CFO y ciberseguridad: principales amenazas y cómo prevenirlas

Mark Jackley | Estratega de contenido | 27 de marzo de 2024

Debido a que los ciberataques representan un riesgo financiero importante para la mayoría de las organizaciones, los directores financieros desempeñan un papel importante en la ciberseguridad. Trabajan estrechamente con los directores de seguridad de la información (CISO) para priorizar las amenazas potenciales en función de su riesgo financiero, mantener las defensas de acuerdo con esto y, en última instancia, ayudar a mitigar esos riesgos.

¿Por qué deberían preocuparse los CFO por la ciberseguridad?

Los ciberataques pueden resultar costosas para las organizaciones de varias maneras. En general, el costo promedio de una violación de datos para las organizaciones en todo el mundo fue de 4,45 millones de dólares en 2023, según un estudio de IBM y el Instituto Ponemon. Casi el 95 % de los ataques se lanzan por razones de lucro, no por motivos políticos, sociales o personales, según el informe 2023 Verizon Data Breach Investigations.

Los datos confidenciales, como los números de tarjetas de crédito de los clientes y las contraseñas de la red de los empleados, son un objetivo favorito. También lo es el dinero en efectivo, que obtienen mediante facturas de proveedores falsas, estafas de nómina y ataques de ransomware. Casi la mitad de los altos ejecutivos piensan que los ataques a la contabilidad y las finanzas empeorarán, según un estudio de 2023 del Deloitte Center for Controllership. Luego está el costo financiero que implica el daño a la reputación de una organización debido a una violación de seguridad.

Las nuevas normas de la Comisión de Bolsa y Valores de EE. UU. también son importantes para los CFO. La SEC adoptó normas que requieren que las empresas públicas proporcionen a los inversores información "útil para la toma de decisiones" sobre incidentes de ciberseguridad, junto con actualizaciones periódicas sobre sus programas de ciberseguridad. Las reglas también parecen requerir que la SEC sea notificada dentro de los cuatro días de la determinación de una compañía de que un incidente de ciberseguridad es "material", algo que la mayoría de los inversores considerarían importante.

Otro mandato regulatorio es la Ley Federal de Gestión de Seguridad de la Información (FISMA), que requiere que las agencias federales de los Estados Unidos desarrollen, documenten e implementen medidas de seguridad en toda la agencia. El cumplimiento de la ley es principalmente responsabilidad del CISO, pero los CFO gubernamentales deben estar al tanto de sus requisitos.

Conclusiones clave

  • Como expertos en gestión de riesgos, los CFO deben trabajar con los CISO para priorizar las ciberamenazas y defensas en función del riesgo financiero corporativo.
  • Para evaluar el riesgo cibernético, los CFO deben adquirir un sólido conocimiento de las técnicas de ciberataque, así como de las estrategias y tecnologías utilizadas para combatirlas.
  • Cada vez más, los CFO contribuyen a los planes de ciberseguridad, revisan los presupuestos y monitorean la efectividad de las preparaciones de seguridad.

El CFO y la ciberseguridad en detalle

Los CFO no son expertos en ciberseguridad, pero son expertos en gestión de riesgos. Esto los convierte en aliados naturales del CISO, quien es responsable de proteger los sistemas y datos de la organización. Los CFO deben ser consultados sobre los planes de ciberseguridad, asegurándose de que reflejen el riesgo financiero general de la empresa. ¿Protegen suficientemente los sistemas que procesan y almacenan los datos más sensibles y valiosos de la organización? ¿Ayudan a los empleados de toda la organización a detectar correos electrónicos fraudulentos, llamadas y otras estafas? Como el principal vigilante de la gestión de riesgos, el CFO debe tener confianza en que el nivel de riesgo cibernético de la organización es aceptable.

Los CFO también tienen obligaciones de informes regulatorios que incluyen la ciberseguridad. Están estrechamente involucrados con el cumplimiento de las reglas establecidas por la Comisión de Bolsa y Valores de EE. UU., el Reglamento General de Protección de Datos de la Unión Europea y la Ley de Privacidad del Consumidor de California, entre otros. Los CFO colaboran con los asesores legales, auditores internos, CISO y otros para garantizar el cumplimiento. Enfrentan preguntas de la junta directiva sobre las divulgaciones de cualquier incidente cibernético, junto con las socializaciones anuales de la gestión de riesgos cibernéticos, la estrategia y la gobernanza.

