latames
‘El impacto de los ciberriesgos ha cambiado, y las empresas tienen que aumentar su exigencia’

‘El impacto de los ciberriesgos ha cambiado, y las empresas tienen que aumentar su exigencia’

24-07-2019 | Visión

Hoy en día, resulta difícil obtener información sobre la ciberseguridad de las empresas y sus productos. El experto en ciberseguridad de Robeco, Vincent Toms, nos habla sobre los cambios que se han producido en las ciberamenazas y sus efectos, el marco de riesgos de ciberseguridad y el sistema de clasificación que está desarrollando para las posiciones de Robeco, así como sobre los planes de la empresa para incluir la ciberseguridad entre sus actividades de interacción en sostenibilidad.

  • Vincent  Toms
    Vincent
    Toms
    Analyst

La ciberseguridad es un campo que evoluciona con gran rapidez. ¿Cómo podemos estar al día —o mejor aún, anticiparnos— a todas las amenazas?

“Actualmente, el número de vulnerabilidades conocidas sobrepasa las 90.000, y más de 50.000 de ellas están siendo aprovechadas. Y estas cifras aumentan cada día. Estar al día de estas vulnerabilidades ‘conocidas’ e ir actualizando el entorno de sistemas (heredados) consume notables dosis de tiempo y recursos.” 

“Una higiene digital básica resulta esencial. Las principales causas de la mayoría de los ataques y vulneraciones de la seguridad de los datos siguen siendo la demora en aplicar parches, el uso de contraseñas fáciles de adivinar y las instalaciones inseguras. Toda una golosina para los hackers.” 

Conozca las perspectivas más recientes
Conozca las perspectivas más recientes
Suscríbase

La ciberseguridad cuesta mucho, pero ser hackeado cuesta mucho más. ¿Hasta qué punto están dispuestas las empresas a invertir dinero en dotarse de sistemas seguros?

“La situación ha cambiado notablemente en los últimos años. En la alta dirección de las empresas cada vez se dedica más atención a los controles de ciberseguridad. El tema atrae incluso el interés de los accionistas, que en muchos casos han votado a favor de propuestas en junta para que la ciberseguridad forme parte de los sistemas de incentivos de los directivos. Esto es consecuencia de los graves casos de piratería informática que se han producido y de las presiones de los organismos reguladores y las cadenas de suministro.” 

“Sin embargo, en los informes publicados por las empresas, no se incluyen datos concretos sobre cuánto invierten en ciberseguridad. Y es una pena, porque no podemos comprobar que se cumplen las garantías que buscamos.” 

“Por otra parte, no hemos llegado todavía al punto de saber, a la hora de decidir si comprar un producto u otro, cuál es más seguro. Los fabricantes y proveedores pueden afirmar que sus productos son muy seguros, pero eso no es ninguna garantía. Y aunque su diseño sea efectivamente seguro, hay que tener en cuenta el ciclo de vida del producto, ya que algo que actualmente es seguro puede que ya no lo sea tanto dentro de un par de días. Sé que muchas empresas, como Microsoft, dedican grandes esfuerzos a elevar la seguridad de sus entornos digitales, ya que si no pueden proporcionar tranquilidad a sus clientes, seguramente los pierdan. El Consejo Neerlandés de Ciberseguridad recomienda a las empresas dedicar el 10% de su presupuesto a la ciberseguridad, aunque no es posible saber si esta cifra es adecuada, exagerada o insuficiente.”

No podemos saber, a partir de la información que publican las empresas, cuánto invierten en TI y ciberseguridad

¿Cómo es el marco de riesgos de ciberseguridad que está usted poniendo en marcha?

“Existen distintos ámbitos de ciberriesgo que una organización debe cubrir si quiere reducir al mínimo las posibilidades de sufrir un ataque, y los efectos del mismo. Sus esfuerzos deben ser proporcionales a las amenazas (por ejemplo, el riesgo de negocio), al nivel de los controles (costes) y al impacto de los posibles daños (coste de sufrir un ataque).”

