Se intuía que el tejido empresarial de este país tiene poca cultura de ciberseguridad. Al igual que la ciudadanía. Y un estudio de PwC España que ha analizado a fondo este aspecto en 50 entidades de diferente tamaño y de todo el territorio nacional, lo confirma. Y es que, según la consultora, un 86% de las firmas que participan en el estudio considera que no existe esta cultura o bien debería de mejorarse.
El estudio, consistente en entrevistas a expertos y encuestas a responsables de ciberseguridad, sitúa el nivel de cultura medio en un 2,8, en una escala que va a 1 a 5, lo que implica que existe “un margen de mejora importante”. “Esto significa que el sector empresarial español está en proceso de tomar conciencia de la necesidad de establecer un plan de cultura, capacitación y concienciación en ciberseguridad”, aseguran los autores del informe.
La cultura en el ámbito de la ciberseguridad se manifiesta en conocimientos, hábitos, percepciones, actitudes, normas y valores de las personas en relación con la protección de la información. El informe destaca que las compañías que disponen de un mayor nivel cultural en este ámbito son aquellas con más de 10.000 empleados y más de 5.000 millones de euros de ingresos, “debido a que cuentan con una mayor cantidad de recursos y mayor grado de exposición a los riesgos y amenazas derivados del factor humano”. En estas compañías hay preocupación por el cumplimiento de la legislación, los estándares en los que se certifican y el seguimiento de los procesos internos.
Actualmente, alrededor del 95% de los ciberataques que sufren las empresas tiene su origen en el llamado “factor humano”, básicamente en los deslices de los empleados, ya sea por desconocimiento o por error. Una cultura de ciberseguridad en las empresas ayuda a hacer entender que las recomendaciones de seguridad de la información son una parte integral del trabajo, los hábitos y la conducta de la plantilla, incorporándolas en sus acciones diarias. Precisamente, el documento de PwC recomienda que las empresas cultiven una cultura de la ciberseguridad a partir de los comportamientos y actitudes de los empleados.
El estudio sostiene que el 42% de las organizaciones ya dispone de un rol o un comité ligado a la formación y la capacitación en seguridad, mientras que el 48% de las organizaciones también cuenta con responsables para la concienciación. Sin embargo, el 60% no considera la seguridad como uno de sus valores, o bien no lo refleja claramente en sus políticas o prácticas generales. Además, en general las compañías ofrecen formación en ciberseguridad a los empleados, así como ejercicios de simulación de ataques, especialmente de phishing. Sin embargo, solo el 9% de las organizaciones dispone de un procedimiento para medir el conocimiento de los profesionales de ciberseguridad, lo que dificulta el establecimiento de planes de formación adecuados a la organización y sus diferentes colectivos.
Un problema de medición y bajo presupuesto
PwC detecta otro problema. Y es que el 84% de las organizaciones no es capaz de medir, o no puede medir de forma homogénea, el nivel de concienciación de los empleados. Y un 70% tampoco mide el éxito de las campañas de concienciación que realizan. Asimismo, el informe indica que el presupuesto medio aplicado a formación y concienciación se corresponde con un 9% del total del presupuesto para ciberseguridad de la compañía. Y añade que el 64% de las organizaciones considera que el presupuesto aplicado a formación y concienciación es escaso respecto a la importancia del área.
Sólo el 9% de las organizaciones sabe medir el conocimiento de los profesionales de ciberseguridad, lo que complica los planes de formación
Finalmente, el informe subraya la creciente importancia del factor humano para conseguir una correcta ciberseguridad de las compañías. Así, el 93% de los encuestados considera que la concienciación de los empleados es una medida relevante o muy relevante; y el 95% de las compañías ya dispone, tienen planificado generar o está considerando generar un plan de este tipo para empleados.
Para Jesús Romero, socio responsable de Business Security Solutions de PwC España, “la formación y concienciación en ciberseguridad es un ámbito en el que muchas compañías todavía no han puesto el suficiente foco”. Romero recuerda que muchos de los incidentes que se producen en la actualidad “logran un alto impacto debido a la falta de cultura de ciberseguridad”, y que los recursos que se invierten en concienciación generan un importante retorno para las empresas.