Al buscar el cumplimiento, los CFOs deben equilibrar una serie de factores clave. Por ejemplo, la SEC requiere la divulgación de cualquier "incidente material" que los inversores consideren importante. Por supuesto, los CFO utilizan medidas financieras para decidir qué es material y, como resultado, qué divulgar, pero también deben considerar factores más cualitativos, como el impacto reputacional de incluso un pequeño ataque a la información del cliente.

Los cinco principales riesgos de ciberseguridad para los CFO

En este mundo empresarial en línea, el "vector de amenaza" disponible para los ciberatacantes se está expandiendo a medida que las empresas despliegan aplicaciones más rápido y a más usuarios que nunca. Las empresas también están integrando cada vez más aplicaciones con sistemas de proveedores, socios y otros externos.

Independientemente de los entornos a los que se dirigen, los atacantes siempre están probando nuevas formas de evadir las ciberdefensas. Los CFO no necesitan comprender cada matiz técnico, pero deben entender las técnicas más efectivas de los atacantes. Muchos ataques son nuevas variantes de los siguientes cinco tipos básicos.

1. Compromiso del correo electrónico empresarial

El compromiso del correo electrónico empresarial (BEC) es un ciberataque que utiliza el correo electrónico para manipular a las personas. Por ejemplo, los atacantes intentan engañar al destinatario para que envíe dinero a través de una solicitud fraudulenta de transferencia de fondos o una factura de proveedor falsa. Estos BEC típicamente apuntan a los equipos de contabilidad y finanzas, adquisiciones y nómina. El BEC es un tipo de ataque de phishing. Otros fraudes de phishing intentan engañar a los destinatarios para que revelen contraseñas, proporcionen números de tarjetas de crédito o hagan clic en enlaces de malware.

Entre 2013 y 2022, los ataques BEC costaron a las organizaciones de todo el mundo 51 mil millones de dólares, según Federal Bureau of Investigation (FBI) de EE. UU. Abnormal Security, una empresa de seguridad de correos electrónicos, informa que en la primera mitad de 2023, los ataques BEC aumentaron un 55 % en comparación con la primera mitad de 2022.

2. Ataque a la cadena de suministro

Como sugiere el término, los ataques a la cadena de suministro tienen como objetivo algo que una empresa compra a los proveedores, típicamente un programa de software. Al explotar una vulnerabilidad en un programa de software, el atacante puede obtener acceso por la puerta trasera a múltiples empresas que usan el software. El atacante obtiene acceso a redes privadas, incluyendo su propiedad intelectual, datos de clientes y otros activos de información. El ejemplo más infame es un ataque de 2020 que corrompió una popular herramienta de redes, lo que llevó a brechas en las principales agencias gubernamentales de EE. UU. y corporaciones multinacionales. Si bien los ataques a la cadena de suministro están asociados con actores patrocinados por el estado que intentan llevar a cabo espionaje o interrumpir infraestructuras esenciales, los criminales motivados financieramente también lanzan estos ataques.

3. Base de datos expuesta públicamente

Una base de datos expuesta públicamente es aquella que soporta un sitio web o aplicación pública y no está protegida por medidas de seguridad, como requerir credenciales de usuario, configuración segura, configuraciones de seguridad adecuadas o supervisión en el despliegue de bases de datos, lo que las hace un blanco fácil. El aumento del trabajo remoto durante la pandemia de COVID-19 contribuyó a un incremento en los datos no seguros y los ataques resultantes. En 2023, la firma de seguridad con sede en Singapur Group IB descubrió casi 400 000 de estas bases de datos en la web pública. Al enterarse del problema, los propietarios de las bases de datos tardaron un promedio de 170 días en solucionarlo, arriesgándose a brechas de datos y ataques de seguimiento a empleados o clientes, según Group IB. En un estudio de 2022 realizado por el proveedor de seguridad Kroll, el 53 % de las organizaciones dijeron que los ataques a bases de datos expuestas resultaron en una vulneración de la red.

4. Amenazas internas

Un insider es un empleado, ex empleado, contratista, proveedor u otra parte cuyo acceso especial a los sistemas y redes de una empresa podría representar una amenaza de seguridad. Los insiders se dividen en dos categorías: aquellos que actúan intencionalmente para derribar los sistemas de una empresa y robar sus datos, y aquellos que involuntariamente causan una brecha de seguridad porque carecen de formación en seguridad o simplemente no siguen los procedimientos. El costo total promedio para una organización de un incidente de amenaza interna aumentó de 15,4 millones de dólares en 2022 a 16,2 millones de dólares el año pasado, según una investigación de DTEX Systems y el Ponemon Institute, basada en una muestra de organizaciones de diferentes industrias y de diversos tamaños.

