Skip to main content
main content, press tab to continue
Artículo

Riesgos cibernéticos para los planes de pensiones en 2024

¿Cuál es mi plan?

Por Dean Chapman y Jenny Gibbons | Febrero 20, 2024

En este artículo, analizamos algunos de los riesgos cibernéticos y preguntas críticas que los fideicomisarios de pensiones, las empresas y los miembros deberían hacerse unos a otros y a sí mismos
N/A

En 2023 se produjo el primer gran ciberataque a una gran administradora de pensiones en el Reino Unido. Su impacto se sintió en toda la industria, desde aquellos planes de pensiones directamente afectados y que incurrieron en mucho tiempo y costos de gestión para tomar medidas para contener el riesgo para los beneficios y la información confidencial de los inscritos, hasta aquellos planes de pensiones que no se vieron directamente afectados, sin embargo, a quienes se les alentó a revisar y fortalecer su enfoque en materia de educación y defensa cibernéticas.

Como resultado, ahora se reconoce que el riesgo cibernético es uno de los principales riesgos a los que está expuesto un plan de pensiones y, en el caso de algunos planes bien financiados o adquiridos, puede estar en lo más alto de la lista.

En este artículo, analizamos algunas de las cuestiones críticas que los administradores de pensiones, las empresas y los miembros deberían abordar como prioridad, y cómo los ciber profesionales, entre ellos WTW, pueden ayudar.

Preguntas clave

Los fideicomisarios, las empresas y los miembros pueden hacerse preguntas importantes con respecto al riesgo cibernético; se presentan algunos ejemplos a continuación. Lo que es notable es que, además de reforzar las defensas para reducir la probabilidad de un ciberataque, a menudo se necesitan medidas adicionales para gestionar las consecuencias de un ciberataque exitoso.

Ejemplos de riesgos cibernéticos de planes de pensiones

Fideicomisarios
  • Si un ciberataque afectara sus servicios administrativos, ¿cómo pagaría sus pensiones a los afiliados?
  • ¿Puede mostrarles a los reguladores lo que está haciendo para gestionar el riesgo cibernético y demostrar su cumplimiento con evidencia?
  • ¿Ha considerado cómo decirles a los inscritos mayores que sus datos han sido robados por piratas informáticos y ayudarlos a gestionar las consecuencias?
Corporaciones
  • Si ocurriera un ciberataque, ¿sabe cuáles son sus responsabilidades?
  • Los ataques cibernéticos a menudo terminan en la prensa. ¿Está usted preparado para responder y dar forma a la narrativa en los informes generalizados que probablemente seguirán?
Miembros
  • ¿Podrá hacer frente financieramente si su pensión fue suspendida durante tres (o más) meses debido a un ciberataque?
  • ¿Es usted sensible a la realidad de que los pensionistas son considerados un objetivo muy atractivo para los ciberdelincuentes?

Una realidad inminente

Los ataques cibernéticos están ocurriendo ahora. Lamentablemente, no hay casi nada que se pueda hacer para detener estos ataques; Por supuesto, se pueden implementar controles y procesos para reducir el riesgo, pero es probable que un actor de amenazas capaz y motivado pueda encontrar una manera de entrar. Por lo tanto, es una perspectiva útil (aunque inquietante) que habitar para los propósitos de establecer su enfoque de gobernanza, riesgo y preparación para lo cibernético es que se trata de "cuándo", no "si", le sucede a su esquema.

Los ciberataques pueden ser desagradables, y la respuesta y la recuperación son una montaña rusa de emociones que afectarán a todas las personas responsables de la ejecución y gestión de un plan de pensiones. Es probable que las partes interesadas experimenten confusión, presión e ira, y que se vean obligadas a tomar decisiones con información incompleta y muchas incógnitas. Por lo tanto, es importante saber de antemano desde dónde podrá acceder a soporte profesional.

Conciencia y preparación

Hemos pintado un panorama sombrío aquí; pero no es una situación desesperada. Definitivamente hay pasos que los fideicomisarios pueden tomar para prepararse para poder responder mejor a un incidente y recuperarse más rápido. Estos se reducen a dos temas clave: conciencia y preparación.

Conciencia cibernética

Deberíamos crear conciencia sobre los datos que tenemos, los sistemas que utilizamos y los riesgos que enfrentan nuestro plan, nuestros proveedores y nuestros miembros en un contexto cibernético. Con este conocimiento podemos tomar medidas para construir una estrategia de respuesta que ayude a reducir y gestionar estos riesgos. Esto va de la mano con el segundo punto: la preparación.

Preparación cibernética

Al prepararse para un ciberataque, los esquemas y las empresas deben haber establecido procesos que entren en acción y estar seguros de que esos procesos son lo suficientemente sólidos. Un plan de respuesta a incidentes cibernéticos, que sea específico para su esquema, lo ayudará a garantizar que su esfuerzo de respuesta sea comprendido, controlado y proporcionado. Luego, trabajar en un escenario realista y bien planificado de “juego de guerra” cibernético, con su plan de respuesta en el centro, realmente puede poner a prueba esa solidez y hacer entender adecuadamente sobre la “memoria muscular” de aquellos encargados de operarlo.


¿Así que, cuál es el plan?

Para los esquemas que recién comienzan a familiarizarse con esta área, los primeros pasos lógicos serían recibir capacitación como Junta y emprender una especie de "chequeo de salud" cibernético, para conocer sus lagunas (incluso en relación con el Código General del TPR) y su susceptibilidad: esto le dará un plan de acción claro. Luego, para muchos, los pasos siguientes incluirán la redacción de su plan de respuesta a incidentes cibernéticos y su política de seguridad de la información, someterse a esa simulación de respuesta a incidentes o "juegos de guerra", y establecer e implementar un marco de diligencia debida cibernética para proveedores de servicios para asesores y otras partes interesadas. Otros pasos podrían incluir comunicaciones para miembros “un paso adelante” que estén listas para funcionar, y pensar en capacitación y educación que podrían brindarse directamente a los miembros. En términos de apoyo, los Fideicomisarios podrían recurrir útilmente a los recursos disponibles a través del negocio patrocinador. También estamos disponibles para ayudarlo a través de la actividad anterior, a través de los especialistas en pensiones de nuestro equipo dedicado de seguridad contra riesgos cibernéticos.

¿Tiene un plan? De lo contrario, WTW le proporcionará algunas orientaciones iniciales para ayudarle a empezar.

Autores


Associate Director, Consulting and Client Management, CRS – FINEX GB

Head of Pensions Governance

Contacto


Head of Financial Lines Southern Cluster Latam

Related content tags, list of links Artículo Riesgo Cibernético Financial Institutions
Contact us