La poca madurez en la cultura de ciberseguridad de las compañías en España, -un 86% considera que no existe o bien debería de mejorar-, es una de las principales conclusiones del ‘Informe del estado de cultura de ciberseguridad en el entorno empresarial’, elaborado por el área de Cyber Risk Culture (CRC) de PwC España con datos obtenidos de un cuestionario elaborado por PwC a empresas de todo el territorio nacional español. El estudio, realizado a 50 organizaciones en el ámbito nacional -a través de entrevistas a expertos, encuestas a responsables de ciberseguridad e investigación-, tiene como finalidad dar respuesta al paradigma actual de la cultura de ciberseguridad dentro de las organizaciones.
El informe analiza el nivel de cultura medio de ciberseguridad que existe actualmente en las empresas en España desde diferentes perspectivas, situándolo en 2,8 sobre un rango de valores de uno a cinco, lo que implica que existe un margen de mejora importante en la cultura de ciberseguridad actual. Esto significa que el sector empresarial español está en proceso de tomar conciencia de la necesidad de establecer un plan de cultura, capacitación y concienciación en ciberseguridad.
El 60% de empresas no considera la seguridad como uno de sus valores, y solo un 9% del presupuesto en seguridad de la información va destinado a formación y concienciación
De acuerdo con instituciones de referencia en el ámbito de la ciberseguridad como ENISA, la cultura de la ciberseguridad de las organizaciones se refiere a los conocimientos, hábitos, percepciones, actitudes, normas y valores de las personas en relación con la seguridad cibernética y la forma en que se manifiestan en el comportamiento de las personas con las tecnologías de la información. Hasta ahora las empresas y organizaciones habían dirigido sus acciones y esfuerzos a la concienciación en seguridad; sin embargo, ésta se ha quedado atrás en cuanto las necesidades de seguridad que reclama la realidad actual de riesgos y amenazas.
Índice de temas
¿Dónde están más concienciados?
Las compañías que disponen de un mayor nivel de cultura en ciberseguridad son aquellas con más de 10.000 empleados -debido a que cuentan con una mayor cantidad de recursos y mayor grado de exposición a los riesgos y amenazas derivados del factor humano-; con un mayor nivel de ingresos (más de 5.000 millones de euros) -tanto por el control del cumplimiento de la legislación, los estándares en los que se certifican, así como por los procesos internos seguramente más estrictos-, así como aquellas ubicadas tanto en Cataluña como en Madrid.
Actualmente, alrededor del 95% de los ciberataques que sufren las empresas tienen su origen en el factor humano, ya sea por desconocimiento o por error. Una cultura de ciberseguridad en las empresas ayuda a hacer entender que las recomendaciones de seguridad de la información son una parte integral del trabajo, los hábitos y la conducta de los empleados, incorporándolas en sus acciones diarias. El documento sostiene que adoptar el enfoque correcto para la seguridad de la información permite que una cultura de ciberseguridad se desarrolle naturalmente a partir de los comportamientos y actitudes de los empleados, y como parte de la cultura organizacional más amplia de una empresa.
Cuatro ámbitos de análisis
El informe analiza el nivel actual de las organizaciones en base a cuatro campos: estrategia, conocimiento, comportamiento, y perspectiva futura. En cuanto a la estrategia, el 42% de las organizaciones ya dispone de un rol o un comité ligado a la formación y la capacitación en seguridad de las compañías, mientras que el 48% de las organizaciones tiene un rol o un comité ligado a la concienciación en seguridad. Sin embargo, el 60% no considera la seguridad como uno de sus valores, o bien no lo refleja claramente en sus políticas o prácticas generales.
Respecto al conocimiento, en general, las compañías ofrecen formación en ciberseguridad a los empleados, así como ejercicios de simulación de ataques, especialmente phishing. Sin embargo, solo el 9% de las organizaciones disponen de un procedimiento para medir el conocimiento de los profesionales de ciberseguridad, lo que dificulta el establecimiento de planes de formación adecuados a la organización y sus diferentes colectivos.
El 84% de empresas no es capaz de medir de forma homogénea el nivel de concienciación de los empleados
Por su parte, en referencia al comportamiento, el 84% de las organizaciones no es capaz de medir, o no puede medir de forma homogénea, el nivel de concienciación de los empleados; y que el 70% tampoco miden el éxito de las campañas de concienciación que realizan. Asimismo, el presupuesto medio aplicado a formación y concienciación se corresponde con un 9% del presupuesto en seguridad de la información de la compañía; y el 64% de las organizaciones considera que el presupuesto aplicado en formación y concienciación es escaso respecto a la importancia del área.
Finalmente, en relación con la perspectiva futura, el informe subraya la creciente importancia del factor humano para conseguir una correcta ciberseguridad de las compañías. Así, el 93% de los encuestados considera que la concienciación de los empleados es una medida relevante o muy relevante; y el 95% de las compañías ya disponen, tienen planificado generar o están considerando generar un plan de concienciación para empleados.
Acceda al informe completo en PDF.
Conclusiones
La ciberseguridad en las compañías españolas:
- El 45% tiene un rol o un comité ligado a la formación en seguridad, y el 48% cuenta con un rol 0 comité para la concienciación.
- El 60% no considera la seguridad como uno de sus valores.
- El 9% tiene un procedimiento para medir el conocimiento de los profesionales de ciberseguridad.
- El 84% no es capaz de medir de forma homogénea el nivel de concienciación de los empleados.
- El 64% considera que el presupuesto aplicado a formación y concienciación es escaso.
- El 95% ya dispone o tiene proyectado generar un plan de concienciación para empleados.
- Un 9% del presupuesto en seguridad de la información va destinado a formación y concienciación.
- El 95% de los ciberataques tienen su origen en el factor humano.