CFO y ciberseguridad: principales amenazas y cómo prevenirlas

Mark Jackley | Estratega de Contenido | 27 de marzo de 2024

Los ciberataques representan un riesgo financiero importante para la mayoría de las organizaciones, por lo que los directores financieros desempeñan un papel importante al respecto. Trabajan en estrecha colaboración con los directores de seguridad de la información (CISO) para evaluar la importancia de las amenazas potenciales en función de su riesgo financiero, crear defensas en consecuencia y, en última instancia, ayudar a mitigar esos riesgos.

¿Por qué debe preocupar la ciberseguridad a los CFO?

Los ciberataques pueden afectar a las organizaciones de distintas maneras. En 2023, en todo el mundo, el coste medio global de una filtración de datos para un organización fue de 4,45 millones de dólares, según un estudio de IBM y Ponemon Institute. Casi el 95 % de los ataques se inician con fines financieros, no por razones políticas, sociales o personales, según el informe de investigación sobre filtraciones de datos llevado a cabo por Verizon en 2023.

Los datos confidenciales, como números de tarjetas de crédito de los clientes y contraseñas de red de los empleados, son un botín muy codiciado, al igual que el efectivo de toda la vida, que se consigue mediante de facturas falsas de proveedores, estafas de nómina y ataques de ransomware. Casi la mitad de los altos ejecutivos piensan que los ataques contables y financieros irán a más, según un estudio de 2023 realizado por el Center for Controllership de Deloitte. Luego está el coste financiero del daño a la reputación de una organización que provoca una violación de seguridad.

Las nuevas normas de la Comisión de Bolsa y Valores de los EE. UU. (SEC) también están en la mente de los CFO. La SEC adoptó normas que requieren que las empresas públicas proporcionen a los inversores información "útil para la toma de decisiones" sobre incidentes de ciberseguridad, junto con actualizaciones periódicas sobre sus programas en esta área. Parece que este reglamento también requiere que se notifique a la SEC en un periodo de cuatro días si una compañía determina que un incidente de seguridad es "material", esto es, que la mayoría de los inversores lo considerarían importante.

Otro mandato regulatorio es la Ley Federal de Gestión de Seguridad de la Información (FISMA), que requiere que las agencias federales de los Estados Unidos desarrollen, documenten e implementen medidas de seguridad a todos los niveles. El cumplimiento de esta ley incumbe principalmente al CISO, pero los CFO de las empresas públicas deben tener en cuenta sus requisitos.

Conclusiones clave

  • Como expertos en gestión de riesgos, los CFO deben trabajar con los CISO para priorizar las amenazas cibernéticas y establecer mecanismos de defensa para reducir el riesgo financiero corporativo.
  • Con el fin de evaluar los riesgos cibernéticos, los CFO deben adquirir un conocimiento sólido de las técnicas de ciberataque, así como de las estrategias y tecnologías utilizadas para combatirlas.
  • Es cada vez más habitual que los CFO contribuyan a los planes de ciberseguridad, revisen los presupuestos de seguridad y supervisen la eficacia de los esfuerzos en la materia.

Los CFO y la ciberseguridad

Los CFO no son expertos en ciberseguridad, pero sí en gestión de riesgos. Esto los convierte en aliados naturales del CISO, que es responsable de proteger los sistemas y datos de la organización. Los CFO deben ser consultados sobre los planes de ciberseguridad, asegurándose de que reflejen el riesgo financiero general de la empresa. ¿Protegen lo suficiente los sistemas que procesan y almacenan los datos más sensibles y valiosos de la organización? ¿Ayudan a los empleados de toda la organización a detectar correos electrónicos y llamadas fraudulentos, así como otras estafas? Como principal organismo de control de la gestión de riesgos, el CFO debe asegurarse de que el nivel de riesgo cibernético de la organización sea aceptable.

Los CFO también tienen obligaciones de generación de informes normativos, también sobre ciberseguridad. Deben seguir de cerca el cumplimiento de las normas establecidas por la Comisión de Bolsa y Valores de los EE. UU., el Reglamento General de Protección de Datos de la Unión Europea y la Ley de Privacidad del Consumidor de California, entre otros. Los CFO colaboran con asesores jurídicos, auditores internos, CISO, etc. para garantizar el cumplimiento normativo. Se enfrentan a preguntas de la junta directiva sobre la divulgación de cualquier incidente cibernético, así como sobre los informes anuales de gestión de riesgos cibernéticos, estrategia y gobernanza.

