Por qué los directores financieros de éxito trabajan para controlar sus datos
La responsabilidad del CFO frente a los datos
Uno de los temas candentes que se debaten hoy en las reuniones de los consejos de administración es la ciberseguridad. La gestión del riesgo se ha convertido en una seria amenaza financiera para el balance final de ingresos y accionistas. En todos los demás aspectos de los asuntos empresariales, aterriza en la mesa del Director Financiero cuando se trata del riesgo financiero. El coste medio de una violación de datos es de aproximadamente 4 millones de dólares. Para las empresas que infringen la normativa HIPAA, las multas y sanciones pueden ser mucho más elevadas. No sólo están los costes de las sanciones, sino millones más para cubrir las medidas correctivas. Además, las empresas gastan aún más en abogados para defenderse de las demandas colectivas. No olvide indemnizar a las víctimas y cubrir el seguro de suplantación de identidad para todos aquellos que puedan o no verse afectados por la filtración.
Los datos son ahora responsabilidad de un Director Financiero y deberían ser su principal preocupación. Más allá de la pérdida de la empresa en los tipos de sanciones mencionados anteriormente, la pérdida de confianza de una base de consumidores es a menudo irreparable. Una violación grave de los datos puede hacer caer incluso a algunas de las mayores empresas del mundo si no se gestiona correctamente. Ahora que la estructura empresarial del mundo se basa en los datos y que existe una base criminal activa igual de grande que intenta acceder a ellos, no es una cuestión de “si”, sino de “cuándo” y “con qué frecuencia”. Un director financiero debe planificar las violaciones y prepararse para una reacción inmediata ante ellas. Su trabajo consiste en diseñar y poner en marcha un plan sobre el que todos los empleados estén bien formados, de modo que la respuesta a cualquier brecha, grande o pequeña, se realice con rapidez y eficacia.
La ciberseguridad, un reto crítico para los directores financieros
Muchos directores financieros se enfrentan a diversos problemas en su trabajo. Comprender la ciberseguridad puede o no estar en su formación académica. Encontrar y crear soluciones para hacer frente a algunos de los problemas y amenazas más importantes a los que se enfrentan las empresas y la seguridad de sus datos puede manejarse con el personal adecuado. Esta falta de comprensión puede ser uno de los principales retos críticos para un director financiero.
Encontrar profesionales cualificados que se ocupen de la sofisticada ciberseguridad y la privacidad de los datos constituye el reto más importante en todos los sectores. Hay muchos profesionales de la ciberseguridad que están empezando o que tienen los conocimientos generales necesarios. Raros son esos individuos “especializados” que pueden enfrentarse para proteger a las empresas de hackers sofisticados. Estos profesionales de alto nivel también saben lo demandados que están, y la mayoría de las pequeñas empresas no pueden permitirse sus salarios. A los directores financieros les resulta difícil encontrar el talento de élite que, en muchos casos, sólo pueden permitirse las empresas más ricas y prósperas.
Por qué un director financiero debe centrarse en la ciberseguridad y no en las TI
Tradicionalmente, la seguridad de los datos ha sido tarea del departamento de TI. Entonces, ¿por qué cambiar? No hay necesidad de muchos cambios, pero quizá sí de cierta reorganización. El departamento de TI debe responder intrínsecamente ante el director financiero. El director financiero tiene acceso a los fondos de la empresa y puede ser el único cualificado o con autoridad para dar el visto bueno a los riesgos, incluido el tratamiento de los datos. Supone un riesgo importante para las finanzas de la empresa.
