Madrid
La actividad principal de sectores vitales como el transporte, la energía, la sanidad y las finanzas depende cada vez más de las tecnologías digitales. La pandemia de Covid-19 ha acelerado esta tendencia, que presenta una contrapartida evidente: la exposición de la economía y la sociedad a un número creciente de ciberamenazas.
El coste anual del cibercrimen en todo el mundo en 2020 se calcula en 5,5 billones de euros -el doble que en 2016-. Para poner la cifra en perspectiva, se trata de una cuantía superior a la que mueve el narcotráfico. En la Unión Europea (UE) en 2019 el número de incidentes de ciberseguridad se triplicó respecto al año anterior.
No es de extrañar que las empresas den cada vez más importancia a este desafío. Hoy la presencia de un perfil experto en riesgo tecnológico en el consejo de administración es un requisito indispensable para las grandes empresas. Esta fue una de las principales conclusiones del observatorio El rol del consejo ante los retos de la ciberseguridad, celebrado por elEconomista en colaboración con PwC.
Para Jesús Romero, socio responsable de Business Security Solutions de PwC, "el riesgo tecnológico cada vez tiene más peso en el mapa de riesgos corporativos, es la otra cara de la moneda de los beneficios que aporta la digitalización". A juicio de Romero, la gestión de la ciberseguridad "ha de ser supervisada por el consejo de administración", y al comité de dirección le corresponde aplicar la estrategia al más alto nivel.
Rosa Kariger, Global CISO de Iberdrola, señala que la ciberseguridad es "un riesgo operacional más", específico y "muy novedoso", entre los que debe abordar una compañía, como Iberdrola, dedicada desde hace más de 100 años a la operación de infraestructuras críticas. Y puntualiza que no se debe abordar separadamente. "Nuestro consejo está muy concienciado; en 2015 aprobó una política de gestión de riesgos de ciberseguridad, que dicta la transformación cultural necesaria para que este riesgo esté embebido" en el plan estratégico.
El coste anual del cibercrimen en todo el mundo fue de 5,5 billones de euros el año pasado
La implicación del consejo es también notable en el sector de la banca. "Los consejos de todo el sector financiero están muy concienciados del riesgo tecnológico y operacional que supone un ciberataque. La banca en general tiene que proteger los datos muy sensibles -cuentas, movimientos...- y también los fondos" de los clientes, apunta Gorka Díaz, CISO global de CaixaBank. "Un ransomware que deje nuestros canales indisponibles supone un daño inmenso".
Para Juan Cobo, Global CISO de Ferrovial, "en la medida en que la generación de valor y negocio para una compañía depende cada vez más de la tecnología, la ciberseguridad se ha convertido en una disciplina importante para el consejo de administración. Hoy las ciberamenazas están en el top 10 de nuestro mapa de riesgos: hay reportes de seguimiento con el Comité de Dirección, el Consejo y la Comisión de Auditoría y Control".
Laura Iglesias, head of Cyber Security Spain Vodafone, coincide en que la relevancia de los riesgos cíber lleva años reflejándose, por ejemplo, en los informes de resultados, y apunta una tendencia: "El cambio que veo es hacia la proactividad: no solo being aware, sino tener un papel más activo, hacer más preguntas para entender mejor la estrategia que hay de mitigación de riesgo". A juicio de Iglesias, los CISO -los directores de seguridad de la información- tienen aquí un papel clave para "facilitar que se entienda el mapa de riesgos y cómo se compara con el de otras organizaciones del sector".
Las comparaciones, claves
De esta comparación podría derivarse, incluso, una ventaja competitiva para la empresa, según Jesús Romero, si esta puede acreditar un mayor número de certificaciones, por ejemplo. "Hay estudios que demuestran que cuando se produce una fuga de información aumenta el churn -la rotación de los clientes-: si te mantienes seguro, reduces el churn y quizá puedas captar más clientes".
Rosa Kariger matiza que depende mucho del sector de que se trate. En el caso de Iberdrola, el "objetivo es que no haya incidencias", con independencia de la causa, lo cual no se traduce en una ventaja competitiva. Sin embargo, para un proveedor puede significar "no ya una ventaja, sino la propia supervivencia de la empresa. Me preocupa que la ciberseguridad se siga viendo como un plus: debe ser un must".
Para Gorka Díaz, "en el sector tecnológico es claramente una ventaja competitiva. En principio no debería serlo, ya que hablamos de un mínimo indispensable, pero empieza a ser un valor añadido" en empresas como Apple, que apuesta ahora a la privacidad de los datos de usuario como su mejor claim.
Juan Cobo precisa que la ciberseguridad "sí es una ventaja competitiva cuando hablas con Gobiernos" y están implicadas infraestructuras críticas, como puede ser un aeropuerto. "Antes se asociaba el riesgo a la pérdida de datos, de información confidencial... Hoy hablamos, además, de disrupción de activos", en los que un fallo supone un impacto en la línea de flotación de la compañía.
Laura Iglesias coincide en el efecto beneficioso de las certificaciones de cara a cumplir con los pliegos del sector público, pero puntualiza que la falta de seguridad puede más bien ser una desventaja competitiva: "Entre los consumidores se da por hecho que los servicios tienen que ser seguros: una brecha de seguridad tiene un impacto tremendo, reputacional e incluso legal. Tener un incidente es una desventaja; ser una empresa preocupada por la ciberseguridad es una obligación, más que una ventaja competitiva".
