Edgar Matamoros, IT Services Solutions Manager en Ricoh Latin America.
Según expone en una columna Edgar Matamoros, IT Services Solutions Manager en Ricoh Latin America, actualmente, en esta era digital, la seguridad de los datos críticos para los negocios no solamente incumbe al equipo de Tecnología. Una violación o explotación de una brecha de vulnerabilidad tiene un impacto que abarca a todas las áreas de la organización, así, lo que en el pasado podía considerarse en un reto y responsabilidad de TI, el presente nos demuestra que puede convertirse en la pesadilla de toda la organización. Es bajo estos cada día más frecuentes escenarios donde agregar perspectiva y experiencia financiera al esfuerzo de la empresa refuerza y afina la protección y capacidad de respuesta.
“Una seguridad informática mal manejada es materia de riesgo financiero, afectando el éxito o inclusive la sobrevivencia de la compañía ya que una brecha de datos puede traer altos costos derivados de un impacto a la continuidad de la operación, pérdida de información, penalizaciones por manejo inadecuado, servicios profesionales para la remediación y consecuencias de largo plazo como afectar la relación con los clientes y la reputación de la empresa, convirtiéndose así -inevitablemente- en una responsabilidad que está requiriendo la participación de los directores de finanzas de América Latina”, explica Matamoros.
“Un rápido ejemplo, ahora CFOs gestionan consecuencias financieras y supervisan relaciones con los inversores después de una fuga de datos. Un estudio reciente realizado por Ponemon Institute reveló que los precios de las acciones de una empresa caen en un promedio del 5 por ciento después de una violación de ciberseguridad”, agrega.
“Un CFO que no participa en la definición y seguimiento de las estrategias de prevención y protección puede ser considerado ya una vulnerabilidad”, asegura el IT Services Solutions Manager en Ricoh Latin America, y destaca 10 actividades con las que el CFO (y la realidad es que todo nivel C) robustece la postura de seguridad informática:
1) Involucrarse en el entendimiento de las posibilidades de la seguridad informática: Como CFO es importante entender de manera general los principios y alcances de la tecnología en esta materia. Deben aprovechar el conocimiento tecnológico aprendido circunstancialmente en estas décadas de interacción computacional. También es clave permitir al CIO explicar y compartir interesante información al respecto para conocer su actual estrategia de seguridad informática, cuáles son los dispositivos y servicios profesionales de seguridad con los que se cuentan, a cuánto asciende la inversión anual.
2) Diagramar con el CIO la forma cómo la organización general almacena, modifica y elimina datos: Sea privada, confidencial, comercial, legal o financiera; entender, dónde se genera, cómo se transporta, dónde se almacena, dónde y cada cuándo se respalda, cuántas copias fuera de sitio existen, cómo se verifica que no haya sido modificada o manipulada sin autorización y todas las preguntas lógicas que desde el ángulo C puedan resultar e incluyan cómo se gestionan los archivos en papel o, ¿los miembros del equipo financiero dejan documentos confidenciales desatendidos en sus escritorios?, ¿Extienden archivos en papel en varias ubicaciones, como diferentes oficinas o instalaciones de procesamiento?
3) Implementar tecnología de automatización financiera: Los equipos financieros a menudo se basan en procesos manuales en papel. Sin embargo, esto puede comprometer su seguridad. Según el CFO Sentiment Study 2018, más del 50 por ciento de los CFO planean aumentar su inversión en tecnología de automatización financiera este año. A través de este tipo de soluciones, pueden almacenar todos sus archivos en un sistema central y seguro. Además, reduce la dependencia de documentos que pueden faltar y permite colocar controles de seguridad alrededor de sus documentos. Mantener todos los datos financieros en un único repositorio también facilita que los empleados encuentren información. Además, brinda visibilidad bajo demanda, lo que ayuda a tomar decisiones informadas y mantener auditorías detalladas.
