Watch&Act elabora el primer ranking de transparencia en ciberseguridad de las empresas del IBEX 35
El ranking, liderado por CaixaBank, Telefónica, Ferrovial, AENA y Amadeus, se ha realizado a partir de la información sobre ciberseguridad que las 35 compañías ofrecen a sus accionistas en sus memorias de información no financiera de 2020.
La privacidad y la seguridad de la información son dos de los aspectos que resultan cada vez más críticos para las empresas. De hecho, en los últimos años se ha incrementado el presupuesto destinado a la ciberseguridad. Pero no todas las empresas son igual de transparentes.
Por eso, Watch&Act Protection Services ha elaborado el primer ‘Informe de transparencia en la información sobre ciberseguridad en las empresas del IBEX 35’, con motivo del Día Internacional de la Seguridad de la Información.
El objetivo del informe es, entonces, analizar el tratamiento de la información sobre la estrategias de ciberseguridad y protección de datos que estas 35 grandes compañías comparten en sus memorias anuales de información no financiera; información que resulta de gran interés para otros grupos debido a la repercusión que puede tener en la reputación de la organización.
Para llevar a cabo este estudio, Javier Silva, ingeniero de la compañía y Javier Huergo, responsable de W&A PS, han realizado un exhaustivo análisis de las memorias anuales de 2020 de las 35 empresas del IBEX, de acuerdo con la norma ISO 27001 de requisitos de sistemas de gestión de la seguridad de la información, y a partir de 10 criterios y una escala de puntuación agregada han elaborado el primer Ranking del IBEX 35 en transparencia en información sobre ciberseguridad.
En estas columnas se observa una división de las empresas en función del nivel de transparencia, siento del 1 al 9 un nivel alto, del 10 al 17 un nivel medio y del 18 al 26 un nivel muy bajo. Los sectores que mayor grado de transparencia presentan responden a un uso mayor de la tecnología para relacionarse con sus clientes. Sin embargo, otros sectores como la construcción o la industria han registrado un nivel mucho más bajo.
Los criterios de evaluación que muestran mayor transparencia hacia sus accionistas e inversores son los relativos a los aspectos más básicos en la gestión de seguridad de la información: la existencia de una comisión de riesgos que gestiona la ciberseguridad y reporta a la alta dirección; el cumplimiento de normativa legal de seguridad de la información y la definición de unos procedimientos y protocolos que desarrollan la política de seguridad, accesible desde la web de la empresa.
El resto de criterios, con una posición intermedia en cuanto a la transparencia de la información publicada, son la concienciación y capacitación de los empleados en materia de ciberseguridad; la planificación de objetivos y actuaciones en seguridad de la información; la implicación de la alta dirección en el sistema de gestión de seguridad de la información; y la existencia de un responsable de ciberseguridad que reporte directamente al consejo.
Los autores del informe consideran que las empresas situadas en el Top 5 (CaixaBank, Telefónica, Ferrovial, AENA y Amadeus) deben servir de referencia y ejemplo a imitar por parte de las compañías interesadas en mejorar su transparencia en ciberseguridad. Por ello, sus recomendaciones combinan las mejores prácticas observadas en estas organizaciones con otros consejos de uso general a tener en cuenta, elaborados por W&A PS.
Entre estos consejos se incluyen los recogidos en los propios criterios de evaluación, pero además destacan los siguientes: contar con un Equipo de Respuesta ante Emergencias Informáticas que tenga certificación CERT y que colabore con otros CERT; definir un plan de gestión de crisis y protocolos de respuesta ante incidentes de ciberseguridad, incluido un plan de recuperación de desastres y un plan de servicio sin TIC, para restaurar la normalidad del negocio en el menor tiempo y con el menor impacto posible; crear programas de recompensas a empleados por descubrimiento de vulnerabilidades; o contar con una póliza de seguro de ciber riesgo que cubra las necesidades de la compañía cuando han fallado las barreras de seguridad.