Por: Simon Ashworth*
LONDRES– El reciente ataque de programa de secuestro, o “ransomware”, que sufrió la Colonial Pipeline en los Estados Unidos es un ejemplo de la creciente sofisticación de los ciberataques a lo largo de los últimos 12 meses. Desde el ataque a Colonial, ha habido ataques a empresas del sector de los seguros en Asia, a un proveedor de camiones de alquiler en Europa, a un comprador de deuda insolvente francés y a una compañía global de alimentos. Todos contenían ataques de programas de secuestro y en ellos destacaba la capacidad de los hechores de escoger objetivos sin importar su lugar geográfico ni su sector económico.
Los ataques se limitan a firmas que se transen en bolsa: también son muy vulnerables los estados soberanos y las instituciones públicas. Hemos visto ataques sobre la ciudad estadounidense de Hartford, numerosos distritos escolares de Texas y, más recientemente, sobre el sistema sanitario irlandés.
No es de sorprender el que el riesgo cibernético se esté convirtiendo en un factor cada más importante en la decisión de asignar calificaciones crediticias. En S&P Global Ratings hemos visto más sucesos de este tipo en los últimos seis meses que en los seis años anteriores y constantemente nos ponemos al día con los últimos avances en este ámbito para aguzar nuestro análisis. Nuestras últimas evaluaciones han reforzado varias de nuestras opiniones anteriores, pero nuestra perspectiva del manejo del riesgo cibernético sigue evolucionando.
Muchas de las organizaciones que calificamos, en especial en los ámbitos de los seguros y la tecnología de la información, están presenciando el surgimiento de más oportunidades en el área de los servicios cibernéticos. Pero las empresas harían bien en tomar varias medidas para reducir el potencial impacto crediticio de los ciberataques.
Primero, sigue siendo crucial la velocidad de la acción, como vimos hace poco tras el ciberataque a la aseguradora estadounidense CNA. Las prontas medidas correctivas de la compañía – que incluyeron la comunicación con los empleados, clientes, intermediarios y agentes, inversionistas y entidades normativas- ayudaron a limitar la extensión de los daños y disiparon nuestra inquietud inicial sobre el impacto potencial a su marca, reputación y posición competitiva.
Segundo, si bien la prevención activa de ciberataques se está convirtiendo en norma, muchos de ellos se están estructurando de maneras cada vez más difíciles de descubrir. En consecuencia, las detecciones activas se volverán una ventaja competitiva.
Vimos la importancia de la detección activa en el caso de SolarWinds Holdings Inc., de la que se informó ampliamente que sufrió una violación informática a principios de 2020, varios meses antes de que se diera cuenta de ello. El tiempo transcurrido entre el ataque y su detección elevó su escala y magnitud. El impacto y coste del ataque fueron factores para la reciente baja de la calificación de S&P de SolarWinds a B desde B+.
Tercero, aunque probablemente la pandemia de COVID-19 aumente la disposición de los altos ejecutivos a asignar fondos para el manejo de sus empresas del riesgo cibernético, no basta con eso. Puesto que una gran proporción de las violaciones relacionadas con la ciberseguridad se puede atribuir a errores humanos o a insuficiencias en la cultura de riesgos, incluso un gasto significativo de TI para este tema no será suficiente. Por consiguiente, esperamos ver más apoyo de las altas gerencias a ejercicios de simulación para evaluar y probar el grado de preparación de sus organizaciones.
Cuarto, el impacto crediticio de un ciberataque sigue dependiendo del tipo de ataque y su motivo subyacente. Las compañías pueden resultar perjudicadas de manera indirecta como resultado de ataques centralizados y quizás políticamente motivados, como los sufridos por SolarWinds y Microsoft Exchange Server, pero no siempre tendrán consecuencias financieras y de imagen directas. Es más probable que los ataques directos a firmas o instituciones específicas, que combinen un efecto sobre el balance con alteraciones operacionales materiales, tengan consecuencias sobre su calificación, sobre todo si se responde ante ellos de manera deficiente.
Quinto, las compañías se encuentran en una carrera armamentística virtual con los responsables de los ataques, por lo que necesitan comprender los aspectos básicos del manejo de riesgos cibernéticos antes de poder dar un paso hacia adelante. Aquellas que tengan estándares de gobernanza mediocres probablemente tendrán una calificación de crédito comparativamente más débil antes de sufrir algún ciberataque. Vigilaremos cada vez más la existencia de estándares de gobernanza laxos y especialmente la falta de elementos básicos como formación a empleados y aplicación de parches de software. Los parches, cuando se aplican de manera adecuada y oportuna, reducen la exposición potencial de la empresa a vulnerabilidades conocidas que los ciberatacantes a menudo intentan aprovechar.
Consideramos el manejo del riesgo cibernético como una categoría de la gestión del riesgo operacional general. La gobernanza y la gestión de riesgos estándares y convencionales se pueden adaptar con facilidad, por lo es importante que las compañías conozcan su nivel de tolerancia y propensión al riesgo cibernético. Si una firma no puede mantenerse a la vanguardia, al menos debe asegurarse de no quedar a la zaga de sus competidores. Como mínimo, esperaríamos que una compañía tenga un respaldo de datos y una estrategia de recuperación fiables y plenamente testeadas.
En sexto lugar, bien podría ser que la próxima gran amenaza al sistema financiero global esté relacionada con el ámbito cibernético, y con un mayor riesgo correlacionado y un contagio más veloz de que hoy se puede prever. Las compañías y los gobiernos deben actuar de manera correspondiente. Según sea la magnitud y el impacto financiero, así como el éxito de los esfuerzos de mitigación, un suceso así podría generar medidas de calificación generalizadas. Es posible que las compañías con balances más débiles que carezcan de un seguro para ciberataques adecuado se enfrenten a presiones en sus calificaciones crediticias.
Las aseguradoras mismas están aprendiendo de la ambigüedad relacionada con la pandemia en sus distintos productos, y eso debe seguir siendo una prioridad. El ciberataque de agosto de 2020 a la bolsa de valores neozelandesa (NZX) no debería haber sido inesperado, dado el papel que desempeña en el sistema financiero. Tras ello, la NZX reconoció que sus recursos tecnológicos y su planificación para el manejo ante crisis necesitaban mejorar.
Por último, los sucesos ocurridos en los últimos 12 meses han puesto de relieve la vulnerabilidad de redes de producción complejas e interdependientes, lo que convertirá a las cadenas de suministro en una de creciente fuente de riesgos cibernéticos en los años venideros. Como se ha podido ver en una serie de ataques recientes (como el que afectó a SolarWinds, a Microsoft Exchange Server y a Codecov) y la filtración de datos de 2013 en Target, la gobernanza del riesgo cibernético se debe centrar en la cadena de suministro más amplia, lo que incluyes los estándares cibernéticos de terceros proveedores.
Las empresas deben lograr que el aprendizaje surgido de ciberataques pasados pase a ser parte de su ADN y adoptar medidas activas para prevenir y detectar amenazas futuras. Dada la importancia de la gobernanza del riesgo cibernético para las calificaciones crediticias, es probable que los beneficios de contar con una ciberseguridad sólida se extiendan más allá del mundo digital.
*Simon Ashworth es el director de Análisis de Seguros en S&P Global Ratings.
Esta publicación es posible gracias a la alianza entre Y
-
Tengo algunos años de experiencia y me encanta practicar el periodismo incómodo que toque los tinglados del poder, buscando cambios en la forma de gobernar y procurar el combate a la corrupción, develando lo que el poder siempre quiere ocultar. Ver todas las entradas