¿Cuál es mi plan?
En 2023 se produjo el primer gran ciberataque a una gran administradora de pensiones en el Reino Unido. Su impacto se sintió en toda la industria, desde aquellos planes de pensiones directamente afectados y que incurrieron en mucho tiempo y costos de gestión para tomar medidas para contener el riesgo para los beneficios y la información confidencial de los inscritos, hasta aquellos planes de pensiones que no se vieron directamente afectados, sin embargo, a quienes se les alentó a revisar y fortalecer su enfoque en materia de educación y defensa cibernéticas.
Como resultado, ahora se reconoce que el riesgo cibernético es uno de los principales riesgos a los que está expuesto un plan de pensiones y, en el caso de algunos planes bien financiados o adquiridos, puede estar en lo más alto de la lista.
En este artículo, analizamos algunas de las cuestiones críticas que los administradores de pensiones, las empresas y los miembros deberían abordar como prioridad, y cómo los ciber profesionales, entre ellos WTW, pueden ayudar.
Los fideicomisarios, las empresas y los miembros pueden hacerse preguntas importantes con respecto al riesgo cibernético; se presentan algunos ejemplos a continuación. Lo que es notable es que, además de reforzar las defensas para reducir la probabilidad de un ciberataque, a menudo se necesitan medidas adicionales para gestionar las consecuencias de un ciberataque exitoso.
Los ataques cibernéticos están ocurriendo ahora. Lamentablemente, no hay casi nada que se pueda hacer para detener estos ataques; Por supuesto, se pueden implementar controles y procesos para reducir el riesgo, pero es probable que un actor de amenazas capaz y motivado pueda encontrar una manera de entrar. Por lo tanto, es una perspectiva útil (aunque inquietante) que habitar para los propósitos de establecer su enfoque de gobernanza, riesgo y preparación para lo cibernético es que se trata de "cuándo", no "si", le sucede a su esquema.
Los ciberataques pueden ser desagradables, y la respuesta y la recuperación son una montaña rusa de emociones que afectarán a todas las personas responsables de la ejecución y gestión de un plan de pensiones. Es probable que las partes interesadas experimenten confusión, presión e ira, y que se vean obligadas a tomar decisiones con información incompleta y muchas incógnitas. Por lo tanto, es importante saber de antemano desde dónde podrá acceder a soporte profesional.
Hemos pintado un panorama sombrío aquí; pero no es una situación desesperada. Definitivamente hay pasos que los fideicomisarios pueden tomar para prepararse para poder responder mejor a un incidente y recuperarse más rápido. Estos se reducen a dos temas clave: conciencia y preparación.
Deberíamos crear conciencia sobre los datos que tenemos, los sistemas que utilizamos y los riesgos que enfrentan nuestro plan, nuestros proveedores y nuestros miembros en un contexto cibernético. Con este conocimiento podemos tomar medidas para construir una estrategia de respuesta que ayude a reducir y gestionar estos riesgos. Esto va de la mano con el segundo punto: la preparación.
Al prepararse para un ciberataque, los esquemas y las empresas deben haber establecido procesos que entren en acción y estar seguros de que esos procesos son lo suficientemente sólidos. Un plan de respuesta a incidentes cibernéticos, que sea específico para su esquema, lo ayudará a garantizar que su esfuerzo de respuesta sea comprendido, controlado y proporcionado. Luego, trabajar en un escenario realista y bien planificado de “juego de guerra” cibernético, con su plan de respuesta en el centro, realmente puede poner a prueba esa solidez y hacer entender adecuadamente sobre la “memoria muscular” de aquellos encargados de operarlo.
Para los esquemas que recién comienzan a familiarizarse con esta área, los primeros pasos lógicos serían recibir capacitación como Junta y emprender una especie de "chequeo de salud" cibernético, para conocer sus lagunas (incluso en relación con el Código General del TPR) y su susceptibilidad: esto le dará un plan de acción claro. Luego, para muchos, los pasos siguientes incluirán la redacción de su plan de respuesta a incidentes cibernéticos y su política de seguridad de la información, someterse a esa simulación de respuesta a incidentes o "juegos de guerra", y establecer e implementar un marco de diligencia debida cibernética para proveedores de servicios para asesores y otras partes interesadas. Otros pasos podrían incluir comunicaciones para miembros “un paso adelante” que estén listas para funcionar, y pensar en capacitación y educación que podrían brindarse directamente a los miembros. En términos de apoyo, los Fideicomisarios podrían recurrir útilmente a los recursos disponibles a través del negocio patrocinador. También estamos disponibles para ayudarlo a través de la actividad anterior, a través de los especialistas en pensiones de nuestro equipo dedicado de seguridad contra riesgos cibernéticos.
¿Tiene un plan? De lo contrario, WTW le proporcionará algunas orientaciones iniciales para ayudarle a empezar.