latames
‘El impacto de los ciberriesgos ha cambiado, y las empresas tienen que aumentar su exigencia’

‘El impacto de los ciberriesgos ha cambiado, y las empresas tienen que aumentar su exigencia’

24-07-2019 | Visión

Hoy en día, resulta difícil obtener información sobre la ciberseguridad de las empresas y sus productos. El experto en ciberseguridad de Robeco, Vincent Toms, nos habla sobre los cambios que se han producido en las ciberamenazas y sus efectos, el marco de riesgos de ciberseguridad y el sistema de clasificación que está desarrollando para las posiciones de Robeco, así como sobre los planes de la empresa para incluir la ciberseguridad entre sus actividades de interacción en sostenibilidad.

  • Vincent  Toms
    Vincent
    Toms
    Analyst

La ciberseguridad es un campo que evoluciona con gran rapidez. ¿Cómo podemos estar al día —o mejor aún, anticiparnos— a todas las amenazas?

“Actualmente, el número de vulnerabilidades conocidas sobrepasa las 90.000, y más de 50.000 de ellas están siendo aprovechadas. Y estas cifras aumentan cada día. Estar al día de estas vulnerabilidades ‘conocidas’ e ir actualizando el entorno de sistemas (heredados) consume notables dosis de tiempo y recursos.” 

“Una higiene digital básica resulta esencial. Las principales causas de la mayoría de los ataques y vulneraciones de la seguridad de los datos siguen siendo la demora en aplicar parches, el uso de contraseñas fáciles de adivinar y las instalaciones inseguras. Toda una golosina para los hackers.” 

Conozca las perspectivas más recientes
Conozca las perspectivas más recientes
Suscríbase

La ciberseguridad cuesta mucho, pero ser hackeado cuesta mucho más. ¿Hasta qué punto están dispuestas las empresas a invertir dinero en dotarse de sistemas seguros?

“La situación ha cambiado notablemente en los últimos años. En la alta dirección de las empresas cada vez se dedica más atención a los controles de ciberseguridad. El tema atrae incluso el interés de los accionistas, que en muchos casos han votado a favor de propuestas en junta para que la ciberseguridad forme parte de los sistemas de incentivos de los directivos. Esto es consecuencia de los graves casos de piratería informática que se han producido y de las presiones de los organismos reguladores y las cadenas de suministro.” 

“Sin embargo, en los informes publicados por las empresas, no se incluyen datos concretos sobre cuánto invierten en ciberseguridad. Y es una pena, porque no podemos comprobar que se cumplen las garantías que buscamos.” 

“Por otra parte, no hemos llegado todavía al punto de saber, a la hora de decidir si comprar un producto u otro, cuál es más seguro. Los fabricantes y proveedores pueden afirmar que sus productos son muy seguros, pero eso no es ninguna garantía. Y aunque su diseño sea efectivamente seguro, hay que tener en cuenta el ciclo de vida del producto, ya que algo que actualmente es seguro puede que ya no lo sea tanto dentro de un par de días. Sé que muchas empresas, como Microsoft, dedican grandes esfuerzos a elevar la seguridad de sus entornos digitales, ya que si no pueden proporcionar tranquilidad a sus clientes, seguramente los pierdan. El Consejo Neerlandés de Ciberseguridad recomienda a las empresas dedicar el 10% de su presupuesto a la ciberseguridad, aunque no es posible saber si esta cifra es adecuada, exagerada o insuficiente.”

No podemos saber, a partir de la información que publican las empresas, cuánto invierten en TI y ciberseguridad

¿Cómo es el marco de riesgos de ciberseguridad que está usted poniendo en marcha?

“Existen distintos ámbitos de ciberriesgo que una organización debe cubrir si quiere reducir al mínimo las posibilidades de sufrir un ataque, y los efectos del mismo. Sus esfuerzos deben ser proporcionales a las amenazas (por ejemplo, el riesgo de negocio), al nivel de los controles (costes) y al impacto de los posibles daños (coste de sufrir un ataque).”

