AENA, Enagás, Inditex y Telefónica son las empresas del IBEX 35 más transparentes en ciberseguridad, empatadas en primera posición, según los resultados del III Informe de transparencia en la información sobre ciberseguridad en las empresas del IBEX 35 de Watch&Act Protection Services. Este informe se ha presentado con motivo del Día Mundial de la Seguridad de la Información 2023 (30 de noviembre).
Como informa Watch&Act Protection Services en una nota de prensa enviada a los medios de comunicación hoy martes 28 de noviembre, las empresas del IBEX 35, por su peso en la economía, la gestión de grandes volúmenes de datos y su interconexión con socios comerciales, proveedores y clientes en todo el mundo, «son un objetivo atractivo para los ciberdelincuentes».
Debido a ello, considera que «comunicar de forma transparente la información relativa a su ciberseguridad no es solo una muestra de responsabilidad corporativa, sino también un factor clave para proteger los intereses económicos de la compañía y la confianza de sus grupos de interés».
“Las amenazas cibernéticas son cada vez más sofisticadas y van siempre por delante de la capacidad de respuesta de las organizaciones. Según un reciente estudio de Deloitte, el 94% de las compañías españolas sufrió un incidente de ciberseguridad en el último año, situando a España como tercer país del mundo en volumen de ciberataques a sus empresas. La transparencia en materia de ciberseguridad no sólo es una obligación desde el punto de vista regulatorio; también es una apuesta de excelencia en la gestión que promueve la seguridad y confianza en el ecosistema empresarial”.
Javier Huergo, responsable de Watch&Act Protection Services y autor del informe
Ranking de empresas del IBEX 35 más transparentes en ciberseguridad en 2023
Como se ha mencionado al inicio de la noticia, AENA, Enagás, Inditex y Telefónica están empatadas en primera posición, de tal forma que la nota de prensa destaca que «Enagás es la única que repite en el Top 5 respecto al ranking del año anterior (formado, por este orden, por Santander, Ferrovial, Enagás, Mapfre y Naturgy, que siguen ocupando este año posiciones destacadas, dentro del Top 10)».
La nota menciona también «la mejora significativa obtenida por AENA, Inditex e Indra, que suben desde los puestos 8, 16 y 19, respectivamente, hasta introducirse en el Top 5 de 2023». Asimismo, considera que «es reseñable la gran mejora experimentada por BBVA, IAG y Meliá, que suben desde las posiciones 14, 23 y 24, respectivamente».
«En el extremo opuesto de la tabla apenas ha habido variaciones, siendo un año más ArcelorMittal, Laboratorios Rovi y Acerinox las que presentan el nivel más bajo de transparencia sobre ciberseguridad», enumera la nota de prensa sobre el III Informe de transparencia en la información sobre ciberseguridad en las empresas del IBEX 35 de Watch&Act Protection Services.
Sectores económicos españoles más transparentes en ciberseguridad en 2023
Por sectores económicos, tomando como referencia la media de las puntuaciones obtenidas por las respectivas empresas, en esta tercera edición del informe «las Telecomunicaciones se colocan en primera posición, que ya ocupaban en 2020, pero habían caído a la cuarta el pasado año». Finanzas y Seguros pierden, por tanto, el liderato del pasado año, quedándose en el segundo puesto.
El sector energético, en tercera posición, «muestra un interés claro por informar, entendiendo que, como empresas de servicios esenciales, su negocio es muy sensible a cualquier comportamiento que pueda resultar negativo desde el punto de vista reputacional».
Por el contrario, el comunicado de prensa afirma que «resulta llamativo que el sector inmobiliario recoge de forma general en sus memorias anuales que la ciberseguridad es un elemento crítico para su negocio, pero apenas ofrece detalles de las medidas que está llevando a cabo».
Conclusiones y recomendaciones de ciberseguridad
A nivel general, de esta edición del informe de Watch&Act Protection Services se extraen cuatro conclusiones relevantes, tal y como las enumera:
- Que existe una implicación clara de la alta dirección en las estrategias de ciberseguridad y el cumplimiento de su normativa (a partir de 2024, la Unión Europea tiene previsto endurecer las sanciones por incumplimiento).
- El incremento de los presupuestos dedicados a innovación y tecnología, con especial mención a la ciberseguridad.
- El aumento de la relevancia concedida a las medidas de protección de proveedores y en la cadena de suministro, aunque es necesario abundar más en la información aportada al respecto.
- Una mejora sustancial en el capítulo de la formación en ciberseguridad, tanto por el detalle de los cursos realizados como por su alcance dentro de las organizaciones.
Por último, el documento ofrece dos recomendaciones sobre ciberseguridad a las compañías del IBEX 35. Por un lado, propone «la búsqueda de alternativas en la transferencia de los riesgos cibernéticos, como puede ser la contratación de pólizas de seguros de ciberriesgo».
“En este sentido, el Informe de Inversiones en Ciberseguridad 2022 de ENISA indica que el 42% de las entidades de servicios esenciales y de los proveedores de servicios digitales adquirieron un seguro de ciberriesgo el pasado año, lo que representa un incremento del 30% respecto a 2021”.
Javier Huergo, responsable de Watch&Act Protection Services y autor del informe
La segunda recomendación hace referencia a la inteligencia artificial (IA), «que presenta una dualidad marcada por el valor que aporta desde el punto de vista de la ciberseguridad, ofreciendo nuevas posibilidades para defenderse frente a ciberataques, y el riesgo que también genera, dando lugar a nuevas amenazas», indica el comunicado.
“La IA representa, por un lado, una revolución en la manera de identificar vulnerabilidades o mejorar la eficiencia operativa mediante el aprendizaje automático; y por otro, proporciona a los ciberdelincuentes nuevas herramientas para optimizar mensajes de phishing, el acceso a programas maliciosos o ataques de generación de datos falsos, entre otras cosas. Sólo con un uso responsable de la IA se podrá garantizar una transformación digital positiva”.
Javier Huergo, responsable de Watch&Act Protection Services y autor del informe
Cómo se ha elaborado el informe
Este documento, elaborado a partir de un exhaustivo análisis de los informes anuales de información no financiera de estas compañías correspondientes al año 2022, no evalúa la presencia de medios técnicos de ciberseguridad ni su efectividad, sino la manera en que informan a sus accionistas, clientes y proveedores sobre todo lo relacionado con sus medidas en materia de seguridad informática.
A partir de esta información, Watc&Act Protection Services elabora el único ranking que existe en España que clasifica a las compañías IBEX 35 según la evidencia de actuaciones que llevan a cabo para proteger y garantizar la integridad, confidencialidad y accesibilidad de la información.
A la hora de evaluar la información sobre ciberseguridad presente en los citados informes se han tenido en cuenta criterios como su accesibilidad, su visibilidad, la calidad de la información o su actualización. Asimismo, se han seguido los requisitos de sistemas de gestión de la seguridad de la información recogidos en la norma ISO 27001. Y a ellos se han añadido, en esta edición, dos nuevos criterios adicionales: la mención y descripción de ciberataques sufridos durante ese año, y la mención al control y requisitos en materia de ciberseguridad exigidos a los proveedores en la cadena de suministro.