Son cuestión de números, sí. De unos y de ceros. Pero no de los que suelen manejar habitualmente los financieros de las empresas.
Un estudio realizado por Sapio Research y el especialista en deep-learning Deep Instinct, para el que llevaron a cabo cientos de entrevistas, pone de manifiesto que solo el 12% de los CFO ha tomado un papel activo en la planificación de ataques de ransomware.
La exclusión de los líderes financieros en estos aspectos estaría afectando seriamente la confianza en la postura cibernética de sus negocios. Un 69 % dijo que no creía que sus comités de dirección se tomaran lo suficientemente en serio los riesgos cibernéticos y asociados, y solo el 14 % creía que sus negocios estaban bien preparados para un ataque cibernético, en contraste con el 63 % de los CEO.
Para Deep Instinct, los resultados del estudio muestran que existe una clara desconexión en la manera en la que el liderazgo empresarial se comunica y colabora en la gestión de riesgos cibernéticos.
Es fundamental cuantificar el riesgo financiero de los ataques
"Los ciberdelincuentes y las organizaciones suelen tener un objetivo común: una recompensa económica, y cada día que aparece un nuevo ataque de ransomware en los titulares, una de las primeras preguntas entre los ejecutivos es: '¿Cuánto costará recuperar los datos?'", resalta la directora financiera de Deep Instinct, Heather Bellini.
“Es vital que las organizaciones tomen en serio la tarea de cuantificar el riesgo financiero de los ciberataques y se aseguren de ser precisos, de lo contrario, pueden caer en la trampa de tener una falsa sensación de seguridad y ser indiferentes cuando se trata del coste real", ha explicado. “Por eso resulta tan importante que todos los roles estratégicos y de alto nivel dentro del negocio tengan una responsabilidad activa e igualitaria para garantizar que su negocio sea resistente y esté bien preparado".
Bellini insiste en que se deben romper los silos y hacer que la ciberseguridad ya no sea una competencia exclusiva del equipo de TI. “Hasta que eso no cambie, las organizaciones seguirán contando los costes de las infracciones y llenando los bolsillos de los ciberdelincuentes”.
El estudio también ha identificado una brecha adicional entre las estimaciones de los CFO sobre las demandas de ransomware y la realidad de los pagos. El 56% de los jefes financieros que contestaron informaron que sus organizaciones habían pagado un rescate por recuperar sus datos y un tercio no había recibido nada. El pago estimado promedio era de 3 millones de libras, pero los CFO tendían a esperar quel rescate medio les saldría por solo 760.000 libras.
Además, cuando se decidió asumir el pago de un rescate solo en el 14% de los casos, los directores financieros intervinieron en la decisión. Este dato también evidencia cómo se les deja fuera no solo en la parte más técnica de las amenazas de ransomware, sino también en la referente a la monetaria.