He aquí las empresas del Ibex 35 más transparentes en ciberseguridad
AENA, Enagás, Inditex y Telefónica encabezan la clasificación, según recoge la tercera edición del informe de transparencia en la información sobre seguridad impulsado por Watch&Act Protection Services.
Las empresas del Ibex 35, por su peso en la economía, la gestión de grandes volúmenes de datos y su interconexión con socios comerciales, proveedores y clientes en todo el mundo, son un objetivo atractivo para los ciberdelincuentes. Comunicar de forma transparente la información relativa a su ciberseguridad no es solo una muestra de responsabilidad corporativa, sino también un factor clave para proteger los intereses económicos de la organización y potenciar la confianza de sus grupos de interés. Así se desprende de la tercera edición del Informe sobre transparencia en la información sobre ciberseguridad en las empresas del Ibex 35 impulsado por Watch&Act Protection Services.
Un documento elaborado a partir de un exhaustivo análisis de los informes anuales de información no financiera de estas compañías correspondientes al año 2022. Entre los parámetros que se han evaluado, detalla la empresa, se han tenido en cuenta criterios como su accesibilidad, visibilidad, la calidad de la información o su actualización. Asimismo, se han seguido los requisitos de sistemas de gestión de la seguridad de la información recogidos en la norma ISO 27001. Y a ellos se han añadido, en esta edición, dos nuevos criterios adicionales: la mención y descripción de ciberataques sufridos durante ese año y la mención al control y requisitos en materia de ciberseguridad exigidos a los proveedores en la cadena de suministro.
Con todo ello, AENA, Engás, Inditex y Telefónica han resultado las empresas más transparentes en materia de ciberseguridad. De hecho, comparten el primer puesto en el podio. “La transparencia en materia de ciberseguridad no sólo es una obligación desde el punto de vista regulatorio; también es una apuesta de excelencia en la gestión que promueve la seguridad y confianza en el ecosistema empresarial”, defiende Javier Huergo, responsable de Watch&Act Protection Services y autor del informe.
Dispersión por sectores
Tomando como referencia la media de las puntuaciones obtenidas por las respectivas empresas, en esta tercera edición las Telecomunicaciones se colocan en primera posición, que ya ocupaban en 2020, pero habían caído a la cuarta el pasado año. Finanzas y Seguros pierden, por tanto, el liderato del pasado año, quedándose en el segundo puesto.
El sector energético, en tercera posición, muestra un interés claro por informar, entendiendo que, como empresas de servicios esenciales, su negocio es muy sensible a cualquier comportamiento que pueda resultar negativo desde el punto de vista reputacional. Por el contrario, resulta llamativo que el sector inmobiliario recoge de forma general en sus memorias anuales que la ciberseguridad es un elemento crítico para su negocio, pero apenas ofrece detalles de las medidas que está llevando a cabo.
Conclusiones relevantes
A nivel general, de esta edición se extraen cuatro grandes conclusiones. La primera de ellas, la implicación clara de la alta dirección en las estrategias de ciberseguridad y el cumplimiento de su normativa. Por otro lado, el incremento de los presupuestos dedicados a innovación y tecnología, con mención especial a la ciberseguridad. Además, resalta el aumento de la relevancia concedida a las medidas de protección de proveedores y en la cadena de suministro, aunque es necesario abundar más en la información aportada al respecto. Por último, la mejora sustancial relativa al capítulo de la formación en ciberseguridad, tanto por el detalle de los cursos realizados como por su alcance dentro de las organizaciones.
Por último, el documento ofrece dos recomendaciones a las compañías del Ibex 35. Por un lado, la búsqueda de alternativas en la transferencia de los riesgos cibernéticos, como puede ser la contratación de pólizas de seguros de ciberriesgo. La segunda recomendación hace referencia a la inteligencia artificial (IA), que presenta una dualidad marcada por el valor que aporta desde el punto de vista de la ciberseguridad, ofreciendo nuevas posibilidades para defenderse frente a ciberataques, y el riesgo que también genera, dando lugar a nuevas amenazas.