Para garantizar el cumplimiento normativo, los CFO deben equilibrar una serie de factores clave. Por ejemplo, la SEC requiere la divulgación de cualquier "incidente material", que los inversores podrían considerar importante. Por supuesto, los CFO utilizan medidas financieras para decidir qué es material y, como resultado, qué revelar, pero también deben considerar factores más cualitativos, como el impacto potencial en la reputación del más mínimo ataque a la información de los clientes.

Los cinco principales riesgos de ciberseguridad para los CFO

En este mundo empresarial conectado, los "vectores de amenaza" para los ciberataques van en aumento a medida que las empresas despliegan aplicaciones más rápido y para un número de usuarios mayor que nunca. Las empresas también integran cada vez más aplicaciones con sistemas de proveedores, socios y otras partes externas.

Independientemente del entorno que quieran atacar, los agentes maliciosos siempre están probando nuevas formas de sortear las ciberdefensas. Los CFO no necesitan comprender todos los matices técnicos, pero deben conocer las técnicas más efectivas de los atacantes. Muchos ataques son variaciones basadas en los siguientes cinco tipos básicos.

1. Ataques al correo electrónico empresarial

Los ataques al correo electrónico empresarial (BEC ,por sus siglas en inglés) son un tipo de ciberataque que utiliza el correo electrónico para manipular a las personas. Por ejemplo, los atacantes tratan de engañar al destinatario para que envíe dinero a través de una solicitud fraudulenta de transferencia de fondos o una factura de proveedor falsa. Estos ataques suelen dirigirse a los equipos de contabilidad y finanzas, compras y nóminas. Los ataques al correo empresarial son un tipo de ataque de phishing. Otras estafas de phishing intentan engañar a los destinatarios para que revelen contraseñas, proporcionen números de tarjetas de crédito o hagan clic en enlaces de malware.

Abnormal Security, una compañía de seguridad del correo electrónico, informa que en el primer semestre de 2023, los ataques al correo empresarial aumentaron un 55 % en el primer semestre de 2022.

2. Ataques a la cadena de suministro

Como el término sugiere, los ataques a la cadena de suministro tiene como objetivo algo que una empresa compra a proveedores, generalmente un programa de software. Al explotar una vulnerabilidad en un programa de software, el atacante puede obtener acceso por la puerta trasera a las empresas que utilizan el software. El atacante obtiene acceso a redes privadas, incluyendo su propiedad intelectual, datos de clientes y otros activos de información.

3. Bases de datos expuestas

Una base de datos expuesta públicamente es aquella que soporta un sitio web o aplicación pública y no está dotada de medidas de seguridad como solicitud de credenciales de usuario, configuración segura, configuración de seguridad adecuada o supervisión en el despliegue de las bases de datos, lo que hace de ellas un objetivo fácil. El auge del teletrabajo durante la pandemia de COVID-19 contribuyó a un aumento de los datos no seguros y los consiguientes ataques. En 2023, la firma de seguridad Group IB, con sede en Singapur, descubrió casi 400 000 bases de datos de este tipo en la web abierta. Al conocer el problema, los propietarios de las bases de datos tardaron un promedio de 170 días en solucionarlo, exponiéndose a filtraciones de datos y a los ataques que de ello se derivan a empleados o clientes, según el Grupo IB. En un estudio de 2022 realizado por el proveedor de seguridad Kroll, el 53 % de las organizaciones afirmó que los ataques a bases de datos expuestas pusieron en peligro sus redes.

4. Amenazas internas

Una persona con acceso a información privilegiada es un empleado, antiguo empleado, contratista, proveedor u otra parte cuyo acceso especial a los sistemas y redes de una empresa podría representar una amenaza para la seguridad. Los expertos se dividen en dos categorías: aquellos que actúan intencionadamente para interrumpir los sistemas de una empresa y robar sus datos y aquellos que causan involuntariamente una brecha de seguridad porque carecen de formación en seguridad o simplemente no siguen los procedimientos. El coste total medio para una organización de un incidente debido a una amenaza interna aumentó de 15,4 millones de dólares en 2022 a 16,2 millones de dólares el año pasado, según una investigación del proveedor de TI DTEX Systems y de Ponemon Institute basada en una muestra de organizaciones de diferentes industrias y distintos tamaños.

