Michaela Zhirova y Marjo Koivisto | January 2020
Introducción
En los últimos cinco años, los ataques cibernéticos prácticamente se han duplicado y, según datos del Foro Económico Mundial1, han causado un coste estimado de 90 billones de dólares estadounidenses. En efecto, el ritmo y la escala a la que se están implementando las nuevas tecnologías en los diferentes sectores están ampliando la superficie de ciberataque que los actores malintencionados pueden aprovechar. Esta tendencia no hará sino acentuarse a medida que se acelera la realización de pruebas y proyectos piloto para la implementación de la tecnología 5G. Los ataques cibernéticos dirigidos tanto a empresas como a Gobiernos incluyen, entre otros, la vulneración de la privacidad y la confidencialidad, el robo oneroso de información, la puesta en peligro de la integridad de los sistemas y la accesibilidad y, por último, la destrucción de datos. Además, a pesar de que los ciberataques están incrementando su frecuencia y nivel de sofisticación a un ritmo alarmante, parece que las empresas no están invirtiendo lo suficiente en la gestión de los riesgos cibernéticos. De hecho, uno de los dos principales retos que mencionan los responsables de la seguridad de la información (en inglés, CISO) es la falta de recursos.
Este informe del equipo de Inversión Responsable destaca por qué consideramos que la ciberseguridad constituye un factor de riesgo ASG cada vez más presente en los diferentes sectores y reflexionamos sobre cuáles son, a nuestros ojos, las principales implicaciones financieras de los incidentes de ciberseguridad para las empresas. Además, puntuamos la exposición de cada sector a las amenazas cibernéticas y brindamos nuestra opinión sobre aquellos que presentan un riesgo elevado. En el marco de nuestra práctica de compromiso con los criterios ASG, hemos desarrollado un enfoque para incorporar las mejores prácticas en materia de identificación de amenazas cibernéticas, gobernanza, conocimiento del contexto e implementación de medidas de ciberseguridad. Proponemos un cuestionario como herramienta para ayudar a establecer una referencia del grado de ciberresiliencia de las empresas y esbozamos nuestras expectativas sobre las mejores prácticas que las empresas pueden adoptar para expresar su nivel de preparación en el plano de la ciberseguridad.
Ciberseguridad digital y el concepto de protección de la red.
Ataques cibernéticos de gran envergadura:
algunas lecciones aprendidas sobre las implicaciones financieras para las empresas
En vista de que la identificación, evaluación y eliminación de los ciberataques puede llevar un tiempo considerable y traducirse en pérdidas operativas, el coste para las empresas sigue orientándose al alza. Ello queda reflejado en algunos de los ataques con ransomware de mayor envergadura de la historia, por ejemplo, el de NotPetya. El ataque con el ransomware NotPetya se propagó desde los servidores ucranianos en 2017 a multinacionales de gran envergadura, lo que provocó pérdidas que superaban en total los 10.000 millones de dólares estadounidenses2 en concepto de daños a las empresas y afectó a ordenadores de todo el mundo. Infectó a empresas en numerosos sectores, desde proveedores de servicios médicos a destacadas empresas logísticas (A.P. Møller-Maersk), e interrumpió sus operaciones durante más de diez días(3)
Marriott es otra gran empresa que ha sido víctima de un importante ataque con ransomware. El 8 de septiembre de 2018, una herramienta de seguridad interna detectó un intento sospechoso de acceder a la base de datos interna de reservas de huéspedes de las marcas Starwood, propiedad de Marriott. Ello dio pie a una investigación interna que determinó que la red Starwood, que Marriott adquirió en 2016, se había visto afectada en algún momento de 2014. Según los informes, en el momento del ataque, los hoteles que antes operaban bajo la marca Starwood no habían migrado al sistema de reservas de Marriott y seguían utilizando la infraestructura de TI heredada de Starwood. En su investigación, Marriott encontró datos que mostraban que los atacantes habían encriptado y tratado de sustraer (probablemente con éxito) datos personales de los sistemas de Starwood. Marriott logró descifrar los datos y descubrió que contenían información de las fichas de hasta 500 millones de huéspedes, muchas de las cuales incluían información sumamente sensible, como los datos de los pasaportes y de las tarjetas de crédito.
