Los directores financieros (CFO) y sus equivalentes quedan fuera de las conversaciones sobre la gestión de riesgos y la protección de la ciberseguridad, aunque más de la mitad dice que sus organizaciones han experimentado ataques de ransomware.
Eso es según los nuevos datos recopilados a partir de cientos de entrevistas realizadas por Sapio Research y los especialistas en aprendizaje profundo Deep Instinct, que encontraron que solo el 12 % desempeñó un papel activo en la planificación de ataques de ransomware.
La exclusión de los líderes financieros parece estar dañando seriamente la confianza en la posición cibernética de su empresa. Una clara mayoría del 69 % dijo que cree que sus directorios no se toman los riesgos cibernéticos y relacionados con la suficiente seriedad, y solo el 14 % cree que su organización está bien preparada para un ataque cibernético, en comparación con el 63 % de los directores ejecutivos.
Según Deep Instinct, sus hallazgos revelaron una desconexión en la forma en que el liderazgo corporativo se comunica y colabora en el riesgo cibernético.
«Los ciberdelincuentes y las organizaciones suelen tener un objetivo común: una recompensa financiera, y todos los días, cuando un nuevo ataque de ransomware aparece en los titulares, una de las primeras preguntas entre los ejecutivos es: ‘¿Cuánto costará recuperar los datos?'», dijo Heather. Bellini, director financiero de Deep Instinct.
“Es crucial que las organizaciones tomen en serio el riesgo financiero de los ataques cibernéticos y se aseguren de que sea preciso, de lo contrario, pueden caer en la trampa de tener una falsa sensación de seguridad y ser indiferentes a los costos reales.
“Es por eso que es tan importante que todos los roles estratégicos y de alto nivel dentro de la organización tengan una responsabilidad activa e igualitaria para garantizar que su organización sea resiliente y esté bien preparada.
“Estamos hablando en la industria sobre romper los silos y hacer que la seguridad cibernética ya no sea responsabilidad exclusiva del equipo de TI, pero eso no se traduce en una acción significativa. Hasta que eso cambie, las organizaciones seguirán calculando el costo de las infracciones de seguridad y llenando los bolsillos de los ciberdelincuentes”.
El estudio identificó otra brecha entre las estimaciones de los directores financieros de las solicitudes de ransomware y la realidad de los pagos. Deep Instinct dijo que el 56% de los CFO que respondieron a su estudio informaron que sus organizaciones habían pagado un rescate para que les devolvieran sus datos, y un tercio no había recibido nada, con un pago promedio de £ 3 millones, pero los CFO tendían a esperar que pagaran un rescate promedio de solo £ 760,000. Cuando se pagó un rescate, el director financiero estuvo involucrado en la decisión final solo el 14 % de las veces.
Junto con el hecho de que poco más de un tercio de los encuestados pueden asignar un valor monetario a los datos de su organización, Deep Instinct enfatizó que esto subraya la necesidad de que los líderes financieros se hagan oír y aseguren una planificación financiera rigurosa.
Guy Caspi, CEO de Deep Instinct, dijo: «Si bien puede ser impactante ver cuán generalizados y exitosos son los ataques de ransomware, creo que solo estamos viendo la punta del iceberg. Con casi dos tercios de las organizaciones admitiendo haber sido atacadas por ransomware, uno no puede evitar preguntarse cuántas han permanecido bajo el radar, especialmente cuando sigue siendo tan rentable para los atacantes.
«Desde una perspectiva de gobierno corporativo, se necesita hacer mucho más para garantizar que todas las partes interesadas sean conscientes no solo de los riesgos para su negocio, sino también del potencial total de las implicaciones financieras y comerciales que resultan de un ataque exitoso».
