Madrid
Las compañías especializadas en ciberseguridad son buenas conocedoras de las últimas tendencias en ataques, de los nuevos 'modus operandi' de los cibercriminales. Solo así pueden preparar mejor sus soluciones para que sus clientes afinen las estrategias de defensa. Gracias a esos informes, nos enteramos de que a diario los 'cibercacos' lo intentan un día tras otro y con empresas de todos los sectores. Otra cosa bien distinta es que esas compañías quieran publicar que están siendo víctimas de ataques o no. De ello se ocupa otro trabajo, esta vez de la correduría de seguros Watch&Act Protection Services, especializada en seguros de ciberriesgo. Por tercer año consecutivo, se han dedicado a rastrear en las memorias de actividad no financiera de todas las compañías incluidas en el selectivo Ibex 35 para conocer cuáles son las más transparentes sobre este tema, para conocer cuáles no solo han sobrevivido a estos ataques, sino que están orgullosas de contarlo.
Este año lideran el ranking, en empate técnico, AENA, Enagás, Inditex y Telefónica. Por sectores, el de las telecomunicaciones es el que mejor informa a sus grupos de interés, y el sector inmobiliario, el más opaco. Entre las conclusiones generales, destaca la implicación de la alta dirección en la ciberseguridad, el aumento de la inversión destinada a ese fin, la preocupación por la seguridad en la cadena de suministro y mayores esfuerzos en formar a los equipos.
Este trabajo no evalúa la presencia de medios técnicos de ciberseguridad ni su efectividad, sino la manera en que informan a sus accionistas, clientes y proveedores sobre todo lo relacionado con sus medidas en materia de seguridad informática. A partir de esta información, Watc&Act Protection Services elabora este ranking que clasifica a las compañías IBEX 35 según la evidencia de actuaciones que llevan a cabo para proteger y garantizar la integridad, confidencialidad y accesibilidad de la información.
"Las amenazas cibernéticas son cada vez más sofisticadas y van siempre por delante de la capacidad de respuesta de las organizaciones. Según un reciente estudio de Deloitte, el 94% de las compañías españolas sufrió un incidente de ciberseguridad en el último año, situando a España como tercer país del mundo en volumen de ciberataques a sus empresas. La transparencia en materia de ciberseguridad no sólo es una obligación desde el punto de vista regulatorio; también es una apuesta de excelencia en la gestión que promueve la seguridad y confianza en el ecosistema empresarial", sostiene Javier Huergo, responsable de Watch&Act Protection Services y autor del informe.
A la hora de evaluar la información sobre ciberseguridad presente en los citados informes se han tenido en cuenta criterios como su accesibilidad, su visibilidad, la calidad de la información o su actualización. Asimismo, se han seguido los requisitos de sistemas de gestión de la seguridad de la información recogidos en la norma ISO 27001. Y a ellos se han añadido, en esta edición, dos nuevos criterios adicionales: la mención y descripción de ciberataques sufridos durante ese año, y la mención al control y requisitos en materia de ciberseguridad exigidos a los proveedores en la cadena de suministro. Este es el resultado del ranking de 2023:
AENA, Enagás, Inditex y Telefónica están empatadas en primera posición. Enagás es la única que repite en el Top 5 respecto al ranking del año anterior (formado, por este orden, por Santander, Ferrovial, Enagás, Mapfre y Naturgy, que siguen ocupando este año posiciones destacadas, dentro del Top 10). Cabe destacar la mejora significativa obtenida por AENA, Inditex e Indra, que suben desde los puestos 8, 16 y 19, respectivamente, hasta introducirse en el Top 5 de 2023. Asimismo, también es reseñable la gran mejora experimentada por BBVA, IAG y Meliá, que suben desde las posiciones 14, 23 y 24, respectivamente. En el extremo opuesto de la tabla apenas ha habido variaciones, siendo un año más ArcelorMittal, Laboratorios Rovi y Acerinox las que presentan el nivel más bajo de transparencia sobre ciberseguridad.
Por sectores económicos, tomando como referencia la media de las puntuaciones obtenidas por las respectivas empresas, en esta III edición las telecomunicaciones se colocan en primera posición, que ya ocupaban en 2020, pero habían caído a la cuarta el pasado año. Finanzas y seguros pierden, por tanto, el liderato del pasado año, quedándose en el segundo puesto.
El sector energético, en tercera posición, muestra un interés claro por informar, entendiendo que, como empresas de servicios esenciales, su negocio es muy sensible a cualquier comportamiento que pueda resultar negativo desde el punto de vista reputacional. Por el contrario, resulta llamativo que el sector inmobiliario recoge de forma general en sus memorias anuales que la ciberseguridad es un elemento crítico para su negocio, pero apenas ofrece detalles de las medidas que está llevando a cabo.
A nivel general, de esta edición del informe de Watch&Act Protection Services se extraen cuatro conclusiones relevantes: 1) Que existe una implicación clara de la alta dirección en las estrategias de ciberseguridad y el cumplimiento de su normativa (a partir de 2024, la Unión Europea tiene previsto endurecer las sanciones por incumplimiento). 2) El incremento de los presupuestos dedicados a innovación y tecnología, con especial mención a la ciberseguridad. 3) El aumento de la relevancia concedida a las medidas de protección de proveedores y en la cadena de suministro, aunque es necesario abundar más en la información aportada al respecto. Y 4) Una mejora sustancial en el capítulo de la formación en ciberseguridad, tanto por el detalle de los cursos realizados como por su alcance dentro de las organizaciones.
