Los directores financieros (CFO) y sus equivalentes se ven excluidos de las conversaciones sobre la gestión de riesgos y la protección de la ciberseguridad, a pesar de que más de la mitad informa que sus organizaciones han experimentado ataques de ransomware.
Esto es según nuevos datos compilados a partir de cientos de entrevistas realizadas por Sapio Research y el especialista en aprendizaje profundo Deep Instinct, que dijo que solo el 12% estaba tomando un papel activo en la planificación de ataques de ransomware.
La exclusión de los líderes financieros parecería estar afectando seriamente la confianza en la postura cibernética de sus negocios. Una clara mayoría del 69 % dijo que no creía que sus directorios se tomaran lo suficientemente en serio los riesgos cibernéticos y asociados, y solo el 14 % creía que sus negocios estaban bien preparados para un ataque cibernético, en contraste con el 63 % de los directores ejecutivos.
Deep Instinct dijo que sus hallazgos revelaron una desconexión en la forma en que el liderazgo empresarial se comunica y colabora en el riesgo cibernético.
“Los ciberdelincuentes y las organizaciones suelen tener un objetivo común: una recompensa económica, y cada día que aparece un nuevo ataque de ransomware en los titulares, una de las primeras preguntas entre los ejecutivos es: ‘¿Cuánto costará recuperar los datos?'”. dijo la directora financiera de Deep Instinct, Heather Bellini.
“Es vital que las organizaciones tomen en serio la tarea de cuantificar el riesgo financiero de los ataques cibernéticos y se aseguren de que sea preciso, de lo contrario, pueden caer en la trampa de tener una falsa sensación de seguridad y ser indiferentes cuando se trata del costo real.
“Es por eso que es tan importante que todos los roles estratégicos y de alto nivel dentro del negocio tengan una responsabilidad activa e igualitaria para garantizar que su negocio sea resistente y esté bien preparado.
“Hablamos en la industria sobre romper los silos y que la seguridad cibernética ya no sea competencia exclusiva del equipo de TI, pero esto no se traduce en una acción significativa. Hasta que esto cambie, las organizaciones seguirán contando los costos de las infracciones y llenando los bolsillos de los ciberdelincuentes”.
El estudio identificó una brecha adicional entre las estimaciones de los CFO sobre las demandas de ransomware y la realidad de los pagos. Deep Instinct dijo que el 56% de los CFO que respondieron a su estudio informaron que sus organizaciones habían pagado un rescate por la devolución de sus datos, y un tercio no había recibido nada, con un pago promedio de £ 3 millones, pero los CFO tendían a esperar que pagarían una rescate promedio de solo £ 760,000. Además, cuando se pagó un rescate, el director financiero intervino en la decisión final en solo el 14 % de los casos.
Junto con el hecho de que solo un poco más de un tercio de los encuestados podía asignar con confianza un valor monetario a los datos de su organización, Deep Instinct dijo que esto destacaba una clara necesidad de que los líderes financieros hicieran oír su voz y garantizaran que se lleva a cabo una planificación financiera rigurosa.
Guy Caspi, CEO de Deep Instinct, dijo: “Si bien puede ser impactante ver cuán frecuentes y exitosos son los ataques de ransomware, creo que solo estamos viendo la punta del iceberg. Con casi dos tercios de las organizaciones admitiendo haber sido atacadas por ransomware, no puede evitar preguntarse cuántas han pasado desapercibidas, especialmente cuando sigue siendo tan rentable para los atacantes.
“Desde una perspectiva de gobierno corporativo, se necesita hacer mucho más para garantizar que todas las partes interesadas sean verdaderamente conscientes no solo de los riesgos para su negocio, sino también del potencial total de los impactos financieros y de otro tipo que surgen al ser atacados con éxito”.
