Y vosotros, ¿podéis hacer una cyber due-diligence? Recientemente mi hija me hacía esta pregunta. Ella trabaja en un fondo de private equity en el Reino Unido y, durante los procesos de análisis de una potencial inversión, la evaluación de la ciberseguridad de las compañías ya es un trámite más dentro de todo el proceso. De hecho, Reino Unido y Estados Unidos cuentan con compañías especializadas y que solamente se dedican a prestar este tipo de servicios para casos de fusiones y adquisiciones.
Actualmente, la seguridad de la información no es una cuestión tecnológica, sino un factor clave en la gestión de riesgos de negocio, por lo que la evaluación de ciberseguridad resulta necesaria en todos los sectores y no solamente en los relacionados con la tecnología. Y es que, la tecnología es un componente fundamental para desarrollar todo tipo de negocios y depender de la misma hace que cualquiera sea un objetivo potencial de un ciberataque.
Un posicionamiento deficiente en ciberseguridad puede desencadenar un ciberataque con unas consecuencias muy perjudiciales, que puede hacer imposible conseguir los objetivos de negocio planificados, con el consiguiente deterioro de la inversión.
El perjuicio que un incidente puede causar en la continuidad de negocio puede ser inmenso. Podemos pensar, por ejemplo, en casos de ramsomware como el de NotPetya, que causó a Maersk pérdidas superiores a 300 millones de dólares, o en un robo directo -como el realizado mediante transferencias SWIFT fraudulentas por 81 millones de dólares en el Banco de Bangladesh-, a los que también debemos añadir posibles pérdidas de propiedad intelectual, deterioro de la propia imagen, etc. Sin olvidar que esto puede acarrear también las posibles sanciones derivadas de la aplicación del Reglamento de Protección de Datos.
Además, es preciso tener en cuenta que el perímetro a proteger por las organizaciones se amplía con el de sus proveedores, tanto de aquellos que se conectan a los sistemas como de los que procesan la información de sus clientes en los propios del proveedor. En ambos casos, los proveedores suponen una mayor superficie de riesgo de ataque, añadido al de la propia organización.
En el caso de una entidad dedicada a la gestión de activos, que comprende un número más o menos elevado de inversiones, cada una de ellas con su correspondiente cadena de suministro, garantizar un posicionamiento de ciberseguridad con los niveles adecuados y apropiados puede resultar una tarea ingente, a menos que se disponga de una metodología idónea para llevar a cabo esta tarea.
Es imprescindible que este tipo de entidades realicen una evaluación a la hora de abordar una nueva incorporación, en la que además de analizar los aspectos financieros y legales, extienda ese análisis a sus proveedores para garantizar que existe un nivel de seguridad adecuado y suficiente para evitar que un ciberataque conlleve un riesgo inasumible para la inversión.
Quien esté poco familiarizado con la ciberseguridad, puede caer en la tentación de utilizar alguna de las últimas herramientas de “rating” digital que están proliferando en los últimos años (como BitSight, MetricStream o RiskRecon). Estos sistemas ofrecen una valoración de la exposición de la entidad ante posibles ataques procedentes de Internet, lo que supone una visión exclusivamente desde el exterior. Es como asegurar un edificio utilizando sólo una fotografía aérea. Es un método que resulta bastante rápido, pero que no tiene en cuenta aspectos fundamentales, como la madurez de la organización en el establecimiento e implantación de políticas y procedimientos, la formación y concienciación de su personal, o la preparación y la capacidad de recuperación para gestionar los incidentes de seguridad.
Sólo un análisis profundo y riguroso de todos estos factores, que además compruebe cómo la organización extiende la protección a la gestión de sus proveedores, puede aportar una visión y valoración reales y fiables del nivel y capacidades de seguridad, y por tanto permitir controlar el riesgo asociado.
Dicho esto, si este proceso se hace para evaluar una potencial inversión, también es una razón para aplicarlo a las inversiones que ya se tienen en cartera. La exposición es la misma y las consecuencias de sufrir un ciberincidente pueden resultar igualmente perjudiciales. Los ciberdelincuentes no tienen en cuenta el momento en la vida de una organización, sino que todas las oportunidades son buenas y, por tanto, debe realizarse una rigurosa evaluación del nivel de ciberseguridad con la misma regularidad que la revisión del desempeño financiero.
¿Que si podemos hacer una cyber due-diligence? Por supuesto que podemos. De hecho, existen calificaciones que son en sí mismas una cyber due-diligence, mucho más completas y fiables que la gran mayoría de las que se realizan con esta finalidad.
Tribuna de Alfonso Pastor, socio de LEET Security.
Por Funds Society, Madrid
Por Clara Suarez