• Las diez cosas sugeridas por BDO que deberían hacer los CFO para mejorar la ciberseguridad inmediatamente
Publicacion:

Las diez cosas sugeridas por BDO que deberían hacer los CFO para mejorar la ciberseguridad inmediatamente

10 octubre 2018

BDO ha intercambiado opiniones durante el año 2018 con los Directores Financieros (CFO) de cientos de industrias globales, incluyendo servicios financieros, atención médica, contratación pública, automotriz, manufactura, capital privado y firmas de abogados.

En estas conversaciones, se volvió aparente que los CFO están frustrados por la brecha entre el "saber" y el "hacer". Esto es entendible, ya que la mayoría de (C- suite) o socios nunca reciben educación y entrenamiento apropiados en ciberseguridad.

No hay necesidad que los CFO se conviertan en Profesionales Certificados en Seguridad de la Información. Más bien, los CFO deberían aumentar su conocimiento sobre conceptos esenciales de ciberseguridad y aprovechar sus propias habilidades de liderazgo para conceptualizar y administrar el riesgo en términos de estrategia y cómo invertir mejor su tiempo y recursos. 

Para atender esta brecha entre el saber/hacer, BDO provee una lista de diez acciones efectivas y proactivas que cualquier CFO puede llevar a cabo inmediatamente y así mejorar las ciber defensas de su compañía.

"Diez cosas que deberían hacer los CFOs para mejorar la ciberseguridad inmediatamente"

  1. Determinar cuáles son los bienes digitales/información más valiosos para la compañía: Los ataques cibernéticos y las brechas de seguridad seguirán ocurriendo y van a impactar el negocio negativamente. Hoy, el costo promedio del impacto de una brecha es de US$7.5 millones, de acuerdo con la Comisión de Intercambio de Seguridad de USA (SEC). Determinar cuánta cobertura de seguro comercial de cyber liability es necesaria para proteger financieramente los activos de la compañía.
  2. Determinar cuál es el riesgo de una brecha de seguridad en su empresa: De acuerdo a la mayoría de las encuestas sobre ciberseguridad, más del 60% de las brechas de seguridad se originan por el acceso no autorizado de algún empleado de la empresa, ex-empleados o proveedores.
  3. ¿Su empresa ha creado un programa de amenaza interna para mitigar el riesgo de una brecha provocada por la divulgación de información secreta desde dentro de la organización? (ITP – FBI whistleblowers). El cumplimiento de uno o más estándares regulatorios en seguridad de la información (es decir, ISO 27001, NIST 800-171, HIPAA, NYDFS, AICPA-SOC, etc.) es bueno, pero no es suficiente para garantizar una verdadera Ciberseguridad. ¿Qué acciones deberíamos tomar para asegurar nuestra Ciberseguridad?
  4. Conducir una evaluación independiente de amenazas sobre email y redes. Si la empresa ya realizó esta evaluación recientemente, ¿cuáles fueron los resultados?
  5. Obtener una evaluación independiente de la adecuación de su cobertura de seguro por ciber responsabilidades. Actualmente los costos de estos planes se están incrementando y cuando se los necesita, no cubren todos los daños causados por una brecha de seguridad informática.
  6. Asegúrese de que Monitoreo, Detección y Respuesta (MDR) y Manejo de Servicios de Seguridad (MSS) trabajan en forma combinada para lograr una seguridad y resiliencia informática real. Determinar si los recursos internos de MDR operan correctamente o si necesitan ser tercerizados. Y si así es, ¿cuál sería el costo?
  7. Determinar si la empresa tiene un Plan de Respuesta ante Incidentes extenso, un Plan de Recuperación de Desastre (DRP) y un Plan de Continuidad de Negocio (BCP).
  8. Imagina un escenario hipotético y preguntarse: ante un ataque de ransomware, ¿pagaríamos el rescate? Si así es, ¿debería esto ser parte del presupuesto? ¿Sería un incidente que nuestro seguro fuera a cubrir?
  9. Imagine un escenario hipotético y pregunte: ante un ataque de ransomware, ¿pagaríamos el rescate? Si así es, ¿cuánto dinero debiera presupuestarse? ¿Estaría cubierto por nuestro seguro de cyber liability.
  10. Las empresas no suelen darse cuenta de cuán invaluable es una estrategia de ciberseguridad hasta que hay una vulnerabilidad. BDO quiere asegurarse que su empresa nunca se enfrente a esta situación. Los profesionales de BDO están disponibles para proveer sus recursos especializados y su conocimiento sobre cualquier problema de ciber seguridad. Para consultar el Equipo de Ciberseguridad Global de BDO, visite www.cybersecurity.bdo.global