5. Ransomware

El ransomware es un tipo de malware utilizado por los atacantes para encriptar los datos de una empresa, a menudo entregado a través de software comprometido o correos electrónicos falsos, y luego exigir un rescate financiero para eliminar la encriptación. Cuando se activa el ransomware, los empleados no pueden acceder a sistemas y datos clave, no pueden trabajar y las operaciones se detienen hasta que la organización paga el rescate exigido y el acceso vuelve a la normalidad. Algunas empresas deciden que pagar el rescate es menos costoso que el tiempo de inactividad operativo, especialmente si el seguro cibernético cubre algunas de las pérdidas. Sin embargo, no hay garantía de que los atacantes, una vez pagados, proporcionen una clave de desencriptación para liberar los datos. El pago promedio de ransomware en 2023 fue de 1,54 millones de dólares, según el proveedor de seguridad Sophos. En octubre pasado, la Counter Ransomware Initiative, un grupo de organizaciones gubernamentales lideradas por EE. UU. en 50 países, se comprometió a nunca pagar rescate a los ciberdelincuentes.

Ciberataques: estadísticas clave
55 %
Aumento porcentual en los ataques de compromiso de correo electrónico empresarial de enero a junio de 2023
USD 138 mil millones
Costo global estimado de los ataques a la cadena de suministro en 2023
74 %
Porcentaje de organizaciones consideradas moderadamente a extremadamente vulnerables a las amenazas internas en 2023
USD 1,54 millones
Pago promedio de ransomware en 2023

Fuentes: Abnormal Security, Cybersecurity Insiders, Sophos

El papel del CFO en la ciberseguridad

Además de trabajar con los CISO para priorizar los riesgos cibernéticos, los CFO cada vez más los ayudan a elaborar un plan de seguridad, desarrollar un presupuesto de seguridad y monitorear el desempeño y las preparaciones de seguridad.

Comprender los riesgos de ciberseguridad

Para comprender los riesgos de ciberseguridad, los CFO los priorizan en función de los riesgos financieros. Esto significa, por ejemplo, trabajar con los CISO para asegurar que las aplicaciones clave, aquellas que gestionan datos sensibles y pagos, estén adecuadamente protegidas. ¿Requieren los diferentes roles distintos niveles de permiso para acceder a los datos y realizar transacciones, lo que se conoce como principio de mínimo privilegio? Por ejemplo, un líder de la cadena de suministro podría necesitar permiso para ingresar a un sistema de adquisiciones y realizar o aprobar transacciones. Un especialista en contabilidad puede no necesitar permiso para trabajar en ese sistema, pero sí necesita permiso para acceder y realizar negocios en sistemas contables y financieros. Asimismo, solo los empleados autorizados deben configurar pagos a proveedores.

Las aplicaciones de alta prioridad se encuentran en contabilidad y finanzas (cuentas por cobrar y pagar), operaciones de la cadena de suministro (adquisiciones) y RR. HH. (nómina). En algunas industrias, como los servicios financieros y la atención médica, proteger las aplicaciones que gestionan datos de clientes o pacientes es especialmente importante.

“La ciberseguridad no es única para todos”, dice Aman Desouza, director senior de productos de Oracle que anteriormente dirigió estrategias de gobernanza, riesgo y cumplimiento para la empresa global de tecnología financiera Broadridge Financial Solutions. “Algunas aplicaciones son mucho más importantes que otras. Los CISO deben trabajar con los CFO, y a veces con otros ejecutivos, para priorizar el riesgo empresarial y proteger las joyas de la corona. Y a veces, el CFO debe estar dispuesto a desafiar el pensamiento del CISO”.

Al evaluar el impacto potencial de los ataques, los CFO deben mirar más allá del daño financiero inmediato. También deben considerar los efectos duraderos en la productividad, la reputación de la marca, las relaciones con los clientes y el cumplimiento legal.

Desarrollar un plan de ciberseguridad

Aunque las empresas varían en estructura, la planificación de ciberseguridad es un esfuerzo multifuncional que generalmente recae principalmente en el CISO. Pero debido a que los ciberataques presentan graves riesgos para el resultado final, los CISO deben consultar con los CFO al elaborar planes. Con las nuevas reglas de la SEC, los CFO de las empresas cotizadas en bolsa en EE. UU. también están obligados a incluir cierta información sobre gestión de riesgos, estrategia y gobernanza de ciberseguridad en sus informes anuales, por lo que deben trabajar en estrecha colaboración con los CISO en eso.

