Con motivo del Día Mundial de la Seguridad de la Información, que se celebra cada año desde 1988 el 30 de noviembre, Watch&Act Protection Services, correduría especializada en seguros de ciberriesgo del grupo Watch&Act, ha presentado el 'III Informe de transparencia en la información sobre la ciberseguridad en las empresas del IBEX 35'.
Este informe incluye un ranking, el único de estas características existente en España, que clasifica a las compañías según su grado de transparencia en ciberseguridad. Para ello, realiza un análisis exhaustivo de los informes anuales de información financiera de estas compañías correspondientes al año 2022.
Tal y como aclaran desde Watch&Act Protection Services, este estudio no evalúa las medidas técnicas de ciberseguridad adoptadas por las empresas ni su efectividad, sino el modo en el que informan a sus accionistas, clientes y proveedores sobre todo lo relacionado con sus medidas en materia de seguridad informática. Además, a la hora de valorar la información sobre ciberseguridad recogida en los citados informes, se tienen en cuenta criterios como su accesibilidad, su visibilidad, la calidad de la información o su actualización. También se aplican los requisitos de sistemas de gestión de la seguridad de la información establecidos en la norma ISO 27001 y a ellos se han añadido, en esta edición, dos nuevos criterios adicionales: la mención y descripción de ciberataques sufridos durante ese año, y la mención al control y requisitos en materia de ciberseguridad exigidos a los proveedores en la cadena de suministro.
Las empresas del IBEX más transparentes en ciberseguridad. Y las más opacas
Así, Watch&Act Protection Services ha colocado en lo más alto del ranking a Aena, Enagás, Inditex y Telefónica, que están empatadas en la primera posición. Enagás es la única que repite en el top 5 respecto al ranking del año anterior, que estaba encabezado, en este orden, por el Banco Santander, Ferrovial, Enagás, Mapfre y Naturgy, compañías que esta edición siguen ocupando puestos destacados, dentro del Top 10. Por su parte, Telefónica, Aena e Inditex han escalado posiciones subiendo hasta la primera desde las plazas 7ª, 8ª y 16ª respectivamente.
También es significativa la mejora obtenida por Indra, que ha alcanzado la segunda posición desde la 19ª que tenía el año pasado. El pódium lo completa Naturgy, mientras que en la cuarta plaza encontramos a Mapfre, BBVA y Ferrovial, y en la quinta al Banco Santander y a CaixaBank.
En el extremo opuesto de la tabla apenas ha habido variaciones, siendo un año más ArcelorMittal, Laboratorios Rovi y Acerinox las que presentan el nivel más bajo de transparencia sobre ciberseguridad.
Por sectores
Atendiendo a los sectores económicos, tomando como referencia la media de las puntuaciones obtenidas por cada una de las empresas, las Telecomunicaciones son las que presentan un mayor grado de ciberseguridad, por lo que han recuperado la primera plaza que ya ocupaban en 2020, tras haber caído a la cuarta el año pasado. Por tanto, Finanzas y Seguros pierden el liderato del año pasado, quedándose en la segunda posición.
Donde no ha habido cambios respecto al ranking del año pasado es en el tercer puesto, que vuelve a ostentar el sector energético. También se mantiene inalterable la última plaza, que ocupa el sector inmobiliario desde la primera edición del informe, en el 2000. "El sector inmobiliario recoge de forma general en sus memorias anuales que la ciberseguridad es un elemento crítico para su negocio, pero apenas ofrece detalles de las medidas que está llevando a cabo", sostiene Watch&Act Protection Services.
Conclusiones y recomendaciones
A nivel general, la correduría de Watch&Act destaca las siguientes cuatro conclusiones de 'III Informe de transparencia en la información sobre la ciberseguridad en las empresas del IBEX 35'.
- Existe una implicación clara de la alta dirección en las estrategias de ciberseguridad y el cumplimiento de su normativa (a partir de 2024, la Unión Europea tiene previsto endurecer las sanciones por incumplimiento).
- El incremento de los presupuestos dedicados a innovación y tecnología, con especial mención a la ciberseguridad.
- El aumento de la relevancia concedida a las medidas de protección de proveedores y en la cadena de suministro, aunque es necesario abundar más en la información aportada al respecto.
- Una mejora sustancial en el capítulo de la formación en ciberseguridad, tanto por el detalle de los cursos realizados como por su alcance dentro de las organizaciones.
Por último, el informe ofrece dos recomendaciones a las compañías del IBEX 35. La primera, la búsqueda de alternativas en la transferencia de las ciberamenazas, como puede ser la contratación de pólizas de seguros de ciberriesgo. La segunda recomendación hace referencia a la inteligencia artificial (IA), que presenta una dualidad marcada por el valor que aporta desde el punto de vista de la ciberseguridad, ofreciendo nuevas posibilidades para defenderse frente a ciberataques, y el riesgo que también genera, dando lugar a nuevas amenazas.
"La IA representa, por un lado, una revolución en la manera de identificar vulnerabilidades o mejorar la eficiencia operativa mediante el aprendizaje automático; y por otro, proporciona a los ciberdelincuentes nuevas herramientas para optimizar mensajes de phishing, el acceso a programas maliciosos o ataques de generación de datos falsos, entre otras cosas. Sólo con un uso responsable de la IA se podrá garantizar una transformación digital positiva", concluye el autor del informe.