Prevención esencial: la ciberseguridad nunca ha sido más importante

Sep 21, 2023

Arte por OYOW

The Pension Regulator del Reino Unido, el grupo regulador que protege las pensiones en el lugar de trabajo, a principios de este año notificó a más de 300 planes de pensiones que sus planes pueden haber sido comprometidos por una violación de datos en Capita, con sede en Londres, un administrador externo de los planes. . Si bien parece que no se vieron afectados los datos de los participantes, hay una investigación en curso. Capita tiene datos sobre cientos de miles de participantes en planes de pensiones del Reino Unido, y el impacto potencial de una filtración es significativo.

El ataque, y otro en los EE. UU. contra la plataforma de portabilidad de cuentas de jubilación The Retirement Clearinghouse que tuvo lugar en marzo, destaca la necesidad de que los inversores institucionales presten especial atención a la ciberseguridad, no solo internamente, sino también en los proveedores y en sus inversiones.

Los ataques cibernéticos van en aumento, y los asignadores, los inversores y los planes de jubilación son objetivos de alto valor. La forma en que los adversarios apuntan a las organizaciones también se está volviendo más sofisticada. En algunos casos, es posible que las organizaciones ni siquiera se den cuenta de que sus sistemas están comprometidos si un atacante ha engañado a alguien para que proporcione información voluntariamente.

Los reguladores financieros están tratando de ponerse al día con la creciente amenaza: en los EE. UU., la Comisión de Bolsa y Valores y el Departamento de Trabajo emitieron recientemente nuevas pautas y propuestas de seguridad cibernética para asignadores, administradores de activos y corredores/agentes.

Cuando se trata de ciberseguridad, los inversores institucionales deben pensar en varios niveles. Internamente, la propia organización debe estar protegida y sus empleados capacitados para minimizar las vulnerabilidades. A nivel de proveedor, los asignadores tienden a agruparse en los mismos proveedores, y esa tendencia podría funcionar en su contra, como ocurre con Capita, si todos enfrentan el mismo ataque al mismo tiempo. Finalmente, los asignadores deben considerar el riesgo en términos de diligencia debida en sus inversiones.

"El problema, hasta la fecha, ha sido mal analizado en gran medida como un problema técnico/operacional", dijo Larry Clinton, presidente y director ejecutivo de Internet Security Alliance, con sede en Washington, hablando en The Forum by CIO en mayo. La ciberseguridad "es un problema de gestión de riesgos de toda la empresa".

En las operaciones diarias, las prácticas de seguridad cibernética a menudo son difamadas. Todos conocen y odian el proceso de tener una contraseña "fuerte" de 14 caracteres que es imposible de recordar, luego recibir un mensaje de texto con un código, luego decirle a un robot que no eres un robot antes de que finalmente se te permita iniciar sesión. La biometría puede ser más fácil, pero ¿alguien realmente quiere dar datos biométricos a un empleador?

Así que todo el mundo vuelve a tener contraseña, código, rompecabezas, inicio de sesión. Incluso con todo eso, los datos de PwC dicen que solo el 14% de las empresas lograron pasar los últimos tres años sin una violación de datos. Perry Carpenter, el oficial de estrategia de la firma de capacitación en seguridad cibernética KnowBe4, dice que gran parte del problema radica en el enfoque de la seguridad cibernética.

"Todo lo que tenemos que hacer es mirar alrededor y ver que este no es un problema resuelto de ninguna manera", dice. "Muchos de nuestros procedimientos van en contra de la naturaleza humana, y hace que las personas quieran optar por no participar. Muchas veces, las organizaciones no invierten en actualizar y parchear los sistemas con regularidad, lo que los hace vulnerables. Si se enfoca en parchear y trabajar en el ser humano nivel, podrías frustrar el 90% de los ataques".

Según Carpenter, trabajar "a nivel humano" implica más que una capacitación básica en ciberseguridad que recuerda a las personas que deben estar atentas a los correos electrónicos de phishing; también incluye pensar en la variedad de formas en que las personas acceden a los sistemas y hacer que sea lo más fácil posible proteger ese entorno.

"Amontonar pasos sobre las personas hará que busquen formas de sortear los pasos", explica. "Una vez que lo hagan, estarán felices, pero también acaban de encontrar una vulnerabilidad en su sistema. Es probable que los adversarios también la encuentren".

Carpenter agrega que los tecnólogos tienden a pensar que la nueva tecnología resolverá todo. El personal de seguridad cibernética puede enfocarse en implementar la tecnología de seguridad más nueva, pero hacerlo significa que los sistemas antiguos se están quedando obsoletos silenciosamente, creando nuevos puntos de entrada para los adversarios digitales. "La aplicación de parches es una práctica importante, porque todo lo que se necesita es un punto de entrada y un sistema puede verse comprometido", dice Carpenter. "Puede esperar que el nuevo sistema lo atrape, pero a menudo no lo hacen hasta que es demasiado tarde".

Clinton, cuya organización, junto con la Asociación Nacional de Directores Corporativos, ha publicado una guía sobre riesgo cibernético para juntas corporativas globales, aconsejó: "Las juntas deben ver los riesgos cibernéticos desde un punto de vista de toda la empresa y comprender los posibles impactos legales. Deben discutir los riesgos de seguridad cibernética y la preparación con la gerencia y considerar las amenazas cibernéticas en el contexto de la tolerancia general al riesgo de la organización".

