Riesgo cibernético: ¿cómo pueden los inversores prepararse para lo impredecible?
Los delitos cibernéticos siguen generando importantes costes para las empresas de todo el mundo, pero para comprender este riesgo es necesario ir más allá de una valoración rutinaria de las políticas empresariales.
Authors
Los datos digitales han experimentado un crecimiento exponencial en los últimos años, una tendencia impulsada por la mayor penetración de los dispositivos móviles y del consumo de servicios online. La rápida expansión del volumen de datos que almacenan las empresas, muchas de las cuales son relativamente ajenas a la gestión y seguridad de los datos, ha atraído a los delincuentes virtuales, que emplean herramientas y técnicas cada vez más sofisticadas. Los delitos cibernéticos cuestan a las empresas a escala mundial alrededor de un 60% más que hace solo cinco años, mientras que en EE. UU. este porcentaje ha superado el 80% (véase Gráfico 1). Ninguna empresa puede permitirse el lujo de ignorar esta amenaza, y reguladores como la autoridad británica de protección de datos (Information Commissioner Office, ICO) están endureciendo las medidas contra estos delitos. Su respuesta representa la punta del iceberg de lo que constituye este problema.
Gráfico 1: Los costes para abordar los delitos cibernéticos están aumentando
Fuente: ico.org.uk, Cost of Cyber Crime Study 2017 de Accenture & Ponemon Institute, índice Cisco Global Cloud
¿Qué es el riesgo cibernético?
Estamos ante un término amplio. Para la mayoría de las personas, representa el riesgo de pérdida o perjuicio derivado de incursiones en o ataques a los sistemas de información. Esta pérdida puede materializarse de diversas formas, como a modo de costes financieros directos, daños para la reputación o perjuicio para la continuidad operativa. Algunas incursiones de gran envergadura acontecidas recientemente (WannaCry, Petya, Equifax, etc.) han contribuido a aumentar la concienciación sobre este problema, lo que, a su vez, ha fomentado la vigilancia entre los reguladores. La privacidad de los datos se asocia a menudo con el riesgo cibernético y constituye la piedra angular del Reglamento General de Protección de Datos de la UE (RGPD), que entró en vigor en mayo de 2018. Esta ley se ha convertido, de hecho, en un estándar internacional: aclara y amplía la definición de datos sensibles y quién tiene derecho a usarlos, además de responsabilizar a las empresas del almacenamiento seguro de los datos de sus clientes, con elevadas multas[1] en caso de incumplimiento.
¿Por qué debería importar esto a los inversores?
El universo cibernético es una fuente de riesgo empresarial cada vez más relevante, sobre todo para aquellas empresas con destacados activos intangibles, como marcas, relaciones con clientes o tecnología. Las repercusiones negativas que una vulneración relativa a datos puede tener sobre una marca afectan directamente a la competitividad de las empresas y a sus ingresos y flujos de efectivo futuros. A menudo, estas infracciones ponen de manifiesto prácticas de gobierno corporativo deficientes y un equipo directivo poco preparado. Hacer cambios de personal o políticas empresariales es rápido, pero volver a ganarse la confianza del mercado y los clientes requiere mucho más tiempo.
Un enfoque centrado en la implicación en las empresas
En nuestra opinión, los inversores deberían centrarse en comprender en qué medida se preparan las empresas para los sucesos cibernéticos. La exhaustividad de este enfoque debería transmitir la seguridad de que cuando ocurra un ataque (porque ocurrir, ocurrirá), existen procesos y recursos para minimizar el impacto sobre las operaciones y la capacidad para generar valor.
Comprender este extremo conlleva ir más allá de una valoración rutinaria de las políticas empresariales. Creemos que la implicación directa en las empresas es la mejor manera de obtener información en este sentido. Profundizamos en este asunto centrándonos en algunos aspectos generales:
- Gobierno corporativo: evaluar en qué medida el consejo comprende el riesgo cibernético
- Pericia: ¿cuenta la empresa con las capacidades internas necesarias para gestionar el riesgo cibernético? ¿Se apoya en servicios especializados externos a la compañía?
- Tecnología: ¿ha implantado la empresa buenas prácticas desde el punto de vista técnico?
Conscientes de la importancia que reviste el riesgo cibernético para muchos modelos de negocio, hemos hablado con los directores de seguridad de la información o los delegados de protección de datos de diez empresas en las que invierte Schroders, pertenecientes a sectores como servicios financieros, tecnología y telecomunicaciones.