5. Ransomware

El ransomware es un tipo de malware utilizado por los atacantes para cifrar los datos de una empresa que a menudo se infiltra mediante software comprometido o correos electrónicos falsos. A continuación, se exige un rescate financiero para eliminar el cifrado. Cuando se activa el ransomware, los empleados no pueden acceder a sistemas y datos clave ni trabajar y las operaciones se detienen hasta que la organización paga el rescate solicitado y el acceso vuelve a la normalidad. Algunas compañías deciden que pagar el rescate es menos costoso que el tiempo de inactividad de sus operaciones, especialmente si el seguro cibernético cubre algunas de las pérdidas. Sin embargo, no hay garantía de que los atacantes, una vez que han recibido el pago, proporcionen una clave de descifrado para liberar los datos. En 2023, el rescate medio por ransomware ascendió a 1,54 millones de dólares, según el proveedor de seguridad Sophos. En octubre pasado, la Iniciativa contra el Ransomware, un grupo de organizaciones gubernamentales de 50 países liderado por Estados Unidos, se comprometió a no pagar ningún rescate a los ciberdelincuentes.

Ciberataques: estadísticas clave
55 %
Aumento porcentual de los ataques al correo electrónico empresarial de enero a junio de 2023
138 mil millones de dólares
Coste global estimado de los ataques a la cadena de suministro en 2023
74 %
Porcentaje de organizaciones consideradas de modera a extremamente vulnerables a las amenazas internas en 2023
1,54 millones de dólares
Rescate medio por ransomware en 2023

Fuentes: Abnormal Security, Cybersecurity Insiders, Sophos

El papel del CFO en la ciberseguridad

Además de trabajar con los CISO para priorizar los riesgos cibernéticos, los CFO cada vez más ayudan a estos a elaborar un plan de seguridad, desarrollar un presupuesto de seguridad y supervisar el rendimiento y los preparativos de seguridad.

Conocer los riesgos de ciberseguridad

Para comprender los riesgos de ciberseguridad, los CFO los priorizan en función del riesgo financiero que representan. Esto significa, por ejemplo, trabajar con los CISO para garantizar que las aplicaciones clave, que gestionan datos confidenciales y pagos, estén adecuadamente protegidas. ¿Requieren distintos roles diferentes niveles de autorización para acceder a los datos y realizar transacciones (el denominado principio de privilegios mínimos)? Por ejemplo, un responsable de la cadena de suministro puede necesitar permiso para acceder a un sistema de compras y realizar o aprobar transacciones. Es posible que un especialista en contabilidad no necesite autorización para trabajar en ese sistema, pero sí para acceder a los sistemas contables y financieros y trabajar en ellos. Del mismo modo, sólo los empleados autorizados deben poder ocuparse de los pagos a proveedores.

Las aplicaciones sensibles se encuentran en las áreas de contabilidad y finanzas (cuentas a cobrar y pagar), operaciones de cadena de suministro (compras) y RR. HH. (nómina). En algunos sectores, como los servicios financieros y la asistencia sanitaria, es especialmente importante proteger las aplicaciones que gestionan los datos de clientes o pacientes.

"La ciberseguridad no es monolítica", explica Aman Desouza, director sénior de productos de Oracle que anteriormente dirigió estrategias de gobernanza, riesgo y cumplimiento para la firma global de tecnología financiera Broadridge Financial Solutions. "Algunas aplicaciones son mucho más importantes que otras. Los CISO deben trabajar con los CFO, y a veces con otros ejecutivos, para priorizar los riesgos empresariales y proteger las joyas de la corona. Y a veces, el CFO debe estar dispuesto a desafiar la opinión del CISO".

Al evaluar el impacto potencial de los ataques, los CFO deben mirar más allá del daño financiero inmediato. También deben tener en cuenta los efectos duraderos en la productividad, la reputación de la marca, las relaciones con los clientes y el cumplimiento legal.

Desarrollar un plan de ciberseguridad

Si bien la estructura puede variar de una empresa a otra, la planificación de la ciberseguridad es un esfuerzo que abarca a distintos departamentos y generalmente recae principalmente en el CISO. Pero debido a que los ciberataques plantean graves riesgos para los resultados de la empresa, los CISO deben consultar a los CFO al diseñar planes. Con las nuevas reglas de la SEC, los CFO de las empresas que cotizan en bolsa en los EE. UU. también deben incluir cierta información sobre gestión de riesgos, estrategia y gobernanza de ciberseguridad en sus informes anuales, por lo que deben trabajar en estrecha colaboración con los CISO al respecto.

