Lo primero que llama la atención es algo… que empieza a convertirse en habitual: el gran número de páginas que se les dedica a estos documentos. De esta forma, Volvo no tiene una, sino dos memorias, tanto para sus modelos de tipo turismo como para su división de camiones -y que entre ambas superan las 400 páginas de contenido-.
Lo segundo, es que cada vez están más presentes términos como ‘ciberataques’, ‘ciberseguridad’, ‘vulnerabilidades’, ‘legislación’, ‘datos’… Si bien es verdad que en el caso de los informes de Volvo y Mercedes no han resultado tan concretos como los de Audi y BMW… además de no mencionar de manera explícita la ciberseguridad en los vehículos, sino más bien en el ámbito industrial o de la empresa. En todo caso, esto es lo más destacado que hemos encontrado.
Mercedes: Varias menciones a lo cíber, pero poca concreción
De hecho, es un término que verás reflejado hasta en un total de 10 ocasiones; la primera de ellas, en la página 15, aparece como uno de los puntos del día en una reunión estratégica que tuvo lugar los días 28 y 29 de septiembre del 2022, en la que “se informó al Consejo de Supervisión sobre la situación actual de la empresa y, en particular, las actividades relacionadas con la posible venta del negocio ruso […] Otro punto de la agenda del día fue la ciberseguridad”, al tiempo que poco más adelante se destaca que “también se discutieron las actividades de software para automóviles y la red de producción global”.
Hay que avanzar hasta la página 99, dentro del epígrafe ‘resultados’, donde se está hablando de formación profesional y programas duales de estudios y es posible intuir que una de las ramas que más se está desarrollando y fortaleciendo tiene que ver, precisamente, con ‘lo cíber’. En concreto, aseguran que: “El mayor desarrollo del contenido de capacitación en 2022 también implicó el diseño y lanzamiento en los lugares de capacitación de nuevos componentes internos de calificación para los aprendices que abordan temas como la ciberseguridad, la programación y la toma de decisiones basada en datos”.
Ya en la página 146 de una memoria que tiene 363, se habla de la ciberseguridad… pero desde un punto de vista geo-estratégico y global, pues consideran que “una mayor escalada y posible expansión geográfica de la guerra entre Rusia y Ucrania podría tener un impacto negativo en los procesos de compras y logística y en el programa de producción y ventas”.
“Un posible cuello de botella en el suministro de energía en la UE podría conducir posteriormente a posibles pérdidas de producción en las plantas de Mercedes-Benz turismos y Mercedes-Benz furgonetas. Además, existe un riesgo creciente de posibles ciberataques como consecuencia de las tensiones políticas”.
En las páginas 148 y 149 se hace más énfasis en el tema de los ciberataques, centrados en este caso con posibles consecuencias en la producción de vehículos: “El creciente riesgo de ciberataques dentro de la cadena de suministro también significa que no se pueden descartar interrupciones en dicha cadena y, como resultado, paradas de producción y pérdidas de ventas de unidades”.
Con todo, es en la página 149 donde se concentran la mayor parte de las referencias a la ciberseguridad, dentro de un apartado que se titula “Riesgos y oportunidades de la tecnología de la información”. Comienzan diciendo que “la estrategia de digitalización seguida sistemáticamente permite al Grupo Mercedes-Benz aprovechar nuevas oportunidades para aumentar la utilidad para el cliente y el valor de la empresa”… pero también son conscientes de que “el alto grado de penetración de las tecnologías de la información -TI- en todas las unidades de negocio también conlleva riesgos para nuestros procesos productivos y de negocio, y los productos y servicios de las unidades”.
Consideran que es cada vez mayor “la amenaza del delito cibernético y la propagación de códigos maliciosos agresivos”, que conlleva una serie de riesgos que pueden afectar a “la disponibilidad, integridad y confidencialidad de la información y los recursos operativos respaldados por TI”. Sin embargo, no parecen estar haciendo referencia directa, en ningún momento, al producto, sino a la operativa de la marca y sus posibles consecuencias económicas:
“A pesar de las amplias precauciones, en el peor de los casos, esto -en referencia a la propagación de códigos maliciosos agresivos- puede conducir a una interrupción temporal de los procesos comerciales respaldados por TI con graves efectos negativos en las ganancias del Grupo”.
También consideran que “la pérdida o el uso indebido de datos confidenciales puede, en determinadas circunstancias, conducir a una pérdida de reputación”, mientras que tienen en consideración que la existencia de reglamentos europeos como el centrado en la protección de datos, junto con la legislación relacionada “pueden dar lugar a reclamaciones de terceros con costosos requisitos normativos y sanciones con un impacto en los ingresos”.
“Es esencial para el Grupo Mercedes-Benz en todo el mundo, y sus amplios procesos comerciales y de producción, que la información esté disponible y se pueda intercambiar de forma actualizada, completa y correcta”. Consideran que el marco interno de seguridad de TI que emplean, está implementado “de acuerdo con los estándares internacionales y también se basa en los estándares y buenas prácticas de la industria para sus medidas de protección”.
Quizá lo más interesante -aunque sea una frase general, no muy concreta porque no citan ejemplos concretos- es cuando aseguran que “los nuevos requisitos normativos para la ciberseguridad y los sistemas de gestión de la ciberseguridad se tienen en cuenta en el desarrollo posterior de procesos y políticas”.
