Las juntas de accionistas son el momento de hacer cuentas, de ver si las previsiones fueron acertadas, si la empresa creció y obtuvo beneficios o, por el contrario, debe pedir disculpas a sus stakeholders y mostrar cómo va a reponerse. Son todo eso y, cada vez más, también otras cosas.

Las más grandes -tomemos el IBEX 35 como referencia- ya ofrecen a sus accionistas también memorias de información no financiera donde explican y justifican aspectos como la sostenibilidad o incluso la ciberseguridad, algo que hace unas décadas ni siquiera se contemplaba, pero que hoy es de gran interés no solo para los inversores, sino también para el resto de grupos de interés (empleados, clientes, proveedores, etc.) por las repercusiones que puede tener en la reputación de la organización y en los beneficios de sus accionistas.

Los ataques informáticos son, desgraciadamente, más frecuentes y virulentos cada vez, y algunos tan mediáticos que hacen huir despavoridos a clientes y proveedores. Los más de 40.000 contabilizados a diario solo en España no solo suponen pérdidas de miles de millones de euros, sino que también ponen en riesgo la confidencialidad de patentes, de datos sensibles y personales y hasta la propia infraestructura de las empresas.

Ciberseguridad 

El teletrabajo sobrevenido con la pandemia no ha hecho más que multiplicar las puertas de entrada a los cibercriminales que, a veces por el mero hecho de ‘destruir’ y otras por dinero (secuestran equipos, extorsionan y chantajean), han logrado incluso desestabilizar gobiernos, amañar elecciones, falsear opiniones y, en definitiva, hacernos tomar conciencia de que estamos totalmente expuestos en lo que respecta a nuestra información personal y profesional.

Aunque muchas de las empresas más pequeñas todavía se encuentran en fases muy iniciales de protección, las grandes han tomado conciencia y no solo dedican, de media, hasta una quinta parte de su presupuesto tecnológico a la seguridad informática, sino que también hacen gala de ello frente a sus accionistas… ¿O no siempre?

Los niveles de ciberseguridad de una empresa no dependen solo de cuánto se invierta en ella. Unas buenas políticas en este sentido se evalúan teniendo en cuenta factores como la formación a empleados en la materia, el liderazgo y responsabilidad de la seguridad de la información (CISO), así como la existencia de políticas y procedimientos de seguridad de la información y de protección de datos.

Todo ello debe, o debería, formar parte de esas memorias no financieras para poner de manifiesto estos niveles de fiabilidad (o vulnerabilidad) ante sus accionistas quienes, recordemos, podrían perder mucho dinero en caso de un ciberataque.

Ciberseguridad: la importancia de cuidarla y también de contarlo

Ranking de transparencia

La realidad es que, aunque se trata de un tema que protagoniza reuniones al más alto nivel, no todas las compañías son igual de transparentes a la hora de hacer públicas las medidas de ciberseguridad que tienen implantadas.

Según el reciente ‘Informe de transparencia en la información sobre ciberseguridad en las empresas del IBEX 35’ de Watch&Act Protection Services, que incluye un ranking realizado a partir de un análisis exhaustivo de las memorias anuales de 2020 de las 35 empresas del IBEX, las tecnológicas (junto con los servicios financieros, seguros y servicios de consumo) son las que muestran niveles más altos de transparencia en este sentido. En el lado contrario de la balanza estarían las de inmobiliaria, construcción e industria, con los niveles más bajos.

¿Y esto qué supone? Según este estudio, los criterios de evaluación que mostrarían un mayor nivel de transparencia hacia los accionistas e inversores son los relativos a los aspectos más básicos en la gestión de seguridad de la información: la existencia de una comisión de riesgos que gestione la ciberseguridad y reporte a la alta dirección; el cumplimiento de la normativa legal de seguridad de la información; y la definición de unos procedimientos y protocolos que desarrollen la política de seguridad.

Por otro lado, tendrían peor valoración de transparencia (ya que requieren un mayor grado de madurez y un mayor tiempo de implantación) otros criterios, como la existencia de un plan de continuidad del negocio ante un posible ataque informático; la disponibilidad de un departamento específico encargado de detectar, analizar, informar y corregir incidentes de seguridad; o la certificación de las medidas de seguridad adoptadas de acuerdo con estándares internacionales o la realización de auditorías externas.

De acuerdo con el análisis, CaixaBank, Telefónica, Ferrovial, AENA y Amadeus serían la referencia del IBEX 35 en cuanto a transparencia en ciberseguridad y, por tanto, un ejemplo a seguir para el resto de empresas. De hecho, las recomendaciones que ofrece el estudio combinan las mejores prácticas observadas en estas organizaciones con otros consejos de uso general a tener en cuenta.

Entre estos consejos se incluyen los recogidos en los propios criterios de evaluación, y otros como contar con un Equipo de Respuesta ante Emergencias Informáticas que tenga certificación CERT y que colabore con otros CERT; definir un plan de gestión de crisis y protocolos de respuesta ante incidentes de ciberseguridad (incluido un plan de recuperación de desastres y un plan de servicio sin TIC, para restaurar la normalidad del negocio en el menor tiempo y con el menor impacto posible); crear programas de recompensas a empleados por descubrimiento de vulnerabilidades; o contar con una póliza de seguro de ciberriesgo que cubra las necesidades de la compañía cuando han fallado las barreras de seguridad.

                                                              Autor: Javier Silva, senior advisor de Watch&Act
>