No es novedad el aumento de las amenazas cibernéticas que sufren las empresas año a año. El incremento de ataques a través de ransomware el año 2021 fue de 92,7%; Kaspersky detectó 1 millón más de software para robar contraseñas en abril de este año comparado con el año pasado (4.003.323) a nivel global.

Es por esto por lo que la gestión del riesgo cibernético se está convirtiendo en una prioridad para muchas organizaciones. Los inversionistas también están cada vez más atentos al impacto que el ciberdelito puede tener en las empresas y lo están convirtiendo en un elemento central del análisis ambiental, social y de gobernanza (ESG) que llevan a cabo sobre la sostenibilidad de una empresa. Una brecha de seguridad en una empresa en crecimiento puede significar el término de contratos importantes, o peor aún, si no es tratada con cuidado, la tormenta perfecta para detener la próxima ronda de inversión, disminución del ritmo de adopción de clientes con una fuga de clientes desatada.

Los datos del gobierno inglés publicados en marzo 2022 pusieron al descubierto el problema que enfrentan las empresas del Reino Unido en lo que respecta al delito cibernético. La encuesta “The Cyber Security Breaches Survey 2022” del departamento Digital, Cultura, Media y Deporte (DCMS) muestra que el 39% de las empresas fueron víctimas de al menos un ataque cibernético en el último año, con el 31% de las empresas estimando que fueron atacados al menos una vez por semana, siendo los ataques más comunes el phishing, ransomware y denegación de servicio distribuido.

El informe de DCMS estima que la infracción promedio costó £ 4,200 (unos 5000 USD), aumentando hasta a £ 19,400 (23.000 USD) en medianas y grandes empresas.

Es por esto que poner la ciberseguridad en el centro de las estrategias ESG es vital para demostrar una buena gobernanza.

“El riesgo cibernético es el riesgo de sustentabilidad más inmediato y material desde el punto de vista financiero que enfrentan las organizaciones en la actualidad”, argumentan Anna Sarnek y Cristina Dolan en un artículo para el Foro Económico Mundial. “Aquellos que no implementen una buena gobernanza en ciberseguridad, utilizando herramientas y métricas apropiadas, serán menos resistentes y menos sostenibles”.

ESG y ciberseguridad: ¿Qué importancia tiene la gestión de riesgos?

La pandemia de Covid-19, que vio un fuerte aumento en la cantidad de ataques cibernéticos a nivel mundial, también sirvió como una llamada de atención para la comunidad inversora en lo que respecta a ESG y ciberseguridad. La pandemia “amplificó los desafíos de lidiar con los riesgos de seguridad cibernética”, dice Betina Vaz Boni, analista senior de gobierno corporativo en Principios para la Inversión Responsable (PRI), una organización respaldada por las Naciones Unidas que promueve la inversión sostenible.

“Las amenazas a la seguridad cibernética continúan evolucionando a un ritmo rápido, con un número creciente de filtraciones de datos con impactos severos en los últimos meses”, dice Vaz Boni. “Si bien algunos inversionistas se han preocupado de exigir a las compañías en su portafolio la mitigación de daños y oportunidades de mejoras, muchos más solo reconocen la necesidad de hacerlo dada su relevancia sistémica y la gravedad potencial del impacto”.

Junto con el aumento del nivel de amenazas, la transformación digital también ha hecho que la ciberseguridad suba en la agenda de inversionistas, dice Katerina Kosmopoulou, socia y gerente de cartera en el administrador de activos J.Stern & Co. “Empresas que históricamente no estaban digitalizadas, en industrias como infraestructura y entornos industriales, ahora están comenzando a depender de las cadenas de suministro digitales”, dice. “Eso significa que la ciberseguridad y cómo se abordan esos riesgos es clave”.

Para las propias empresas, hacer que la ciberseguridad sea central para las estrategias ESG es vital por tres razones, ayuda a proteger los activos intangibles, como los datos, protege a la empresa de una pérdida financiera a través de una estafa o extorsión y protege a la sociedad de los impactos potenciales de un ciberataque dañino como la ruptura del Oleoducto Colonial el año pasado, que provocó la escasez de combustible en la costa este de los EE. UU.

Además, legislaciones como la chilena incluirán los delitos informáticos especificados en la ley N° 21.459 dentro de la ley N°20.393 a partir de diciembre 2022, lo que establece la responsabilidad de las personas jurídicas en disponer el establecimiento de un sistema de prevención de este tipo de delitos, aumentando así la necesidad de incluir la política de ciberseguridad dentro de la gobernanza de la organización.

¿Qué les dicen las empresas a los inversionistas sobre los incidentes de ciberseguridad?

Si bien los inversionistas están ansiosos por tener en sus manos datos en torno a la ciberseguridad, las empresas que buscan inversiones no siempre cuentan con esta información. Muchos incidentes cibernéticos se resuelven de forma privada y no se denuncian. «Mucha de la información que se proporciona a los inversores [sobre ciberseguridad] es de alto nivel y generalmente cualitativa«, dice Kosmopoulou. «Por razones obvias, las empresas no quieren divulgar demasiado, por lo que debemos analizar las capacidades digitales más amplias de una empresa y la experiencia que tienen y emitir un juicio«.