“En nuestros análisis, evaluamos el grado de cumplimiento de cada empresa con una serie de medidas de control clave en cada ámbito de riesgo. Los principales controles en que nos fijamos se basan en distintos marcos internacionales de ciberseguridad. Al final del proceso, asignamos a la empresa una puntuación, que después se compara con las del resto de su categoría, para confeccionar una clasificación relativa. Esta puntuación puede influir considerablemente a la hora de tomar la decisión de invertir o no en una empresa.” 

¿Los fondos de tendencias se encuentran más expuestos que otros a los ciberriesgos?

“La ciberseguridad afecta a muchos sectores. Decidimos comenzar por los fondos de tendencias porque los riesgos asociados a las tendencias, y sobre todo a "fintech", son elevados y la confianza resulta muy importante. Nuestras posiciones en estos fondos nos proporcionan exposición a empresas con una presencia digital muy amplia. Nuestro enfoque es trabajar con agilidad y comenzar por algo pequeño, hacer que funcione, hacer que sea ligero y dinámico, y después hacerlo crecer. Cuando veamos que nuestro marco de clasificación funciona, podremos utilizarlo para otros tipos de fondos.”

¿Cuáles son los motivos de este ímpetu por desarrollar una clasificación de ciberseguridad para las posiciones de Robeco? ¿Qué objetivos y plazos se le han marcado al unirse a Robeco?

“La amenaza de los ciberriesgos en el mundo digital está aumentando, cosa que a menudo no se tiene en cuenta en el proceso de inversión. Los inversores están muy acostumbrados a evaluar riesgos físicos, como los que se asocian a las cadenas de suministro o producción. No obstante, a medida que la capacidad de generación de valor por parte de las empresas va haciéndose más digital, los riesgos van cambiando y, por consiguiente, los análisis que realizan los inversores también deben cambiar. La comunidad inversora actual se encuentra todavía muy atrasada en lo que se refiere a la evaluación de los ciberriesgos y de sus efectos sobre las inversiones. Robeco está cubriendo ahora esta carencia.” 

“Inicialmente, se me pidió que calificara a diez empresas, como proyecto piloto. El objetivo a largo plazo es integrar la ciberclasificación en el proceso de inversión y en las interacciones de sostenibilidad de Robeco. Y también se ha planteado la idea de llegar a incluirla en uno de sus ODS. Así que se ajusta a la filosofía de Robeco.”

Los inversores quieren poder escoger el nivel de ciberseguridad. Y Robeco puede proporcionárselo, como hace con la sostenibilidad.

¿Cómo va a incluirse la ciberseguridad en las actividades de interacción sobre sostenibilidad en Robeco?

“Tenemos la visión de que, con el tiempo, se establezca una reciprocidad entre la clasificación de ciberseguridad y la interacción de sostenibilidad. Cuando se identifiquen carencias en la clasificación de las posiciones de una cartera o de los candidatos más atractivos para invertir, el equipo de interacción podrá trabajar con la empresa en cuestión en la mejora de sus prácticas de ciberseguridad. Esto resultará beneficioso tanto para la empresa como para los inversores. El resultado de esta interacción podrá influir a su vez en la ciberclasificación. 

El objetivo es contar con información sobre la ciberseguridad y el perfil de riesgo de cada empresa, e integrar dicha información en los procesos de inversión e interacción. Lo ideal sería que esto sirviera también para mejorar la información que publican las empresas sobre estas cuestiones. Por ejemplo, la información sobre las emisiones de CO2 se incluye ahora en los informes de auditoría. Nosotros pensamos que los datos sobre ciberseguridad deberían, con el tiempo, llegar a tener la misma consideración.”

¿Cuál es el estado actual de esta iniciativa y cuál es el siguiente paso?

“Actualmente nos encontramos en la fase de mejorar el método de calificación del riesgo y las pautas de publicación de información. Tenemos previsto completar la revisión del marco de referencia y los controles clave a finales de este año. Después, vamos a probar y automatizar dicho marco, para seguidamente aumentar su escala e incorporar más empresas a la clasificación. Nuestro objetivo es calificar entre 2.000 y 5.000 empresas en el plazo de tres años.”

Los temas relacionados con este artículo son: