Tecnología

Así se protegen las empresas del Ibex 35 ante los ciberataques

Crean comités específicos de ciberseguridad, contratan ciberseguros, dan formación a sus empleados e invierten en tecnología para detectar y responder a estas amenazas

Centro de Indra especializado en operaciones de ciberseguridad.
Centro de Indra especializado en operaciones de ciberseguridad.

La ciberseguridad rara vez aparecía en los informes anuales de las empresas. Pero hoy, lo extraño y preocupante es que no aparezcan referencias al tema, como vía para dar transparencia a un riesgo creciente, que afecta a cualquier compañía, y que exige una continua vigilancia. La práctica empieza a calar entre las grandes corporaciones españolas, que han decidido tratar esta amenaza con normalidad en sus memorias anuales.

Si el pasado martes, CincoDías informó de que Telefónica se ha blindado contra los hackers con seguros de ciberriesgos por 405 millones (un dato que desvelaba por primera vez en su informe financiero anual), otras empresas del Ibex 35 también han contratado pólizas similares. Iberdrola, por ejemplo, desvela que cuenta con protección aseguradora específica para este tipo de amenazas desde 2017 “en los términos que el mercado asegurador permite”, y que revisan “periódicamente” ante la rápida evolución y la amplia variedad de estos ciberriesgos.

El seguro da cobertura al grupo en los distintos países donde opera. “El programa se contrata en capas con grupos aseguradores internacionales de primer nivel y cuenta con la participación de Iberdrola Re, reaseguradora del grupo”, aclara la eléctrica, para quien el ciberseguro constituye, en cualquier caso, una capa final para reducir el posible impacto financiero.

“Para nuestro Consejo de Administración, la ciberseguridad es un riesgo clave de negocio. Por ello, realizamos inversiones multimillonarias en este ámbito, destinadas especialmente a reforzar la detección temprana y respuesta ante incidentes para minimizar cualquier impacto”, resalta Iberdrola. La compañía admite que en 2018 detectaron y lograron bloquear cientos de eventos e intentos de ataque, aunque asegura que no registró ningún incidente significativo que resultase en una pérdida financiera o reputacional. En su informe anual sí cuantifica que ha tenido 364 reclamaciones “fundamentadas” por violación de la privacidad o fuga de datos de clientes (la mayoría en Reino Unido y algunas pocas en España).

CaixaBank, Indra, Repsol, Santander, Amadeus y Bankia también tienen contratados seguros de ciberriesgo, y Ferrovial asegura que lo “está valorando”. “Contamos con seguros para proyectos digitales concretos, pero no generales como los de Telefónica, aunque lo estamos analizando. Aún no hay una decisión tomada, ya que en general no tenemos servicios digitales a cliente final”, dicen desde la compañía.

Bankia y CaixaBank sí especifican que tienen contratados sus ciberseguros con AIG. La entidad presidida por José Ignacio Goirigolzarri precisa que, en su caso, entre las coberturas más relevantes se incluyen las pertenecientes a responsabilidades por fallos de privacidad por posibles vulneraciones de datos personales o información corporativa o responsabilidades por fallos de seguridad en los sistemas. También coberturas relativas a procedimientos regulatorios y sanciones en materia de protección de datos de carácter personal, así como otras relacionadas con las pérdidas de beneficios por interrupción en los sistemas o por daño reputacional. "Además, incluye coberturas sobre extorsión a redes y sistemas y gastos de crisis que pudieran derivarse de un incidente".

CaixaBank hace simulacros de ‘phishing’ a sus empleados cada mes para entrenarlos en identificar correos fraudulentos

IAG reconoce en su informe anual que en 2018 la seguridad cibernética cobró una gran importancia para el grupo tras el robo de datos de clientes sufrido por British Airways en septiembre de ese año. Su consejero delegado, Willie Walsh, admite la necesidad de estar preparados ante estas nuevas amenazas y responder a ellas “minuto a minuto, todos los días”. El directivo apunta que trabajan con expertos de “primera línea y cuando es necesario, podemos contactarlos para soliciarles ayuda adicional”.

Las empresas declaran que la ciberseguridad se ha convertido en un desafío permanente que se toman muy en serio. IAG cuenta con una Oficina de ciberseguridad; Acciona e Iberdrola con comités específicos, que impulsan y supervisan el despliegue en toda la organización del plan estratégico y de la normativa de ciberseguridad, y BBVA tiene un centro de prevención, alerta y respuesta ante ciberamenazas para estar “permanentemente actualizado” frente a los posibles ataques. Además, la Comisión de Tecnología y Ciberseguridad de este banco informa al consejo y revisa los sistemas de evaluación, control y gestión de los ciberriesgos, incluyendo los planes de respuesta y recuperación frente a posibles ciberataques.