A algunas empresas les preocupa que demasiada divulgación pueda provocar un «escrutinio no deseado de los piratas informáticos«, dice Vaz Boni del PRI. Otros «se encuentran en etapas tempranas en términos de desarrollar una comprensión del problema y, por lo tanto, no están preparados para poner información detallada en el dominio público«, agrega. «La falta de divulgación pública dificulta que los inversionistas diferencien entre aquellas empresas que están desarrollando, monitoreando y gestionando de manera proactiva los riesgos de seguridad cibernética frente a aquellas que no priorizan estos riesgos«.

Las empresas se están volviendo más transparentes en materia de ciberseguridad, según una investigación del PRI. En su estudio Comprometerse con la seguridad cibernética, se estudiaron 55 fondos de inversión, que consultaron con 53 de sus empresas en sus portafolios, sobre cuestiones relacionadas con las estrategias de ciberdefensa. El estudio comparó la forma de enfrentar esta problema en 2017 y 2019, evaluando la gobernanza de la seguridad cibernética en 14 indicadores que incluyen cumplimiento legal, experiencia, políticas y capacitación. Encontró que para 2019, el número promedio de indicadores cumplidos había aumentado a 8,5, de 6,1 en 2017. El número de empresas que cumplían diez o más de los indicadores había aumentado del 13% al 42% en ese período de tiempo.

Vaz Boni dice que esto representa una dirección positiva, pero aún queda trabajo por hacer. «Las empresas señalaron diferentes niveles de comodidad para comunicar de manera efectiva los asuntos de seguridad cibernética interna y externamente«, dice ella. «Si bien estaba claro que las empresas informaban activamente a sus directorios sobre la cantidad de incidentes de brechas cibernéticas y su impacto, las conversaciones a menudo no describían los mecanismos de escalamiento y el tipo de incidentes que desencadenaron los informes«.

Agrega: «Las empresas estaban más inclinadas a hablar abiertamente sobre sus políticas y procedimientos cibernéticos si un compañero se había visto afectado por un incidente relacionado con la cibernética o si había experimentado un incidente grave anteriormente«.

ESG: ¿cómo pueden las empresas mejorar la gobernanza de la ciberseguridad para impresionar a los inversores?

Incluso si no quieren revelar los detalles completos de los incidentes, Kosmopoulou de J.Stern dice que las empresas pueden mostrar a los inversores que están enfocados en la seguridad cibernética asegurándose de que sus estructuras de gobierno lo reflejen. «Analizaríamos si la junta directiva y la alta gerencia tienen experiencia en seguridad cibernética y TI más amplia, y dónde se encuentra [la seguridad cibernética] en la estructura de informes», dice. «Si depende del nivel de la junta directiva o de la alta gerencia, puede pensar que se lo toman en serio y es el corazón de lo que hacen. Si no, es una señal de alerta«.

Del mismo modo, dice Kosmopoulou, la ciberseguridad debería ocupar un lugar destacado en cualquier mapeo de riesgos que lleven a cabo las empresas como parte de las estrategias ESG. «La junta normalmente tendrá un mapa de riesgos para el negocio«, dice ella. «Y la seguridad cibernética debería estar ahí arriba como algo que surge como un tema principal en cualquier evaluación de riesgos«.

En términos más generales, los estándares para la notificación de incidentes cibernéticos serían un desarrollo bienvenido, dice Vaz Boni de PRI. En marzo, el regulador financiero de EE. UU., la Comisión de Bolsa y Valores, propuso nuevas reglas sobre informes cibernéticos, que introducirían un requisito periódico para informar sobre incidentes cibernéticos, actualizar sobre infracciones pasadas y delinear políticas de gestión de riesgos de seguridad. «Creo que tanto las empresas como los inversores se beneficiarían si esta información se requiriera de manera consistente, comparable y útil para la toma de decisiones«, dijo el presidente de la SEC, Gary Gensler, en ese momento. La consulta sobre los planos se extiende hasta el 9 de mayo.

Vaz Boni dice que el PRI «acoge con beneplácito las regulaciones sobre el tema«, y agrega: «Las regulaciones sobre ciberseguridad pueden ayudar a impulsar la divulgación estandarizada y transparente de las empresas«.

En Kepler te podemos ayudar a través de un levantamiento de oportunidades de mejora y vulnerabilidades, para luego, a través de una metodología de trabajo internacional y reconocida por el gobierno de EEUU, llevar a tu empresa a crear procedimientos y una cultura de ciberseguridad, de manera de lograr mejorar tu capacidades de defensa y recuperación, control y monitoreo. Para más información, pregunta por nuestro plan de Consultoría en Ciberseguridad