De entre todas las empresas del Ibex 35, Banco Santander encabeza el II Ranking de Transparencia de Información en Ciberseguridad elaborado por la correduría de seguros Watch&Act Protection Services.
—
Como sucede ya con la sostenibilidad y antes con la RSC, las memorias de información no financiera de las empresas del Ibex empiezan a recoger datos y estrategias sobre la ciberseguridad de las compañías.
Según ha puesto de manifiesto un informe elaborado por la correduría de seguros especializada en el ciberriesgo, Watch&Act Protection Services, las grandes empresas españolas hacen mención del mayor número de partidas presupuestas dedicadas a las amenazas virtuales. Se ha comprobado que las inversiones en esta temática han crecido una media del 60%, ya que los ataques informáticos han pasado a duplicarse de un año para otro.
El informe no se detiene en las técnicas que emplean las organizaciones para detener tales ataques, sino más bien en el modo que informan sobre ellas a sus grupos interés. Una cuestión que encaja perfectamente en el Día Internacional de la Seguridad de la Información ( mañana 30 de noviembre). Sin duda, una virtud a tener en cuenta, la de la transparencia en este tipo de comunicaciones, pues eleva indicadores reputacionales y tiene impacto en la cuenta de resultados.
Por sectores, energía, banca y construcción aportan información amplia, clara y transparente porque han tomado conciencia de los riesgos y consecuencias que tienen las amenazas digitales
Javier Huergo, responsable de Watch&Act Protection Services y coautor del informe, indica que el coste económico de los ataques registrados durante el último año han superado una media de 105.000 euros. Son datos procedentes de un reciente informe de Hiscox, en donde se asegura además que el 48% de las pymes españolas sufrieron al menos un ciberataque el año pasado. La propia Google apunta a este respecto que las medidas de protección de las pequeñas y medianas empresas es muy baja.
Volviendo a las grandes empresas, la correduría se seguros ha dado a conocer su ranking sobre el nivel de transparencia de acuerdo a 10 criterios metodológicos y una escala de puntuación agregada. La fuente utilizada es la información publicada por las compañías presentes en el Ibex 35.
Liderazgo de Banco Santander
Así pues, el II Ranking del Ibex 35 en transparencia de información en ciberseguridad está liderado por Banco Santander y la primera gran conclusión es que las empresas en general han experimentado una gran mejoría frente al año pasado. Por sectores, energía, banca y construcción aportan información amplia, clara y transparente porque han tomado conciencia de los riesgos y consecuencias que tienen las amenazas digitales.
Asimismo, son conscientes de las repercusiones que pueden provocar en clientes, accionistas e inversores el hecho de no comunicar eficazmente las cuestiones relativas a la ciberseguridad. Tras Banco Santander, el top 10 se conforma por Ferrovial, Enagás, MAPFRE, Naturgy, Sacyr, Telefónica, AENA, Fluidra e Iberdrola.
Las empresas que ocupan los puestos del 11 al 24 se encuentran en una posición intermedia dado que su nivel de transparencia ha mejorado sustancialmente de un año para otro, pero se sigue echando en falta una mayor información sobre su estrategia, medidas, certificaciones y auditorías llevadas a cabo a lo largo del año.
En un tercer nivel del ranking se encuentran las compañías situadas entre las posiciones 25 y 35. Pocas variaciones se han registrado en este bloque con respecto a los resultados del año pasado. Se trata de empresas que pertenecen al sector de infraestructuras críticas o de consumo y los responsables del informe consideran que es “absolutamente necesario” informar sobre su ciberseguridad. Dicho esto, el hecho de que la información no sea del todo transparente no quiere decir que no se estén tomando medidas para evitar ciberataques.
En la valoración por sectores, los expertos del informe sostienen que el mayor grado de transparencia informativa se halla en los servicios financieros y aseguradores. El sector telco, líder en la edición 2020 del informe, pasa a ocupar la cuarta posición.
El liderazgo, el criterio mejor valorado
Otras conclusiones interesantes lanzadas por Watch&Act Protection Services es que el criterio que ha obtenido una mayor valoración agregada ha sido el del liderazgo. La alta dirección del Ibex ha tomado conciencia de los riesgos virtuales, dándoles una mayor prioridad en su estrategia.
“Es muy destacable cómo la alta dirección se ha implicado en gran medida en la gestión directa de los riesgos de la ciberseguridad, formando parte de distintos comités para abordar y liderar una estrategia eficaz para evitarlos. Y también cómo ha trasladado la innegable necesidad de proporcionar formación en materia de ciberseguridad a todo el personal de la empresa, empezando por ellos mismos”, sostiene Javier Silva, ingeniero de procesos, senior advisor de Watch&Act y coautor del informe.
Tras el liderazgo, siguen, en este orden, el resto de criterios con mayor valoración: la concienciación y formación en ciberseguridad a los empleados; la gestión de los riesgos por parte de la comisión de riesgos, que reporta a la alta dirección; el cumplimiento de las obligaciones legales relativas a la seguridad de la información; y el establecimiento de una política de ciberseguridad con procedimientos y protocolos de actuación accesible a través de la web corporativa.
Los criterios peor valorados son el plan de continuidad de negocio; la existencia de un Centro de Operaciones de Seguridad y la certificación y auditoría por terceros agentes.
