El director financiero garante de la ciberseguridad corporativa

Cuando la tecnología y la digitalización son protagonistas en la gestión corporativa, analistas de la Industria de TI refieren que la mirada del CFO se vuelve hacia ella, para tomar un rol más activo no sólo en las decisiones de compra, sino también en la definición de políticas de seguridad informática.

Hace tiempo que la tecnología salió del laboratorio y ocupa un puesto por derecho propio en los comités de dirección de las compañías. La transformación que ‘lo digital’ inyecta a las organizaciones de todo tipo exige que los directivos de máximo nivel comprendan las bases de esta nueva era.

Uno de los perfiles que debe estar preparado ante esta tendencia es el director financiero quien, como puso de manifiesto un informe internacional elaborado por Gartner hace unos meses (“2014 Gartner Financial Executives International CFO Technology Study”), tiene cada vez más peso en la toma de decisiones de TI. Según la consultora, 30% de los directores financieros entrevistados (casi 40% en el caso de las pymes) aseguró tomarlas, frente al 24% de 2013. Y si hay un área en la que debe poner especial foco no hay duda de que ésta es la relativa a la seguridad de la información.

La ciberseguridad ya no es responsabilidad exclusiva de los directores de TI, ni de los directores de Seguridad que muchas veces reportan al anterior. Los directores financieros también tienen un papel clave para definir la estrategia que tiene una organización en esta materia. El CFO (por sus siglas del inglés Chief Finantial Officer), cuya actuación respecto a las TIC hasta ahora se limitaba a controlar los gastos que este departamento realizaba y valorar, junto al CIO (Chief Information Officer), si se invertía en una u otra solución, debe ampliar su aproximación en este sentido e ir más allá. Y, sobre todo, debe conocer cómo hay que actuar para que su entidad esté plenamente protegida ante los riesgos cada vez más elevados que aparecen en el mercado y que van desde una infección por uno de los múltiples malwares que existen, ya extendidos a cualquier plataforma y dispositivo, hasta una amenaza persistente avanzada.

Sólo en el primer trimestre de 2015, PandaLabs nuestro laboratorio para el monitoreo del comportamiento de amenazas informáticas, detectó más de 225 nuevas muestras de malware por día, comentó Roxana Hernández, gerente general de Panda Security para Colombia, Ecuador y Venezuela; y agregó, que este año se ha reportado un incremento significativo en las incidencias de ataques a través de ramsomware, especialmente en la variante Cryptolocker, un tipo de malware especialmente creado para el robo de información valiosa para las empresas.

Para un CFO es clave que trabajar codo con codo con el CIO en el desarrollo de un plan de seguridad que se integre como un guante en el modelo de negocio de la propia empresa y en sus operaciones, así como en la relación de ésta con sus empleados y accionistas, y que salvaguarde la marca y reputación corporativa.

De controlador del gasto a evangelizador

¿Cómo debe actuar el CFO del Siglo XXI? Los expertos recomiendan que sea un perfil capaz de analizar, de mano del CIO, el valor y las vulnerabilidades que el uso de las TI traen consigo y que esté informado de cómo debe actuar su compañía cuando sea atacada, pues ahora evitar los incidentes de seguridad, cada vez más sofisticados, es prácticamente imposible, de modo que lo que hay que saber es cómo minimizar su impacto.

El director financiero debe tener claro, por otro lado, que este tipo de ataques impactan directamente en el negocio de su compañía y en el valor de ésta en el mercado. Así lo destaca el informe “The Value Killers Revisited: A risk management study”, elaborado por la consultora Deloitte, que señala que los aspectos que ‘matan’ dicho valor no se circunscriben solo a factores como la reciente crisis de crédito y del euro experimentadas en el mercado u operaciones de fusiones y adquisiciones, sino que también abarcan otros como los ciberataques, desafortunadamente tan frecuentes, como se ha podido comprobar en los últimos casos más sonados (el de Sony Pictures es solo uno de ellos).

Por tanto, incorporar la ciberseguridad a los asuntos a tratar en los comités de riesgo y en las auditorías en las que participan será una obligación para los directores financieros de hoy en día, que deben tener en mente cuáles son los activos de la empresa que hay que proteger con mayor fuerza para garantizar la continuidad del negocio. Asimismo deben participar en la elaboración de un plan de respuesta ante un posible incidente de ciberseguridad y tener clara su actuación, al igual que deben tenerla el CIO y el resto de miembros del comité de dirección. Lo más recomendable, en este sentido, es que en las empresas se efectúen simulaciones de ataques para lograr que todos los responsables estén preparados en caso de que ocurra un ciberataque de alto alcance.

El director financiero también debe trasladar al equipo directivo los riesgos que implica el nuevo escenario digital y cuáles son los actores más peligrosos, además de valorar los métodos, la tecnología y los recursos humanos idóneos para combatirlos. Una de las áreas donde deberían hacer más hincapié, según los expertos, es en disponer de sistemas de monitorización que faciliten la identificación rápida de los ataques en tiempo real con el fin de responder a éstos con mayor agilidad. Es preciso anticiparse tanto como se pueda a estas situaciones. En la actualidad, por poner un ejemplo, es impensable que sean los clientes los que tengan que reportar un posible fraude relacionado con los servicios que ofrece la empresa. Desde ésta hay que actuar tan pronto como se pueda y si se produce una brecha de seguridad hay que ser más proactivos que reactivos y tener preparada la estrategia de comunicación y actuación ante clientes y terceras partes afectadas.

Obviamente todo lo dicho anteriormente no significa que a partir de ahora el director financiero sea el que lidere en exclusiva las iniciativas de ciberseguridad de su organización, pero sí debe comenzar a participar mucho más activamente y evangelizar sobre la importancia de la seguridad de los datos y de las políticas de protección de éstos en el seno del propio comité directivo. En definitiva, las empresas (y la sociedad también) son ahora tan digitales que, simplemente, es imposible que sus máximos responsables, el financiero entre ellos, ignoren los riesgos y amenazas que el nuevo escenario trae consigo y cómo minimizar riesgos ante eventuales ataques.