• Las diez principales que deben hacer los CFO de inmediato sobre la seguridad cibernética.
Artículo:

Las diez principales cosas que deben hacer los CFO de inmediato sobre la seguridad cibernética.

11 octubre 2018

BDO ha tenido conversaciones a lo largo de 2018 con Directores Financieros (CFO) de cientos de industrias globales, que incluyen servicios financieros, atención médica, contratos con el gobierno, automotriz, manufactura, capital privado y firmas de abogados.

En estas conversaciones, se hizo evidente que los Directores Financieros se sienten frustrados por una brecha de "saber" versus "hacer". Esto es comprensible, ya que la mayoría de C-Suite o de la Junta Directiva nunca reciben la educación y capacitación adecuadas sobre seguridad cibernética.

Los directores financieros no necesitan convertirse en profesionales certificados de seguridad de sistemas de información. Más bien, los CFO deben aumentar su conocimiento de los conceptos básicos de seguridad cibernética y aprovechar sus propias habilidades de liderazgo para conceptualizar y gestionar el riesgo en términos estratégicos y la mejor manera de invertir su tiempo y recursos para mejorar la defensa cibernética.

A fin de abordar esta brecha de Conocimiento / Hacer, BDO proporciona una lista de 10 acciones efectivas y proactivas que cualquier Director Financiero puede emprender de inmediato y mejorar la defensa cibernética de su compañía.


Las diez principales cosas que los directores financieros deben hacer inmediatamente con respecto a la seguridad cibernética

  • Determinar cuáles son los activos de información / digitales más valiosos de la organización: los ataques cibernéticos y las brechas de seguridad continuarán ocurriendo y tendrán un impacto negativo en el negocio. Hoy en día, el costo promedio del impacto de una infracción cibernética es de $ 7.5 millones según la Comisión de Bolsa y Valores de EE. UU. (SEC).

 

  • Determinar cuánta cobertura de seguro de responsabilidad cibernética es necesaria para proteger financieramente los activos de la compañía.

 

  • Determinar cuál es el riesgo de su organización de una infracción cibernética: según la mayoría de las encuestas de seguridad cibernética, más del 60% de todas las infracciones de datos se originan en el acceso no autorizado de uno de los empleados actuales, ex empleados o proveedores externos de la organización.

 

  • ¿Su organización ha creado un programa de amenazas internas para mitigar el riesgo de una infracción cibernética dentro de la organización?

 

  • Lograr el cumplimiento de la seguridad de la información con uno o más estándares regulatorios gubernamentales para la seguridad de la información (es decir, ISO 27001, NIST 800-171, HIPAA, NYDFS, AICPA-SOC, etc.) es bueno, pero no suficiente para garantizar una verdadera seguridad cibernética. ¿Qué acciones debería tomar nuestra organización para garantizar una verdadera seguridad cibernética?

 

  • Llevar a cabo una evaluación independiente de correos electrónicos amenazas de red. Si se realizó una recientemente, ¿entonces cuáles fueron los resultados?

 

  • Obtener una evaluación independiente de la idoneidad de nuestra cobertura de seguro de responsabilidad cibernética. Las primas de los seguros de responsabilidad cibernética están aumentando significativamente los costos y, a menudo, no cubren todos los daños causados por una infracción cibernética.

 

  • Ver que se combinan los servicios de seguridad administrados (MSS) de monitoreo, detección y respuesta (MDR) para lograr una seguridad de la información real y la capacidad de recuperación de datos. Determinar si funcionan los recursos internos para realizar el trabajo de MDR o si estos deben ser subcontratados. Si es así, ¿entonces cuánto costará?

 

  • Determinar si la organización tiene respuesta integral a incidentes (IR), recuperación de desastres (DR) y planes de continuidad de negocios (BCP).

 

  • Ponerse en el escenario de pensar y preguntarse: Si somos atacados por un ransomware, ¿pagaríamos el rescate? Si es así, ¿cuánto debería presupuestarse? ¿Estará cubierto por la cobertura del seguro de responsabilidad cibernética?

Es posible que las organizaciones no se den cuenta de lo valiosa que es una estrategia de seguridad cibernética hasta que exista una vulnerabilidad. BDO quiere asegurarse de que su organización nunca se enfrente a esa situación. Los profesionales de BDO están disponibles para proporcionar orientación y recursos especializados en relación con cualquier problema de seguridad cibernética. Para contactar al equipo de seguridad cibernética global de BDO, visite www.cybersecurity.bdo.global.