Cada CISO o encargado de la seguridad de la información de una empresa es consciente de que el panorama de las ciberamenazas resulta cada vez más sofisticado, por lo que mantener protegida su organización se convierte en una misión que aparentemente parece no tener fin. Casi el 90 % de las organizaciones ha sufrido una brecha de datos en los últimos tres años, viendo además cómo han ido en aumento fenómenos como las amenazas internas, el phishing y los ataques de vulneración de correo electrónico de empresas (BEC).
A medida que han ido ganando terreno los ciberataques a gran escala y que han salido a la luz casos en los que marcas o empresas reconocidas han caído víctimas de estos incidentes, la seguridad ha adquirido importancia entre los miembros directivos de organizaciones no como una meta, sino como un destino en sí misma.
Ser conscientes del problema y asignar los recursos adecuados para poder solucionarlo son, sin embargo, dos cuestiones completamente diferentes, sobre todo teniendo en cuenta las restricciones económicas a las que se enfrentan muchas empresas ante la situación actual provocada por la pandemia de la Covid-19. En estos momentos es más difícil que nunca para el CISO tratar de convencer al resto de la junta directiva, especialmente al CFO o responsable financiero, de la necesidad de invertir en ciberseguridad para que la organización esté protegida frente a amenazas en constante evolución. Aprender el lenguaje en el que se desenvuelve el CFO puede ayudar al CISO a mejorar la partida presupuestaria con la que cumplir sus objetivos en ciberseguridad, pero ¿cómo hacer que esto sea posible?
Conociendo la figura del CFO
Un primer paso sería entender todo lo que rodea a la figura del director financiero de una organización. Dada su naturaleza, los CFO están centrados en el rendimiento económico de la empresa y, por este motivo, han de proteger sus activos e impulsar su rentabilidad para garantizar el éxito táctico y estratégico de la misma. A veces se erigen como la mano derecha del CEO, protegiendo y construyendo la capacidad de la compañía para crear valor y aumentar los ingresos.
Los responsables financieros de una organización no suelen dedicar mucho tiempo al cumplimiento de requisitos en seguridad. Aun así, reconocen que el coste de un incidente de este tipo puede llegar a ser devastador, de ahí que, al igual que el 85 % de los miembros directivos de empresas, vean como prioridad esencial minimizar cualquier riesgo de una posible brecha de datos. Por poner un ejemplo, los ataques BEC o Business Email Compromise se han convertido rápidamente en uno de los delitos más perjudiciales desde el punto de vista financiero y, según estimaciones recientes por parte del FBI, han ocasionado pérdidas que ascienden a 26.500 millones de dólares en los últimos tres años.
Pese a que está ya comprobado el riesgo económico de estos ataques, las organizaciones no cuentan con unos presupuestos ilimitados, por lo que los directores financieros deben ser cuidadosos a la hora de emplear recursos para hacer frente a los diversos riesgos en ciberseguridad y cumplimiento.
El diálogo interno del CFO
Cada vez que se les presenta una nueva petición de inversión los CFO siguen un determinado esquema mental con ciertas formalidades. Para conocer un poco más de cerca cuál es su pensamiento al respecto, hemos contado con la ayuda de un director financiero a fin de que nos guíe por su “diálogo interno” de cara a una posible reunión con el CISO o la persona responsable de la seguridad de la información en su empresa:
- ¿Qué riesgo se está abordando? ¿Cuál es la magnitud del mismo en comparación con los ingresos de la compañía?
- ¿Cuál es el coste de esta solución en comparación con el impacto que pueda tener una brecha de seguridad en un periodo de tres a cinco años?
- ¿Qué capacidades tenemos ya en este ámbito y cuál es su efectividad? ¿Qué aportaría de nuevo esta solución respecto a la que ya tenemos?
- ¿Por qué necesitamos esta solución y no otra?
- ¿Podemos consolidar a los proveedores para mayor simplicidad y apalancamiento financiero?
Por parte del CISO, se espera que conozca y sepa reaccionar ante estas cuestiones que puede plantear el CFO en cualquier momento durante un hipotético encuentro entre ambos.
Inversiones en ciberseguridad
Para el CFO su prioridad está en dirigir tácticamente la organización, por lo que, antes de entrar a hablar sobre nuevas inversiones, conviene alinear los objetivos en ciberseguridad y la propuesta presupuestaria que vaya a hacerse con una visión más amplia que contemple asimismo las metas de negocio y cumplimiento más generales. A través de los siguientes pasos, el CISO puede ganar en convicción ante su interlocutor de cara a una posible inversión:
- Subrayar la falta de control ante un determinado problema.
