Categorías
Internas Financiero Sistemas

Por qué el CFO, no menos que el CISO, necesita lidiar con el riesgo cibernético

riesgo seguridad informatica, riesgo de deteccion, riesgos de auditoria de sistemas, sistemas de informacion y seguridad, seguridad de informacion financiera

Por qué el Director de Finanzas (CFO), no menos que el Director de seguridad de información (CISO), necesita lidiar con el riesgo cibernético.

La gestión del riesgo es un acto de equilibrio para las organizaciones de todos los tamaños y disciplinas. Mientras que algunas organizaciones asumen un riesgo excesivo, otras no lo hacen.

La complicación de esta ecuación es la aparición del cyber como una de las fuentes de riesgo más impactantes en la empresa moderna. De hecho, la seguridad cibernética es ahora cada vez más revisada por los consejos de administración de las empresas y, a menudo discutida con analistas financieros que ven el riesgo de seguridad cibernética como un riesgo de negocio inminente y primordial.

Debido a que las consecuencias de las fallas de la seguridad cibernética pueden ser perjudiciales para los ingresos empresariales y la reputación de la marca, los CEOs han perdido sus posiciones como resultado de las brechas de datos y la preparación inepta y la planificación.

Durante los últimos 15 años, hemos conectado sistemáticamente nuestra economía y nuestra sociedad de una manera realmente poderosa y convincente. Pero lo hemos hecho usando tecnologías que estuvieron diseñadas para compartir información y ponerla a disposición, no para proteger esa información

La ironía es que algunas de las iniciativas de las organizaciones se comprometen a impulsar el rendimiento y ejecutar en sus estrategias de negocio es también lo que crean el riesgo cibernético. Según Deloitte Advisory Cyber Risk Services, éstas incluyen globalización, fusiones y adquisiciones, extensión de redes y relaciones de terceros, externalización, adopción de nuevas tecnologías, movimiento a la nube y movilidad.

Es improbable que las empresas dejen de hacer estas iniciativas. En su lugar, los ejecutivos, incluyendo el CFO, tendrán que aceptar que el riesgo cibernético es ahora parte de hacer negocios. “Deben entender la naturaleza y magnitud de esos riesgos, considerarlos contra los beneficios que un cambio estratégico produciría y luego tomar decisiones más informadas”, dice Deloitte.

Las organizaciones deben ahora factor cibernético en su apetito de riesgo y definir explícitamente el nivel de riesgo cibernético que están dispuestos a aceptar en el contexto de su apetito general por el riesgo.

Las organizaciones que buscan comprender mejor el riesgo cibernético tendrán que construir una base que incluya:

  • Un proceso sistemático para definir y categorizar exhaustivamente las fuentes de riesgo cibernético
  • Una descripción de los principales interesados y propietarios de riesgos dentro de la organización
  • Un esquema de los conceptos básicos de cómo pensar acerca de calcular el apetito de riesgo cibernético

Definición del riesgo cibernético

El riesgo cibernético se define comúnmente como la exposición a daños o pérdidas resultantes de violaciones o ataques a sistemas de información. Sin embargo, esta definición debe ser ampliada. Una definición mejor y más abarcadora es “el potencial de pérdida o daño relacionado con la infraestructura técnica o el uso de la tecnología dentro de una organización”.

Los eventos cubiertos por esta definición más amplia pueden clasificarse de múltiples maneras.

Uno es intencionado. Los eventos pueden ser el resultado de actos deliberadamente maliciosos, como un hacker que lleva a cabo un ataque con el objetivo de comprometer la información sensible, pero también puede ser involuntario, como un error del usuario que hace que un sistema no esté disponible temporalmente.

Los eventos de riesgo también pueden provenir de fuentes externas a la organización, tales como cibercriminales o socios de la cadena de suministro, o fuentes dentro de la organización, como empleados o contratistas.

La combinación de estas dos dimensiones nos lleva a un marco práctico para categorizar los riesgos cibernéticos:

  • Malicioso internos: Los actos deliberados de sabotaje, robo o malversación cometidos por los empleados y otros iniciados. Por ejemplo, un empleado descontento que elimina la información dominante antes de que salgan de la organización.
  • Internos no intencional: Hechos que conduce a daños o pérdida derivada de un error humano cometido por empleados y otros iniciados. Por ejemplo, en 2013, NASDAQ experimentó problemas de tecnología internos que causaron los sistemas de copia de seguridad fallen.
  • Malicioso externa: El riesgo cibernético más publicitado; Ataques premeditados de partes externas, incluyendo sindicatos criminales, hacktivistas y estados nacionales.

Algunos ejemplos incluyen la infiltración de la red y la extracción de propiedad intelectual, y los ataques de denegación de servicio (DoS) que causan problemas de disponibilidad del sistema, interrupciones de negocio o interfieren con el desempeño adecuado de dispositivos conectados como dispositivos médicos o sistemas industriales.

  • Involuntaria externa: Similar al, éstos provocan una pérdida no intencional interna o daños a los negocios, pero no son deliberados. Por ejemplo, un socio de terceros que experimenta problemas técnicos puede afectar la disponibilidad del sistema, al igual que los desastres naturales.

Por: Jiunn Pyng Yu, RSA Archer

Fuente: www.cfoinnovation.com

Deja un comentario!