La adopción del teletrabajo y la aceleración de los procesos de digitalización fueron dos de las medidas estrella de las organizaciones para combatir los efectos de la pandemia de la Covid-19 y frenar la expansión del virus, pero provocaron que aumentaran sus brechas de ciberseguridad y que se disparara el número de ciberataques. Como respuesta, las compañías han incrementado notablemente sus presupuestos destinados a ciberseguridad, pero no todas son igual de transparentes a la hora de hacer públicas las medidas que tienen implantadas.
Watch&Act Protection Services (W&A PS), correduría especializada en seguros de ciberriesgo del Grupo Watch&Act, ha elaborado el primer ranking de transparencia en ciberseguridad de las empresas del IBEX 35 dentro de su "Informe de transparencia en la información sobre ciberseguridad en las empresas del IBEX 35", que ha presentado este martes, 30 de noviembre, con motivo del Día Internacional de la Seguridad de la Información.
Se trata de la primera edición de este informe, que nace con vocación de continuidad y tiene como objetivo analizar el tratamiento de la información sobre las estrategias de ciberseguridad y protección de datos que estas 35 grandes compañías comparten en sus memorias anuales de información no financiera; "una información de gran interés tanto para sus inversores como para el resto de grupos de interés (empleados, clientes, proveedores, etc.), por las repercusiones que puede tener en la reputación de la organización y en los beneficios de sus accionistas", advierte W&A PS en la nota de prensa que ha emitido para anunciar la publicación de este informe.
Sus autores son dos expertos de Watch&Act, Javier Silva y Javier Huergo, y para elaborar el ranking han analizado minuciosamente las memorias anuales de 2020 de las 35 empresas del IBEX, y han aplicado 10 criterios y una escala de puntuación agregada.
"Es importante aclarar que los resultados obtenidos a través del análisis realizado valoran exclusivamente la información publicada, es decir, el grado de transparencia de una empresa en la gestión relacionada con la Ciberseguridad. En ningún caso se pretende hacer una valoración de las medidas de Ciberseguridad de que disponen la empresa siendo normalmente servicios que tendrían que hacerse por encargo de una empresa, tener acceso a los sistemas e infraestructuras de tecnologías de la información que es la única forma de conocer y evaluar el alcance y grado de protección de las medidas adoptadas", señala el informe.
El primer ranking del IBEX 35 en transparencia en información sobre ciberseguridad
Siguiendo la información del propio documento, el ranking divide a las compañías en estos cuatro grupos:
- Del 1 al 9: empresas muy transparentes debido a que perciben como muy relevante para sus accionistas e inversores la información sobre ciberseguridad.
- Del 10 al 17: nivel medio-alto, aunque tienen la oportunidad de mejorar significativamente su transparencia en ciberseguridad.
- Del 18 al 26: tienen un nivel medio-bajo de transparencia en ciberseguridad presentando un alto potencial de mejora.
- Del 27 al 35: estas empresas presentan un nivel muy bajo o incluso nulo de transparencia y, por tanto, son las que tienen un mayor recorrido para hacer pública su información relevante sobre ciberseguridad.
CaixaBank, Telefónica y Ferrovial encabezan el ranking y les siguen Aena, Amadeus, Banco Santander, BBVA, Inditex y Naturgy, también incluidas en el primer grupo. Por el contrario, las empresas peor valoradas y que conforman el cuarto grupo son Almirall, Repsol, Colonial, Acerinox, Iberdrola, ArcelorMittal, Solaria, Acciona y Siemens Gamesa.
Atendiendo a los sectores a los que pertenecen, se observa que los que presentan mayor grado de transparencia son aquellos cuya actividad implica un uso más intensivo de la tecnología (tecnología y telecomunicaciones) y los que realizan un mayor uso de los canales digitales para relacionarse con sus clientes (servicios financieros, seguros y servicios de consumo). Sin embargo, los sectores inmobiliario, construcción e industria son los que han registrado un nivel más bajo de transparencia. Por otro lado, cabe destacar el sector energético, en el que se registran niveles muy diversos entre las diferentes compañías.
Los criterios de evaluación que se han aplicado
Los criterios de evaluación que muestran mayor transparencia hacia sus accionistas e inversores son los relativos a los aspectos más básicos en la gestión de seguridad de la información: la existencia de una comisión de riesgos que gestiona la ciberseguridad y reporta a la alta dirección; el cumplimiento de normativa legal de seguridad de la información y la definición de unos procedimientos y protocolos que desarrollan la política de seguridad, accesible desde la web de la empresa.
En el lado opuesto, los criterios que obtienen una peor valoración de transparencia – que requieren un mayor grado de madurez y un mayor tiempo de implantación – son la existencia de un plan de continuidad del negocio ante un posible ataque informático; la disponibilidad de un departamento específico encargado de detectar, analizar, informar y corregir incidentes de seguridad; y la certificación de las medidas de seguridad adoptadas de acuerdo con estándares internacionales o la realización de auditorías externas.
El resto de criterios, con una posición intermedia en cuanto a la transparencia de la información publicada, son la concienciación y capacitación de los empleados en materia de ciberseguridad; la planificación de objetivos y actuaciones en seguridad de la información; la implicación de la alta dirección en el sistema de gestión de seguridad de la información; y la existencia de un responsable de ciberseguridad que reporte directamente al consejo.
Las recomendaciones que incluye el informe
Los autores del informe consideran que ocupan el Top 5 del ranking (CaixaBank, Telefónica, Ferrovial, AENA y Amadeus) deben servir de referencia y ejemplo a imitar por parte de las compañías interesadas en mejorar su transparencia en ciberseguridad. Por ello, sus recomendaciones combinan las mejores prácticas observadas en estas organizaciones con otros consejos de uso general a tener en cuenta, elaborados por W&A PS.
Entre estos consejos se incluyen los recogidos en los propios criterios de evaluación, pero además destacan los siguientes:
- Contar con un Equipo de Respuesta ante Emergencias Informáticas que tenga certificación CERT y que colabore con otros CERT.
- Definir un plan de gestión de crisis y protocolos de respuesta ante incidentes de ciberseguridad, incluido un plan de recuperación de desastres y un plan de servicio sin TIC, para restaurar la normalidad del negocio en el menor tiempo y con el menor impacto posible.
- Crear programas de recompensas a empleados por descubrimiento de vulnerabilidades.
- Disponer de una póliza de seguro de ciberriesgo que cubra las necesidades de la compañía cuando han fallado las barreras de seguridad.