Todos los planes deben incluir una evaluación de los riesgos de ciberseguridad. Los CFO evalúan el riesgo cibernético en función del valor de los distintos datos, además de los posibles costes legales y de reputación de los incidentes de seguridad. Los CFO también deben considerar los riesgos de externalizar el almacenamiento de datos confidenciales a terceros, especialmente las implicaciones para la cobertura del seguro de ciberseguridad y los riesgos de incumplimiento de las normas de la SEC u otras.

Otro aspecto crucial de la planificación es evaluar las herramientas y procesos de seguridad actuales. Los CISO evalúan las funcionalidades técnicas de las herramientas. Los CFO quieren asegurarse de que las herramientas y los procesos relacionados puedan defender activos de alto valor, en particular las aplicaciones de finanzas y pagos. A través del análisis coste-beneficio, los CFO también pueden evaluar las inversiones en tecnología de seguridad, una perspectiva que ayuda a los CISO a presentar el presupuesto de seguridad a los CEO y las juntas directivas.

Los mejores planes son flexibles, ya que esto permite a las empresas adaptarse a los riesgos emergentes, como los deepfakes creados mediante IA, que pueden presentar imitaciones ultrarrealistas de los altos ejecutivos. Un ataque utilizó un vídeo falso en una conferencia telefónica para convencer a un trabajador de finanzas para que enviara 25,6 millones de dólares a las cuentas bancarias del atacante, informó CNN. Los planes adaptables también dejan espacio para las últimas herramientas de seguridad, algunas de ellas con IA generativa para detectar anomalías en la red y actividades maliciosas más rápidamente.

Establecer un presupuesto de ciberseguridad

Al igual que con el plan de ciberseguridad, el CISO toma la iniciativa en la propuesta de un presupuesto de ciberseguridad. En la mayoría de las empresas, los CFO ofrecen asesoramiento durante el proceso, revisan el presupuesto, hacen preguntas y brindan recomendaciones. Al revisar el gasto en seguridad, los CFO analizan las inversiones en personas con experiencia específica, tecnologías para detectar y combatir ataques y herramientas para supervisar el riesgo cibernético y el cumplimiento de las normas de seguridad.

En el ciclo presupuestario 2022-2023, los presupuestos de ciberseguridad aumentaron de forma moderada, según un estudio de la firma de consultoría de seguridad IANS Research de 2023. Por ejemplo, las empresas de tecnología incrementaron sus presupuestos de seguridad en solo un 5 % de media, frente a un aumento de más del 30 % en el ciclo 2021-2022. En comparación con otras industrias, sin embargo, las empresas de tecnología tienen los presupuestos de seguridad más elevados en proporción al gasto total de TI, con un 19,4 %. Por el contrario, la industria minorista asigna un promedio del 7,2 % de los presupuestos de TI a la seguridad.

Cuando el dinero escasea, los CFO deben plantear preguntas difíciles. ¿Se ajusta el presupuesto propuesto a los objetivos corporativos? ¿Financia adecuadamente los esfuerzos para defender a la organización y reducir los riesgos?

Asignar recursos a la ciberseguridad

Una vez que se establece el presupuesto de ciberseguridad, los CISO revisan si se están asignando los recursos allí donde más se necesitan para reducir los riesgos, ya sea contratando profesionales cualificados, ampliando los programas de formación en seguridad de los empleados, comprando nuevo software de seguridad o pasando la organización a un modelo de negocio en la nube más seguro. Una vez más, los CFO desempeñan un papel de asesoramiento, asegurándose de que las asignaciones reflejen las prioridades en materia de riesgos financieros. Ejemplo: al asignar fondos para herramientas de autenticación multifactor, ¿reducirá la organización el riesgo de intrusión y protegerá los datos mejor que si gastara una cantidad similar de dinero en personas o mejoras de los procesos?

Supervisar el rendimiento de la ciberseguridad

El plan de ciberseguridad incluye métricas de supervisión del rendimiento, que muestran si los niveles actuales de riesgo son aceptables o no. El CISO analiza métricas como el tiempo medio de detección y respuesta a los ataques. El CFO se centra más en la preparación de seguridad que en el rendimiento de la tecnología y los procesos. "La mayoría de los CFO quieren programas de seguridad maduros", explica Desouza. "Buscan indicadores como herramientas de supervisión automatizada o formación de seguridad que enseñe a los empleados a detectar ataques al correo empresarial y phishing. Para el director financiero, se trata más de preparación que de otra cosa".

