¡Apunten hacia España! Las compañías carecen de una cultura de ciberseguridad

¡Apunten hacia España! Las compañías carecen de una cultura de ciberseguridad

Según un estudio realizado por el área de Cyber Risk Culture (CRC) de PwC España entre junio y septiembre de 2020, el nivel de cultura de ciberseguridad en las compañías de España se sitúa en 2,8 puntos sobre un rango de valores de 1 a 5.

Qué es la cultura de ciberseguridad

La Agencia Europea de Seguridad de las Redes y de la Información (en inglés, «European Union Agency for Network and Information Security», ENISA), define la cultura de la seguridad de las organizaciones como el conjunto de conocimientos, hábitos, percepciones, actitudes, normas y valores de las personas en relación con la seguridad cibernética y la forma en que se manifiestan en su comportamiento con las tecnologías de la información.

Hasta ahora, las empresas y organizaciones habían dirigido sus acciones y esfuerzos a las medidas técnicas y acciones de concienciación aisladas, pero esto no es suficiente ante la realidad actual.

De acuerdo con PwC, alrededor del 95% de los ciberataques que sufren las empresas tienen su origen en el factor humano, ya sea por desconocimiento o error. En este contexto, el desarrollo de una cultura de ciberseguridad es esencial para reducir los riesgos y ciberamenazas.

El estado de la cultura empresarial en España

El estudio realizado por PwC España involucró a 50 organizaciones en el ámbito nacional español a través de entrevistas a expertos, encuestas a responsables de ciberseguridad e investigación. La finalidad principal es conocer el estado en la cultura de ciberseguridad en el entorno empresarial en base a cuatro campos: estrategia, conocimiento, comportamiento, y perspectiva futura.

Estrategia

Entre el 42% y el 48% de las organizaciones ya dispone de un rol o un comité ligado a la formación o concienciación en seguridad. No obstante, el 60% de las compañías no considera la seguridad como uno de sus valores principales o bien, no lo refleja claramente en sus políticas o prácticas generales.

Conocimiento

Muchas de las compañías ofrecen formación en ciberseguridad a sus empleados, así como ejercicios de simulación de ataques phishing o ransomware. Sin embargo, solo el 9% de las organizaciones disponen de un procedimiento para medir el conocimiento de los profesionales, lo que impide el establecimiento de planes de formación adecuados.

Comportamiento

El 84% de las organizaciones no puede medir el nivel de concienciación de los empleados; y el 70% tampoco mide el éxito de las campañas que realizan.

Por otro lado, el presupuesto medio aplicado a formación y concienciación equivale a un 9% del presupuesto total destinado a la seguridad de la información de la compañía.

Perspectiva futura

El 93% de los encuestados considera que la concienciación de los empleados es una medida muy relevante; y el 95% de las compañías ya disponen o tienen planificado generar un plan de concienciación para empleados.

Las principales conclusiones

De los resultados obtenidos, PwC España concluye que el nivel de cultura de ciberseguridad de media en las compañías de España se sitúa en un 2,8 sobre un rango de valores de 1 a 5. Esto significa que en el sector empresarial español:

  • No existe un plan estratégico de cultura y las iniciativas de concienciación se despliegan al azar.
  • El programa de concienciación cuenta con un apoyo limitado por parte de la Alta Dirección, y solo se invierten los recursos mínimos para cumplir con las normativas.
  • La concienciación en seguridad no ocupa un lugar destacado en la estrategia de la organización.
  • De forma generalizada, no existe una persona nombrada responsable de la ejecución y desarrollo de los planes de cultura y concienciación.
  • Se realizan formaciones de ciberseguridad de forma aislada, sin un refuerzo constante ni un alcance generalizado.
  • Hay poca participación de otros departamentos, como el de recursos humanos, comunicación o formación.

Todo ello implica que el panorama de cultura en ciberseguridad actual a nivel empresarial en España es inmaduro, con un alto margen de mejora.

Cómo construir una cultura de ciberseguridad

Acciones de capacitación aisladas no son suficientes para lograr hábitos seguros. Para desarrollar una cultura de ciberseguridad es necesario:

  • Generar un plan de formación y transformación cultural, con objetivos específicos en el tiempo.
  • Hacer seguimientos de las acciones y sus resultados, proporcionando indicadores que permitan medir el impacto y la evolución.

Es necesario destacar que las organizaciones no deben hacer todo esto solas, ya que las plataformas de concienciación en Seguridad de la Información ofrecen contenidos, herramientas y reportes que facilitan las tareas y generan indicadores de forma automática. Pero aún más fácil y efectivo para el responsable de seguridad puede ser apoyarse en partners integradores, delegando los aspectos operativos y tácticos de la transformación cultural en manos de especialistas.

https://recursos.bps.com.es/files/986/73.pdf

Deja un comentario