La ciberseguridad en gestión de activos: cómo gestionar los riesgos

Los procesos de transformación y digitalización, junto con la disrupción sufrida en 2020 a nivel global, van a marcar los próximos años respecto a las perspectivas de negocio de los clientes, así como de su funcionamiento y operativa.

La evolución que se prevé del negocio de gestión de activos a medio plazo según un estudio de KPMG realizado en 2020 destaca la tendencia hacia una nueva estratificación de las entidades operantes en dos grandes grupos; grandes y diversificados gestores y pequeñas y muy especializadas entidades. Esto desencadena la aparición de nuevos canales de distribución potenciados por la tecnología, lo que conlleva la aparición de una serie de riesgos nuevos, que se suman a los ya existentes por la transformación y digitalización de los procesos de negocio, el nuevo modelo operativo y la migración a un entorno de teletrabajo.

En la reciente adaptación a este nuevo modelo operativo por lo acontecido en 2020 respecto a la pandemia, según una encuesta reciente realizada por KPMG a casi 700 empresas de 25 sectores diferentes, tan solo un 32% de las mismas indicaban que habían podido mantener activa su actividad por encima del 80%. Igualmente, dentro de esta encuesta, se identificó la ciberseguridad como una de las principales preocupaciones, destacando aspectos como (a) la ausencia de planes de continuidad robustos provocando falta de capacidad para poder migrar al teletrabajo de manera eficiente y sin impacto en las operaciones, (b) el aumento de casos de phishing y malware, así como el volumen y sofisticación en el ámbito de los ataques externos de ciberseguridad, (c) la falta de respuesta de proveedores, ya que en algunas circunstancias los menos preparados están causando problemas de continuidad en la operativa e incrementando la exposición a riesgos de seguridad y privacidad de las compañías, y (d) la seguridad en canales digitales, ya que en muchos casos no se ha prestado la atención suficiente y se están mostrando clave en estas circunstancias.

Por ello, la regulación de la gestión de activos se sitúa en el contexto económico y operativo más desafiante que se recuerde. Este contexto se enmarca en una nueva realidad, que ha contribuido a digitalizar aún más la sociedad. En los últimos meses, el uso de la tecnología se ha acelerado para permitir el trabajo remoto a gran escala, conllevando unos niveles de riesgo más altos, así como facilitando la aparición de otros nuevos.

La reciente propuesta de regulación sobre Resiliencia Operacional digital para el sector financiero de la Comisión Europea (COM(2020) 595 del 24/9/2020) recoge una serie de medidas para permitir y respaldar aún más el potencial de las finanzas digitales en términos de innovación y competencia, al tiempo que se mitigan los riesgos que se derivan de ellas. En esta misma propuesta se destaca que la digitalización y la resiliencia operacional en el sector financiero son dos caras de la misma moneda. Las tecnologías digitales o de la información y la comunicación (TIC) generan tanto oportunidades como riesgos, y que estos deben entenderse y manejarse bien, especialmente en momentos de estrés. Previamente, la publicación global de KPMG que analiza la evolución de la agenda reguladora de gestión de patrimonio y de activos, el “Evolving Asset Management Regulation report”, en su última edición de 2020, ya explicaba cómo la regulación centra su foco en algunas áreas, siendo una de las más destacadas la Resiliencia Operacional.

La Resiliencia Operacional, que es la capacidad de una organización para adaptarse rápidamente a cambios, ha estado en el punto de mira de los reguladores bancarios y de seguros durante algún tiempo, y ahora la atención se centra en los gestores de activos. Estos han brindado una gran capacidad de recuperación operativa durante la pandemia, pero los reguladores considerarán qué lecciones deben aprenderse y exigirán a las empresas que demuestren que han aprendido esas lecciones, por lo que estas deberán invertir más en ciberseguridad.

Durante estos últimos meses se ha puesto de manifiesto la necesidad de haber contado con un plan de Continuidad de Negocio y un plan de Gestión de Crisis robusto, mantenido y probado. Si bien un plan de continuidad de negocio tiene en cuenta la indisponibilidad de personas, tecnología, edificios y proveedores, algunas empresas se han visto sorprendidas y no preparadas, dado que la principal indisponibilidad durante esta pandemia ha estado relacionada con los edificios y no con las personas. Las medidas de confinamiento han provocado una indisponibilidad global de sedes, mientras que en algunos planes ante una situación de pandemia solo se contemplaba la indisponibilidad de algunas personas clave dentro de procesos críticos.

Las medidas de distanciamiento social introducidas para frenar la situación actual han obligado a la industria a hacer un mayor uso de la tecnología, y con ello, aunque ya era una prioridad, la búsqueda de la ciberseguridad ha ganado aún más protagonismo. A los reguladores les preocupa las complejidades que ha introducido el uso actual de la tecnología debido a las prácticas de gestión de riesgos y gobierno, así como de la identificación y notificación de ciberataques. Para abordar estos retos, desde KPMG lo enfocamos y ayudamos a nuestros clientes desde tres perspectivas, que son la resiliencia, la recuperación y la nueva realidad.

Desde el punto de vista de la resiliencia, surge la necesidad de continuar operando en un entorno complejo y cambiante. Por eso es necesario desplegar planes de continuidad de negocio efectivos, garantizar la seguridad en el trabajo de forma remota, llevar a cabo una reconfiguración de controles de seguridad y privacidad y gestionarlos en el nuevo modelo de trabajo. También se debe afrontar un aumento en las amenazas tipo phishing y otras vulnerabilidades de perímetro, así como abordar la complejidad de gestionar a los proveedores.

Por la parte de la recuperación, existe la necesidad de restablecer la confianza, remodelar las operaciones, incorporar lo aprendido y transformarse para acometer las nuevas demandas. Los procesos de negocio y servicios deben reajustarse para buscar rentabilidad y empezar a recuperar beneficios. Se deben incorporar cambios en los modelos de control de seguridad y privacidad, así como llevar a cabo la planificación ante la nueva realidad.

Desde el eje de la nueva realidad, encontramos la necesidad de incorporar lecciones aprendidas, revisando todos los procesos operacionales. Deben producirse mejoras en los procesos de monitorización y respuesta, fortalecerse la seguridad y la privacidad en el teletrabajo y desarrollarse nuevos enfoques holísticos que den confianza continua a los clientes desde la perspectiva de la seguridad y la privacidad de sus datos; trabajar en la mitigación de los riesgos derivados de las vulnerabilidades y llevar a cabo revisiones en la gestión de proveedores.