¿Por qué un CFO debería apoyar un programa de concienciación en ciberseguridad?
Los programas de concienciación sobre ciberseguridad tienen como objetivo ampliar la visión de los colaboradores sobre los riesgos relacionados con los activos de tecnología de la información y comunicación (TIC). Aunque los principales defensores de este tipo de programas suelen ser los profesionales de la seguridad de la información, lo cierto es que casi todos los departamentos pueden beneficiarse con la concienciación.
En el caso de los CFO (o Chief Financial Officer), el costo de los programas de concienciación en ciberseguridad, acaba siendo un factor a ser considerado. En cierto modo, siempre hay dudas sobre el rendimiento obtenido con la inversión en el programa.
Otra cuestión más directa, es sobre el impacto del programa de concienciación en los departamentos de compras y finanzas de la organización.
En ambos casos, hay razones para que el CFO también respalde el programa de concienciación.
Retorno sobre la inversión
Calcular el retorno de la inversión en seguridad puede ser un desafío, pero un estudio realizado por la consultoría Osterman Research ha desarrollado un modelo que considera los siguientes criterios:
-
Gasto por ataques cibernéticos e interrupciones;
-
Gasto por mantenimiento y resolución de eventos de menor y mayor gravedad;
-
Costo del programa de concienciación;
-
Salario de los empleados y costo para que participen en el programa;
El estudio estimó retornos entre el 69 % y el 562 %, dependiendo del tamaño de la organización y el tipo de incidente de seguridad. La variación es grande porque el cálculo varía según los cambios en cada factor considerado, así como en las probabilidades y pérdidas atribuidas a los eventos.
Ciertos factores ni siquiera fueron considerados por el estudio, como el seguro de riesgo cibernético. Algunas aseguradoras buscan saber si existe un programa robusto de concienciación para calcular la prima. Por lo tanto, quienes contratan este tipo de seguridad pueden tener un beneficio directo.
Si el CFO considera cuestiones de cumplimiento legal y gobernanza financiera, hay aún más puntos relevantes. En los Estados Unidos, la SEC, el organismo que regula a las empresas con acciones que cotizan en las bolsas de valores, como la CVM en Brasil, adoptó una norma en 2023 que exige una documentación sobre las medidas adoptadas para prevenir incidentes de seguridad. La opinión de los reguladores es que el programa de gestión de riesgos y ciberseguridad, puede influir en las decisiones de los inversores.
En Brasil, la Ley General de Protección de Datos (LGPD) también obliga a la empresa a orientar a los empleados en materia de protección de datos personales, por lo que abandonar un programa de concienciación podría motivar un revés legal en acciones relacionadas con incidentes. En Europa, el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) incluye disposiciones similares.
Incluso si la empresa no estuviera obligada a seguir esas reglas, clientes y socios pueden exigir la existencia de un programa de concienciación, en su cadena de proveedores. En estos casos, el programa de concienciación amplía el mercado de la empresa.
Fraude financiero
Otro aspecto relevante para los CFOs es el gran volumen de fraude cibernético que afecta específicamente a las actividades financieras.
Business Email Compromise (BEC) es un tipo de estafa en la que el delincuente se hace pasar por un director o proveedor de la empresa para convencer a un colaborador a realizar un pago a una entidad falsa, a menudo utilizando una factura clonada o falsificada. Si el colaborador no tuviera conocimiento del fraude, las pérdidas para la empresa podrían alcanzar millones de dólares.
Estas estafas de BEC ya han causado más de US$ 50 mil millones en pérdidas financieras directas, según cálculos del FBI, que tienen en cuenta principalmente los informes de empresas en los Estados Unidos. Las estimaciones del mercado sugieren que el daño total causado por la ciberdelincuencia en todo el mundo, sumado a la pérdida de ingresos por interrupciones, robo de datos y costos de recuperación, alcance los US$ 10 billones para 2025 y los US$ 23 billones para 2027.
De la prevención a la respuesta
Los programas de concientización son más exitosos cuando hay un apoyo manifiesto por parte de la gerencia. Esto ayuda a promover transformaciones en la cultura de la empresa que fundamentan la toma de decisiones de los demás colaboradores y les transmiten la seguridad necesaria para informar a colegas o jefes sobre sospechas de fraude, incluso cuando ellos mismos cometen errores.
El proceso de seguridad incluye prevención, detección y respuesta, siendo erróneo evaluar apenas el carácter preventivo. Aunque sea difícil prevenir todos los ataques, el programa de concienciación aumenta la resiliencia de la empresa y eleva las chances de que se detecte y contenga un fraude lo antes posible, disminuyendo las pérdidas.
Por lo tanto, el apoyo del CFO es esencial para garantizar la adhesión de su propio equipo al programa, permitiendo que la empresa obtenga el beneficio y el rendimiento esperado en todo el ciclo de seguridad de la información.