Empresas de capital riesgo y de capital privado: Por qué es importante la seguridad de los datos
La ciberseguridad es una preocupación para todos los sectores, pero algunos, como el del capital riesgo y el del capital privado, son objetivos más atractivos debido a la naturaleza de los datos que recogen y procesan. Las empresas de inversión trabajan a diario con datos financieros muy sensibles, cuya confidencialidad es esencial para el buen funcionamiento de sus operaciones comerciales.
En consecuencia, las violaciones de datos pueden afectar gravemente a los resultados de una empresa de capital riesgo o de capital privado. Según el Informe sobre el Coste de una Violación de Datos 2021 realizado por IBM y el Instituto Ponemon, las instituciones financieras tienen el segundo coste más alto de violación de datos de cualquier sector: 5,72 millones de dólares por violación de datos. La pérdida de negocio es el mayor factor de coste e incluye la interrupción del negocio y la pérdida de ingresos por el centro del sistema, la pérdida de clientes existentes y nuevos, así como el daño a la reputación.
Pero las empresas de capital riesgo y de renta variable no sólo deben preocuparse por su propia ciberseguridad, sino también por la de sus proveedores y empresas en cartera. Según la guía Ciberseguridad para el sector del capital privado y el capital riesgo de la British Private Equity and Venture Capital Association (BVCA) y PWC, el 52% de las organizaciones entrevistadas indicaron que el valor de las acciones de los clientes que cotizan en bolsa se vio afectado negativamente como consecuencia de la violación de los datos de una empresa adquirida.
Por lo tanto, se espera que las empresas de capital de riesgo y de capital privado no sólo se aseguren de que los proveedores de terceros que manejan información sensible puedan proporcionar un nivel adecuado de ciberseguridad antes de contratarlos, sino que también realicen la diligencia debida en materia de ciberseguridad para determinar la madurez cibernética de una inversión objetivo e identificar los posibles riesgos cibernéticos que podrían afectar a las partes involucradas en la transacción. Según la BVCA y PWC, el 49% de sus entrevistados dijeron que los acuerdos en los que participaron se vinieron abajo debido a violaciones no reveladas. El 82% también dijo que cuanto más fuerte es la infraestructura de ciberseguridad de una empresa, mayor es el valor que se le asigna a la organización.
Si en el pasado la diligencia debida consistía en evaluar la salud financiera y el potencial de mercado de una inversión objetivo, hoy en día las empresas de capital riesgo y de capital privado ya no pueden ignorar el papel crucial que desempeña la ciberseguridad en el éxito de sus operaciones de fusión y adquisición. Cuando se trata de datos sensibles, las empresas de capital riesgo y de capital privado también deben ser conscientes de sus obligaciones reglamentarias. La Información de Identificación Personal (PII) y los datos financieros están protegidos por leyes como el Reglamento General de Protección de Datos (RGPD) de la UE y la Ley de Privacidad del Consumidor de California (CCPA), y por normas internacionales como el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). El incumplimiento de sus requisitos puede dar lugar a fuertes multas y sanciones que pueden paralizar gravemente las operaciones empresariales.
El peligro de las amenazas internas
Cuando se trata de capital riesgo y capital privado, las amenazas internas pueden ser las más peligrosas. Un marco sólido de ciberseguridad puede salvaguardar los datos de las amenazas externas, pero no protege los datos de los empleados que tienen acceso directo a ellos. La exfiltración de datos puede ser especialmente tentadora para los empleados que buscan trasladarse a otra empresa o que quieren hacer uso de información privilegiada.
Al mismo tiempo, debido a la sensibilidad de los datos en cuestión, la negligencia puede ser igual de desastrosa para las empresas de capital riesgo y de capital privado. Las filtraciones de datos pueden destruir meses de trabajo y hacer que los acuerdos que se están negociando fracasen por completo.
Una forma de hacer frente a las amenazas internas es utilizar soluciones de prevención de pérdida de datos (DLP) que permiten definir los datos sensibles en función de las necesidades de la empresa. Las herramientas de DLP vienen con perfiles predefinidos para los tipos comunes de información protegida, como la PII y la propiedad intelectual, pero también permiten personalizar las políticas para adaptarlas a los requisitos de la empresa. Una vez definidos los datos sensibles, las soluciones de DLP supervisan y controlan su transferencia y uso.
Al supervisar los datos sensibles y registrar e informar de cualquier intento de infringir las políticas, las soluciones de DLP permiten a las empresas identificar la actividad sospechosa de los usuarios. La tecnología de DLP puede bloquear la transferencia de archivos que contengan información sensible a direcciones de correo electrónico personales o servicios de almacenamiento en la nube, e incluso impedir que la información confidencial se imprima o se copie en el cuerpo de un correo electrónico.
Cuando se aplican en el punto final, las soluciones de DLP como Endpoint Protector también pueden garantizar que sus políticas permanezcan activas en un ordenador de trabajo, tanto si está en la oficina como si se utiliza de forma remota o no está conectado a Internet.
Control del uso de dispositivos extraíbles
Otro punto de salida habitual de los datos son los dispositivos extraíbles. Fáciles de usar, esconder o perder, los USB, en particular, han sido durante mucho tiempo un punto ciego de la seguridad de los datos y han sido la causa principal de violaciones masivas de datos en el pasado. Sin embargo, también pueden ser herramientas útiles para que los empleados se lleven fácilmente los datos cuando salen a reuniones o conferencias.
Las empresas de capital riesgo y de renta variable pueden utilizar soluciones de DLP para controlar el uso de periféricos y puertos USB, así como las conexiones Bluetooth. De este modo, sólo los dispositivos aprobados por la empresa pueden conectarse a los ordenadores del trabajo. De este modo, las empresas pueden asegurarse de que los empleados sólo utilicen los dispositivos seguros proporcionados por la empresa y controlar fácilmente qué empleados están copiando archivos sensibles.
Al imponer el cifrado obligatorio, las empresas pueden garantizar que todos los archivos copiados en dispositivos extraíbles se cifren automáticamente con un cifrado AES de 256 bits en modo CBC. Nadie que no tenga una clave de descifrado puede acceder a ellos. Las contraseñas pueden restablecerse si se han visto comprometidas, y los dispositivos pueden borrarse de forma remota. Fáciles de usar y muy eficientes, estas soluciones garantizan que cualquier USB robado o perdido no será accesible para terceros.
Cómo afrontar los riesgos de los datos en reposo
Según el Informe de Riesgo de Datos Financieros 2021 de Varonis, un empleado de servicios financieros tiene acceso, de media, a casi 11 millones de archivos. Muchos de ellos pueden contener datos sensibles de la empresa e información protegida por la legislación de protección de datos. Las empresas de capital riesgo y de renta variable deben asegurarse de que esos archivos, cuando ya no se utilicen, no se almacenen simplemente en lugares desprotegidos donde, en caso de violación de datos, puedan ser fácilmente robados.
Las empresas pueden utilizar herramientas de descubrimiento de datos de DLP para identificar dónde se almacenan los datos localmente. Algunas soluciones también ofrecen a los administradores la posibilidad de tomar medidas correctoras para eliminar o cifrar los datos sensibles cuando se encuentren en ubicaciones no protegidas. Esto puede hacerse automáticamente desde el panel de control de la DLP en toda la red de la empresa.
La detección de contenidos de DLP también puede ser útil en el caso de las auditorías de cumplimiento. Las empresas de capital riesgo y de capital privado pueden realizar exploraciones de descubrimiento de contenidos y generar informes que demuestren que protegen los datos sensibles, reduciendo el tiempo necesario para el proceso de auditoría.