El segmento empresarial del IBEX 35, debido a su magnitud económica, manejo extenso de datos y conexiones globales con asociados, proveedores y clientes, se encuentra en la mira de los ciberdelincuentes. La transparencia en la divulgación de información sobre ciberseguridad no solo representa una muestra de responsabilidad corporativa, sino que también se convierte en un factor esencial para resguardar los intereses financieros de la empresa y mantener la confianza de sus grupos de interés. Esto es lo que subraya el ‘III Informe de transparencia en la información sobre ciberseguridad en las empresas del IBEX 35’ de Watch&Act Protection Services, presentado en conmemoración del Día Mundial de la Seguridad de la Información, que se celebrará mañana, 30 de noviembre
El informe, derivado de un minucioso análisis de los informes anuales de información no financiera de estas compañías para el año 2022, no evalúa únicamente la presencia o efectividad de herramientas técnicas de ciberseguridad, sino la forma en que comunican a accionistas, clientes y proveedores sus medidas en materia de seguridad informática. A partir de este análisis, Watch&Act Protection Services elabora el único ranking en España que categoriza a las empresas del IBEX 35 según la evidencia de acciones implementadas para proteger y asegurar la integridad, confidencialidad y accesibilidad de la información.
“Las amenazas cibernéticas son cada vez más sofisticadas y van siempre por delante de la capacidad de respuesta de las organizaciones. Según un reciente estudio de Deloitte, el 94% de las compañías españolas sufrió un incidente de ciberseguridad en el último año, situando a España como tercer país del mundo en volumen de ciberataques a sus empresas. La transparencia en materia de ciberseguridad no sólo es una obligación desde el punto de vista regulatorio; también es una apuesta de excelencia en la gestión que promueve la seguridad y confianza en el ecosistema empresarial”, sostiene Javier Huergo, responsable de Watch&Act Protection Services y autor del informe.
Al valorar la información sobre ciberseguridad presente en los informes anuales, se han considerado criterios como su accesibilidad, visibilidad, calidad e actualización. Además, se han seguido los requisitos de los sistemas de gestión de seguridad de la información según la norma ISO 27001. En esta edición, se han incorporado dos criterios adicionales: la mención y descripción de ciberataques sufridos durante el año y la referencia al control y requisitos de ciberseguridad impuestos a los proveedores en la cadena de suministro.
Cuádruple empate en la primera posición del ranking: AENA, Enagás, Inditex y Telefónica
AENA, Enagás, Inditex y Telefónica están empatadas en primera posición. Enagás es la única que repite en el Top 5 respecto al ranking del año anterior (formado, por este orden, por Santander, Ferrovial, Enagás, Mapfre y Naturgy, que siguen ocupando este año posiciones destacadas, dentro del Top 10). Cabe destacar la mejora significativa obtenida por AENA, Inditex e Indra, que suben desde los puestos 8, 16 y 19, respectivamente, hasta introducirse en el Top 5 de 2023. Asimismo, también es reseñable la gran mejora experimentada por BBVA, IAG y Meliá, que suben desde las posiciones 14, 23 y 24, respectivamente.
En términos generales, el informe extrae cuatro conclusiones destacadas:
- Se evidencia un compromiso directo de la alta dirección en las estrategias de ciberseguridad y en el cumplimiento normativo (es importante señalar que a partir de 2024, la Unión Europea tiene previsto endurecer las sanciones por incumplimiento).
- Hay un incremento significativo en los presupuestos destinados a la innovación y tecnología, especialmente en lo que respecta a la ciberseguridad.
- Se observa un aumento en la importancia otorgada a las medidas de protección de proveedores y la cadena de suministro, aunque se requiere mayor profundización en la información proporcionada al respecto.
- Existe una mejora considerable en el ámbito de la formación en ciberseguridad, tanto en la especificidad de los cursos realizados como en su alcance dentro de las organizaciones.
En cuanto a las recomendaciones de los expertos, se sugiere explorar alternativas para mitigar los riesgos cibernéticos, como la contratación de pólizas de seguros de ciberriesgo. «El Informe de Inversiones en Ciberseguridad 2022 de ENISA indica que el 42% de las entidades de servicios esenciales y de los proveedores de servicios digitales adquirieron un seguro de ciberriesgo el pasado año, lo que representa un incremento del 30% respecto a 2021”, detalla Huergo.