El coste de ignorar la ciberseguridad

Cuando las empresas ignoran o no prestan suficiente atención a la ciberseguridad, el precio puede ser alto, con la pérdida potencial de datos, fondos o propiedad intelectual. Entre los costes también puede incluirse la degradación de la confianza de los clientes, cancelación de pedidos, caídas del precio de las acciones, titulares negativos y sanciones legales. Dark Reading informó de que una violación de seguridad ampliamente publicitada en 2017 llevó a que el precio de las acciones de la compañía cayera un 31 % en una semana y tardó dos años en recuperarse por completo. Más comunes, sin embargo, son las bajadas inmediatas del precio de las acciones.

Se espera que el daño de la ciberdelincuencia global alcance los 10,5 billones de dólares para 2025, según una investigación de Cybersecurity Ventures de 2022. El proveedor de seguridad Deep Instinct informó de que el 75 % de los profesionales de seguridad fueron testigos de un aumento en los ataques entre 2022 y 2023.

Según las nuevas reglas de divulgación cibernética de la SEC, las empresas deben "dar a conocer anualmente información sobre su gestión, su estrategia y su gobernanza de riesgos de ciberseguridad", señaló Erik Gerding, director de la división de finanzas corporativas de la SEC, en una declaración. Esto se suma a la necesidad de revelar cualquier incidente material de ciberseguridad. Dados estos requisitos, los CFO de las empresas públicas deben asegurarse de entender la estrategia y las prácticas de ciberseguridad vigentes en la empresa. Deben contar con el conocimiento y las relaciones para estar informados rápidamente de los incidentes de ciberseguridad relevantes y evaluar la materialidad de esos ataques. Los CFO que descuidan esos requisitos exponen su organización a sanciones regulatorias.

Evita los riesgos de ciberseguridad desde el principio con Oracle

La suite Oracle Fusion Cloud Enterprise Resource Planning (ERP) de aplicaciones de finanzas, compras, gestión de proyectos y más ofrece seguridad de forma predeterminada. Los controles de acceso centralizados ayudan a simplificar las autorizaciones de red y, junto con las funciones de seguridad que se ofrecen como parte de Oracle Cloud ERP, permiten a las organizaciones gestionar sus obligaciones normativas y de cumplimiento.

Oracle Risk Management and Compliance forma parte del conjunto de aplicaciones Oracle Cloud ERP. Es una solución de seguridad y auditoría que incluye herramientas de IA para controlar el acceso a los datos financieros de la suite, detectar transacciones sospechosas y proporcionar a las organizaciones información valiosa que les permita cumplir las normativas de seguridad.

Preguntas frecuentes sobre CFO y ciberseguridad

¿Qué hace el CFO para la ciberseguridad?
Como encargado de la gestión de riesgos de la organización, el CFO se asegura de que sus esfuerzos de ciberseguridad reflejen las estrategias de gestión de riesgos financieros. El CFO ayuda al CISO a comprender las prioridades en cuanto a riesgos en toda la empresa y a crear planes y presupuestos de seguridad en consecuencia.

¿Qué certificaciones de ciberseguridad debe tener un CFO?
Una certificación que los CFO deben considerar es el Maximizing Digital Operational Excellence Certificate, que ofrecen el American Institute of Certified Public Accountants y el Chartered Institute of Management Accountants. Demuestra que los administradores financieros están al día sobre los métodos para fortalecer la gobernanza financiera, la seguridad y el control.

¿Cuáles son las responsabilidades clave de ciberseguridad que debe asumir un CFO?
Además de garantizar que la ciberseguridad se alinee con el riesgo financiero, los CFO deben ayudar a los CISO a refinar los planes y presupuestos de seguridad, así como a priorizar la protección de las aplicaciones que gestionan datos y pagos críticos. El CFO de las empresas públicas también puede estar sujeto a requisitos de divulgación normativa, dependiendo de dónde se encuentre la empresa.

Guía para CFO: Cómo impulsar los beneficios y el crecimiento

Descubre cinco estrategias para reducir costes e impulsar la productividad sin ahogar el crecimiento.