“En nuestros análisis, evaluamos el grado de cumplimiento de cada empresa con una serie de medidas de control clave en cada ámbito de riesgo. Los principales controles en que nos fijamos se basan en distintos marcos internacionales de ciberseguridad. Al final del proceso, asignamos a la empresa una puntuación, que después se compara con las del resto de su categoría, para confeccionar una clasificación relativa. Esta puntuación puede influir considerablemente a la hora de tomar la decisión de invertir o no en una empresa.” 

¿Los fondos de tendencias se encuentran más expuestos que otros a los ciberriesgos?

“La ciberseguridad afecta a muchos sectores. Decidimos comenzar por los fondos de tendencias porque los riesgos asociados a las tendencias, y sobre todo a "fintech", son elevados y la confianza resulta muy importante. Nuestras posiciones en estos fondos nos proporcionan exposición a empresas con una presencia digital muy amplia. Nuestro enfoque es trabajar con agilidad y comenzar por algo pequeño, hacer que funcione, hacer que sea ligero y dinámico, y después hacerlo crecer. Cuando veamos que nuestro marco de clasificación funciona, podremos utilizarlo para otros tipos de fondos.”

¿Cuáles son los motivos de este ímpetu por desarrollar una clasificación de ciberseguridad para las posiciones de Robeco? ¿Qué objetivos y plazos se le han marcado al unirse a Robeco?

“La amenaza de los ciberriesgos en el mundo digital está aumentando, cosa que a menudo no se tiene en cuenta en el proceso de inversión. Los inversores están muy acostumbrados a evaluar riesgos físicos, como los que se asocian a las cadenas de suministro o producción. No obstante, a medida que la capacidad de generación de valor por parte de las empresas va haciéndose más digital, los riesgos van cambiando y, por consiguiente, los análisis que realizan los inversores también deben cambiar. La comunidad inversora actual se encuentra todavía muy atrasada en lo que se refiere a la evaluación de los ciberriesgos y de sus efectos sobre las inversiones. Robeco está cubriendo ahora esta carencia.” 

“Inicialmente, se me pidió que calificara a diez empresas, como proyecto piloto. El objetivo a largo plazo es integrar la ciberclasificación en el proceso de inversión y en las interacciones de sostenibilidad de Robeco. Y también se ha planteado la idea de llegar a incluirla en uno de sus ODS. Así que se ajusta a la filosofía de Robeco.”

Los inversores quieren poder escoger el nivel de ciberseguridad. Y Robeco puede proporcionárselo, como hace con la sostenibilidad.

¿Cómo va a incluirse la ciberseguridad en las actividades de interacción sobre sostenibilidad en Robeco?

“Tenemos la visión de que, con el tiempo, se establezca una reciprocidad entre la clasificación de ciberseguridad y la interacción de sostenibilidad. Cuando se identifiquen carencias en la clasificación de las posiciones de una cartera o de los candidatos más atractivos para invertir, el equipo de interacción podrá trabajar con la empresa en cuestión en la mejora de sus prácticas de ciberseguridad. Esto resultará beneficioso tanto para la empresa como para los inversores. El resultado de esta interacción podrá influir a su vez en la ciberclasificación. 

El objetivo es contar con información sobre la ciberseguridad y el perfil de riesgo de cada empresa, e integrar dicha información en los procesos de inversión e interacción. Lo ideal sería que esto sirviera también para mejorar la información que publican las empresas sobre estas cuestiones. Por ejemplo, la información sobre las emisiones de CO2 se incluye ahora en los informes de auditoría. Nosotros pensamos que los datos sobre ciberseguridad deberían, con el tiempo, llegar a tener la misma consideración.”

¿Cuál es el estado actual de esta iniciativa y cuál es el siguiente paso?

“Actualmente nos encontramos en la fase de mejorar el método de calificación del riesgo y las pautas de publicación de información. Tenemos previsto completar la revisión del marco de referencia y los controles clave a finales de este año. Después, vamos a probar y automatizar dicho marco, para seguidamente aumentar su escala e incorporar más empresas a la clasificación. Nuestro objetivo es calificar entre 2.000 y 5.000 empresas en el plazo de tres años.”