Principales conclusiones: pericia y responsabilidad del consejo
Nuestros contactos directos y exhaustivos nos han permitido identificar dónde reside la información sustancial, además de entender mejor los puntos fuertes y débiles de las empresas. En nuestra opinión, las principales áreas son:
- Pericia: resulta fundamental que la empresa cuente con los recursos adecuados y con un equipo de ciberseguridad especializado, gestionado por un director de seguridad de la información o un delegado de protección de datos que reporte, a poder ser, al consejo de administración. El equipo de ciberseguridad también debería colaborar regularmente con expertos externos para estar informado sobre las nuevas amenazas y herramientas de seguridad. A nivel interno, el equipo debería tener responsabilidad directa sobre tareas tecnológicas concretas, como la comprobación de la penetración, los parches de seguridad, etc.
- Responsabilidad a nivel del consejo: este órgano debería tener los conocimientos específicos necesarios para determinar si la empresa dispone de los recursos operativos y de gestión adecuados para minimizar el riesgo cibernético.
El análisis del nivel de pericia de una empresa y de la responsabilidad del consejo proporciona a nuestros analistas y gestores de fondos una base sobre la que estructurar sus preguntas a los equipos directivos y comparar posteriormente sus respuestas con las de otras compañías.
Además, los contactos mantenidos han cambiado nuestra percepción sobre algunas áreas que, a menudo, se consideran importantes, pero que la mayoría de empresas no tienen en cuenta. Por ejemplo, nuestras conversaciones pusieron de manifiesto los riesgos de centrarse en la ISO27001 (una norma sobre TI que las empresas de primer nivel implantan a nivel interno), los seguros frente a ataques cibernéticos (los productos actuales ofrecen una cobertura limitada) y las políticas sobre protección de datos/ciberseguridad (si bien son importantes en materia de cumplimiento, parecen menos útiles a la hora de gestionar en la práctica el riesgo cibernético).
Conclusión: contactos específicos
El universo cibernético es una fuente de riesgo cada vez mayor para todas las empresas. Como inversores, hemos de comprender mejor en qué medida las empresas presentes en las carteras de nuestros clientes están preparadas para gestionar este riesgo. Creemos que contactar con un grupo de empresas definido representa la vía más efectiva para obtener información sobre áreas de importancia vital —como la gestión de los riesgos de primer nivel y la pericia técnica— en las que los inversores podrían identificar prácticas deficientes antes de que estos riesgos se materialicen.
Información Importante
Las opiniones expresadas aquí son las de Ovidiu Patrascu, analista sobre inversión sostenible, y no representan necesariamente las opiniones declaradas o reflejadas en las Comunicaciones, Estrategias o Fondos de Schroders.
El presente documento ha sido redactado con una finalidad exclusivamente informativa. Su contenido no constituye una oferta de compra o venta de ningún instrumento o título financiero, ni una sugerencia para adoptar ninguna estrategia de inversión. La información contenida en el presente no constituye un asesoramiento, una recomendación o un análisis de inversión y no tiene en cuenta las circunstancias específicas de ningún destinatario. Este material no constituye una recomendación contable, jurídica o tributaria y no debe ser tenido en cuenta a tales efectos. Se considera que la información contenida en este documento es fiable, pero Schroders no garantiza su exhaustividad o exactitud. La compañía no se responsabiliza de los errores de hecho u opiniones. No se debe tomar como referencia la información y opiniones contenidas en este documento a la hora de tomas decisiones estratégicas o decisiones personales de inversión. La rentabilidad registrada en el pasado no es un indicador fiable de los resultados futuros. El precio de las acciones y los ingresos derivados de las mismas pueden tanto subir como bajar y los inversores pueden no recuperar el importe original invertido. Schroders será responsable del tratamiento de tus datos personales. Para obtener información sobre cómo Schroders podría tratar tus datos personales, consulta nuestra Política de privacidad disponible en www.schroders.com/en/privacy-policy o solicítala a infospain@schroders.es en caso de que no tengas acceso a este sitio web. Publicado por Schroder Investment Management Limited, Sucursal en España, c/ Pinar 7 – 4ª planta. 28006 Madrid – España. Registrada en la Comisión Nacional del Mercado de Valores (CNMV), con el número 6.
Authors
Temáticas