“Se deben utilizar sistemas de TI seguros y una infraestructura de TI confiable para proteger la información. Las amenazas cibernéticas deben identificarse y tratarse según corresponda a su criticidad durante todo el ciclo de vida de las aplicaciones y los sistemas de TI. Se presta especial atención a los riesgos que, en caso de producirse, den lugar a la interrupción de los procesos de negocio por fallos en los sistemas informáticos ya la pérdida y falsificación de datos. El avance de la digitalización y la interconexión de los medios de producción va acompañado de medidas de seguridad técnicas y organizativas coordinadas”, aseguran.
¿Qué medidas preventivas -o correctivas- aplican desde este grupo alemán en cuanto a la confidencialidad, integridad y disponibilidad de los datos? Por ejemplo, con la duplicación de datos, el almacenamiento descentralizado de los mismos, las copias de seguridad de datos fuera del sitio y los sistemas de TI configurados para una alta disponibilidad. También elaboran planes de emergencia, se forma a los empleados y se les informa regularmente para que sigan siendo capaces de actuar.
“Las amenazas específicas se analizan y las contramedidas se coordinan en un Centro de Respuesta e Inteligencia Cibernética activo de ámbito mundial”, para concluir asegurando que “la protección de productos y servicios contra el peligro de piratería y ciberdelincuencia se desarrolla continuamente”.
Volvo: ¿Respuesta… cibersegura?
El fabricante sueco ha sido tradicionalmente asociado al concepto de seguridad pasiva de sus vehículos; ¿qué ocurre cuando se trata de analizar la ciberseguridad? Nada mejor que echar un vistazo a sus informes anuales y, más en concreto, al del año 2022… donde el término ‘cíber’ está presente hasta en un total de 12 ocasiones.
Para comenzar, en la página 33 de un documento que se compone de 205, hablan de ‘la transformación más rápida’, bajo la cual titulan: “cinco misiones para guiar la ejecución”. La segunda de ellas, la de ‘producto’, incluye como uno de los puntos lo que denominan “datos y ciber”, mientras que la quinta, denominada ‘digital‘, también cuenta con un sub-apartado que se llama ‘ciberseguridad y protección de datos’.
En la página 56 del documento, dentro de una tabla denominada ‘riesgos operacionales’ es donde se concentra buena parte de las alusiones a ‘lo cíber’ de este informe. En una de las primeras filas, se ve el campo denominado “Amenazas a la ciberseguridad” donde se comienza con una máxima tajante: “la ciberseguridad es cada vez más importante para un negocio sostenible”.
Continúa diciendo que “el ciberdelito se presenta de muchas formas, es decir, malware -programa malicioso o virus-, robo de información, extorsión y fraude. Además, continúan surgiendo regulaciones, estándares y requisitos automotrices globales para abordar la ciberseguridad, por lo que la ciberseguridad es un requisito comercial crítico para Volvo Cars y es fundamental para proteger los activos digitales de Volvo Cars”. Como vemos, no hay referencia explícita, por ejemplo, a la normativa R155 de ciberseguridad en vehículos.
Más adelante, confirman que “Volvo Cars cuenta con un modelo de gobierno adecuado y una organización equipada para abordar el riesgo de ciberseguridad. Existe una amplia gama de Políticas, Directivas y Normas vigentes. Existe un Programa de Ciberseguridad general para abordar las áreas de mejora”; y se concluye diciendo algo bastante obvio como que “el riesgo cibernético está aumentando en general en la sociedad, por lo que también afecta a Volvo Cars”.
Avanzamos hasta la página 169 para ver un aspecto que suele ser habitual en este tipo de memorias anuales y es lo que tiene que ver con la formación y capacitación de los empleados. Bajo el titular de “aprendizaje y desarrollo”, se comenta que los empleados de la marca “revisan regularmente su desempeño y desarrollo”.
Consideran que “la demanda cambiante de habilidades tecnológicas ha llevado a iniciativas de mejora y actualización de habilidades en toda la empresa. Ofrecemos perfeccionamientos en áreas como desarrollo de software, sustentabilidad, electrificación, ciberseguridad y ventas en línea”. También reflejan que colaboran “con universidades, colegios técnicos y otras instituciones educativas, y evaluamos la inversión en programas de educación y capacitación sobre temas que incluyen tecnología de fundición, mantenimiento, desarrollo de software y electromovilidad”.
Finalmente, en la página 177 hablan sobre la capacitación “dirigida a las cinco principales áreas de riesgo de cumplimiento y ética”. En 2022, 4.100 personas participaron en capacitaciones presenciales específicas de riesgo. “Otras unidades también brindan capacitación sobre otras áreas de nuestro código de conducta, como ciberseguridad y discriminación y acoso”.
Bonus track: ¿qué dice la memoria de Volvo división de camiones?
La página 73 de este documento de 226, reserva un espacio para hablar de la ciberseguridad. Concretamente, dentro del apartado ‘Seguridad de la información y estructura digital’, se refleja que “el funcionamiento de muchos de los procesos comerciales de Volvo Group depende de sistemas y sistemas de tecnología de la información (TI) confiables”.
Son conscientes de que “las interrupciones, los ataques cibernéticos y otras amenazas de seguridad contra nuestros productos o negocios podrían dañar las operaciones y la reputación de Volvo Group y tener un efecto adverso significativo en las ganancias y la posición financiera. La detección oportuna de la ciberseguridad y otros incidentes de seguridad es cada vez más compleja, y Volvo Group busca investigar y gestionar los incidentes con el fin de evitar que se repitan”.
Otro aspecto interesante es cuando se comenta que la ciberseguridad no es solo exigible a uno mismo… sino a otros actores externos con los que trabaja la empresa sueca. “Los eventos o incidentes causados por vulnerabilidades en las operaciones o productos de terceros, podrían causar la interrupción de las operaciones, la pérdida o la fuga de datos, riesgo reputacional y pérdidas financieras”.