Para Marriott, el incidente con el ransomware tuvo graves implicaciones financieras. En julio de 2019, el Reino Unido impuso a la compañía una multa de 126 millones de dólares estadounidenses en virtud del Reglamento General de Protección de Datos (RGPD). En sus resultados del segundo trimestre de 2019, los beneficios de la empresa cayeron un 65% hasta los 232.000 millones de dólares estadounidenses o 69 céntimos por acción4. La cadena hotelera también recibió una multa de 1,5 millones de liras (en torno a 265.000 dólares) por parte de las autoridades turcas de protección de datos (que no están sujetas a la legislación del RGPD) debido a este incidente, lo que evidencia cómo una vulneración de la seguridad puede conllevar varias multas a escala mundial. Por último, en marzo de 2019, se le impuso una multa de 28 millones de dólares estadounidenses (que tan solo redujo los beneficios de la empresa en 3 millones de dólares, dado que Marriott contaba con un seguro frente a ataques cibernéticos).
La vulneración de la seguridad de Marriott se hizo pública el 30 de noviembre de 2018. En el mes siguiente a la publicación de la noticia, la cotización de Marriott se desplomó un 17%, si bien ello se produjo en un contexto caracterizado por un mes de diciembre volátil y por la elevada rentabilidad que registró la cadena hotelera en 2017(5)
Los análisis empíricos del mercado muestran que los inversores penalizan a las empresas que sufren filtraciones de datos. Ello debería constituir un importante incentivo para que las empresas se centren en adoptar medidas de ciberseguridad más eficientes. Un estudio reciente sobre empresas cotizadas en la Bolsa de Nueva York (NYSE) que experimentaron la filtración de al menos un millón de sus registros de forma pública mostró que sus cotizaciones marcaron mínimos aproximadamente dos semanas después de que la noticia del incidente se diese a conocer, con una caída media del 7,27%, y registraron una rentabilidad un -4,18% inferior a la del NASDAQ6. El mismo estudio reveló que, aunque la repercusión de la filtración sobre la cotización disminuía con el tiempo, las acciones de estas empresas se situaban a la zaga del mercado (en un intervalo de uno o dos años).
Incidencia del riesgo cibernético en la generación de valor: medidas para calcular los efectos sobre los costes y los ingresos
En vista de que predecir cuándo se producirán incidentes cibernéticos concretos resulta prácticamente imposible, asignar un precio al riesgo cibernético constituye todo un reto. Además, un estudio elaborado recientemente por Deloitte sugirió que las aseguradoras se muestran indecisas a la hora de suscribir pólizas de riesgo cibernético debido a los retos que plantea la modelización financiera de un área en constante evolución a medida que surgen periódicamente nuevas amenazas y tipos de ataque7. Dicho esto, los ataques cibernéticos de elevada complejidad también se han traducido en la suscripción de pólizas más sofisticadas y, de hecho, los proveedores de seguros para el ámbito cibernético indican que, en los últimos tres o cuatro años, los datos para elaborar modelos basados en supuestos son cada vez más homogéneos entre los principales proveedores de seguros cibernéticos8.
En un estudio de 2019 sobre las 2.000 empresas más destacadas a escala internacional, Accenture reveló que, en 2017, el coste medio global de un delito informático era de 11,7 millones de dólares estadounidenses por empresa. No obstante, el coste medio, junto con el número de vulneraciones, se ha incrementado en 1,3 millones de dólares estadounidenses en términos interanuales9. En el caso de las empresas de pequeña y mediana capitalización, que disponen de menos recursos para asignar a las áreas de TI y ciberresiliencia operativa, el coste podría ser aún más elevado. Sin embargo, existe una divulgación limitada de los costes de los incidentes o de la especificidad de los costes de cada incidente (por ejemplo, el tiempo de inactividad o el gasto necesario en ciberseguridad). Por tanto, en este informe no tratamos de realizar una estimación de los costes.
En su lugar, hemos identificado los sectores en los que la generación de valor se encuentra más expuesta a los incidentes cibernéticos. Nos centramos en algunos de los sectores más vulnerables y estimamos qué parte del negocio de una empresa podría correr más riesgo.
Para evitar entrar en especificidades tecnológicas, nuestra puntuación contempla únicamente los sectores que presentan un riesgo elevado. De cara a atribuir una puntuación sectorial, calificamos los sectores en función de tres grupos de indicadores: potencial de daños (a bienes, a personas, al medio ambiente o disrupciones), tipo de carencia del sistema (falta de conocimiento, experiencia o comunicación) y exposición (modelo de negocio delicado, almacenamiento de datos valiosos o sensibles). En el caso de las calificaciones sectoriales según el primer y tercer grupo de indicadores, analizamos los modelos operativos de los sectores en cuestión para identificar las repercusiones pertinentes. El segundo grupo de indicadores abarca las posibles deficiencias en las prácticas empresariales: grado de preparación y gobernanza, antigüedad de los sistemas, conocimiento, experiencia y comunicación.