Un primer paso para argumentar adecuadamente la necesidad de invertir en ciberseguridad es que la problemática quede definida de forma clara y sucinta. Habría que empezar por explicar que existe una falta de control ante un determinado asunto en términos no demasiado técnicos. Describir cómo se ha observado, por ejemplo, que los sistemas de la compañía permiten la entrada de ciertos tipos de correos electrónicos maliciosos o cómo la organización no es capaz de rastrear sus datos más críticos en constante movimiento entre plataformas cloud pertenecientes a terceros.
También puede resultar interesante hacer una comparativa con otras empresas en cuanto a su manera de abordar el mismo problema. Esto daría visibilidad al CFO acerca de lo que puede ser asumible por la organización en caso de que ocurra un incidente de seguridad.
- Cuantificar los niveles de riesgo y de impacto asociados.
Sobre esa falta de control detectada, habría que poner de manifiesto qué consecuencias tendría para la organización si se produjese un ataque, siguiendo para ello los modelos de riesgo ya existentes en la empresa.
Se trata de hablar con claridad de las pérdidas potenciales que habría como resultado de esa brecha de seguridad, así como de la probabilidad de encontrarse en dicho escenario. Para visualizarlo mejor, se puede utilizar un gráfico en el que aparezca el valor en riesgo, incluyendo referencias a las pérdidas en porcentajes sobre los ingresos anuales de la compañía, junto con posibles multas reglamentarias y costes adicionales a futuro.
En la presentación convendría reflejar además casos recientes que hayan salido en los medios de comunicación en los que una organización haya sufrido pérdidas económicas por ataques de ransomware, amenazas internas o fraudes por correo electrónico.
- Describir la solución.
Siguiendo con la premisa de emplear un lenguaje lo menos técnico posible, el siguiente paso sería describir la solución objeto de esa petición de presupuesto. Habría que explicar por qué esta permitirá abordar los riesgos detectados en lugar de los controles ya existentes en la compañía.
En dicha propuesta deberían incluirse también otras alternativas para que el CFO disponga de cierta flexibilidad, aunque la solución presentada se considere como la más adecuada. Asimismo, podrían destacarse las oportunidades que ofrece dicha inversión en ciberseguridad, como ahorros, simplificación de tecnologías o impulso de la eficiencia a través de la automatización.
- Destacar el valor de la inversión.
Por último, debería asegurarse de que la propuesta cubre cualquier problemática asociada a un coste específico. Los CFOs reconocen que no es fácil crear un retorno de la inversión en seguridad. No obstante, debería demostrarse la relación calidad-precio al invertir en dicha solución y cómo esta acción conllevaría un ahorro generalizado. El siguiente esquema puede servir de ayuda:
- ¿Cuál es el coste del producto y qué otros gastos van asociados a este cambio? Aquí iría cualquier posible ahorro que se pueda conseguir por automatización o consolidación, entre otros, así como los detalles del coste de su aplicación, incluyendo la capacitación, los gastos del proyecto, etc.
- ¿Cuánto costaría esta solución respecto a lo que supondría económicamente para la empresa los riesgos que evitaría? ¿Cómo sería la comparativa entre el coste total con el valor en riesgo durante un periodo de tres a cinco años? Este sería uno de los datos cruciales que necesitaría comprender el CFO ante la propuesta de inversión en ciberseguridad.
No hay que olvidar que es imprescindible respetar los tiempos. Si hay una persona en la organización igual de ocupada que el CISO, esa es el CFO, al margen de que aspectos como la ciberseguridad y el cumplimiento normativo no estén muy presentes en su agenda del día a día. Por esta razón, si el presupuesto a presentar es lo más conciso posible, será un signo de que se entienden los pormenores cotidianos de dicho cargo y, además, ayudará a la comprensión de la propuesta.
Mayor acercamiento al nivel ejecutivo en la prensa
A menudo, la autoridad que se asigna a los CISO es menor que la de otros ejecutivos en la organización, como los directores financieros, comerciales o de operaciones. Pero esto es algo que tiene que cambiar si se quieren afrontar con seriedad los retos en seguridad que acechan a una economía cada vez más digital.
Para lograrlo, los responsables de seguridad deben mejorar sus relaciones con otros directivos y demostrar su predisposición no solo para proteger el negocio, sino también para que este tenga su continuidad operativa. Conocer más a sus compañeros de la junta directiva, así como entender las reglas y códigos que siguen, pueden ayudarle a evolucionar en este sentido.
En la actualidad se considera al CFO como uno de los directivos más influyentes de una empresa, por detrás evidentemente de quien ocupe la dirección general, de ahí que sea importante invertir tiempo y esfuerzo para que, a la hora de presentar una oportunidad de inversión en ciberseguridad, se tenga el mayor éxito posible, consiguiendo al mismo tiempo a un importante aliado para futuros encuentros con el resto de la directiva.
Andrew Rose
CISO interno de Proofpoint en la región de EMEA