A veces hace falta un suceso desafortunado, iniciado por actores malintencionados, para que nos demos cuenta de que operamos bajo la mirada depredadora de los ladrones. Para mí, a pesar de años de experiencia en la identificación, mitigación y transferencia de riesgos, ese acontecimiento decisivo se produjo hace varias semanas, cuando encontré en mi bandeja de entrada un correo electrónico de uno de nuestros altos ejecutivos:
Sanjay, por favor transfiere $xxx,xxx.00 a ABC Consulting hoy. Factura adjunta.
Gracias, Maddie.
A primera vista, la solicitud parecía legítima. Conozco bien a Maddie y a la consultora en cuestión, y ni la naturaleza ni el importe de la solicitud eran extraordinarios. Sin embargo, cuando miré la factura, supe inmediatamente que algo iba mal.
Lo primero que hice fue ponerme en contacto con Maddie, a la manera anticuada, ineficiente y propia del siglo XX, llamando a la puerta de su despacho. ¿Me había enviado ella el correo electrónico? Maddie negó con la cabeza y mis sospechas se confirmaron. Su cuenta había sido pirateada.
Unos minutos después, nuestro jefe de informática había bloqueado el correo electrónico de Maddie. Eso frustró cualquier futura travesura y nos dio tiempo para preguntar e indagar:
¿Se habían enviado otros correos maliciosos desde la dirección de Maddie? No. Por suerte, detectamos la intrusión a tiempo.
¿Se había visto comprometido el correo electrónico de alguien más? De nuevo, la respuesta fue negativa.
Fue un alivio, pero no había tiempo para dormirse en los laureles. Se reunió el equipo de respuesta a incidentes, se notificó a la Junta y comenzó nuestra investigación.
En el mundo anterior a las TI, los fabricantes mantenían un «espacio aéreo» entre ellos y el mundo exterior. Hoy, sin embargo, dependemos de sistemas empresariales conectados por IP para crear y mantener una eficiencia competitiva. Dado el ritmo de la competencia y las realidades de los mercados impulsados por los consumidores, los fabricantes están presionando rápidamente para implantar sistemas, conectar los ciclos de vida de los productos, incorporar dispositivos móviles y construir una planta de producción conectada digitalmente utilizando, por ejemplo, el Internet de las cosas (IoT). Con toda esta creciente complejidad, no es de extrañar que los fabricantes sean objetivos atractivos para la ciberdelincuencia. La situación se agrava por el hecho de que la ciberdelincuencia suele ser de bajo riesgo, pero puede reportar enormes beneficios en efectivo, propiedad intelectual y otros tipos de datos personales y empresariales.
Cómo gestionar los riesgos financieros de la ciberdelincuencia
Como Director Financiero en 2020, tengo una lista de deberes y una amplitud de mandato que podrían desconcertar a mis homólogos de un siglo anterior. Mi trabajo, más allá de hacer números, consiste en impulsar la innovación y los análisis complejos en toda la organización. Y como la innovación está íntimamente ligada a la tecnología, también soy responsable de identificar, mitigar y transferir los riesgos de los sistemas informáticos que instalamos.
A pesar de mi estrecha relación con la tecnología, mi trabajo no consiste en imitar las habilidades del director de tecnología. Como cabría esperar, mi trabajo consiste en abordar la cuestión de la ciberdelincuencia desde una perspectiva financiera. Para ello, creo estrategias que me ayudan a identificar, analizar y transferir el riesgo financiero neto1 de la ciberseguridad, y a calcular la rentabilidad de nuestras inversiones en ciberseguridad. Desde el punto de vista de la fabricación, esto significa establecer un enfoque estratégico para gestionar los riesgos financieros de la ciberdelincuencia, e integrar esos riesgos en nuestro marco existente de gestión de riesgos.
Para ello se necesita un enfoque integrador y holístico. Los cortafuegos y los programas antivirus son importantes, pero los ciberdelincuentes están muy motivados y son técnicamente expertos. Ellos, como nosotros, buscan constantemente una ventaja competitiva. Confiar únicamente en la tecnología para el bienestar de su empresa es subestimar enormemente a sus atacantes. Así pues, la «solución» a la ciberseguridad es sólo parcialmente técnica. Existen riesgos y respuestas adecuadas en cada departamento de una empresa manufacturera y, para ser sólido, un enfoque estratégico debe incluir datos y observaciones de una amplia variedad de disciplinas.
Utilización del ERP como herramienta para gestionar la ciberdelincuencia
Como director financiero, confío en los datos como arma principal en la guerra contra la ciberdelincuencia. Para ello, reúno puntos de datos de nuestro ERP e información cualitativa de las principales partes interesadas de toda la empresa, incluidas las principales partes interesadas de TI, operaciones, reglamentación, recursos humanos, comunicaciones, cadena de suministro, servicio al cliente y jurídico. Es posible, incluso probable, que cada departamento tenga su propia perspectiva y necesidades, y pueda arrojar una valiosa luz sobre sus preocupaciones y vulnerabilidades particulares.
Aunque un ERP mal protegido puede presentar vulnerabilidades en sí mismo, es sin duda la herramienta más importante a disposición de un director financiero. Proporciona una visión global y granular de toda la organización y me permite recopilar datos sobre una amplia variedad de vulnerabilidades potenciales. También realiza una larga lista de funciones esenciales de ciberseguridad, como las copias de seguridad y el control de acceso de los usuarios. , por ejemplo, ofrece seguridad basada en funciones, lo que minimiza las posibilidades de que se cometan fechorías desde dentro.
Advertencias sobre la ciberdelincuencia
Sin embargo, hay tres advertencias que le ruego que tenga en cuenta.
ACTUALIZACIONES
FORMACIÓN DE LOS EMPLEADOS – Espero que esto se dé por supuesto. La formación regular de los usuarios no sólo es importante para la ciberseguridad, sino que también protegerá el ROI de su ERP, ayudando a prevenir los efectos paralizantes de la erosión de las aplicaciones.
ACTUALIZACIONES – Me doy cuenta de que he enumerado «actualizaciones» dos veces, pero las actualizaciones son tan importantes, y tan a menudo descuidadas, que creo que la repetición está justificada.
Sólo cotejando y analizando el espectro completo de datos, con la ayuda tanto del ERP como de un espectro completo de las principales partes interesadas, puede un director financiero empezar a evaluar el riesgo financiero neto de una empresa. Y sin ese cálculo inicial, o sin la suficiente confianza en ese cálculo, es probable que la mitigación y la transferencia del riesgo cibernético sean insuficientes o estén mal orientadas.
Principales estadísticas sobre ciberdelincuencia
Se prevé que el gasto mundial en ciberseguridad alcance los 133.700 millones de dólares en 2022. (Gartner)
El 62% de las empresas sufrieron ataques de phishing e ingeniería social en 2018. (Soluciones Cybint)
El 68% de los líderes empresariales considera que sus riesgos de ciberseguridad están aumentando. (Accenture)
Sólo el 5% de las carpetas de las empresas están debidamente protegidas, por término medio. (Varonis)
Las violaciones de datos expusieron 4.100 millones de registros en el primer semestre de 2019. (RiskBased)
El 71% de las infracciones tuvieron una motivación económica y el 25% fueron motivadas por el espionaje.(Verizon)
En el 52% de los casos se trató de piratería informática, en el 28% de malware y en el 32-33% de phishing o ingeniería social, respectivamente. (Verizon)
¿Busca un proveedor de servicios ERP Química para su empresa? Galdón Software puede ayudarle.