CaixaBank, Telefónica y Ferrovial lideran el ranking de transparencia en ciberseguridad
- Actualidad
Por sectores, las empresas del IBEX 35 que muestran mayor nivel de transparencia son las de telecomunicaciones, tecnología, servicios financieros, seguros y servicios de consumo, mientras que las de inmobiliaria, construcción e industria registran los niveles más bajos.
Recomendados: Atención pública al ciudadano: hacia una relación de 360 grados Evento Identificación de ataques web Leer |
La seguridad de la información y la privacidad de los datos personales son dos aspectos cada vez más críticos para las empresas, lo que las ha llevado a incrementar notablemente sus presupuestos destinados a ciberseguridad. Pero no todas son igual de transparentes a la hora de hacer públicas las medidas que tienen implantadas. Watch&Act Protection Services ha elaborado el primer ‘Informe de transparencia en la información sobre ciberseguridad en las empresas del IBEX 35’, que analiza el tratamiento de la información sobre las estrategias de ciberseguridad y protección de datos que estas 35 grandes compañías comparten en sus memorias anuales de información no financiera.
El informe segmenta a las compañías en función de si muestran un elevado nivel de transparencia (1-9), un nivel medio-alto con un recorrido para mejorar (10-17), un nivel medio-bajo con grandes posibilidades de mejora (18-26) o un nivel muy bajo con un interés nulo respecto a la transparencia en materia de información sobre ciberseguridad. Las empresas situadas en el Top 5 son CaixaBank, Telefónica, Ferrovial, AENA y Amadeus.
Atendiendo a los sectores a los que pertenecen, se observa que los que presentan mayor grado de transparencia son aquellos cuya actividad implica un uso más intensivo de la tecnología (tecnología y telecomunicaciones) y los que realizan un mayor uso de los canales digitales para relacionarse con sus clientes (servicios financieros, seguros y servicios de consumo). Sin embargo, los sectores inmobiliario, construcción e industria son los que han registrado un nivel más bajo de transparencia. Por otro lado, cabe destacar el sector energético, en el que se registran niveles muy diversos entre las diferentes compañías.
Los criterios que muestran mayor transparencia hacia sus accionistas e inversores son los relativos a los aspectos más básicos en la gestión de seguridad de la información: la existencia de una comisión de riesgos que gestiona la ciberseguridad y reporta a la alta dirección; el cumplimiento de normativa legal de seguridad de la información y la definición de unos procedimientos y protocolos que desarrollan la política de seguridad, accesible desde la web de la empresa.
En el lado opuesto, los criterios que obtienen una peor valoración de transparencia son la existencia de un plan de continuidad del negocio ante un posible ciberataque; la disponibilidad de un departamento específico encargado de detectar, analizar, informar y corregir incidentes de seguridad; y la certificación de las medidas de seguridad adoptadas de acuerdo con estándares internacionales o la realización de auditorías externas.
Los criterios con una posición intermedia en cuanto a la transparencia de la información publicada, son la concienciación y capacitación de los empleados en materia de ciberseguridad; la planificación de objetivos y actuaciones en seguridad de la información; la implicación de la alta dirección en el sistema de gestión de seguridad de la información; y la existencia de un responsable de ciberseguridad que reporte directamente al consejo.
Los autores del informe consideran que las empresas del Top 5 deben servir de referencia para las compañías interesadas en mejorar su transparencia en ciberseguridad. Por ello, sus recomendaciones combinan las mejores prácticas observadas en estas organizaciones con otros consejos de uso general a tener en cuenta, entre los que destacan contar con un Equipo de Respuesta ante Emergencias Informáticas que tenga certificación CERT y que colabore con otros CERT; definir un plan de gestión de crisis y protocolos de respuesta ante incidentes de ciberseguridad, incluido un plan de recuperación de desastres y un plan de servicio sin TIC; crear programas de recompensas a empleados por descubrimiento de vulnerabilidades; o contar con una póliza de seguro de ciberriesgo.