La protección de datos debe ser la prioridad número uno del Director Financiero. El cargo de Director Financiero le da derecho a crear políticas internas que puedan aplicarse en toda la estructura de la empresa para gestionar todo tipo de datos. El número de legislaciones sobre privacidad a las que deben adherirse las empresas es enorme y alcanza proporciones mundiales. Incluso las empresas estadounidenses deben ajustarse al Reglamento General de Protección de Datos (RGPD) si quieren seguir haciendo negocios a escala mundial. Las sanciones por una infracción podrían ser de hasta 20 millones de dólares del 4% de la facturación global, la cifra que sea más alta. Cada vez que una empresa habla de fondos de este tamaño, cae sobre la mesa del Director Financiero. El director financiero puede ordenar que cada departamento de la empresa gestione y almacene los datos de acuerdo con políticas que ayuden a protegerlos de pérdidas por infracciones o del riesgo de sanciones por infracciones.
La preparación para la ciberseguridad, principal preocupación de las empresas
La preparación en materia de ciberseguridad es una de las principales preocupaciones de muchas empresas. Muchas normativas, incluida la GDPR, exigen pruebas de procedimientos de gobernanza de datos o medidas detalladas que la empresa haya adoptado en sus políticas para proteger la integridad de los datos. No contar con buenas políticas y procedimientos de datos ha puesto a muchas empresas en riesgo de enfrentarse a multas masivas por una mala toma de decisiones estratégicas y una mala asignación de recursos críticos. Una mala gestión de los datos sale a la luz pública y puede provocar un serio escrutinio sobre la fiabilidad de una empresa, tanto por parte de los reguladores como del público.
Las cifras actuales muestran que a la mayoría de los ejecutivos les preocupa perder una ventaja competitiva si no pueden utilizar eficazmente los datos de sus clientes. La mitad de los ejecutivos corporativos utilizan los datos para beneficiar a la empresa disminuyendo los gastos corporativos e innovando y creando nuevas vías de ingresos. La cuestión empieza a volverse crítica al observar estas cifras y creencias, al darse cuenta de que menos de la mitad de las corporaciones han elaborado una política de gobierno de datos estandarizada para reducir y gestionar sus riesgos de datos. ¿Cuáles son algunos pasos necesarios que podrían ayudar a mejorar el riesgo de los datos?
- Crear y revisar las políticas de minimización de datos – Crear controles y políticas para la recopilación y retención de datos. Cree programas de formación para todos los empleados que manejan información personal identificable o PII. Realizar una revisión anual o una evaluación de la privacidad con un especialista en privacidad que pueda guiar al director financiero y a los principales profesionales de TI a través de cada paso de los datos y definir mejores formas de gestionar el riesgo. Asegúrese de que se siguen políticas específicas para la eliminación de datos.
- Insista en los controles de seguridad en torno a los activos de datos – Como director financiero, cree una revisión semestral con sus profesionales de TI para revisar los controles de seguridad para acceder a los activos de datos de la empresa. Revise y defina políticas de acceso para la dirección. Determine los problemas de visibilidad y control sobre qué datos se almacenan y conservan.
- Fomente la participación de los empleados en los grupos de trabajo – Adelántese a las normativas gubernamentales actuales fomentando la participación de los empleados en los grupos de trabajo y comités sobre leyes de privacidad y ciberseguridad. Permita las aportaciones de los empleados sobre información descubierta que pueda beneficiar a la seguridad de los datos de la empresa o cambios para adaptarse mejor a las nuevas normativas.
- Cree y revise las políticas de migración de datos: cree y revise periódicamente las políticas con la empresa, los responsables de los datos y el departamento de TI para determinar el movimiento de los datos. Cree una transición fluida de la entrada a la transacción, el almacenamiento y la base de datos, que termine en una fecha de eliminación determinada. Asegúrese de que el acceso es limitado, las transferencias de datos son fluidas y las copias de seguridad son seguras.
- ¿Cómo se protegen las copias de seguridad? – Revisa periódicamente con tu responsable de TI la seguridad de las copias de seguridad. Puede parecer un ejercicio redundante. Convertirlo en una reunión periódica da tiempo suficiente para sacar a colación cualquier asunto que se haya pasado por alto, cualquier novedad o cualquier preocupación que esté surgiendo en ese momento. Abordar todas las situaciones de forma rápida y oportuna ayudará a la empresa a adelantarse a muchos problemas informáticos y de protección de datos.
