CaixaBank, Ferrovial i Fluidra, les firmes de l'Ibex més transparents en ciberseguretat

CaixaBank, Ferrovial, Fluidra i Inditex són les empreses de l'Ibex 35 amb una gestió més transparent en matèria de ciberseguretat, segons el ‘V Rànquing de Transparència en Ciberseguretat’, elaborat per Watch&Act Protection Services a partir d'informació sobre l'exercici 2024 facilitada per les 35 majors cotitzades.

El rànquing analitza el grau d'obertura informativa de les empreses en les seves pràctiques sobre ciberseguretat, i les classifica en tres nivells: organitzacions transparents, translúcides i opaques.

'Top 10' del rànquing

CaixaBank, Ferrovial, Fluidra i Inditex arriben als 160 punts, la puntuació màxima prevista en l'avaluació. Els segueixen Mapfre (152 punts), Indra (150) i BBVA (147). Completen el ‘top 10’ Banco Santander, Enagás i Meliá, tots tres amb 145 punts.

ACS protagonitza el major ascens del 2025, en pujar vuit posicions a la llista respecte a l'edició anterior.

Segons l'informe, gairebé el 94% de les companyies analitzades reflecteixen explícitament el compromís de l'alta direcció amb la ciberseguretat. A més, un 60% ja esmenta l'ús de la intel·ligència artificial (IA) en aquest àmbit, cosa que confirma el seu paper creixent com a palanca clau per reforçar la protecció i anticipar noves amenaces.

L'informe evidencia una maduració tecnològica heterogènia en la transparència en ciberseguretat: mentre els sectors més regulats se situen a l'avantguarda i consoliden pràctiques avançades de gestió i reporting, els sectors més tradicionals encara presenten àmplies oportunitats de millora.

'Telecos' i finances

En l'anàlisi sectorial, el rànquing situa el sector de telecomunicacions en primera posició, gràcies al seu lideratge en l'ús d'IA i a un elevat nivell de transparència en recursos humans dedicats a ciberseguretat.

En segon lloc apareix finances i assegurances, un sector altament regulat que mostra una maduresa notable en certificacions i en el compliment de DORA, seguit del sector energètic en tercer lloc.

A continuació, figuren serveis de consum, construcció i immobiliari. Tanca la classificació béns de consum, el sector que registra la caiguda més gran en el rànquing i que presenta, al mateix temps, un major marge de millora i oportunitat de desenvolupament.

Ibex

“Les empreses tenim l'obligació de garantir no només el nostre propi compliment dels estàndards necessaris, sinó també el de tots els nostres proveïdors i socis, per evitar que es converteixin en l'esglaó feble”, afirma Jacinto Muñoz, director de Resiliència Operativa i GRC Mapfre, sobre la visió actual de les empreses de l'Ibex 35 i el context al qual s'enfronten actualment. “A més, complir amb les noves normatives, encara que suposi un repte, redunda en elevar el nivell de seguretat de les empreses i hem d'utilitzar-ho a favor nostre”, afegeix aquest expert.

El 2024, el Reglament General de Protecció de Dades (RGPD) arriba a un nivell d'implantació del 100% entre les empreses de l'Ibex 35, que declaren complir-lo en la seva totalitat. La situació és diferent a la Directiva NIS2 sobre seguretat de xarxes i sistemes, transposada a l'octubre de 2024, el compliment de la qual només és esmentat pel 34% de les companyies afectades. En l'àmbit financer, el Digital Operational Resilience Act (DORA), vigent des del gener de 2025, ja ha estat adoptat pel 67% de les empreses del sector. La Llei de Ciberresiliència, actualment en fase d'implementació progressiva, registra el percentatge més baix d'esments, amb només un 8% de companyies que al·ludeixen al seu compliment.

Respecte als aspectes legals de l'incompliment de les noves normatives, Patricia Pérez, directora de l'equip de TMT a Baker McKenzie, subratlla la importància de respectar els terminis establerts per les autoritats, afirmant que “poder complir, almenys en temps i forma, amb el que requereix la normativa és clau perquè l'empresa es percebi de manera favorable”.

Els sectors més regulats declaren nivells més alts de preparació i ofereixen una comunicació més detallada sobre el seu grau de compliment, mentre que la resta d'empreses avancen de forma més gradual en l'adopció d'aquestes normes.

En aquest sentit, Pedro Coll, Europe Crisis & Issues director LLYC, sosté que l'enfocament ha de canviar: “No es tracta de culpar l'empresa, sinó de comunicar que ha estat víctima d'un atac. Ser transparents al respecte és clau per preservar la seva reputació, credibilitat i integritat”.