Banco Santander es la empresa del IBEX 35 más transparente en materia de ciberseguridad
Según el ranking de Watch&Act, el sector de servicios financieros y seguros lidera la lista de las grandes compañías españolas que mejor informan sobre sus estrategias de seguridad de la información.
Las empresas del IBEX 35, las más grandes del ecosistema español que cotizan en Bolsa, son siempre un blanco cotizado para los ciberdelincuentes, por lo que deben tomarse en serio la seguridad de sus activos. En este contexto, la consultora Watch&Act ha elaborado, por segundo año consecutivo, un ranking de transparencia en ciberseguridad de las compañías que integran este selecto grupo, con el objetivo de analizar cómo estas empresas comunican a sus stakeholders las estrategias y medidas que están llevando a cabo en materia de seguridad de la información.
A través de la revisión de sus informes de información no financiera, la consultora reveló que el Banco Santander es la empresa que lidera la transparencia en ciberseguridad, seguida de Ferrovial, Enegás, Mapfre y Naturgy. Todas estas compañías han escalado puestos en comparación con el año anterior.
Javier Huergo, responsable de Watch&Act Protection Services y coautor del informe, comentó que “las grandes empresas son cada vez más conscientes de los peligros cibernéticos. Un reciente informe de Hiscox recoge que el coste económico de los ataques informáticos para las empresas españolas se ha duplicado en el último año, superando de media los 105.000€. De ahí que se haya registrado un incremento del 60% en la inversión media en ciberseguridad. Estamos viendo, además, cómo cada vez más los comités de dirección se implican de forma directa en el establecimiento de estrategias en materia de ciberseguridad. Pero todo esto hay que contarlo, y no todas las organizaciones se toman igual de en serio su compromiso con la transparencia en este sentido”.
El grupo de empresas que más información proporcionan en este ámbito lo completan Sacyr, Telefónica, Aena, Fluidra e Iberdrola. Tanto la telco como la gestora de aeropuertos han descendido en el listado. En todas éstas se recoge una mayor concienciación de los riesgos cibernéticos y una mención explícita al aumento en el presupuesto en ciberseguridad.
Según el estudio de Watch&Act, un segundo grupo lo componen aquellas empresas que han informado bien sobre sus medidas de ciberseguridad, pero aún les falta incluir más detalles sobre su estrategia, certificaciones, auditorías y otras acciones. Éstas son Amadeus, Caixabank, Repsol, BBVA, Red Eléctrica, Inditex, Bankinter, Endesa, Indra, Acciona, Acciona Energía, Banco Sabadell, IAG y Meliá.
Finalmente, el tercer grupo son organizaciones que aún tienen un amplio margen de mejora en transparencia sobre sus acciones de ciberseguridad. La gran mayoría de ellas no ha logrado salir de este grupo desde el 2021. Se trata de Grifols, ACS, Merlin Properties, Solaria, Pharmamar, Cellnex, Siemens Gamesa, Colonial, Rovi, Acerinox y AcerlorMittal.
Banca y seguros, los más transparentes
Al ser una industria donde hay que tener especial cuidado con la privacidad de los datos, no es de extrañar que los servicios financieros y seguros sea el sector económico más transparente en cuanto a sus medidas de ciberseguridad. Esta industria ha tenido una notable mejoría respecto del año anterior, pasando del tercer puesto del ranking al primero.
A la banca y seguros les siguen los servicios de consumo, el sector energético (que pasa del quinto puesto al tercero), las telecomunicaciones (que ven una caída de la primera posición en 2020 a la cuarta en 2021), la construcción y el sector inmobiliario.
En cuanto a los criterios que se evaluaron en el informe de Watch&Act, el más informado por las empresas del IBEX fue el liderazgo de la alta dirección en la gestión de la ciberseguridad. La concienciación y formación a los empleados en seguridad fue lo segundo más repetido, seguido de la gestión de los riesgos de ciberseguridad por parte de la comisión de riesgos, el cumplimiento de las obligaciones legales y el establecimiento de una política de ciberseguridad con procedimientos y protocolos publicados en la web corporativa.
Respecto a estos criterios, Javier Silva, ingeniero de procesos, senior advisor de Watch&Act y coautor del informe, sostuvo que “es muy destacable cómo la alta dirección se ha implicado en gran medida en la gestión directa de los riesgos de la ciberseguridad, formando parte de distintos comités para abordar y liderar una estrategia eficaz para evitarlos. Y también cómo ha trasladado la innegable necesidad de proporcionar formación en materia de ciberseguridad a todo el personal de la empresa, empezando por ellos mismos”.
