Panorama de ciberseguridad en las empresas
Hoy en día, cada negocio, desde el más pequeño hasta el más grande, es un objetivo potencial para ser víctima de ataques cibernéticos. A partir de la pandemia, con el aumento de las compras online y más de la mitad de los trabajadores trabajando desde casa, la seguridad informática se ha convertido en una de las principales ocupaciones de las empresas. De acuerdo con datos de Cybersecurity Ventures, los costos del delito cibernético aumentarán a una tasa anual del 15 % durante los próximos 5 años, generando más ganancias que el comercio mundial de todos los productos ilegales de drogas.
Ante la creciente amenaza, los directores financieros y comités de auditoría se involucran para invertir estratégicamente en seguridad cibernética, pues según datos de PwC, a partir del 2021, el 91% de las empresas en México han priorizado la ciberseguridad en sus organizaciones. El porcentaje de inversión varía en función del tamaño o giro de la empresa. Sin embargo, especialistas en ciberseguridad de empresas consultoras, como Deloitte, recomiendan que se invierta entre un 6% y un 14% sobre la inversión total de TI y que sea, por lo menos, el 3.2% de los ingresos anuales de la organización.
Para lograr robustecer la seguridad informática, el Chief Financial Officer (CFO) debe identificar las amenazas y gestionar los riesgos, como está acostumbrado a hacerlo en el mundo no virtual. Palabras como phishing, ransomware o malware, forman parte de la jerga habitual de los especialistas en seguridad de la información, y deben ser entendidas por los altos directivos y administradores de riesgos de las compañías, entendiendo que, los incidentes de ciberseguridad no se producen por un único punto vulnerable, sino por una conjunción de factores como, fallos técnicos, errores humanos, intencionalidad o situaciones de catástrofe.
El riesgo de enfrentar daños económicos para la empresa se puede resumir en tres aspectos:
- Pérdidas patrimoniales.
- Pérdidas por fraude o extorsión.
- Pérdidas por daños a la reputación de la compañía.
Acciones preventivas del CFO para la seguridad informática de la empresa
El CFO se encuentra en una posición única para ayudar a diseñar una estrategia en materia de ciberseguridad de la mano de las áreas clave de la compañía. A continuación, brindamos una serie de recomendaciones que pueden implementar bajo su gestión.
- ¿Estamos protegidos de los ciberataques?
- ¿Qué falta por hacer para proteger a la empresa de los ciberataques?
- ¿Cómo asegurar que la empresa cuente con los recursos necesarios para enfrentar los desafíos cibernéticos que se avecinan?
Evalúa los riesgos y vulnerabilidades de la empresa
Existen tres preguntas generales que todo director financiero debería hacerse en su rol de guardián de la resiliencia organizacional y son las siguientes:
Al igual que los contadores, no deben auditar su propio trabajo, deben buscar inteligencia objetiva que confirme la dirección de sus esfuerzos de seguridad cibernética o la ajuste para lograr la resiliencia a largo plazo. La clave de la ciberseguridad es invertir en comprender:
- ¿Qué tiene la empresa?
- ¿Dónde lo tiene la empresa?
- ¿Quién puede acceder a ello?
- ¿Por qué alguien lo querría?
- ¿Cómo lo está controlando la empresa?
- ¿Cuáles serían los daños económicos en caso de sufrir un ataque?
Una vez identificado las principales vulnerabilidades de la organización, el CFO es capaz de magnificar riesgos y gestionar recursos.
Involucra a las áreas clave de la compañía
La opinión y colaboración del CIO (Chief Information Officer), CISO (Chief Information Security Officer) y especialistas externos en ciberseguridad es de vital importancia para que el CFO gestione los recursos de una estrategia de seguridad informática en la empresa.
Pues con ello, se busca proteger los activos financieros, incluyendo datos confidenciales, información financiera, transacciones y procesos críticos. Por otro lado, las empresas están sujetas a regulaciones y normativas relacionadas con la seguridad de la información, como la protección de datos personales, el cumplimiento de estándares de seguridad y la prevención de fraudes financieros. El CIO, CISO y expertos externos en ciberseguridad pueden asesorar al CFO sobre los requisitos legales y regulatorios, asegurando que la estrategia de seguridad informática esté alineada con dichos requerimientos.