El proceso y la aplicación de parches son igual de importantes para los proveedores. Los asignadores deberían preguntar a las empresas con las que trabajan sobre su enfoque de la ciberseguridad. Jack Tamposi, director asociado de la práctica institucional de EE. UU. en la consultora Cerulli Associates, dice que la seguridad cibernética es uno de los servicios subcontratados con más frecuencia, y los proveedores de seguridad cibernética también brindan asesoramiento sobre cuestiones de cumplimiento y normativas. Esto significa que los asignadores deben preguntar si sus administradores y otros proveedores externos, como Capita, están subcontratando su seguridad cibernética y, de ser así, cómo es ese proceso.

Kristopher 'Kriffy' Perez, cofundador de Global PayTech Ventures y asesor sénior del Future Today Institute, experimentó recientemente de primera mano lo que significa aplicar la debida diligencia a los proveedores. Pérez asesora sobre ciberseguridad desde la perspectiva de un inversionista a través de su trabajo en Future Today y también realiza inversiones en empresas de servicios financieros a través de su trabajo en Global PayTech Ventures.

Pérez revisó recientemente el proceso de terceros en Global PayTech después de que un adversario obtuviera acceso al sistema y se hiciera pasar por miembro del equipo de inversión por correo electrónico. El adversario estuvo a punto de agregarse como contacto con el banco de Global PayTech e incluso creó direcciones de correo electrónico de socios falsos para que pareciera que todos estaban a bordo.

Este tipo de ataque, llamado compromiso de correo electrónico comercial, a menudo está dirigido a inversores y firmas financieras porque es difícil de detectar y puede resultar en transferencias electrónicas exitosas al adversario antes de que alguien reconozca la violación. Recuperar esas transferencias, si han sido autorizadas voluntariamente por alguien que parece trabajar para el inversionista, es difícil. En el caso de Pérez, el ataque fue detectado por sistemas de seguridad de terceros antes de que el dinero cambiara de manos, pero condujo a un examen interno de las relaciones con los proveedores.

"Cuando alguien te dice que lo atraparon y que no volverá a suceder, dices: 'Está bien, pero este fue un ataque bastante elaborado'", dice. "Sentimos que era necesario ver qué podíamos hacer para aumentar la complejidad de nuestra protección".

El personal de Pérez también realizó un programa de capacitación en seguridad cibernética de inmersión profunda proporcionado por el banco de la compañía para asegurarse de que su personal estuviera en la misma página. "Hay una oportunidad cuando sucede algo para reforzar el proceso", dice Pérez. "La gente se preocupa más; no son complacientes".

Una parte fundamental de cualquier programa de ciberseguridad es el cumplimiento. Sin él, los inversores pueden terminar con inversiones fallidas o problemas fiduciarios si no se cuenta con las protecciones adecuadas.

Gerry Stegmaier, socio del grupo de tecnología y datos del bufete de abogados Reed Smith, dice que, desde una perspectiva fiduciaria, es importante hacer operativa la supervisión de la seguridad cibernética.

“La distancia entre la sala de servidores y la sala de juntas se está acortando, y todos, desde los inversores hasta los reguladores, están comenzando a darse cuenta de que la seguridad cibernética no es un ejercicio de marcar la casilla, es un problema de gobernanza importante”, dijo.

Los comentarios de Clinton enfatizaron puntos similares. Dijo que es crucial que las juntas directivas entiendan que "la seguridad cibernética no es un problema de apéndice centrado en TI, sino que debe estar entretejido en el aliento completo de las decisiones comerciales en toda la empresa", y agregó que "las juntas deben esperar que la administración para poder evaluar el riesgo cibernético en términos empíricos y económicos consistentes con el plan de negocios”.

Con ese fin, Stegmaier dice que los inversionistas, ya sea que observen su propio proceso, los procesos de los proveedores o estén atentos a una inversión potencial, deben buscar la adopción formal de un programa de seguridad cibernética; comparar regularmente ese programa; y buscar el cumplimiento de estándares específicos como ISO/IEC 27001, que es un estándar internacional para administrar la seguridad de la información.

"Desea poder ver la repetibilidad, la sostenibilidad y la demostrabilidad de un programa de seguridad cibernética", dice.

Ese marco debería aplicarse incluso si un asignador solo busca convertirse en un socio limitado en un fondo de inversión, no realizar inversiones directas en compañías específicas.

"A menudo, la forma en que un administrador de activos aborda la seguridad cibernética en su fondo es un indicador de cómo lo hará en las empresas de cartera u otras inversiones", explica Stegmaier.

Poner en marcha dichos procesos también puede ayudar a mitigar los riesgos fiduciarios.

"La seguridad perfecta no existe", dice Stegmaier. "Entonces, hay una tendencia a centrarse en la resiliencia: ¿Qué tan rápido podemos responder cuando algo sucede? Pero si hace eso, incorporará en su programa una inversión insuficiente en respuesta de prevención, detección y remediación. Usted ' Habrá muchos más incidentes que, de otro modo, se podrían prevenir fácilmente. Y desde una perspectiva legal, existe una probabilidad mucho mayor de que su desempeño se considere inadecuado".

Etiquetas: Cerulli Associates, riesgo cibernético, ciberseguridad, violación de datos, Departamento de Trabajo, Gerry Stegmaier, Global PayTech Ventures, Internet Security Alliance, Jack Tamposi, KnowBe4, Larry Clinton, Asociación Nacional de Directores Corporativos, Perry Carpenter, Reed Smith, Valores y Comisión Cambiaria, Cobertura Especial: Administración de Riesgos, El Regulador de Pensiones, La Cámara de Compensación para el Retiro

« Documento del GPIF de Japón propone una nueva forma de comparar activos alternativos con activos tradicionales