Todos los planes deben incluir una evaluación del riesgo de ciberseguridad. Los CFO evalúan el riesgo cibernético en función del valor de los diversos datos, además de los costos legales y reputacionales potenciales de los incidentes de seguridad. Los CFO también consideran los riesgos de externalizar el almacenamiento de datos sensibles a terceros, especialmente las implicaciones para la cobertura del seguro de ciberseguridad, y los riesgos de no cumplir con las reglas de la SEC u otras regulaciones.

Otro aspecto crucial de la planificación: una evaluación de las herramientas y procesos de seguridad actuales. Los CISO evalúan las herramientas por sus capacidades técnicas. Los CFO quieren saber que las herramientas y los procesos relacionados pueden defender activos de alto valor, en particular las aplicaciones de finanzas y pagos. A través del análisis de costo-beneficio, los CFO también pueden evaluar las inversiones en tecnología de seguridad, una perspectiva que ayuda a los CISO cuando llega el momento de presentar el presupuesto de seguridad a los CEO y las juntas directivas.

Los mejores planes son flexibles, permitiendo que las empresas se adapten a riesgos emergentes, como los deepfakes impulsados por inteligencia artificial (IA), que pueden presentar imitaciones ultra realistas de altos ejecutivos. Un ataque usó un video deepfake en una llamada de conferencia para engañar a un trabajador de finanzas y que enviara 25,6 millones de dólares a las cuentas bancarias del atacante, informó CNN. Los planes adaptativos también dejan espacio para las herramientas de seguridad más recientes, algunas de ellas utilizando, así es, IA generativa para detectar anomalías en la red y actividades maliciosas más rápidamente.

Establecer un presupuesto para ciberseguridad

Al igual que con el plan de ciberseguridad, el CISO toma la iniciativa en proponer un presupuesto de ciberseguridad. En la mayoría de las empresas, los CFO consultan en el proceso, revisan el presupuesto, hacen preguntas y realizan recomendaciones. Al revisar el gasto en seguridad, los CFO examinan inversiones en personas con experiencia especializada, tecnologías para detectar y combatir ataques, y herramientas para monitorear el riesgo cibernético y el cumplimiento de la seguridad.

En el ciclo presupuestario de 2022 a 2023, los presupuestos de ciberseguridad aumentaron a tasas modestas, según un estudio de 2023 realizado por la firma de consultoría de seguridad IANS Research. Por ejemplo, las empresas de tecnología en promedio aumentaron sus presupuestos de seguridad solo un 5 %, en comparación con un aumento de más del 30 % en el ciclo de 2021 a 2022. Sin embargo, en comparación con otras industrias, las empresas tecnológicas tienen los presupuestos de seguridad más grandes como proporción del gasto total en TI, con un 19,4 %. El sector retail, en contraste, asigna un promedio de 7,2 % de los presupuestos de TI a la seguridad.

Cuando el dinero es escaso, los CFO hacen preguntas difíciles. ¿El presupuesto propuesto se alinea con los objetivos corporativos? ¿Financia adecuadamente los esfuerzos para defender la organización y reducir el riesgo?

Asignar recursos a la ciberseguridad

Una vez establecido el presupuesto de ciberseguridad, los CISO revisan si está asignando recursos a donde más se necesitan para reducir el riesgo, ya sea contratar profesionales capacitados, expandir los programas de capacitación en seguridad para empleados, comprar nuevo software de seguridad o mover la organización a un modelo de negocio en la nube más seguro. Nuevamente, los CFO desempeñan un rol asesor, asegurándose de que las asignaciones reflejen las prioridades de riesgo financiero. Ejemplo: ¿al asignar fondos para herramientas de autenticación multifactor, la organización reducirá el riesgo de intrusión y protegerá los datos mejor que si gastara una cantidad similar de dinero en personas o mejoras de procesos?

Monitorear el rendimiento de la ciberseguridad

El plan de ciberseguridad incluye métricas de monitoreo del rendimiento, que muestra si los niveles actuales de riesgo son aceptables o no. El CISO observa métricas como el tiempo medio para detectar ataques y responder a ellos. El CFO se enfoca más en la preparación para la seguridad frente al rendimiento de la tecnología y los procesos. “Principalmente, los CFO quieren evidencia de programas de seguridad maduros”, dice Desouza. “Buscan indicadores como herramientas de monitoreo automatizado o capacitación en conciencia de seguridad que enseñe a los empleados a detectar ataques BEC y phishing. Para el CFO, se trata más de la preparación que de cualquier otra cosa”.

