La comunidad de inversores y los líderes empresariales son muy conscientes de que la amenaza de ciberataques a empresas es cada vez mayor. En los primeros nueve meses de 2022, las empresas sufrieron aproximadamente un 50% más de ciberataques en comparación con el mismo periodo de 2021, según datos del proveedor líder de soluciones de ciberseguridad CheckPoint. Por lo tanto, los riesgos de ciberseguridad se han convertido en la principal preocupación de empresas de todo el mundo. De hecho, en 2022, el 44% de las empresas encuestadas en el Allianz Risk Barometer destacaba los incidentes de ciberseguridad como su principal preocupación.
Además de ser cada vez más frecuentes, los ciberataques son cada vez más caros para las empresas. Según el informe de costes de una violación de la seguridad de los datos de IBM, en 2022, el coste medio de un fallo en la seguridad de los datos se incrementó un 3% interanual hasta alcanzar el récord histórico de 4,35 millones de dólares, lo que supone un aumento del 13% desde 2020. El incremento de los costes de los fallos de la seguridad viene explicado por el mayor gasto en notificaciones, actuaciones en respuesta a la violación de la seguridad, detección y escalamiento. Por ese motivo, a la hora de analizar compañías, conviene tener muy en cuenta este riesgo.
A la izquierda, coste medio de un fallo en la seguridad de los datos. A la derecha, coste de un fallo en la seguridad de los datos, por sector.
Realizar el ejercicio de análisis
Tal y como explica Samuel Thomas, analista de inversión sostenible en Schroders, la evaluación del desempeño en ciberseguridad es un ejercicio complicado de realizar externamente. “Entender verdaderamente que medidas técnicas de protección se están aplicando, en qué medida están equipados los procesos y empleados para gestionar un fallo en la ciberseguridad y el alcance real de los planes de respuesta ante este tipo de incidentes van a seguir siendo la mejor forma de evaluar estas prácticas de ciberseguridad”, afirma. En la gestora han creado un sistema de puntuación de ciberseguridad propio para medir la preparación de las empresas ante este riesgo.
¿En qué consiste? Tomando como base distintos indicadores de ciberseguridad de 6.300 empresas de todo el mundo, el sistema diseñado por la firma británica ofrece una forma objetiva para hacerse una idea rápida de la solidez de las prácticas de ciberseguridad de una empresa. “A través del cuadro de mandos es posible evaluar a las compañías en relación al resto de su sector, región o tamaño. Lo podemos utilizar como un indicador inicial de cuál puede ser el desempeño de las empresas en cuanto a la ciberseguridad, que puede servir como punto de partida para un análisis más pormenorizado”, indica el experto.
El cuadro de mandos
Este cuadro de mandos consta de 19 indicadores y evalúa la ciberseguridad corporativa en tres ámbitos:
Exposición a la ciberseguridad. “Determina en qué medida puede una empresa estar expuesta a ciberamenazas en función de su actividad en internet, sus actividades comerciales y las regiones en las que opera”.
Gestión de la ciberseguridad. “Mide la solidez de las prácticas de ciberseguridad de una empresa, incluida la supervisión de la dirección, las políticas de la empresa y las prácticas de formación y auditoría”.
Tendencia de los riesgos de ciberseguridad. “Mide la trayectoria reciente de determinados indicadores de vulnerabilidad de la ciberseguridad para determinar si su nivel de amenaza empeora, mejora o se mantiene estable”.
Las empresas pueden lograr una puntuación máxima de 80, que supondría la mejor puntuación en exposición, unas prácticas de gestión de la ciberseguridad extremadamente sólidas y una tendencia de mejora en sus indicadores de vulnerabilidades de ciberseguridad. En el otro lado de la balanza, la puntuación mínima de ciberseguridad que puede obtener una empresa es -35.
Puntuaciones regionales de ciberseguridad
Puntuaciones globales de ciberseguridad por sector
Casos prácticos
A través de los datos de ciberataques en todo el mundo que sistemáticamente registra KonBriefing Research, en Schroders han analizado una selección de los fallos en ciberseguridad más recientes que han ocurrido en empresas cotizadas de todo el mundo. El siguiente gráfico presenta estudios de casos prácticos de algunos de los ejemplos más recientes.
“Al analizar el comportamiento de estas empresas, nos quedamos con tres observaciones interesantes que nos gustaría señalar a los inversores. Primero: todas ellas tenían una puntuación de ciberseguridad inferior a la media de su sector. Segundo: la mayoría obtuvo una puntuación de ciberseguridad inferior a la de la media de su región. Y, tercero: la mayoría de estas empresas tenían una puntuación de la tendencia en ciberseguridad negativa”, concluye Thomas.