Para asignar una calificación de acuerdo con este grupo, analizamos aproximadamente treinta publicaciones comerciales, informes de conferencias de responsables de la seguridad de la información (CISO) y estudios de consultoras para comprender los problemas sistémicos más comunes en un sector determinado. Otra vertiente de la exposición consiste en determinar si el modelo empresarial se estructura en torno a los datos o si los datos que las compañías del sector en cuestión suelen almacenar son especialmente sensibles o valiosos. En pocas palabras: puntuamos las empresas atendiendo a si disponen de una política adecuada de gobernanza del riesgo cibernético, si sus sistemas están actualizados, si tienen acceso a los conocimientos necesarios y si las diferentes áreas de la compañía se comunican lo suficiente entre ellas como para integrar soluciones de seguridad de forma efectiva.
Los sectores más expuestos pertenecen principalmente a dos grupos: el industrial y el manufacturero. Ambos obtienen unas puntuaciones de medias a altas en términos de exposición, pero se ven lastrados por la falta de inversión en sistemas y conocimientos.
Los sistemas en los sectores de ocio y de restauración suelen carecer en gran medida de la sofisticación necesaria para satisfacer las demandas de tratamiento de los datos sensibles sobre clientes que gestionan.
Contexto sobre nuestras expectativas para las empresas
Puesto que resulta imposible blindarse frente a los ciberataques, las empresas deberían tratar de estar lo suficientemente preparadas para responder ante posibles incidentes que impliquen una vulneración de los sistemas informáticos.
Una de las medidas centrales debería ser lograr tener una comprensión clara de qué componentes del modelo empresarial (ingresos) están más expuestos a los riesgos cibernéticos de gran relevancia. Como hemos mencionado anteriormente, un incidente podría conllevar la interrupción de las operaciones durante varios días, lo que se traduciría de inmediato en la pérdida de ingresos comprometidos por contrato. Tomemos como ejemplo el sector de telecomunicaciones, que suele estar mejor preparado en comparación con los casos de alto riesgo que hemos analizado antes. Una gran empresa de telecomunicaciones podría obtener en torno a un 20% o 30% de sus ingresos totales de la prestación de servicios empresariales, y que los ingresos derivados de los negocios que gestiona estén sujetos a acuerdos de nivel de servicio con empresas clientes. Los clientes podrían exigir el cumplimiento de estos acuerdos en caso de que se produzca una vulneración, por lo que la responsabilidad recaería sobre el proveedor del servicio. Por citar otro ejemplo, las empresas digitales —cuyo producto principal es el código fuente— no podrían comercializar su producto en caso de que tenga lugar una vulneración del código, lo que se traduciría en unas pérdidas de ingresos aún mayores.
Otra de las principales preocupaciones expresada por los CISO es que, por lo general, las empresas no invierten lo suficiente en la preparación para afrontar incidentes cibernéticos. Según un estudio de IBM10, las empresas deberían invertir, preferiblemente, un 14% de su presupuesto de TI en ciberseguridad, pero si analizamos los promedios sectoriales en el contexto de los ingresos obtenidos en 2018, resulta evidente que las empresas no están invirtiendo lo suficiente en este aspecto (por ejemplo, las firmas de TI invierten el 3,73% de sus ingresos). Para las compañías, divulgar públicamente su presupuesto de ciberseguridad resulta complicado, pero creemos que los inversores deben solicitar información detallada.
Binary data on skyscrapers
Cuáles son nuestras expectativas en relación con la preparación de las empresas en materia de ciberseguridad
En el marco de nuestro análisis, hemos elaborado un cuestionario sobre el grado de preparación en materia de ciberseguridad de las empresas en las que invertimos con el objetivo de comprender nuestra exposición al riesgo cibernético en dichas inversiones. Nuestro cuestionario tiene 17 preguntas que se centran en la identificación, la gestión, la implementación y el cálculo de la exposición a los riesgos cibernéticos de gran relevancia.
Hemos determinado las mejores prácticas a raíz de las respuestas a nuestro cuestionario recabadas en los diferentes sectores. Estas constituyen nuestras cuatro principales expectativas en relación con el grado de preparación en el ámbito de la ciberseguridad.
- Identificación del riesgo cibernético: el desconocimiento por parte de una empresa de los principales riesgos cibernéticos para su negocio constituye una señal de alerta. Esperamos, por un lado, que la predisposición al riesgo de la empresa esté en consonancia con el conocimiento de los principales riesgos cibernéticos para el negocio y, por otro, la elaboración de una estrategia específica para los ciberactivos. Por ejemplo, un activo como el código fuente requiere una protección diferente que los datos personales.
