Sapsiwai - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Directores financieros deben impulsar la administración de la seguridad

Ahora que la seguridad se ha convertido en un elemento de la estrategia de negocios de las empresas, los directores financieros deben trabajar para impulsar la gestión de seguridad en toda la organización.

Los directores financieros o CFO (Chief Financial Officer, por sus siglas en inglés) y los miembros del consejo directivo siempre cuidan los costos y se enfocan en lograr los resultados de los objetivos. Sin embargo, si ocurre una intrusión a la seguridad, no se preocupan por controlar los gastos con tal de deshacerse de la intrusión, colocar de nuevo los sistemas en línea y mejorar las defensas de seguridad. La realidad es que, cuando se enfrentan a un evento de seguridad, la mayoría de las empresas aún siguen trabajando en modo reactivo.

En ese sentido, las compañías promedio gastan únicamente entre 1% y 5% de sus ingresos en seguridad TI, lo cual parece un monto pequeño cuando se compara con los riesgos de perder ventas, productividad y el daño a la marca asociado con la intrusión. Durante 2016, hubo muchos ataques al sector salud, gubernamental e incluso a empresas globales. En todos y cada uno de los casos, se perdió información invaluable y, en ocasiones, algunos altos ejecutivos llegaron a perder sus empleos o debieron enfrentar un riguroso escrutinio.

Otra preocupación importante es la actual escasez de profesionales experimentados en seguridad. Dos de las intrusiones de más alto perfil que surgieron el año pasado se dieron por no contar con personal calificado, y no por la falta de inversión suficiente en sistemas de seguridad. Por otro lado, debemos considerar que han entrado en vigor nuevas regulaciones en seguridad, y las firmas deberán rendir cuentas si no cumplen con los nuevos requerimientos.

Todo esto está generando que el papel de los altos niveles ejecutivos, en especial el del CFO, se transforme. Ahora, por ejemplo, el director financiero a veces se transforma en un director de protección o CPO (Chief Protection Officer, por sus siglas en inglés), ya que la ciberseguridad pone en riesgo las finanzas y el valor de la empresa, desafía las estrategias regulatorias e incrementa la necesidad para establecer políticas y prácticas maduras que salvaguarden la información. Un CPO, como estratega de negocios y ejecutivo de administración de riesgos, debe mantener el control y la dirección en estas áreas. Esto ya no son preocupaciones “solo del área de TI”.  

Por qué la seguridad y la administración deben ir de la mano

Tanto para el CFO como para el consejo directivo, estar a la vanguardia se ha vuelto esencial en lo que se refiere a enfoques proactivos de seguridad dentro de las organizaciones modernas. Aunque existen formas en las que el personal de seguridad puede mitigar el daño provocado por ataques frecuentes y sofisticados, ellos no controlan el presupuesto.

Hay detractores que aseguran que el costo de una seguridad adecuada es mayor que la recuperación de una intrusión; sin embargo, este no es un enfoque responsable o sustentable. Toda evidencia indica que las intrusiones y los ataques se volverán más frecuentes, persistentes y sofisticados; por lo tanto, los costos de reaccionar ante éstos continuarán incrementándose. Las marcas, los empleos y la cotización del precio de las acciones están en riesgo.

Más allá de solo generar ingresos o asegurar el éxito financiero de una empresa, estar a cargo de la administración también significa cuidar y proteger los intereses de la compañía a largo plazo. Sin embargo, cuando se trata de seguridad, la administración tradicional de la empresa no siempre está equipada con las perspectivas, habilidades o conocimientos necesarios. Como resultado, y con cierta frecuencia, la seguridad termina siendo percibida como un costo, en vez de un elemento esencial de la administración de riesgos.

Pero si la administración realmente trata de proteger y supervisar los recursos de la empresa –tanto tangibles como intangibles– entonces los recursos más importantes son la información, la propiedad intelectual, la reputación, así como la confianza y lealtad de los clientes. Por lo tanto, la seguridad necesita ser un pilar central de esa administración, ya que una seguridad deficiente puede perjudicar o destruir todos esos activos y, en su lugar, generar una pérdida del valor a través de una volatilidad innecesaria. Por ello, es de vital importancia que, tanto los directores, como los miembros del consejo y los ejecutivos de una empresa, conozcan su responsabilidad en garantizar la seguridad de la información, y proteger los sistemas y la propiedad intelectual de los accionistas.

Los riesgos no se eliminan

No podemos eliminar totalmente los riesgos; están implícitos en todo lo que hacemos. Debido al bajo costo que representa para los cibercriminales provocar una intrusión, la dificultad para localizarlos y enjuiciarlos, y lo lucrativo que resultan las recompensas que generan las intrusiones exitosas, es seguro afirmar que siempre habrá ataques para robar información.

El hecho de que no podamos eliminar los riesgos, no quiere decir que no podamos manejarlos. Esto siempre ha sido una función clave del consejo: evaluar los riesgos y llevar a cabo las acciones apropiadas para administrarlos y, al mismo tiempo, considerar el impacto en toda la empresa. La seguridad no es diferente. Los departamentos de TI deben considerar qué tipo de innovaciones pueden aplicarse para proteger la organización, mientras que el consejo prioriza y determina cuáles recursos de la empresa deben estar accesibles y por quién, para que, de esta forma, el departamento de TI pueda poner en práctica las acciones correspondientes.

En conjunto con el director de seguridad de la información (CISO, por sus siglas en inglés) y con el resto de los altos ejecutivos, el consejo debe considerar y administrar, proactivamente, la seguridad frente a diversos factores como el costo, el desempeño, la agilidad, la colocación de recursos (incluyendo el personal), la autonomía y habilitación, las iniciativas estratégicas, los proyectos, la planeación y la comercialización.

Fuera de las áreas de TI y RH, dentro de la sala de juntas

El consejo y los ejecutivos senior pueden realizar una importante contribución en las áreas de gestión de las políticas y de la información, en cuanto a seguridad de la empresa se refiere. Los departamentos de TI bien financiados y facultados pueden hacerse cargo de todos los detalles técnicos. Recursos Humanos (y otros empleados de planta) pueden centrarse en las políticas y procedimientos, mientras que los altos ejecutivos toman las decisiones relacionadas con las políticas y enfoques de seguridad de la información.

Este cambio fundamental en el enfoque de la ciberseguridad no solo mantendrá a los “chicos buenos” un paso adelante, sino también garantizará que las empresas respondan rápida y apropiadamente cuando ocurra una intrusión. Y como ya nos ha enseñado la historia reciente, no es un asunto de “si pasará” sino de “cuándo” pasará.

Eduardo Zamora es director general de Fortinet México.

Próximos pasos

Más sobre seguridad:

Desafíos de ciberseguridad en el sector financiero

Preocupados por las vulnerabilidades móviles, los CIO añaden capas de seguridad

Cómo lograr que TI y finanzas concuerden en los modelos de gobernanza

Este artículo se actualizó por última vez en enero 2017

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close