Los directores financieros desempeñan un rol clave en la protección de datos. Conozca las mejores prácticas para fortalecer la ciberseguridad.
Otros Artículos de Interés:
- ¿Lucha a ciegas contra el fraude? El papel de la IA en la detección en tiempo real
- Agente IA – Lo que los directivos empresariales deben saber de esta herramienta de IA
- Señales de Alerta en la Vinculación de Proveedores: Un Mecanismo Clave para la Prevención de Riesgos en el Compliance Corporativo
- Resolución 000204 del 03 de abril de 2025: DIAN define los términos técnicos y plazos para la presentación de información exógena cambiaria.
- Abril 2025 – Boletín Tributario y Legal Alfredo López
Los líderes financieros deben proteger activamente los datos valiosos implementando las mejores prácticas clave para mejorar su eficacia.
A la hora de proteger los datos de los ataques de ciberseguridad, las organizaciones deben recordar que no todos los datos son iguales. Las empresas deben priorizar la protección de sus activos de información más valiosos, y los directores financieros están obligados a colaborar con los líderes sénior en ciberseguridad para garantizar que esto suceda.
En la identificación de la protección adecuada de los activos de datos, los directores financieros deberían colaborar con sus organizaciones de datos para identificar el valor de los activos de datos más valiosos, en función del valor de los activos de datos y su sensibilidad, se deben implementar controles adecuados de seguridad de datos.
¿Dónde está el valor?
Lo que constituye información “valiosa” puede variar según la organización. Sin embargo, ciertos tipos de información son prioritarios para casi todas las empresas, esto incluye cualquier información personal relacionada con clientes y empleados, datos sobre transacciones de clientes, datos operativos, propiedad intelectual y secretos comerciales, planos de productos y datos financieros, incluida información presupuestaria y de pronósticos, por nombrar algunos.
Los activos de datos más valiosos para una empresa pueden variar según el tipo de sector vertical en el que opera, por ejemplo una empresa del sector salud probablemente se centrará en la información personal de salud, mientras que una del sector minorista podría preocuparse más por proteger la información de las tarjetas de crédito, en general, la mayoría de las empresas obligadas a responder a auditorías regulatorias se centrarán principalmente en los datos en los que se centra la regulación.
La única consistencia entre todas estas formas de datos es que cada una es atractiva para los cibercriminales que son cada vez más capaces de atacar recursos de datos valiosos dentro de las organizaciones y cada vez más hábiles para obtener datos valiosos al refinar sus tácticas y explotar vulnerabilidades tanto tecnológicas como humanas
Emplean técnicas sofisticadas como el phishing y la ingeniería social para engañar a las personas y lograr que revelen información confidencial o accedan a enlaces maliciosos, los ataques de ransomware, en particular, han evolucionado para volverse más frecuentes y selectivos, tienden a ir directos a por los datos más valiosos, algunos atacan casi al instante, mientras que otros acechan el momento oportuno para atacar. Un ciberdelincuente podría acceder a un correo electrónico o a una red, pero esperar días, semanas o incluso meses hasta que se presente la oportunidad de robar la información más valiosa.
Los delincuentes cibernéticos monitorearán una bandeja de entrada de correo electrónico, ignorarán los correos electrónicos de bajo valor sobre reuniones o planes de almuerzo y atacarán cuando vean la información bancaria de un cliente.
Los atacantes utilizan información disponible públicamente, como publicaciones en redes sociales y comunicados de prensa, para crear campañas de phishing o spear phishing altamente dirigidas.
Pero las tácticas no necesitan ser avanzadas para tener éxito. Los ciberdelincuentes utilizan estrategias de phishing sofisticadas, y también poco sofisticadas, y ataques de ransomware dirigidos a organizaciones más pequeñas que podrían no contar con defensas robustas.
Consejos para directores financieros.
Los líderes financieros de cualquier organización deben participar activamente en la protección de datos valiosos. Existen varias prácticas recomendadas que pueden seguir para ser más eficaces.
En primer lugar, deben trabajar en estrecha colaboración con otros ejecutivos de alto nivel, como el CIO o el vicepresidente de TI, u otro líder de seguridad, el equipo legal, el director de privacidad, el director de datos y otros para determinar qué activos de datos necesitan protección adicional y las mejores formas de avanzar.
Estos comités deberían dictar las necesidades regulatorias y de ciberseguridad de la organización, deberían dictar la gestión del acceso a los datos y las necesidades de almacenamiento, añadió, y los CTO deberían dictar la arquitectura técnica de las organizaciones.
Un paso fundamental que los directores financieros pueden dar para identificar y proteger datos valiosos es comprender primero los diferentes niveles de complejidad de la clasificación de datos, los activos de datos sensibles, como tarjetas de crédito, números de la seguridad social, direcciones de correo electrónico, etc., suelen ser fáciles de identificar, mientras que los tipos de datos como la propiedad intelectual o la información financiera prospectiva son más complejos.
Cuanto más difícil sea encontrar y clasificar los datos, mayor será el riesgo de que se compartan accidentalmente con el exterior, abordar este riesgo suele requerir la creación de una metodología de etiquetado específica para cada organización que contemple los tipos de datos más valiosos de la empresa como parte de una estrategia de ciberseguridad más amplia; Un director financiero alineado con esta estrategia puede contribuir a garantizar su adopción y precisión en la organización
Una organización debe comprender plenamente el tipo de datos, su valor, dónde se almacenan o comparten y si alguno de ellos está sujeto a regulaciones, la mejor manera de lograrlo es realizar auditorías de datos periódicas con varios departamentos para garantizar que se comprenda el alcance completo de los datos, esta auditoría ayudará a la organización a determinar cómo se recopilan, utilizan y almacenan los datos, e identificar los riesgos que se pueden abordar.
Las empresas pueden implementar herramientas de clasificación de datos y evaluación de riesgos para catalogar y priorizar la información confidencial, garantizando así la protección prioritaria de los activos críticos, también pueden presupuestar soluciones de ciberseguridad como el cifrado de datos y la autenticación multifactor.
Otra práctica consiste en promover la comunicación a nivel de toda la empresa sobre incidentes de seguridad. Algunas organizaciones cuentan con una dirección de correo electrónico específica donde todos los empleados pueden enviar actualizaciones rápidamente a toda la empresa. Se usa esta dirección para informar a todos cuando alguien identifica un intento de phishing por correo electrónico o cualquier cosa sospechosa.
Capacitar a los empleados para identificar correos electrónicos sospechosos y otras tácticas para acceder a datos es otra buena idea, asegurarse de que su personal esté bien capacitado es una estrategia clave para proteger la información confidencial. “Los ciberdelincuentes suelen aprovecharse de las debilidades humanas mediante tácticas como el phishing y la ingeniería social. Realizar simulacros con asesores legales externos puede ayudar a preparar al equipo para responder eficazmente a posibles infracciones, garantizando que todos conozcan su función y responsabilidades en caso de un incidente cibernético.
La mayoría de los eventos cibernéticos se deben a errores humanos, y muchas empresas atribuyen la falta de concienciación de los empleados como un factor clave en el aumento del riesgo cibernético, al ofrecer un sólido programa de capacitación sobre concientización sobre ciberseguridad para los empleados, una empresa puede establecer un ‘cortafuegos humano’ que luche en primera línea contra los ciberdelincuentes.
Algunas empresas envían regularmente correos electrónicos de prueba a todo el personal para ver qué hacen. “Si alguien hace clic en el correo electrónico de phishing de prueba, explicamos por qué lo hizo y qué debe tener en cuenta la próxima vez”
Finalmente, las empresas deberían considerar contratar expertos externos.
