Las empresas que forman parte del índice IBEX 35 son un objetivo atractivo para los ciberdelincuentes, dada su importancia en la economía, la gestión de grandes volúmenes de datos y su red de conexiones con socios comerciales, proveedores y clientes a nivel global. La comunicación transparente de información relacionada con la ciberseguridad no solo demuestra responsabilidad corporativa, sino que también se convierte en un factor crucial para salvaguardar los intereses económicos de la empresa y mantener la confianza de sus diversos grupos de interés. Esta perspectiva se destaca en el ‘III Informe de transparencia en la información sobre ciberseguridad en las empresas del IBEX 35’, presentado con motivo del Día Mundial de la Seguridad de la Información por Watch&Act Protection Services.
En lugar de evaluar la presencia y eficacia de medidas técnicas de ciberseguridad, este informe se centra en analizar cómo las empresas informan a sus accionistas, clientes y proveedores sobre sus iniciativas en materia de seguridad informática. Basándose en los informes anuales de información no financiera correspondientes al año 2022, Watch&Act Protection Services elabora un único ranking en España que clasifica a las empresas del IBEX 35 según la evidencia de sus acciones destinadas a proteger y asegurar la integridad, confidencialidad y accesibilidad de la información.
“Las amenazas cibernéticas son cada vez más sofisticadas y van siempre por delante de la capacidad de respuesta de las organizaciones. Según un reciente estudio de Deloitte, el 94% de las compañías españolas sufrió un incidente de ciberseguridad en el último año, situando a España como tercer país del mundo en volumen de ciberataques a sus empresas. La transparencia en materia de ciberseguridad no sólo es una obligación desde el punto de vista regulatorio; también es una apuesta de excelencia en la gestión que promueve la seguridad y confianza en el ecosistema empresarial”, sostiene Javier Huergo, responsable de Watch&Act Protection Services y autor del informe.
AENA, Enagás, Inditex y Telefónica, las más transparentes del IBEX
A la hora de evaluar la información sobre ciberseguridad presente en los citados informes se han tenido en cuenta criterios como su accesibilidad, su visibilidad, la calidad de la información o su actualización. Asimismo, se han seguido los requisitos de sistemas de gestión de la seguridad de la información recogidos en la norma ISO 27001. Y a ellos se han añadido, en esta edición, dos nuevos criterios adicionales: la mención y descripción de ciberataques sufridos durante ese año, y la mención al control y requisitos en materia de ciberseguridad exigidos a los proveedores en la cadena de suministro. Este es el resultado del ranking de 2023:
Este año lideran el ranking, en empate técnico, AENA, Enagás, Inditex y Telefónica
AENA, Enagás, Inditex y Telefónica comparten la primera posición en el ranking. En comparación con el año anterior, Enagás es la única empresa que se mantiene en el Top 5, que anteriormente incluía a Santander, Ferrovial, Enagás, Mapfre y Naturgy. Destaca el notable avance de AENA, Inditex e Indra, ascendiendo desde los puestos 8, 16 y 19, respectivamente, para situarse en el Top 5 de 2023. También es digno de mencionar la considerable mejora de BBVA, IAG y Meliá, que escalan desde las posiciones 14, 23 y 24, respectivamente. En el otro extremo del espectro, las posiciones más bajas en transparencia sobre ciberseguridad se mantienen sin cambios, siendo ArcelorMittal, Laboratorios Rovi y Acerinox las que muestran el nivel más bajo.
En cuanto a los sectores económicos, considerando el promedio de las puntuaciones obtenidas por las empresas respectivas, las Telecomunicaciones lideran en esta tercera edición, retomando la posición que ya ocupaban en 2020, aunque habían caído al cuarto lugar el año pasado.
Finanzas y Seguros, que encabezaron el ranking el año anterior, se sitúan en la segunda posición. El sector energético, en la tercera posición, demuestra un claro interés en informar, reconociendo la sensibilidad de su negocio como servicios esenciales ante comportamientos que puedan afectar negativamente su reputación. En contraste, el sector inmobiliario destaca la importancia de la ciberseguridad en sus memorias anuales, pero proporciona escasos detalles sobre las medidas implementadas.