Caixabank, la gran perdedora del IBEX en el ranking de transparencia en ciberseguridad

Banco Santander escala de la sexta a la primera posición en el listado realizado por Watch&Act Protection Service a partir de la información sobre ciberseguridad que ofrecen las 35 compañías.

Guardar

Caixabank.
Caixabank.

CaixaBank ha sufrido un importante retroceso en transparencia en ciberseguridad entre las empresas del sector financiero, cayendo de la primera plaza del total de compañías que forman parte del IBEX 35 hasta la decimosegunda en tan solo un año.

Esta es una de las conclusiones más destacadas de la segunda edición del ranking de transparencia en ciberseguridad de las empresas del IBEX 35, realizado por Watch&Act Protection Service a partir de la información sobre ciberseguridad que las 35 compañías ofrecen en sus informes de información no financiera de 2021.  

Esta clasificación, la única de estas características existente en España, forma parte del "II Informe de transparencia en la información sobre ciberseguridad en las empresas del IBEX 35", del que ya informamos recientemente y a cuyas empresas financieras dedicamos hoy este artículo al ser estas las que, por sectores económicos, son las más transparentes, por delante de los servicios de consumo, que repiten en segunda posición, y el sector energético, que asciende hasta el tercer puesto.

En el caso de Caixabank, como destaca el mismo informe, “se echa en falta una mayor información sobre la estrategia, medidas, certificaciones y auditorias llevadas a cabo a lo largo del año” en materia de ciberseguridad.  Como explica Javier Huergo, responsable de Watch&Act Protection Services y coautor del informe, sigue manteniendo una muy buena posición, si bien las definiciones al respecto del responsable de ciberseguridad en la empresa, junto con la poca concreción en la formación y concienciación en ciberseguridad que se proporciona al consejo, directivos, empleados y clientes en general, le penaliza en la puntuación de este año. Es importante señalar que CaixaBank proporciona de forma extensiva acciones formativas para empleados y directivos, pero no hace mención a las específicas en ciberseguridad. No nos cabe la menor duda de que existirán programas formativos en estas áreas, pero no hay definición de horas y alcance de los mismos”.

 

Cabe recordar que este informe no analiza las medidas técnicas de ciberseguridad adoptadas por las compañías ni su efectividad, sino el modo en el que informan sobre ellas a sus grupos de interés (accionistas, clientes, empleados, proveedores, etc.) y la relevancia que les otorgan en sus memorias de información no financiera, dada su creciente importancia tanto desde el punto de vista económico como reputacional, así como su impacto en la cuenta de resultados.

En el otro extremo del ranking, llama la atención el comportamiento de Banco Santander, entidad que escala a la primera posición desde la sexta plaza obtenida el año anterior por su mejor y más completa definición en dos aspectos que el año anterior habían quedado poco explicados. Estos son, como detalla Huergo, “una comunicación clara de la apuesta, el apoyo y liderazgo de todo el comité de dirección a nivel global y por países en materia de ciberseguridad y los ciberriesgos; y una definición clara y amplia de los Centro de Operaciones de Seguridad (SOC en inglés) y CERT (Computer Emergency Response Team), centro de respuesta para incidentes de seguridad en tecnologías de la información que han puesto en marcha o participa el banco”.

Adicionalmente, en Santander “facilitan información al respecto de los incidentes de ciberseguridad acaecidos a lo largo del año, aspecto que consideramos de gran transparencia informativa de cara a clientes y accionistas por las consecuencias reputacionales que ello conlleva”, concluye el coautor del informe. 

El resto de las entidades bancarias, a pesar de que algunas de ellas tales como BBVA y Banco Sabadell bajan en el ranking, no han empeorado en su nivel de transparencia. En realidad, “han mejorado claramente en sus puntuaciones frente al año anterior. Su descenso se debe a que otras empresas del IBEX han mejorado ostensiblemente, como son Ferrovial, Enagás, Mapfre, Naturgy o Sacyr, desplazando a puestos inferiores a estas entidades. Bankinter es la entidad financiera que más puestos ha escalado en el ranking: ha mejorado de forma significativa en las definiciones de las políticas, estrategias y planes de continuidad”, matiza el responsable de Watch&Act Protection Services, quien concluye que, en general, “esta mejora en transparencia del sector financiero es un claro indicador de la importancia que estas empresas otorgan a las amenazas cibernéticas, por las consecuencias económicas que tienen para clientes, proveedores y para la propia empresa”.

II Ranking de transparencia en ciberseguridad (Fuente: Watch&Act Protection Service)
II Ranking de transparencia en ciberseguridad (Fuente: Watch&Act Protection Service).

Cabe recordar que los autores del informe han utilizado para evaluar la información publicada por las empresas la norma internacional ISO 27001 de requisitos de sistemas de gestión de la seguridad de la información y han definido 10 criterios cuya puntuación global puede alcanzar los 100 puntos. Partiendo de estas referencias, han clasificado a las 35 compañías del IBEX en función de cómo protegen los datos sensibles de sus grupos de interés, y cómo garantizan la integridad, confidencialidad y accesibilidad de la información.