El costo de ignorar la ciberseguridad

Cuando las empresas ignoran (o no prestan suficiente atención a) la ciberseguridad, el precio puede ser alto, resultando en pérdida de datos, fondos y/o propiedad intelectual. Los costos también pueden incluir la pérdida de la confianza del cliente, cancelación de órdenes comerciales, caídas en el precio de las acciones, titulares negativos y sanciones legales. Dark Reading informó que una violación de seguridad ampliamente publicitada en 2017 llevó a que el precio de las acciones de la empresa cayera un 31 % en una semana y que tardara dos años en recuperarse completamente. Más comunes, sin embargo, son las caídas inmediatas en el precio de las acciones en un solo dígito.

Se espera que el daño del ciberdelito global alcance los 10,5 billones de dólares para 2025, según una investigación de 2022 de Cybersecurity Ventures. El proveedor de seguridad Deep Instinct informó que el 75 % de los profesionales de seguridad presenciaron un aumento en los ataques de 2022 a 2023.

Bajo las nuevas reglas de divulgación cibernética de la SEC, las empresas deben “divulgar anualmente información sobre la gestión de riesgos cibernéticos, estrategia y gobernanza”, dijo Erik Gerding, director de la división de finanzas corporativas de la SEC, en un comunicado. Esto es además de la necesidad de divulgar cualquier incidente cibernético material. Dados estos requisitos, los CFO de empresas públicas deben sentirse seguros de que comprenden la estrategia y las prácticas de ciberseguridad en curso de la empresa. Deben tener el conocimiento y las relaciones para enterarse rápidamente de los incidentes relevantes de ciberseguridad y evaluar la materialidad de esos ataques. Los CFO que descuidan esos requisitos exponen a sus organizaciones a sanciones regulatorias.

Evita los riesgos de ciberseguridad desde el principio con Oracle

La suite Oracle Fusion Cloud Enterprise Resource Planning (ERP) de aplicaciones financieras, de adquisiciones, gestión de proyectos y otras aplicaciones ofrece seguridad desde su diseño. Los controles de acceso centralizados pueden ayudar a simplificar la autorización de la red y, junto con las características de seguridad ofrecidas como parte de Oracle Cloud ERP, pueden ayudar a las organizaciones a gestionar sus obligaciones de cumplimiento y regulatorias.

Oracle Risk Management and Compliance, parte de la suite Oracle Cloud ERP, es una solución de seguridad y auditoría que incluye herramientas de IA para controlar el acceso a los datos financieros de la suite, detectar transacciones sospechosas y ayudar a proporcionar a las organizaciones información valiosa para cumplir con las regulaciones de seguridad.

Preguntas frecuentes de los CFO sobre ciberseguridad

¿Cuál es el papel del CFO en la ciberseguridad?
Como administrador de la gestión de riesgos de la organización, el CFO se asegura de que los esfuerzos de ciberseguridad reflejen las estrategias de gestión de riesgos financieros. El CFO ayuda al CISO a entender las prioridades de riesgo en toda la empresa y a crear planes y presupuestos de seguridad en consecuencia.

¿Qué certificaciones de ciberseguridad debería tener un CFO?
Una certificación que los CFO deberían considerar es el Maximizing Digital Operational Excellence Certificate, ofrecido por American Institute of Certified Public Accountants y Chartered Institute of Management Accountants. Asegura que los gerentes financieros estén actualizados sobre métodos para fortalecer la gobernanza financiera, la seguridad y el control.

¿Cuáles son las responsabilidades clave de ciberseguridad que debe cumplir un CFO?
Además de asegurar que la ciberseguridad se alinee con el riesgo financiero, los CFO deben asistir a los CISO en la refinación de planes y presupuestos de seguridad, así como en la priorización de la protección de aplicaciones que gestionan datos y pagos esenciales. Los CFO de las empresas públicas también pueden tener requisitos de divulgación reglamentaria, dependiendo de la ubicación de la empresa.

La guía del CFO para impulsar las ganancias y el crecimiento

Descubre 5 estrategias para reducir costos y aumentar la productividad sin frenar el crecimiento.