Incertidumbre as Usual
Cada salto evolutivo que experimenta la tecnología supone, al mismo tiempo, un campo tanto de oportunidades como de nuevos riesgos. De hecho, como expresan los expertos de S21Sec, “las consecuencias en materia de seguridad de tecnologías como la IA o la computación cuántica abren nuevas brechas en los sistemas de las empresas, que suelen traducirse en pérdidas millonarias e impactos no deseados en su reputación”. Es por ello por lo que, cada vez más, los expertos lo tienen claro: el papel del CFO en la ciberseguridad es vital.
Para Carlos González Viela, Key Account Manager de S21SEC, los riesgos son resultado de algo tan necesario en las compañías como la transformación digital.
Son muchos los ejemplos de ataques recientes: Euskaltel, Telepizza, el Hospital Clinic de Barcelona…
Más si cabe después de lo vivido con la COVID-19, con cada vez más trabajo en remoto e híbrido. “Todos hemos visto estos últimos años cómo el volumen de amenazas se ha incrementado muchísimo. En paralelo, lo ha hecho la preocupación de las compañías por hacerles frente. Y son muchos los ejemplos de ataques recientes: Euskaltel, Telepizza, el Hospital Clinic de Barcelona…”.
Video Resumen Mesa S21Sec – 5 Congreso Internacional de CFOs APD
This is «Video Resumen Mesa S21Sec – 5 Congreso Internacional de CFOs APD» by APD on Vimeo, the home for high quality videos and the people who love them.
En relación al papel del CFO en la ciberseguridad, el directivo de S21SEC subraya la importancia de que los responsables de las finanzas interioricen que “quienes infringen estos delitos normalmente son cibercriminales con una gran infraestructura detrás, pero también hay pequeños delincuentes”. A veces, incluso “los ataques son internos y perpetrados por empleados descontentos con la organización en cuestión”.
Es importante remarcar, en este sentido, que los estados no se quedan parados ante esta problemática. Un ejemplo que aporta el experto a esta afirmación es que desde la UE se está intentando avanzar mucho en materia de ciberseguridad. Por ello, “hay una nueva directiva aplicada desde hace unos meses, la NIS2. Se trata de una normativa que va acompañada de un paquete de sanciones similares a las de la Ley de Protección de Datos, lo que significa que estas pueden llegar hasta los 10 millones de euros o al 2% de la facturación global de las compañías”.
Hace 10 años el CFO era el tesorero, pero hoy en día es puro dato. Tiene que anticiparse, planificar lo que pueda pasar en cuanto a riesgos
Por su parte, la Directora Ejecutiva de Finbox, Naiara Pineda, arroja luz sobre el papel del CFO en la ciberseguridad destacando que «hace 10 años el CFO era el tesorero, pero hoy en día es puro dato. Tiene que anticiparse, planificar lo que pueda pasar en cuanto a riesgos, adaptarse al sector y, sobre todo, ser accesible. Tiene que tener claro lo que puede pasar en la empresa, cómo mitigar esos riesgos y lógicamente, uno de los mayores riesgos hoy es la ciberseguridad”.
Eso sí, subraya que la responsabilidad ha de ser conjunta. “No puede ser que solo el CFO se preocupe por lo que a todas luces es un riesgo financiero. Lo que funciona son las relaciones entre los CTOs y los CFOs; ese es el punto de valor”. Asimismo, Pineda considera que la formación es vital, pues “fortalecer la ciberseguridad de una compañía exige responsabilidad desde dentro, desde el becario hasta el directivo deben saber qué hay que hacer. Aunque para ello, lógicamente, tenemos que apoyarnos en gente externa como puede ser S21SEC”, agrega.
Pero, ¿es igual el ciberriesgo en una empresa 100% virtual? En opinión del Director Financiero de Fotoprix, Kiko García, en este tipo de compañías «los riesgos se multiplican y el papel del CFO en la ciberseguridad se vuelve todavía más complejo si cabe. El ataque puede proceder de puntos tan variados como una tienda en cualquier punto geográfico o a través de la web por un cliente”.
Es por ello por lo que, desde su punto de vista, es vital basar la política de ciberseguridad en dos pilares: por un lado, “concienciar a los empleados de que todos debemos asumir el riesgo que existe”. Y por otro, añade García, “apostar por la formación continua para que todos cumplamos los protocolos marcados; desde el último empleado de una tienda hasta el principal directivo”. “En nuestro caso, no tenemos información sensible de los clientes, pero sí archivos comprometidos como son las fotografías. El daño reputacional si alguien las roba sería terrible. Entonces, tenemos claro que es un tema vital y que una mala gestión afecta a toda la organización”, explica.
En una empresa 100% virtual, los riesgos se multiplican y el papel del CFO en la ciberseguridad se vuelve todavía más complejo si cabe
En cuanto a una empresa del mundo físico como es Edison Next, Martha Senra Senra, Directora Digital de la compañía en España, aclara que las medidas de protección que debe implantar dependen de la tipología del proyecto: “al final nuestra misión es implantar una serie de tecnologías dentro de la casa del cliente en pro de la transición ecológica; es decir, conseguir menos recursos y disminuir su huella hídrica y su huella de carbono. Eso implica mucha variabilidad y situaciones muy diversas”, comenta Senra.
Así, para poder definir y generar medidas que refuerzan la ciberseguridad, “lo fundamental es realizar un análisis sobre qué vas a implantar, las condiciones del usuario, y la criticidad. No pueden ser las mismas cuando instalas, por ejemplo, una planta de producción de biogás en donde tienes unos tanques enormes que si explotan pueden afectar a la vida de las personas de la fábrica, que una planta fotovoltaica en la que el mayor riesgo es que se pare la planta, pero el cliente puede seguir su producción y solo sufre una factura de la luz más alta”, incide la directora digital de EDISON España.
A su modo de ver, en tal análisis resulta muy importante el papel del CFO en la ciberseguridad, “pues ayuda a dimensionar realmente el riesgo de que pase algo, y con ello se determinan las medidas a implantar en cada caso”.
Normalmente hay cuatro que son base. En palabras de Senra, “concienciar de que existe el riesgo como parte de la cultura de nuestro día a día es clave”. Además, existen otras medidas más de campo, como controlar quién accede mediante los sistemas de 0 confianza. “Esto implica no fiarse de nadie y vigilar a todas las personas que acceden para comprobar cómo trabaja en el sistema”, expone. Y por otro lado, la directiva especifica que “también trabajamos mucho con planes de recuperación, por si algo pasa, asegurarnos de que podemos poner en marcha todos los equipos del cliente en el menor tiempo posible”.
Resulta muy importante el papel del CFO en la ciberseguridad, pues ayuda a dimensionar realmente el riesgo de que pase algo
Con todo lo anterior, no cabe duda de que la clave es la concienciación, pero también, tal y como aseguran los expertos de S21Sec, «la comprensión de la necesidad de incorporar la ciberseguridad desde el inicio (secure by design) como un pilar que dará mayor lugar una digitalización segura y sostenible”.