Empresas más transparentes del IBEX 35 en ciberseguridad
AENA, Enagás, Inditex y Telefónica son las empresas del IBEX 35 más transparentes en ciberseguridad.
Las empresas del IBEX 35, por su peso en la economía, la gestión de grandes volúmenes de datos y su interconexión con socios comerciales, proveedores y clientes en todo el mundo, son un objetivo atractivo para los ciberdelincuentes.
Comunicar de forma transparente la información relativa a su ciberseguridad no es solo una muestra de responsabilidad corporativa, sino también un factor clave para proteger los intereses económicos de la compañía y la confianza de sus grupos de interés. Así lo recoge el 'III Informe de transparencia en la información sobre ciberseguridad en las empresas del IBEX 35' de Watch&Act Protection Services, presentado con motivo del Día Mundial de la Seguridad de la Información.
Este documento, elaborado a partir de un exhaustivo análisis de los informes anuales de información no financiera de estas compañías correspondientes al año 2022, no evalúa la presencia de medios técnicos de ciberseguridad ni su efectividad, sino la manera en que informan a sus accionistas, clientes y proveedores sobre todo lo relacionado con sus medidas en materia de seguridad informática. A partir de esta información, Watc&Act Protection Services elabora el único ranking que existe en España que clasifica a las compañías IBEX 35 según la evidencia de actuaciones que llevan a cabo para proteger y garantizar la integridad, confidencialidad y accesibilidad de la información.
"Las amenazas cibernéticas son cada vez más sofisticadas y van siempre por delante de la capacidad de respuesta de las organizaciones. Según un reciente estudio de Deloitte, el 94% de las compañías españolas sufrió un incidente de ciberseguridad en el último año, situando a España como tercer país del mundo en volumen de ciberataques a sus empresas. La transparencia en materia de ciberseguridad no sólo es una obligación desde el punto de vista regulatorio; también es una apuesta de excelencia en la gestión que promueve la seguridad y confianza en el ecosistema empresarial", sostiene Javier Huergo, responsable de Watch&Act Protection Services y autor del informe.
A la hora de evaluar la información sobre ciberseguridad presente en los citados informes se han tenido en cuenta criterios como su accesibilidad, su visibilidad, la calidad de la información o su actualización. Asimismo, se han seguido los requisitos de sistemas de gestión de la seguridad de la información recogidos en la norma ISO 27001. Y a ellos se han añadido, en esta edición, dos nuevos criterios adicionales: la mención y descripción de ciberataques sufridos durante ese año, y la mención al control y requisitos en materia de ciberseguridad exigidos a los proveedores en la cadena de suministro. Este es el resultado del ranking de 2023:
AENA, Enagás, Inditex y Telefónica están empatadas en primera posición. Enagás es la única que repite en el Top 5 respecto al ranking del año anterior (formado, por este orden, por Santander, Ferrovial, Enagás, Mapfre y Naturgy, que siguen ocupando este año posiciones destacadas, dentro del Top 10). Cabe destacar la mejora significativa obtenida por AENA, Inditex e Indra, que suben desde los puestos 8, 16 y 19, respectivamente, hasta introducirse en el Top 5 de 2023. Asimismo, también es reseñable la gran mejora experimentada por BBVA, IAG y Meliá, que suben desde las posiciones 14, 23 y 24, respectivamente. En el extremo opuesto de la tabla apenas ha habido variaciones, siendo un año más ArcelorMittal, Laboratorios Rovi y Acerinox las que presentan el nivel más bajo de transparencia sobre ciberseguridad.
Por sectores económicos, tomando como referencia la media de las puntuaciones obtenidas por las respectivas empresas, en esta III edición las Telecomunicaciones se colocan en primera posición, que ya ocupaban en 2020, pero habían caído a la cuarta el pasado año. Finanzas y Seguros pierden, por tanto, el liderato del pasado año, quedándose en el segundo puesto.
El sector energético, en tercera posición, muestra un interés claro por informar, entendiendo que, como empresas de servicios esenciales, su negocio es muy sensible a cualquier comportamiento que pueda resultar negativo desde el punto de vista reputacional. Por el contrario, resulta llamativo que el sector inmobiliario recoge de forma general en sus memorias anuales que la ciberseguridad es un elemento crítico para su negocio, pero apenas ofrece detalles de las medidas que está llevando a cabo.
Conclusiones y recomendaciones
A nivel general, de esta edición del informe de Watch&Act Protection Services se extraen cuatro conclusiones relevantes: 1) Que existe una implicación clara de la alta dirección en las estrategias de ciberseguridad y el cumplimiento de su normativa (a partir de 2024, la Unión Europea tiene previsto endurecer las sanciones por incumplimiento). 2) El incremento de los presupuestos dedicados a innovación y tecnología, con especial mención a la ciberseguridad. 3) El aumento de la relevancia concedida a las medidas de protección de proveedores y en la cadena de suministro, aunque es necesario abundar más en la información aportada al respecto. Y 4) Una mejora sustancial en el capítulo de la formación en ciberseguridad, tanto por el detalle de los cursos realizados como por su alcance dentro de las organizaciones.
Por último, el documento ofrece dos recomendaciones a las compañías del IBEX 35. Por un lado, la búsqueda de alternativas en la transferencia de los riesgos cibernéticos, como puede ser la contratación de pólizas de seguros de ciberriesgo. "En este sentido, el Informe de Inversiones en Ciberseguridad 2022 de ENISA indica que el 42% de las entidades de servicios esenciales y de los proveedores de servicios digitales adquirieron un seguro de ciberriesgo el pasado año, lo que representa un incremento del 30% respecto a 2021", explica Javier Huergo.
La segunda recomendación hace referencia a la inteligencia artificial (IA), que presenta una dualidad marcada por el valor que aporta desde el punto de vista de la ciberseguridad, ofreciendo nuevas posibilidades para defenderse frente a ciberataques, y el riesgo que también genera, dando lugar a nuevas amenazas. "La IA representa, por un lado, una revolución en la manera de identificar vulnerabilidades o mejorar la eficiencia operativa mediante el aprendizaje automático; y por otro, proporciona a los ciberdelincuentes nuevas herramientas para optimizar mensajes de phishing, el acceso a programas maliciosos o ataques de generación de datos falsos, entre otras cosas. Sólo con un uso responsable de la IA se podrá garantizar una transformación digital positiva", concluye el autor del informe.