Por otro lado, el rol de un CFO es asesorar al comité de auditoría. El Comité de Auditoría tiene la responsabilidad principal dentro de la empresa de la gestión de riesgos, que van desde riesgos físicos hasta pandemias, riesgos regulatorios, gestión de IP, fraude y riesgos de ciberseguridad. Son responsables de mantenerse actualizados sobre las tendencias cibernéticas y el perfil de riesgo en evolución de la empresa, así como de tomar decisiones sobre la inversión en protecciones cibernéticas.
El rol del CFO (junto con el CIO) es ayudar a educar al comité de auditoría sobre las tendencias y los riesgos cibernéticos cambiantes, así como garantizar que el comité tenga todos los hechos relevantes (y los impactos del escenario proyectado) necesarios para tomar las mejores decisiones de inversión cibernética posibles.
Asegura los activos de mayor importancia
Uno de los pasos más importantes al momento de gestionar riesgos financieros en materia de seguridad informática es identificar los aspectos vulnerables de la empresa y después, asegurar los activos de mayor importancia con un riesgo inminente de ataque. Hoy en día, existen seguros de responsabilidad cibernética que ofrecen la cobertura de servicios de investigación, recuperación o reemplazo de datos perdidos, pagos de rescate, costos de notificación al cliente, pérdida de ingresos debido a la interrupción del negocio, multas y sanciones, y gastos legales y de gestión de crisis relacionados. Como CFO, puedes identificar el idóneo a las necesidades específicas de la compañía.
Crea un plan sólido de seguridad informática
Un programa sólido de ciberseguridad requiere una línea de defensa multifuncional en toda la empresa y en este sentido, el papel del CFO debe ser financiar iniciativas de mitigación de riesgos. De acuerdo con una encuesta de Deloitte, las tres principales inversiones que hacen las organizaciones en materia de seguridad informática son: la seguridad y privacidad (47%), la experiencia y el compromiso con el cliente (44%); y la inversión en infraestructura y la nube (35%).
Mientras que el CIO y el departamento de TI son dueños de las herramientas (cifrado de datos, decisiones de programas antivirus, protecciones de firewall, controles de contraseña y políticas de administración de dispositivos móviles), el equipo de CFO y finanzas deben estar íntimamente involucrados en la configuración de políticas de protección de datos y el desarrollo de controles internos en toda la empresa.
Invierte en capacitación para el personal
Capacitar a la fuerza laboral de una empresa para reconocer y repeler las amenazas cibernéticas es una inversión con un ROI muy significativo. Según una encuesta de PwC, el 71 % de los ejecutivos de IT cree que su próxima brecha de seguridad cibernética provendrá del interior de la organización, probablemente debido a un error accidental del personal. El CFO puede ayudar a garantizar que se presupueste una cantidad adecuada para tales fines. Proteger a las empresas de las amenazas cibernéticas no es solo una cuestión de gastar más, sino de tomar medidas preventivas para reducir la vulnerabilidad cibernética del negocio. Como administradores financieros, los CFO desempeñan un papel clave en la toma de acciones que pueden ahorrar grandes sumas de dinero a la empresa en el largo plazo.
Realiza una evaluación de tu empresa si has sufrido un ataque cibernético
El CFO, como responsable de la gestión financiera de la empresa, debe considerar la ciberseguridad como parte integral de la estrategia de valuación del negocio, ya que juega un papel fundamental en la protección de los activos intangibles, como la propiedad intelectual, los datos de los clientes, los secretos comerciales y la información financiera. La capacidad de la empresa para proteger sus activos digitales y salvaguardar la información confidencial aumenta la confianza y la percepción de valor por parte de los inversores y puede influir en la valuación de la empresa y en su atractivo para la inversión.
De modo que, si la compañía ha sufrido un ataque informático que ha ocasionado daños a los activos, es conveniente realizar una valoración para determinar el impacto que ha tenido sobre el valor de la organización.
Solicita asesoría financiera
En Giron Valuation Services contamos con 10 años de experiencia brindando servicio a grandes empresas de distintos sectores en México, LatAm, Argentina y España; garantizando su entera satisfacción a través de la recurrencia. Nuestros servicios incluyen la valuación de empresas, análisis y pruebas de deterioro, instrumentos financieros y la consultoría en temas financieros y de negocio.
Si deseas obtener más información, comunícate a nuestras oficinas al teléfono: 55 4741 1163 o bien, vía WhatsApp al teléfono: 55 2690 5302. O si lo prefieres, déjanos tus datos al correo admin@gvservices.mx y uno de nuestros asesores se pondrá en contacto contigo para ofrecerte una asesoría sin costo.
Con GVS tienes un aliado 24/7 para que te dediques a lo que te genera dinero.