AltoDirectivo
BDO, una de las principales firmas globales de servicios profesionales de consultoría, auditoría, abogados y outsourcing, ha elaborado, con motivo del mes internacional de la ciberseguridad que se celebra este mes de octubre, un informe sobre las principales recomendaciones para que los directores financieros (CFO)de empresas de diferentes sectores (financiero, automoción, industria y/o servicios, entre otros), afronten de manera correcta y efectiva la seguridad cibernética.
La principal evidencia que precisa el análisis elaborado por BDO es la importante brecha detectada entre “saber y hacer”, lo que es consecuente con la escasa formación o capacitación en seguridad cibernética de los miembros de los comités de dirección y consejos de administración de las empresas.
BDO matiza que los directores financieros no necesitan convertirse en profesionales certificados en seguridad de sistemas de información pero, evidentemente, deben aumentar su conocimiento de los conceptos básicos de ciberseguridad y, sobre todo, aprovechar sus propias habilidades de liderazgo para conceptualizar y administrar el riesgo en términos estratégicos y establecer los recursos que se deben emplear para mejorar la defensa cibernética en sus empresas.
Para BDO las 10 acciones prioritarias que deben poner en marcha los directores financieros para adoptar una mejor defensa cibernética de su compañía son:
- Analizar cuáles son los activos de información/digitales más valiosos de la organización
- Establecer cuál es el riesgo de una posible brecha de ciberseguridad
- Comprobar que todos los servicios de seguridad (MSS) de monitoreo, detección y respuesta (MDR) están correctamente interrelacionados para logar una seguridad real, entre lo que destaca precisar si los recursos internos de MDR funcionan o se deben subcontratar y poder evaluar el consiguiente coste
- Llevar a cabo una evaluación independiente de la adecuación de amenazas de correo electrónico y red
- Determinar el seguro de responsabilidad cibernética para proteger financieramente los activos de la compañía
- Crear un programa de amenazas internas para mitigar el riesgo de una violación cibernética dentro de la organización
- Determinar si la organización cuenta con respuesta integral a incidentes (IR), recuperación ante desastres (DR) y planes de continuidad del negocio (BCP)
- Asegurar el cumplimiento con los estándares de seguridad de la información (ISO 27001, ENS,...)
- Realizar una evaluación independiente de la adecuación de la cobertura de seguro de responsabilidad cibernética
- Dibujar escenarios de crisis: ante una ransomware, ¿pagaría la empresa el rescate?; ¿hay que presupuestarlo?; ¿lo cubre el seguro de responsabilidad cibernética?
En opinión de Sergio Esteve, director de Consultoría de BDO: “Los CFOs tienen una función transversal y deben atender aspectos que no son de su total responsabilidad.En el caso de la ciberseguridadtienen un papel activo aportando una perspectiva financiera y del nivel de inversión razonable en esta materia para la compañía”.
Ante este escenario, Enric Doménech, socio del área de Risk Advisory de BDO afirma: “Las organizaciones deben valorar si prefieren prepararse antes de que ocurra un ataque o si prefieren pagar las consecuencias para reparar los daños después de que haya ocurrido dicho ataque. Si hasta hace poco el objetivo había sido siempre proteger el perímetro, actualmente prima la anticipación y la evaluación de los riesgos con el fin de prevenir los ataques, tanto externos como internos y tanto en los procesos propios de las compañías como en aquellos externalizados en terceros”.
Para Enric Doménech: “El modelo de prevención y reacción de las empresas frente a amenazas de ciberseguridad debe basarse en los siguientes tres pilares: seguridad, vigilancia y resiliencia”.
*Si te ha resultado interesante este artículo, te animamos a seguirnos en TWITTER y a suscribirte a nuestra NEWSLETTER DIARIA.
Alto Directivo
