La seguridad informática de las empresas, aunque depende principalmente de su departamento TI, afecta en realidad al conjunto de la organización. En este sentido y tal y como explica la consultora BDO, tras el departamento TIC, es el departamento financiero el que más debe implicarse en proteger los activos digitales de la empresa.
De hecho, coincidiendo con eñ mes internacional de la ciberseguridad que se celebra este mes de octubre, la consultora ha elaborado un decálogo con las mejores prácticas de seguridad informática, orientada a directores financieros (CFO) de todo tipo de empresas.
La compañía ha explicado que no se trata en que estos profesionales se conviertan expertos certificados en seguridad de sistemas de información pero, evidentemente, deben aumentar su conocimiento de los conceptos básicos de ciberseguridad y sobre todo, aprovechar sus propias habilidades de liderazgo para conceptualizar y administrar el riesgo en términos estratégicos y establecer los recursos que se deben emplear para mejorar la defensa cibernética en sus empresas. Estas son sus principales recomendaciones:
- Analizar cuáles son los activos de información y digitales más valiosos de la organización.
- Determinar el seguro de responsabilidad cibernética para proteger financieramente los activos de la compañía.
- Establecer cuál es el riesgo de una posible brecha de ciberseguridad.
- Crear un programa de amenazas internas para mitigar el riesgo de una violación cibernética dentro de la organización.
- Asegurar el cumplimiento con los estándares de seguridad de la información (ISO 27001, ENS,…).
- Llevar a cabo una evaluación independiente de la adecuación de amenazas de correo electrónico y Red.
- Realizar una evaluación independiente de la adecuación de la cobertura de seguro de responsabilidad cibernética.
- Comprobar que todos los servicios de seguridad (MSS) de monitoreo, detección y respuesta (MDR) están correctamente interrelacionados para logar una seguridad real, entre lo que destaca precisar si los recursos internos de MDR funcionan o se deben subcontratar y poder evaluar el consiguiente coste.
- Determinar si la organización cuenta con respuesta integral a incidentes (IR), recuperación ante desastres (DR) y planes de continuidad del negocio (BCP).
- Dibujar escenarios de crisis: ante una ransomware, ¿pagaría la empresa el rescate?; ¿hay que presupuestarlo?; ¿lo cubre el seguro de responsabilidad cibernética?
En opinión de Sergio Esteve, director de Consultoría de BDO: «Los CFOs tienen una función transversal y deben atender aspectos que no son de su total responsabilidad. En el caso de la ciberseguridad tienen un papel activo aportando una perspectiva financiera y del nivel de inversión razonable en esta materia para la compañía».
