La situación provocada por la pandemia ha supuesto un elemento disruptivo que ha propiciado el incremento de numerosos y variados ataques cibernéticos. Según la experiencia de KPMG, normalmente, los ataques se asocian al comercio online, a los bancos de datos o las instituciones públicas. Sin embargo, la industria de gestión de activos también está en el radar de los ciberdelincuentes.
Según una encuesta realizada por la propia firma a 700 empresas de 25 sectores, solo un 32% aseguró que pueden mantener su actividad por encima del 80%. Por ello, en gran medida la ciberseguridad se identifica como una de las principales preocupaciones de las compañías. “Aquí no hay un sector con más o menos riesgos, todos los sectores son igualmente vulnerables porque la escalabilidad de los ataques cibernéticos es sencilla. Puede que el sector bancario, por su historial, esté más preparado o cuente con una mayor regulación para protegerse. Pero la realidad es que todas las compañías deberían contar con planes de continuidad para su negocio tras un ataque”, señalaba Marc Martínez, socio de Technology Risk en KPMG.
En este sentido, la industria de gestión de activos se enfrenta a un reto muy grande a la hora de abordar cómo mitigar los riesgos de un ciberataque. Ahora bien, ¿cuál es el panorama al que se enfrentan? Según la experiencia de David Matesanz, CISO Global de Santander Asset Management, hay que tener en cuenta dos conceptos: comprender que las amenazas de ciberseguridad son competidores y desarrollar la resiliencia del negocio.
“Es determinante la resiliencia, de tal forma que si te atacan, puedes seguir operando. Por eso cualquier entidad o gestor de activos tienen que contar con una estrategia de ciberseguridad que pase por defender a la organización y también por anticiparse. Testear nuestras propias infraestructuras y analizar cómo reaccionamos a los diferentes ataques son fundamentales para identificar debilidades y fortalezas. No nos podemos olvidar que las amenazas a la seguridad no se pueden eliminar, solo las podemos gestionar”, destaca Matesanz.
Bajo estas premisas, Matesanz ve claramente cuatro tipos de empresas diferentes: “Compañías que no se preocupan, las que quieren hacer solo lo que dice la regulación, las que son grandes por lo que invierten y lo gestionan adecuadamente, y, por último, compañías que lo tienen integrado en su ADN y entienden lo relevante que es para los clientes y para ecosistema, y que ven en la ciberseguridad una ventaja competitiva.Creo que hay una brecha entre las grandes empresas y las pymes, que no tienen acceso a la misma información, recursos y skills”.
Desde la parte regulatoria, la resiliencia operacional ha sido el principal enfoque para los reguladores bancarios y de seguros durante algún tiempo, y ahora la atención se centra en los gestores de activos. Francisco del Olmo, subdirector responsable de Fintech y Ciberseguridad de la CNMV, señala que existen diferentes normas que establecen requerimientos generales, pero no hay nada específico. “Ocurre lo mismo para la sociedad de inversión colectivas y para las firmas de inversión. No hay requisitos para aspectos organizativos ni operativos, ni tan siquiera a nivel europeo. A nivel nacional hay algo de mayor detalle, ya que las circulares de la CNMV suelen ser más concretas”, explica.
Sin embargo, Del Olmo explica que el trabajo se está enfocando al ámbito del cloud o almacenamiento en la nube, sobre el que existen diferentes guías con recomendaciones. “Se trata de trasladar ideas como el gobierno, la vigilancia y la documentación que está en esa nube, los requisitos para hacer un buen contrato con los proveedores y cuál debe ser el nivel de seguridad, así como qué se debe comunicar al Supervisor o cómo debemos incorporar ciertos requisitos de estas guías a la supervisión que hacemos desde la CNMV”, añade.
Tras años de experiencia, la consultora ha identificado cuatro riesgos básicos: la falta de un plan de continuidad robusto, un aumento de los casos de phishing y malware, la falta de respuesta de proveedores ante un ataque y la seguridad en canales digitales.
Cómo mitigar las amenazas
Desde KPMG coinciden con la visión de los reguladores y con la experiencia de las entidades al destacar que la resiliencia operacional es la clave. En este sentido, desde la consultora destacan que los gestores de activos y los fondos de inversión han mostrado una gran capacidad de recuperación operativa durante la pandemia, pero los reguladores considerarán qué lecciones deben aprenderse y exigirán a las empresas que demuestren que han aprendido esas lecciones.
Las medidas de distanciamiento social introducidas para frenar la situación actual han obligado a la industria hacer un mayor uso de la tecnología. Existe un enfoque regulatorio renovado en el gobierno y la gestión de la subcontratación y la delegación. Y la búsqueda de la ciberseguridad, que ya era una prioridad, ha ganado aún más protagonismo. La tecnología ha apoyado los esfuerzos para hacer que las reglas ALD / CTF sean más efectivas, pero ha introducido nuevas complejidades.
Según explica Alberto Blázquez, senior manager de ciberseguridad de KPMG en España, la gestión de activos tienen por delante el reto de seguir operando en un entorno complejo y cambiante, el ejemplo más claro ha sido la necesidad de garantizar la seguridad durante el teletrabajo. “Esto ha supuesto tener que reconfigurar los controles de seguridad y privacidad gestión de los mismos en el nuevo modelo de trabajo, un aumento en las amenazas tipo phishing y otras vulnerabilidades de perímetro y una mayor complejidad a la hora de gestionar proveedores tecnológicos y de seguridad”, enumera.
Frente a estos retos que impone la actual situación, Blázquez apunta algunas de las posibles soluciones: “Hay que garantizar la seguridad de los procesos de teletrabajo, dar soporte en el despliegue de los planes de continuidad de negocio, hacer revisiones express de controles de seguridad y/o privacidad, realizar ejercicios de phishing o pentest, y revisar los proveedores y el análisis de situación actual”.
Por Funds Society, Madrid