Para Israel Hernández, socio Business Security Solutions responsable de Sector Financiero en PwC, "depende del sector, de tu statement corporativo y de si eres punta de lanza". Para Hernández, que la ciberseguridad se aborde en el consejo "tiene un carácter traccionador de la regulación. En banca y seguros, este efecto arrastre es espectacular: si te tienes que conectar con un banco o una organización publica", te ves obligado a sofisticar tu política de gestión de los ciberriesgos.
¿Es necesario un experto?
Sentada la importancia de que el consejo de administración sepa de los riesgos tecnológicos a los que se enfrenta la organización y cómo se están abordando, surge la pregunta de si ello requiere que en el consejo haya un experto específicamente en el área de ciberseguridad.
"Yo creo que en el consejo no tiene que haber experto en cíber -explica Juan Cobo-, pero sí alguien que sepa de los riesgos, que tenga conocimiento, aunque no necesariamente de ciberseguridad. El enlace con riesgos tecnológicos tiene que estar si para tu empresa el riesgo tecnológico es importante".
Rosa Kariger coincide en que el sector importa, aunque no cree "que haya ninguna empresa para la que la tecnología no sea relevante. Es relevante para la propuesta de valor de la empresa", sea esta cual sea. Para Kariger "no hace falta que sea experto, pero sí que sepa muy bien qué riesgos afectan más a la compañía. Es fundamental que el CISO hable en clave de negocios" y no se quede solo en el plano técnico.
Una valoración similar hace Laura Iglesias: "No es tanto que haya una persona experta en cíber en el consejo, sino que la empresa tenga mecanismos adecuados para hacer el seguimiento de la gestión, y que dicho perfil tenga el engagement adecuado con el consejo".
En opinión de Gorka Díaz, ese grado más de conocimiento en ciberseguridad puede tener un valor añadido: "No es suficiente que [los consejos] tengan el soporte de un grupo experto, sino que debe haber alguien con el suficiente criterio técnico para cuestionar estrategias corporativas". Por ejemplo, alguien capaz de discernir si es más ventajoso para la empresa apostar por un entorno de nube multicloud o una arquitectura de nube híbrida.
La herencia recibida
El riesgo tecnológico es asimismo un aspecto crucial a la hora de tomar decisiones corporativas importantes, como la entrada en un nuevo mercado o los procesos de M&A -fusiones y adquisiciones de empresas-, más allá de lo que dicten la due diligence, la auditoría previa que permite al comprador conocer información relevante sobre la compañía que quiere adquirir.
Para Juan Cobo, cuando se plantean estas operaciones, el consejo es consciente de que "hay una serie de riesgos y hoy en día la ciberseguridad sí está entre ellos". Cobo apunta, además, que hoy, gracias a los ratings, es más fácil conocer el número de incidencias de la empresa objeto de la operación.
Cada vez más las empresas quieren saber a qué riesgos se exponen y cómo protegerse
Para Rosa Kariger depende mucho del sector y del tipo de compañía que se va a adquirir: "No es lo mismo comprar una plataforma de pagos que una distribuidora de electricidad", y el riesgo tecnológico debería estar incorporado en el coste de la operación. La dificultad estriba, a veces, en la ausencia de estándares que permitan hacer esa cuantificación.
Juan Cobo apunta que sí hay métricas para evaluar el impacto de un ciberincidente sobre tus activos, pero que "cuantificar no lo es todo". Sobre todo cuando se trata de activos que, como determinadas infraestructuras, tienen un valor "a 50, 60, 70 años..." que hace mucho más difícil la estimación, extremo en el que coincide también Rosa Kariger.
Laura Iglesias recuerda que, en el momento en que la empresa adquirida pasa a formar parte de tu organización, cualquier incidente de ciberseguridad que pueda surgir también te pertenece: "Tienes que poner esa empresa en el mismo baseline de seguridad en el que está tu organización, y eso tiene un coste".
Para Gorka Díaz, la tendencia es buena, pero llega tarde: "Empezamos ahora a hacer una valoración de riesgo cíber en procesos de M&A, pero tradicionalmente no se hacía. Los procesos de M&A son sobre todo financieros y los costes indirectos, como los de ciberseguridad, pesan menos. Es una dimensión que ha estado infravalorada y cuya importancia se está comprobando a golpe de incidentes".
Israel Hernández considera que la clave está en el tipo de operación, ya que no es lo mismo una compra que una integración o la absorción de una cartera. "Si el proceso de integración es de un año, qué pasa en el interim... En los procesos de M&A, nosotros trabajamos con la parte de IT, que quiere que en unos días tengas la red flag, es decir, '¿me tengo que preocupar por algo o no?'".
En la buena dirección
Todos los ponentes coinciden en su apreciación de que la tendencia es buena y se ha avanzado mucho en los últimos años en la implicación del consejo en cuestiones de riesgo tecnológico y ciberseguridad, si bien hay consenso en que las empresas medianas y, sobre todo, las pequeñas, tienen camino que recorrer.
"Los riesgos no son estáticos", apunta Laura Iglesias, y la sofisticación y democratización de los ataques exigirá cada vez un mayor grado de alerta y compromiso del lado de las empresas. Entre los desafíos inmediatos, algunos ejemplos: caminar hacia un esquema de identidad digital a nivel europeo, avanzar en la regulación y la supervisión y una mayor implicación por parte de la Administración pública en "la resiliencia sistémica".
