Santander, Telefónica, BBVA, CaixaBank, Mapfre e Iberdrola avanzan en sus políticas de ciberprotección.
La alta dirección de las grandes compañías españolas es cada vez más consciente de la obligación de abordar con decisión una política de ciberseguridad. Las empresas del Ibex fichan a expertos en este campo, que en ocasiones se sientan en el comité de dirección, ofrecen formación a sus ejecutivos y consejeros, y crean consejos asesores en la materia. Algunas incluso están aprovechando la renovación de sus consejos de administración para incorporar estos perfiles.
Carlos Torres Vila, consejero delegado de BBVA, preside una comisión del consejo dedicada a tecnología y ciberseguridad. Telefónica ha fichado a Javier Solana, exministro y ex secretario general de la OTAN, como miembro de su nuevo consejo asesor para ciberseguridad y sienta en su comité de dirección al experto Chema Alonso. Banco Santander sigue este ámbito al máximo nivel tanto en el consejo del grupo como con un comité específico en el que participan los principales ejecutivos.
Son sólo algunos ejemplos de un importante cambio de actitud de las empresas, cada vez más conscientes de las amenazas inherentes a su apuesta por la digitalización. «Los comités de dirección tienen que estar capacitados para entender los riesgos tecnológicos», opina Gianluca D’Antonio, presidente de la asociación española para el fomento de la seguridad de la información ISMS Forum y director académico del máster en Ciberseguridad del Instituto de Empresa.
Comité de dirección
En los últimos años, cada vez son más las empresas que sientan en el comité de dirección a expertos en ciberseguridad, lo que da una idea de la importancia creciente de estos ejecutivos. Es el caso de D’Antonio, actual Chief Information Officer (CIO) de FCC, que durante una década ha sido el máximo responsable de ciberseguridad en la constructora española.
Desde hace dos años, Chema Alonso, un conocido experto español en la materia, forma parte del comité de dirección de Telefónica. Alonso es el Chief Data Officer (CDO) de Telefónica, con responsabilidad sobre la estrategia de datos y de productos y servicios de ciberseguridad.
La transformación digital exige contar con un ejecutivo de alto nivel responsable de la política de seguridad. No basta que sea experto en tecnología de seguridad, sino que debe ser un líder capaz de abordar una transformación de la organización en términos de seguridad.
La figura del Chief Information Security Officer (CISO) ha ganado importancia en las grandes corporaciones en los últimos tiempos. Y aunque tradicionalmente el responsable de seguridad ha dependido del departamento de Sistemas, la mayor importancia que se otorga a esta área hace que algunas empresas opten por situar a estos ejecutivos fuera del paraguas del director de Tecnología.
Es el caso de Mapfre, que desde hace una década tiene una estructura que engloba bajo una dirección general la seguridad física y la ciberseguridad, cuyo responsable que reporta directamente al vicepresidente primero.
Fichajes
Los fichajes en los últimos años de este tipo de perfiles constatan la importancia creciente de la ciberseguridad entre las grandes del Ibex. Además de Chema Alonso, en 2016 Telefónica fichaba como CISO a Alejandro Ramos, que el año pasado fue el único español que apareció en la lista de los mejores responsables de seguridad del mundo elaborada por la empresa del sector F5 Networks.
En 2017, Santander incorporó para este puesto a Daniel Barriuso, con experiencia directiva en esta área en grandes organizaciones como BP, Credit Suisse y ABM Amro. Según explican en el banco, su fichaje obedece a una nueva estructura organizativa y a un refuerzo de las prácticas de ciberseguridad, con la definición de un nuevo marco global para su gestión de forma proactiva.
Por su parte, BBVA fichó a Álvaro Garrido para coordinar la seguridad de la información, ciberseguridad y riesgos del grupo en una nueva unidad que reporta a Ricardo Moreno, director global de Engineering.
Pero, ¿qué ocurre a nivel de los consejos de administración? Según un informe de PwC sobre los consejos de administración de las empresas cotizadas, la ciberseguridad tiene que formar parte de la agenda de los consejos. «La complejidad técnica y la naturaleza cambiante de los riesgos tecnológicos obliga a contar con especialistas, pero los consejeros no pueden ser ajenos», dicen en PwC, que recomienda a los consejos implantar un modelo de gobierno de la ciberseguridad.
Para ello, es necesario que conozcan la exposición de la empresa a estos riesgos, cuenten con las capacidades y recursos suficientes y aborden auditorías para poner a prueba los planes de seguridad. Según sus datos, el 42% de los consejeros del Ibex 35 indica que la ciberseguridad es un ámbito prioritario en el que se involucra el consejo.
«En España, las empresas cotizadas están en una fase de toma de conciencia. Los consejeros tienen que formarse aún. En una siguiente fase, habrá una búsqueda de perfiles expertos para sentarse en los consejos», apunta D’Antonio. En su opinión, las empresas españolas están en línea con sus homólogas de otros países.
En este sentido, el informe Global Information Security Survey de EY constata que aún queda camino por recorrer. El estudio, realizado sobre la base de entrevistas a 1.200 directivos de empresas de todo el mundo, revela que únicamente el 17% de los consejos tiene suficiente conocimiento de la seguridad de la información como para evaluar la efectividad de las medidas de ciberprotección puestas en marcha. Más del 60% de las empresas encuestadas tienen integrada su función de ciberseguridad en el departamento de tecnología y solo la mitad reporta regularmente esta información al consejo de administración de la organización.
Formación
En esta obligada apuesta por una mayor concienciación sobre la importancia de la ciberseguridad, la formación a los consejeros es una preocupación para muchas firmas del Ibex 35.
Por ejemplo, en la sesión celebrada en diciembre en BBVA, los consejeros revisaron información sobre ciberataques en la industria y fueron formados en temas de identidad digital y comunicaciones sospechosas.
Mientras, en CaixaBank los consejeros realizan visitas al centro integrado de seguridad de la entidad financiera para conocer los medios y las funciones de los diferentes operadores de seguridad física y lógica. Además, como parte del plan de formación, al que han asistido más de 3.000 trabajadores, se ofrece a los consejeros una sesión de formación presencial de concienciación y divulgación de riesgos de ciberseguridad.
La entidad también informa periódicamente al consejo y las comisiones delegadas de la evolución de los ataques, los casos de fraude y el plan director de ciberseguridad. En caso de incidente de ciberseguridad, hay una información puntual a los consejeros.
No es un caso único. En Santander, por ejemplo, hay un seguimiento de la ciberseguridad en el consejo. Por su parte, BBVA tiene a dos expertos en la materia en el consejo de administración, Sunir Kapoor y Jan Verplancke. Iberdrola sienta en el consejo a Anthony Gardner.