Estrategias de gestión de riesgos y preparación
Como directores financieros, entienden que los inversores potenciales tienen en cuenta las políticas de gestión de riesgos de la empresa tanto como otros aspectos como los impuestos, el medio ambiente, la propiedad intelectual o los registros de salud financiera. Una acción puede caer en picado tras una filtración de datos. Un director financiero debe presentar un plan detallado de gestión de datos para proteger los datos y la reputación de la empresa en caso de violación. En otras palabras, ¿qué plan de seguro tiene para cuando se produzca la violación?
La privacidad y la seguridad de los datos han afectado a todos los sectores de la industria, y los inversores son cada vez más conscientes de cómo afectan estas cuestiones a sus carteras. Las responsabilidades del director financiero son mucho más complicadas que la mera comprensión de la información de las tarjetas de crédito y los datos personales de los clientes. En los modelos empresariales actuales, la variedad de sistemas utilizados para recopilar datos es infinita. Puede tratarse de sistemas financieros automatizados, recursos humanos, gestión de relaciones con los clientes (CRM), sitios web, establecimientos minoristas, fabricación e incluso aplicaciones móviles. Hay muchos problemas relacionados con una violación de datos que podría costar a todas las partes de una corporación, incluyendo la reputación, la confianza del consumidor, y el valor de la marca – CFOs exitosos, para gobernar sus datos.
Para tomar el control y dominar los datos, los directores financieros líderes se están convirtiendo en los innovadores de la seguridad corporativa. Son el superhéroe ejecutivo de las finanzas y la tecnología al comprender que evaluando, cuantificando y optimizando la ciberseguridad, la empresa gana terreno financiero. Hay cuatro formas concretas en las que un director financiero puede aplicar sus conocimientos financieros para crear políticas de gestión de riesgos que impresionen a sus accionistas y den seguridad a los futuros inversores.
- Gasto presupuestario – Evalúe el presupuesto actual que el departamento de TI destina a ciberseguridad y compárelo con otros estándares similares del sector. Si el listón de su sector es que el 12% del presupuesto de TI se destina a seguridad y su empresa sólo gasta el 3%, puede que tenga que reajustarse. También puede indicar necesidades de gasto adicionales para que la empresa alcance los estándares actuales.
- Retorno de la inversión – Evalúe las áreas en las que es necesario gastar en ciberseguridad y determine el valor recibido o el retorno de su inversión. ¿Dispone de la combinación adecuada de instalaciones? Podría incluir gobernanza de datos, gestión de accesos, respuesta a incidentes o ciberseguro. Muchas aplicaciones se combinan para crear el tipo de seguridad de datos más sólido, pero ¿las está utilizando de forma eficiente?
- Monetización de los riesgos – Cuando hable de los riesgos con sus inversores y partes interesadas, póngales un valor en dólares. Si decide añadir una nueva política y quiere discutir la relación costes/riesgos, no diga “si invertimos en esta seguridad, habrá una reducción del 30% en una brecha”. Es más útil para ti y para tu junta directiva si lo explicas en términos monetarios. “Si invertimos 30.000 euros en esta nueva función de seguridad, reduciremos en un 30% el riesgo de que se produzca una brecha. Una brecha podría costarnos más de un millón, pero con esta medida, incluso si nos atacan, el coste de la brecha en sí podría ser tan bajo como 0.000 euros. Tenemos que reducir el riesgo de cualquier forma posible, ya que cuando se produce la brecha, el impacto es menor.
- Profesionales externos – La responsabilidad del director financiero es considerar las políticas de seguridad y privacidad de datos de un proveedor externo antes de contratar con él. Al hacer esta selección crítica y crear un contrato, el tercero debe tener el mismo nivel de protección para los datos que usted necesita y espera.