4) Identificar al recurso humano que tiene acceso a esta información: Dentro del campo del CFO se recomienda revisar los procesos financieros e identificar los cuellos de botella y usuarios relacionados que pueden ponerlo en riesgo. Por ejemplo, ¿sus procesos cuentas por pagar dependen de un gran volumen de puntos de contacto? Cuantos más pasos y personas participen en un proceso, mayor será la probabilidad de errores y filtraciones de datos. Obtener control sobre quién accede a los datos: La tecnología de administración de derechos digitales (DRM) permite crear políticas sobre quién puede y no puede acceder a los datos. Encripta los archivos para que solo los usuarios autorizados puedan acceder a ellos. También aplica políticas de seguridad en computadoras de escritorio, teléfonos inteligentes y otros dispositivos.
5) Repasar las bases: No olvidar que pequeños y simples detalles pueden hacer una gran diferencia. En la seguridad informática, muchos (la gran mayoría), de los ataques son generados a través de vulnerabilidades básicas, conocidas o que pudieron haber sido prevenidas solo con buenas prácticas y políticas como: uso de contraseñas robustas, cambio periódico de las mismas, asignación correcta de usuarios, restricción de instalación de aplicaciones, hardening a sistemas operativos y aplicaciones con puertos de conexión no necesarios cerrados, antivirus / antimalware y otras tantas que no requieren grandes presupuestos para implementarse.
6) Presupuesto: Es importante clasificar un presupuesto específico para el rubro de seguridad informática y acompañar su correcta aplicación e implementación ya que en ocasiones este apartado se mezcla con el presupuesto general de TI y las urgencias o eventos del negocio pueden recortarlo o postergarlo. Según Forreste, las organizaciones que invierten más en seguridad de TI experimentan 6.8 menos infracciones que otras. También ahorran más de $5 millones en costos de incumplimiento.
7) Auditar: La mayoría de los dispositivos y sistemas cuentan con una funcionalidad para ser monitoreados, el activar estos sistemas y verificar o automatizar la verificación de accesos, actividades y registros permite encontrar de manera simple el rastro de actividad maliciosa. El alcance tecnológico en este sentido es amplio, inclusive hay soluciones dentro de la industria donde sin importar los dispositivos la red de comunicaciones (carretera obligatoria) actúa como el sensor y detector de patrones de ataque ya conocidos o sospechoso.
8) Actuar de acuerdo a cálculos de riesgo y perdida financiera: Es importante que un recurso con experiencia en la elaboración de ejercicios de riesgo y retornos de inversión pueda comparar con sólidas bases las probabilidades y alcances de posibles impactos versus el costo de la prevención de los mismos, así como las decisiones y prioridades de acciones antes, durante y después de un ataque.
9) Involucrar a un socio tecnológico con experiencia al análisis de la situación actual y diseño de las estrategias y soluciones de prevención, contención y remediación. Sin duda, en este proceso de aumentar la seguridad de la información, resulta clave para los CFO’s encontrar un socio de negocio con una gran trayectoria en el asesoramiento en temas de digitalización y seguridad. En este punto, RICOH Advanced Services puede ayudar a cualquier organización a crear soluciones de flujo de trabajo y contenido altamente eficientes que aseguren que los empleados obtengan la información que necesitan cuando la necesitan, todo mientras mantienen su información y su organización seguras. Por otro lado, los expertos de RICOH también pueden ayudar a automatizar, optimizar y asegurar el correcto cuidado de la información dentro de los procesos vitales de negocio.
10) Compartir la responsabilidad y el beneficio: Crear campañas para distribuir y explicar las políticas, el objetivo es crear conciencia, saber la importancia de encontrarnos permanentemente protegidos, considerar que nuestros colaboradores y su información personal son también blanco del cibercrimen. Hay que beneficiarlos con estos esfuerzos e inversiones y construir en conjunto un entorno más seguro.
