Linkedin
Facebook
Email
moreDarren Booth, National Head of Security and Privacy Risk Services, RSM Australia
El arte esencial de articular los problemas de seguridad en lenguaje empresarial.
Los líderes empresariales que no están pensando en la ciberseguridad como un riesgo comercial clave podrían estar preparando a sus organizaciones para sufrir las consecuencias potencialmente devastadoras de un ciberataque.
Dado que tanto el error humano como los actores maliciosos representan una amenaza significativa para la seguridad de la información crítica para el negocio, es esencial que las organizaciones establezcan y apliquen una cultura de seguridad cibernética. Esto puede ayudar a minimizar las posibilidades de que un ataque tenga éxito, así como a mitigar los efectos de un ataque exitoso.
Según un estudio de Frost and Sullivan de 2018 encargado por Microsoft, el costo de un ataque cibernético a una organización de gran tamaño (más de 500 empleados) en Australia podría sumar una pérdida económica de $45.9 millones si se produce una violación. Los efectos de un ciberataque exitoso pueden incluir interrupción del negocio, pérdidas de información e ingresos, pérdidas de productividad y daños a los equipos.[1]
El costo intangible de un ciberataque es el daño causado a la reputación de una empresa. Dado que la información personal es un objetivo clave para los ciberdelincuentes, los clientes tienden a perder la fe en las empresas que no pueden mantener seguros sus datos personales y financieros.
La seguridad puede verse comprometida cuando los líderes empresariales senior no comprenden completamente el alcance y la gravedad del riesgo que enfrenta la empresa. A menudo, los ejecutivos y los miembros de la junta están mal informados acerca de los problemas relacionados con la seguridad, creyendo que son competencia del departamento de TI. Incluso las organizaciones lo suficientemente inteligentes como para tener un jefe de seguridad de la información generalmente dejan los asuntos relacionados con la seguridad a esas personas y se interesan solo si la empresa sufre una violación.
Si los CEO y CFO realmente entendieran la magnitud del riesgo de seguridad que enfrentan, junto con el potencial para que todos en el negocio contribuyan a una organización más segura, probablemente se convertirían en defensores entusiastas de la asignación de más recursos a la seguridad.
La comunicación efectiva es la única forma de lograr este objetivo. Los CISO no pueden convencer a los líderes empresariales mediante el uso de términos técnicos y jerga. No es negociable que los líderes tecnológicos articulen los problemas de seguridad a los líderes empresariales utilizando el lenguaje de los negocios. Los CEO y CFO entienden el riesgo comercial; no necesariamente entienden (o no les importan) las métricas de tráfico y la información del registro de eventos.
LAS FUNCIONES FINANCIERAS SON A MENUDO EL PRIMER OBJETIVO A ATACAR PORQUE PUEDEN SER MUY LUCRATIVAS PARA LOS CIBERCRIMINALES.
Por lo tanto, los directores financieros deben ser completamente conscientes de los elementos de seguridad de todos los sistemas y plataformas financieras. Esto incluye la gestión de identidad y acceso, controlar el acceso a las aplicaciones, reparar vulnerabilidades y recordar al personal los riesgos de los ataques de ingeniería social.
Dejar estos problemas relacionados con la seguridad únicamente en manos del departamento de TI aumenta el riesgo de un ataque exitoso. En cambio, los ejecutivos y los miembros de la junta deben convertirse en participantes proactivos en la batalla contra el delito cibernético, trabajando en asociación con los equipos de TI y seguridad para mantener la organización segura.
[1] staysmartonline.gov.au/sites/default/files/Cost%20of%20cybercrime_INFOGRAPHIC_WEB_published_08102015.pdf
Para más información
Si tiene alguna pregunta con respecto a la ciberseguridad para su negocio, comuníquese hoy con un especialista de RSM.
Este artículo apareció por primera vez en la revista Cyber Australia.