. Esto, porque los ataques cibernéticos y las brechas de seguridad continuarán ocurriendo y tendrán un impacto negativo en el negocio.
Luego, es clave determinar cuánta cobertura de seguro de responsabilidad cibernética es necesaria para proteger financieramente los activos de la compañía. Así también como establecer cuál es el riesgo de su organización de una infracción cibernética. Según la mayoría de las encuestas, más del 60% de todas las infracciones de datos se originan en el acceso no autorizado de uno de los empleados actuales, ex empleados o proveedores externos de la organización.
Por otro lado, el estudio indica que hay que preguntarse: ¿su organización ha creado un programa de amenazas internas para mitigar el riesgo de una infracción cibernética dentro de la organización?
También es clave lograr el cumplimiento de la seguridad de la información con uno o más estándares regulatorios gubernamentales para la seguridad de la información (ISO 27001, NIST 800-171, HIPAA, NYDFS, AICPA-SOC, etc.), así como llevar a cabo una evaluación independiente de correos electrónicos y amenazas de red.
Obtener una evaluación independiente de la idoneidad de nuestra cobertura de seguro de responsabilidad cibernética, también es fundamental, así como ver la forma en que se combinan los servicios de seguridad administrados (MSS) de monitoreo, detección y respuesta (MDR) para lograr una seguridad de la información real y la capacidad de recuperación de datos.
Otro paso es determinar si la organización tiene respuesta integral a incidentes, recuperación de desastres y planes de continuidad de negocios; y por último, ponerse en el siguiente escenario: Si somos atacados por un ransomware, ¿pagaríamos el rescate? Si es así, ¿cuánto debería presupuestarse? y ¿estará cubierto por la cobertura del seguro de responsabilidad cibernética?