En un mundo hiperconectado en el que sistemas, comunicaciones y prácticamente toda actividad empresarial depende de la tecnología, la respuesta parece obvia: toda empresa debería estar preocupada por su ciberseguridad. Los casos de Asset Managers, Private Equity o entidades con actividades de similares características no son una excepción, y también deberían preocuparse por mejorar su nivel de ciberseguridad. O lo que es lo mismo: deberían reducir su exposición al ciberriesgo.
Generalmente, siempre se ha entendido que la principal exposición que tenían este tipo de sociedades era derivada de su actividad por errores y omisiones cometidos en el desarrollo de sus servicios ante sus clientes o inversores. Este riesgo, por lo general, se ha transferido a las pólizas de Responsabilidad Civil Profesional que ofrece el mercado de seguros. En algunos casos, mediante una cobertura específica para dicho riesgo o pólizas combinadas donde se engloban las coberturas de D&O, RC Profesional o Infidelidad de Empleados.
Desde el punto de vista organizativo o de tamaño, este tipo de compañías son estructuras relativamente pequeñas, sin grandes necesidades de activos físicos más allá de oficinas para sus empleados. Sin embargo, gestionan enormes sumas de dinero en el transcurso de sus operaciones. Es este hecho el que les convierte automáticamente en un objetivo para los ciberataques, principalmente por tres motivos:
Las consecuencias de una brecha de seguridad tienen grandes implicaciones:
De hecho, cada día resulta más común que en muchos reglamentos que vinculan a las compañías con sus inversores, estos les exijan medidas específicas sobre ciberseguridad desde el punto de la buena gobernanza del fondo. No en vano, muchos de estos inversores, al ser institucionales o públicos que se rigen bajo ciertos parámetros, están expuestos a potenciales daños reputacionales.
La clave del éxito para cualquier Private Equity es identificar oportunidades atractivas de inversión en las que, llegado el caso, y aplicando mejoras en su gestión y operaciones, puedan salirse de dicha inversión con plusvalías a la cantidad invertida inicialmente.
En este proceso, cada día es más frecuente que en los procesos de due diligence se esté incluyendo en la agenda para saber cuál es el estado de las compañías objetivo, así como aplicar las mejores prácticas respecto al ciberriesgo en aquellas empresas que pasen a formar parte de su abanico de inversiones.
Recientemente se publicaban los resultados de una encuesta realizada entre diferentes profesionales del sector en relación con el tipo de información que obtenían a través de los procesos de due diligence llevados a cabo a sus compañías objetivo y de los procesos de evaluación del ciberriesgo. Sólo el 23% de los encuestados pensaba que la información aportada era buena o excelente. En línea con lo anterior, el 30% opinaba que la información obtenida era muy pobre. Y hay más: el 80% de los encuestados entendía que las pólizas de ciberriesgo se convertirán en una obligación para las compañías que tienen en cartera, ante la incertidumbre del impacto que un ciberataque puede tener en sus compañías participadas.
Considerando que los ciberriesgos no paran de crecer, es fundamental que las Private Equity identifiquen, cuantifiquen, mitiguen y si es posible transfieran los impactos que las principales amenazas pueden causar sobre su normal operación; esto es, minimizar la volatilidad en sus inversiones para asegurar un flujo continuo de caja.
En primer lugar, los gestores de las compañías participadas y sus órganos de gobierno han entendido que cuando hablamos de ciberriesgo, este no se limita a un riesgo tecnológico, sino también de personas. Por eso se esta convirtiendo en una prioridad a nivel corporativo, tanto para los Consejos de Administración como para los empleados, pasando por los diferentes departamentos como Operaciones o IT.
Por este motivo, en los objetivos de la alta dirección de compañías participadas se han comenzado a incorporar responsabilidades sobre este campo, pidiendo tomar las medidas adecuadas para mitigar el posible impacto que un incidente de ciberseguridad pueda tener en el negocio de la compañía.
En última instancia, se debe buscar la transferencia del riesgo cuando esta sea posible, y es aquí donde el mercado de seguros de ciberriesgos cobra vital importancia como solución económica y sencilla, en la medida en que ofrecen productos que se adaptan a las principales exposiciones que cualquier tipo de compañía puede tener.
Cada día es más frecuente que nuestros clientes en el sector del Private Equity nos hagan consultas sobre cómo asegurar de manera adecuada tanto su negocio principal como sus compañías participadas ante el ciberriesgo, entendiendo que el impacto que puede tener una incidencia desde el punto de vista financiero o reputacional en su actividad puede resultar enorme. Desde Willis Towers Watson aconsejamos revisar la política que tu compañía puede tener respecto al ciberriesgo en un sentido amplio.