¿Son transparentes las firmas del Ibex en ciberseguridad?

CaixaBank, Telefónica, Ferrovial, Aena y Amadeus son los valores que dan más importancia a publicar esta información

Que el universo digital sea cada vez más extenso, que todo se haga ya con el ordenador, la tableta o el smartphone; que la digitalización haya avanzado tanto –sobre todo en los dos últimos años– y una gran mayoría de empresas grandes y pequeñas cuenten con canales digitales y con herramientas tecnológicas de gestión del negocio también ha abierto de par en par las puertas a los ciberdelincuentes. Cuantas más posibilidades de entrada, más probabilidad de conseguir sus objetivos, que pueden ir desde el chantaje o la extorsión hasta desestabilizar Gobiernos, falsear opiniones, amañar elecciones o, simplemente, fastidiar.

Se calcula que solo en España se producen cada día, de media, unos 40.000 ciberataques, y no parece que la tendencia vaya a revertir en 2022. El 70% de estos ataques, según el Incibe, tiene como objetivo pequeñas y medianas empresas, que probablemente disponen de menos barreras de seguridad que dificulten el acceso a los hackers. Para estas pymes un ataque de esta naturaleza puede suponer un coste medio de 35.000 euros, un duro golpe del que muchas de ellas pueden no llegar a sobreponerse.

Pero también la gran empresa, pese a que cada vez destina mayor inversión a ciberseguridad (actualmente, el 20% de su presupuesto tecnológico, y un reciente estudio de PwC sostiene que el 70% prevé aumentar estas inversiones en 2022), es blanco de estos asaltos digitales. Algunos puede ser que no trasciendan, pero otros se convierten en noticia de primera página en los medios de comunicación.

Este año, de hecho, hemos asistido a varios muy sonados, como el del Servicio Público de Empleo Estatal (SEPE), el fabricante tecnológico Acer, la empresa de reparto a domicilio Glovo, el distribuidor de telefonía Phone House o la cadena de electrónica de consumo MediaMarkt. Pero podemos citar más empresas objeto de ciberataques en 2021: Telefónica, BBVA, Prosegur, la cadena SER, Everis, Mapfre, el Hospital Universitario de Torrejón de Ardoz… Y a nivel mundial, corporaciones de reconocido prestigio como Tesla, Zoom, Twitter, Yahoo, Sony y hasta el mismo Pentágono de Estados Unidos.

Uno de los tipos de ataque que más ha aumentado es el de ransomware, que consiste en secuestrar datos y exigir un pago a modo de rescate. Según un informe del Instituto Español de Estudios Estratégicos, este año la media de los rescates pagados a nivel global por parte de pequeñas empresas se sitúa en los 7.000 euros, mientras que en el caso de las grandes compañías la cantidad media se asciende a unos 159.000 euros. Se espera que en 2025 el importe total de los costes asociados a ciberseguridad llegue a superar los 80.000 millones de euros en todo el mundo.

Las grandes empresas tienen una gran responsabilidad a la hora de proteger sus sistemas, porque de lo contrario no solo ponen en peligro su negocio, sino también el dinero de sus accionistas e inversores y los datos de sus proveedores, de sus clientes y usuarios, incluso de sus empleados. Por ello, contar con una estrategia sólida de ciberseguridad es vital, pero también lo es dar cuenta de ella a sus grupos de interés.

Sin embargo, según nuestros propios análisis, a partir de la información sobre ciberseguridad que incluyen en sus memorias anuales e informes no financieros las empresas del Ibex 35, existen importantes carencias en lo que a transparencia se refiere, siendo CaixaBank, Telefónica, Ferrovial, Aena y Amadeus las que le dan más importancia a hacer pública este tipo de información.

A la hora de gestionar adecuadamente sus estrategias de ciberseguridad, estas grandes compañías deben cubrir desde aspectos que se sitúan en un nivel más básico a la hora de asegurar la información, como cumplir la normativa legal de seguridad de la información, definir unos protocolos que desarrollan la política de seguridad –que deben estar accesibles desde la web de la empresa– o disponer de un responsable de ciberseguridad y de una comisión de riesgos que reporten a la alta dirección, como otros de mayor alcance.

Sin duda, es fundamental que la alta dirección esté implicada de forma directa en el sistema de gestión de seguridad de la información de la compañía, que debe tener una planificación concreta de objetivos y de actuaciones. Como también lo es concienciar y capacitar a los empleados en materia de ciberseguridad, pues se calcula que en torno al 60% de los ciberataques se producen a través de ellos. Asimismo, es conveniente realizar auditorías externas y recurrir a estándares internacionales para certificar las medidas de seguridad adoptadas.

Otras recomendaciones clave, aunque requieren un mayor grado de madurez, son definir un plan de gestión de crisis que incluya protocolos de respuesta ante incidentes de ciberseguridad; tener desarrollado un plan de recuperación de desastres y un plan alternativo de servicio cuando las tecnologías de la información han fallado (con el fin de tratar de restaurar la normalidad del negocio en el menor tiempo y con el menor impacto posible); contar con un equipo de respuesta ante emergencias informáticas (CERT) que colabore con otros CERT; o contratar una póliza de seguro de ciberriesgo que proteja a la compañía ante los posibles efectos adversos (económicos y de responsabilidad) que puedan surgir si se produce finalmente un ciberataque.

Javier Huergo es Responsable de Watch & Act Protection Services