10 cosas que los CFO deben hacer inmediatamente sobre Ciberseguridad

BDO ha llevado a cabo conversaciones a lo largo de 2018 con directores financieros (CFO) de cientos de industrias globales, que incluyen servicios financieros, atención médica, contratos con el gobierno, automoción, manufactura, capital privado y firmas de abogados.

En estas conversaciones, se hizo evidente que los Directores Financieros se sienten frustrados por una brecha de "saber" versus "hacer". Esto es comprensible, ya que la mayoría de los directores de C-Suite o de la Junta Directiva nunca reciben la educación y capacitación adecuadas sobre seguridad cibernética.

Los directores financieros no necesitan convertirse en profesionales certificados de seguridad de sistemas de información. Más bien, los CFO deben aumentar su conocimiento de los conceptos básicos de seguridad cibernética y aprovechar sus propias habilidades de liderazgo para conceptualizar y gestionar el riesgo en términos estratégicos y la mejor manera de invertir su tiempo y recursos para mejorar la defensa cibernética.

Para abordar esta brecha de Conocimiento / Hacer, BDO proporciona una lista de 10 acciones efectivas y proactivas que cualquier Director Financiero puede emprender de inmediato y mejorar la defensa cibernética de su compañía.

Las diez principales cosas que los directores financieros deben hacer inmediatamente con respecto a la seguridad cibernética:

1. Determine cuáles son los activos de información / digitales más valiosos de la organización: los ataques cibernéticos y las brechas de seguridad continuarán ocurriendo y tendrán un impacto negativo en el negocio. Hoy en día, el costo promedio del impacto de una infracción cibernética es de $ 7.5 millones según la Comisión de Intercambio de Seguridad de EE. UU. (SEC).
2. Determine cuánta cobertura de seguro de responsabilidad cibernética es necesaria para proteger financieramente los activos de la compañía.
3. Determine cuál es el riesgo de su organización de una infracción cibernética: según la mayoría de las encuestas de seguridad cibernética, más del 60% de todas las infracciones de datos se originan en el acceso no autorizado de uno de los empleados actuales, ex empleados o proveedores externos de la organización.
4. ¿Su organización ha creado un programa de amenazas internas para mitigar el riesgo de una violación cibernética dentro de la organización?
5. El cumplimiento de la seguridad de la información con uno o más estándares regulatorios gubernamentales para la seguridad de la información (es decir, ISO 27001, NIST 800-171, HIPAA, NYDFS, AICPA-SOC, etc.) es bueno, pero no suficiente para garantizar una verdadera seguridad cibernética. ¿Qué acciones debería tomar nuestra organización para garantizar una verdadera seguridad cibernética?
6. Llevar a cabo una evaluación independiente de amenazas de correo electrónico y red. Si uno se llevó a cabo recientemente, ¿cuáles fueron los resultados?
7. Obtenga una evaluación independiente de la idoneidad de nuestra cobertura de seguro de responsabilidad cibernética. Las primas de los seguros de responsabilidad cibernética están aumentando significativamente los costos y, a menudo, no cubren todos los daños causados ​​por una infracción cibernética.
8. Vea que se combinan los servicios de seguridad administrados (MSS) de monitoreo, detección y respuesta (MDR) para lograr una seguridad de la información real y la capacidad de recuperación de datos. Determine si los recursos internos para realizar el trabajo de MDR o si estos deben ser subcontratados. Si es así, ¿cuánto costará?
9. Determine si la organización tiene respuesta integral a incidentes (IR), recuperación de desastres (DR) y planes de continuidad de negocios (BCP).
10. Emprenda un escenario de pensamiento y pregunte: si nos ataca el ransomware, ¿pagaríamos el rescate? Si es así, ¿cuánto debería presupuestarse? ¿Estará cubierto por la cobertura del seguro de responsabilidad cibernética?

Es posible que las organizaciones no se den cuenta de lo valiosa que es una estrategia de seguridad cibernética hasta que exista una vulnerabilidad. BDO quiere asegurarse de que su organización nunca se enfrente a esa situación. Los profesionales de BDO están disponibles para proporcionar orientación y recursos especializados en relación con cualquier problema de seguridad cibernética.

Para contactar al equipo de seguridad cibernética global de BDO, visite www.cybersecurity.bdo.global