Tema de análisis: Seguridad informática
Creemos que los consejos de administración deben ser responsables de los riesgos empresariales clave, como los problemas de seguridad informática y de datos, y deben tener una supervisión clara de las políticas de tecnología, seguridad de datos y privacidad.
A medida que aumentan la incidencia de los ciberataques y los costes de los fallos de seguridad, queremos estar alerta y adelantarnos al evaluar la exposición de la cartera a ellos.
CASOS PRÁCTICOS
Empresa 1¿Qué encontramos?
Nos implicamos con un banco italiano y establecimos que utiliza NIST, un marco externo estadounidense, para evaluar su madurez en ciberseguridad. También informa del riesgo informático a la alta dirección utilizando indicadores clave de rendimiento. Sin embargo, no fue transparente con respecto al personal responsable de la estrategia de ciberseguridad o si hubo un proceso de auditoría.
Tras una segunda interacción, la empresa ha confirmado que dispone de un proceso de auditoría interna y externa sobre el riesgo de ciberseguridad. También ha designado a un director de seguridad, que es responsable ante el consejo de la ejecución de su estrategia informática. El consejo de administración tiene dos candidatos con experiencia en ciberseguridad.
En respuesta a nuestras preguntas específicas, la compañía declaró que da formación continua a sus informáticos para que puedan desarrollarse en sus puestos y afrontar la cambiante naturaleza del riesgo de ciberseguridad. La compañía confirmó que en 2020 había destinado el 5% de su presupuesto total de seguridad a la ciberseguridad, lo cual está en línea con otros bancos europeos. La compañía también está trabajando en su cartera de talentos mediante la contratación directa en universidades.
Próximos pasos
Continuaremos implicándonos para comprender las cuentas internas.
¿Qué encontramos?
Nos relacionamos con la Empresa 2, un banco español, y establecimos que cuenta con un equipo de respuesta a incidentes de ciberseguridad. Colabora con entidades externas, incluidas agencias de seguridad públicas y diferentes proveedores de seguridad. Todos los empleados reciben formación sobre ciberseguridad. Sin embargo, no estaba claro quién era el responsable de la estrategia en esta área y cuál era el presupuesto de ciberseguridad de la empresa. Además, el consejo no había recibido formación específica sobre la gestión de riesgos informáticos.
Próximos pasos
Continuaremos implicándonos para comprender las cuentas internas, la formación del consejo sobre el riesgo informático y si el banco tiene un proceso de auditoría para su estrategia frente a este riesgo.
¿Qué encontramos?
Trabajamos con una aseguradora del Reino Unido que, junto con sus filiales, ofrece productos de seguros generales personales y comerciales en varios países. Descubrimos que la empresa es miembro del Information Security Forum y tiene políticas y pautas grupales basadas en su Estándar de Buenas Prácticas. Estas políticas tienen como objetivo garantizar una expectativa constante de los controles informáticos establecidos en las regiones en las que opera la empresa. El director de seguridad de información es responsable de la estrategia de ciberseguridad y de la comunicación con el equipo directivo.
La Empresa 3 también da formación anual de actualización sobre privacidad y actualizaciones periódicas para todos los empleados. Existe una formación adecuada sobre seguridad informática y de datos para todos los empleados y el consejo. Ocasionalmente, lleva a cabo controles al azar para garantizar el cumplimiento de la política y los procedimientos. Por último, existen controles clave para una auditoría externa anual y la función de riesgo independiente realiza un control periódico y en tiempo real. La seguridad de la información del departamento de auditoría interna está en línea con el plan de auditoría de la empresa.
Próximos pasos
Continuaremos interactuando con la Empresa 3 para comprender su presupuesto de ciberseguridad.
¿Qué encontramos?
Nos implicamos con un proveedor de servicios hoteleros que fue una de las primeras empresas en divulgar su presupuesto de ciberseguridad. Esto representa alrededor del 5% de su gasto total en TI. Sin embargo, la empresa confirmó que, debido al impacto del COVID-19, este presupuesto no se gastaría en su totalidad durante 2020. Nos alegró saber que la empresa estaba preservando su inversión en inmovilizado.
La compañía también confirmó que daría más información sobre sus programas de formación para el intercambio de datos. Nos dijeron que el comité ejecutivo recibe formación sobre ciberseguridad, seguridad de los datos y "phishing", además de informes mensuales sobre los riesgos de TI en el grupo. El comité ejecutivo también tiene acceso personal directo a los equipos de TI cuando los miembros no están seguros de la calidad de un correo electrónico. Esta empresa participa anualmente en una conferencia de ciberseguridad y tiene acceso a la plataforma de formación online y formación in situ puntual. También cuenta con un programa de cibervigilancia, que es gestionado por un proveedor externo.
En nuestra opinión, la empresa está rezagada con respecto a muchas de las compañías que operan en los sectores financieros y de seguros porque todavía tiene que considerar marcos de evaluación externos. Sin embargo, se adhiere a un proceso interno de cuatro niveles. El director de seguridad de información es responsable de establecer la estrategia de ciberseguridad de la empresa.
Próximos pasos
Continuaremos interactuando con la Empresa 4 y seguiremos su viaje de adoptar nuevas políticas y establecer una estrategia informática por parte del recién nombrado director de información de seguridad.
MÁS INFORMACIÓN
Prioridades de stewardship
Informe de stewardship de inversiones
Nuestro informe anual global de 2020 ilustra no solo que estamos interactuando con una amplia variedad de empresas, sino también cómo lo estamos haciendo.
Descripción general del stewardship de inversiones >
Resumen de riesgos
Ciertas estrategias de cliente invierten en base a criterios de sostenibilidad/ medioambientales, sociales y de gobierno corporativo (ESG) que implican análisis cualitativos y subjetivos. No hay garantía de que las resoluciones tomadas por el asesor tendrán éxito y/o estén alineadas con las creencias o valores de un inversor particular. A no ser que se especifique en el contrato del cliente o en los documentos de oferta, determinados activos/compañías no se excluyen de las carteras explícitamente en base a criterios ESG ni hay una obligación a comprar y vender valores basándose en estos factores.