Bankia, por su parte, ha creado una Dirección Corporativa de Innovación y Ciberseguridad. Su comité de Ciberseguridad aprobó en el último trimestre de 2018 un nuevo Plan Estratégico de Seguridad 2019-2021 que plantea convertir la ciberseguridad en un pilar fundamental para ganar la confianza de los clientes. Para acometer dicho plan, Bankia ha ampliado un 33% su presupuesto para el área de ciberseguridad y ha reforzado su equipo técnico y directivo (que crece casi un 24%), con la incorporación de perfiles especializados.

En 2018, casi 1.500 profesionales de Bankia recibieron formación en ciberseguridad. También en CaixaBank, 27.646 empleados han realizado cursos formativos sobre esta cuestión (entre otras cosas hacen simulacros de phishing cada mes para entrenar a sus trabajadores en la identificación de correos fraudulentos). La concienciación de los empleados es visto como algo esencial. Por ello, Repsol hace cursos online en ciberseguridad obligatorios para toda su plantilla y el Banco Santander también ha lanzado medidas para que sus profesionales mejoren su formación ante los ciberriesgos.

Más allá de la formación, la entidad que preside Ana Botín señala que ha continuado evolucionando su normativa de ciberseguridad con la definición de políticas alineadas a las mejores prácticas internacionales. También asegura que sigue invirtiendo en sistemas y plataformas que les ayude a mejorar en esta materia. “El grupo está embarcado en un ambicioso programa de transformación de ciberseguridad con objeto de fortalecer los mecanismos de detección, respuesta y protección”, dicen. En julio de 2018, la comisión ejecutiva de riesgos de la entidad aprobó una nueva versión del modelo de supervisión y control de ciber incorporando a su vez el riesgo tecnológico dentro de su alcance. El Santander ha incluido el ciberriesgo entre los factores de riesgo más relevante, donde también están el blanqueo de capitales o el cumplimiento regulatorio.

CaixaBank cuenta con un equipo de respuesta ante emergencias informáticas (CERT) formado por especialistas entrenados y preparados las 24 horas del día para prevenir, detectar y actuar ante cualquier ciberamenaza. La entidad asegura, además, que es cofundadora de APWG.eu, una de las principales alianzas internacionales en materia de ciberseguridad.

Por su parte, Ferrovial, que admite en su memoria que sus infraestructuras están expuestas a ataques cibernéticos que "pueden llegar hasta la paralización de su operación", explica que ha integrado el concepto de seguridad desde la fase de diseño para proteger los activos de estos ciberataques. "Es un tema al que damos gran importancia, por lo que hemos desarrollado un modelo de gestión formal con controles en diferentes niveles. Y hemos convertido este campo en uno de los ejes de nuestro plan estratégico de innovación", explican.

IAG también destaca que cuenta con un centro mejorado de operaciones de seguridad con funcionamiento ininterrumpido, y asegura que su comité de dirección revisa regularmente el riesgo cibernético. En 2018, la firma puso en marcha en todo el grupo un programa relacionado con el nuevo reglamento europeo de protección de datos e implementó la directiva relativa a la seguridad de las redes y sistemas de información. 

Prevención y detención

Indra. La tecnológica española refuerza continuamente sus sistemas de protección ante las ciberamenazas como escudo para sí misma y para sus clientes. Indra cuenta con un sistema de gestión de seguridad de la información certificado bajo la ISO 27001 y un código de conducta que cubre el acceso a datos confidenciales. La firma realizó en 2018 un plan de formación intensivo a nivel global en materia de seguridad de la información y tiene una Oficina de Privacidad y Protección de Datos. Indra cuenta con una unidad de negocio de Ciberseguridad integrada en Minsait y, por tanto, con numerosos especialistas en la materia distribuidos en tres centros de operaciones de seguridad globales ubicados en España, México y Colombia.

Amadeus. El proveedor tecnológico de la industria turística Amadeus cuenta con un equipo dedicado a seguridad de la información, así como organismos internos a cargo del monitoreo, prevención y detección de posibles problemas ligados a la ciberseguridad. La firma española asegura que “otorga la máxima prioridad a la seguridad de los sistemas y datos de los clientes".

Sacyr. La constructora está renovando sus soluciones para mitigar los riesgos de ciberseguridad, tanto a nivel de infraestructuras como de puesto de trabajo. Su presupuesto de TIC para el área de seguridad se ha incrementado para este año en un 75% respecto al 2018, aunque no especifica la cifra.

Normas