- Gobernanza: la ciberresiliencia debería ser una cuestión que involucre al consejo de la empresa. Las políticas de datos y privacidad deberían aplicarse a escala generalizada, abarcar a terceros y estipular unas normas mínimas para hacer negocios con ellos. Abogamos por que el consejo revise las competencias cibernéticas trimestralmente.
- Contexto: la mejor práctica en este ámbito es ser consciente de la necesidad de disponer de un ecosistema de mayor solidez en materia de ciberresiliencia. Así, la mejor práctica en el plano contextual y del ecosistema es el intercambio de conocimientos y la colaboración sobre cuestiones prioritarias con los homólogos.
- Implementación: las empresas con las mejores prácticas cuentan con destacados procesos de previsión de incidentes y control de daños. También esperamos que las empresas con mejores prácticas hayan integrado la ciberseguridad a escala de producto en una fase temprana del desarrollo del mismo y que gestionen sus ciberactivos y costes de forma efectiva.
Conclusiones
Las inmensas oportunidades de negocio que genera la digitalización pueden llevar aparejado un coste de múltiples billones de dólares si las empresas no se preparan adecuadamente para hacer frente a los ataques cibernéticos. La falta de inversión en conocimientos y sistemas de ciberseguridad, la ausencia de la sofisticación necesaria para satisfacer las demandas de tratamiento de datos sensibles sobre clientes y la carencia de planes de recuperación frente a incidentes son algunas de las señales que consideramos alarmantes en los sectores que presentan un riesgo elevado. En este informe, hemos citado datos del mercado que indican que los inversores reaccionan claramente a los incidentes en materia de ciberseguridad y a su gestión por parte de las empresas. Además, reflexionamos sobre dónde podían dejarse sentir las consecuencias financieras de los incidentes cibernéticos. Por último, brindamos nuestras expectativas en materia de mejores prácticas de ciberresiliencia como conclusión a nuestro análisis.to our analysis.
(1)Foro Económico Mundial, The Cybersecurity Guide for Leaders in Today’s Digital World,[Guía de ciberseguridad para líderes en el mundo digital actual] 2019.
(2) Fuente: The Untold Story of NotPetya, the Most Devastating Cyberattack in History, [El relato oculto de NotPetya, el ciberataque más devastador de la historia]2018 Wired Magazine.
(3) Maersk no fue en absoluto la única empresa que se sufrió la caída de sus sistemas de TI por la acción de NotPetya: el productor de alimentos y bebidas Mondelez, el gigante farmacéutico Merck, la agencia de publicidad WPP, el fabricante de productos de salud e higiene Reckitt Benckiser, la constructora francesa Saint-Gobain y la filial europea de FedEx, TNT Express, fueron algunas de las miles de multinacionales afectadas. 4 Fuente: Marriott Takes $126 Million Charge Related to Data Breach [Marriott asume un gasto de 126 millones de dólares relacionado con la filtración de datos], .
(4) Source: Marriott Takes $126 Million Charge Related to Data Breach, 2019 Wall Street Journal.
(5) Según los analistas, había posibilidades de que la cotización de Marriott experimentase una corrección en 2018, puesto que se revalorizó un 64% en 2017. Sin embargo, la presión se acentuó en el segundo semestre de 2018 debido a una confluencia de factores y, posteriormente, a las noticias sobre la brecha de seguridad en concreto.
(6) 6 Bischoff, Paul, Comparitech: How Data Breaches Affect Stock Market Share Prices [Cómo las violaciones de datos afectan a las cotizaciones bursátiles] 28 Nov 2019.
(7) Fuente: Deloitte, 2018
(8) Se estima que el mercado de seguros cibernéticos tiene un valor de unos miles de millones de dólares. Según Fitch, en 2018, las primas suscritas totales del sector de los seguros cibernéticos crecieron un 8%, hasta los 2.000 millones de dólares estadounidenses. Fuente: Fitch Ratings 2019, “Cyber Insurance Growth Slows, Market Remains Untested” [El crecimiento del sector de seguros cibernéticos se ralentiza, el mercado sigue sin estar consolidado], 14 de mayo de , 2019.
(9) Ponemon Institute LLC y Accenture, The Cost of Cybercrime [El coste de los delitos informáticos], 2019.
(10) The Wall Street Journal, IT spending: From value preservation to value creation [Inversión en TI: de la preservación de valor a la generación de valor], 12 de marzo de 2018