Los temas relacionados con este artículo son:
Logo

Información importante

Los Fondos Robeco Capital Growth no han sido inscritos conforme a la Ley de sociedades de inversión de Estados Unidos (United States Investment Company Act) de 1940, en su versión en vigor, ni conforme a la Ley de valores de Estados Unidos (United States Securities Act) de 1933, en su versión en vigor. Ninguna de las acciones puede ser ofrecida o vendida, directa o indirectamente, en los Estados Unidos ni a ninguna Persona estadounidense en el sentido de la Regulation S promulgada en virtud de la Ley de Valores de 1933, en su versión en vigor (en lo sucesivo, la “Ley de Valores”)). Asimismo, Robeco Institutional Asset Management B.V. (Robeco) no presta servicios de asesoramiento de inversión, ni da a entender que puede ofrecer este tipo de servicios, en los Estados Unidos ni a ninguna Persona estadounidense (en el sentido de la Regulation S promulgada en virtud de la Ley de Valores).

Este sitio Web está únicamente destinado a su uso por Personas no estadounidenses fuera de Estados Unidos (en el sentido de la Regulation S promulgada en virtud de la Ley de Valores) que sean inversores profesionales o fiduciarios profesionales que representen a dichos inversores que no sean Personas estadounidenses. Al hacer clic en el botón “Acepto” que se encuentra en el aviso sobre descargo de responsabilidad de nuestro sitio Web y acceder a la información que se encuentra en dicho sitio, incluidos sus subdominios, usted confirma y acepta lo siguiente: (i) que ha leído, comprendido y aceptado el presente aviso legal, (ii) que se ha informado de las restricciones legales aplicables y que, al acceder a la información contenida en este sitio Web, manifiesta que no infringe, ni provocará que Robeco o alguna de sus entidades o emisores vinculados infrinjan, ninguna ley aplicable, por lo que usted está legalmente autorizado a acceder a dicha información, en su propio nombre y en representación de sus clientes de asesoramiento de inversión, en su caso, (iii) que usted comprende y acepta que determinada información contenida en el presente documento se refiere a valores que no han sido inscritos en virtud de la Ley de Valores, y que solo pueden venderse u ofrecerse fuera de Estados Unidos y únicamente por cuenta o en beneficio de Personas no estadounidenses (en el sentido de la Regulation S promulgada en virtud de la Ley de Valores), (iv) que usted es, o actúa como asesor de inversión discrecional en representación de, una Persona no estadounidense (en el sentido de la Regulation S promulgada en virtud de la Ley de Valores) situada fuera de los Estados Unidos y (v) que usted es, o actúa como asesor de inversión discrecional en representación de, un inversión profesional no minorista. El acceso a este sitio Web ha sido limitado, de manera que no constituya intento de venta dirigida (según se define este concepto en la Regulation S promulgada en virtud de la Ley de Valores) en Estados Unidos, y que no pueda entenderse que a través del mismo Robeco dé a entender al público estadounidense en general que ofrece servicios de asesoramiento de inversión. Nada de lo aquí señalado constituye una oferta de venta de valores o la promoción de una oferta de compra de valores en ninguna jurisdicción. Nos reservamos el derecho a denegar acceso a cualquier visitante, incluidos, a título únicamente ilustrativo, aquellos visitantes con direcciones IP ubicadas en Estados Unidos.

Este sitio Web ha sido cuidadosamente elaborado por Robeco. La información de esta publicación proviene de fuentes que son consideradas fiables. Robeco no es responsable de la exactitud o de la exhaustividad de los hechos, opiniones, expectativas y resultados referidos en la misma. Aunque en la elaboración de este sitio Web se ha extremado la precaución, no aceptamos responsabilidad alguna por los daños de ningún tipo que se deriven de una información incorrecta o incompleta. El presente sitio Web podrá sufrir cambios sin previo aviso. El valor de las inversiones puede fluctuar. Rendimientos anteriores no son garantía de resultados futuros. Si la divisa en que se expresa el rendimiento pasado difiere de la divisa del país en que usted reside, tenga en cuenta que el rendimiento mostrado podría aumentar o disminuir al convertirlo a su divisa local debido a las fluctuaciones de los tipos de cambio. Para inversores profesionales únicamente. Prohibida su comunicación al público en general.

No estoy de acuerdo