La poca madurez en la cultura de ciberseguridad de las compañías en España es una de las principales conclusiones del Informe del estado de cultura de ciberseguridad en el entorno empresarial, elaborado por PwC. El estudio, realizado a 50 compañías en el ámbito nacional -a través de entrevistas a expertos, encuestas a responsables de ciberseguridad e investigación-, tiene como finalidad dar respuesta al paradigma actual de la cultura de ciberseguridad dentro de las empresas.
Pero… ¿qué es la cultura de la ciberseguridad?
Hasta ahora las empresas y organizaciones habían dirigido sus acciones y esfuerzos a la concienciación en seguridad; sin embargo, ésta se ha quedado atrás en cuanto las necesidades de seguridad que reclama la realidad actual de riesgos y amenazas.
De acuerdo con instituciones de referencia en el ámbito de la ciberseguridad como ENISA, la cultura de la ciberseguridad de las organizaciones se refiere a los conocimientos, hábitos, percepciones, actitudes, normas y valores de las personas en relación con la seguridad cibernética y la forma en que se manifiestan en el comportamiento de las personas con las tecnologías de la información.
Las empresas españolas necesitan mejorar
Nuestro informe analiza el nivel de cultura medio de ciberseguridad que existe actualmente en las empresas en España desde diferentes perspectivas, y lo cuantifica en 2,8 puntos sobre un rango de valores de 1 a 5, lo que implica que existe un margen de mejora importante en la cultura de ciberseguridad actual.
Las compañías que disponen de un mayor nivel de cultura en ciberseguridad son aquellas con más de 10.000 empleados -debido a que cuentan con una mayor cantidad de recursos y mayor grado de exposición a los riesgos y amenazas derivados del factor humano-; con un mayor nivel de ingresos (más de 5.000 millones de euros) -tanto por el control del cumplimiento de la legislación, los estándares en los que se certifican, así como por los procesos internos seguramente más estrictos-, así como aquellas ubicadas tanto en Cataluña como en Madrid.
Los cinco niveles de cultura de ciberseguridad
- Nivel 1: Cultura inexistente
- Nivel 2: Cultura inicial
- Nivel 3: Cultura en desarrollo
- Nivel 4: Cultura avanzada
- Nivel 5: Forma de vida
Nivel 1: Cultura inexistente
No existe una cultura en ciberseguridad dentro de la empresa. Los empleados no son conscientes de que son objetivo de ciberataques ni de que sus acciones tienen un impacto directo en la seguridad de la organización. Son potenciales víctimas de fraudes cibernéticos y representan un vector de entrada real de ciberataques. No conocen ni entienden las políticas de seguridad de la organización.
Nivel 2: Cultura inicial
Existe una cierta cultura de ciberseguridad donde se ha realizado un primer acercamiento a la concienciación. Se han realizado acciones aisladas de formación y concienciación, pero el programa está diseñado principalmente para cumplir con los requisitos específicos de cumplimiento o auditoría. La capacitación se limita a una base anual o ad hoc. Los empleados no están seguros de las políticas de seguridad de la organización y/o su papel en la protección de los activos de información de su organización.
Nivel 3: Cultura en desarrollo
Hay un plan y una estrategia de concienciación y capacitación en seguridad en los que se identifican grupos y temáticas específicas. La organización sabe identificar los temas con mayor necesidad e impacto para el objetivo de seguridad y se centra en estos elementos clave. El programa de formación va más allá de la formación anual e incluye refuerzo a lo largo del año. El contenido se comunica, o al menos se pretende comunicar, de una manera atractiva y positiva que fomenta el cambio de comportamiento en el trabajo y en el hogar. Como resultado, la gente entiende y sigue las políticas de seguridad de la organización y reconoce, previene y reporta activamente los incidentes de seguridad.
Nivel 4: Cultura avanzada
El programa cuenta con los procesos, recursos y apoyo de la Alta Dirección necesarios para un ciclo de vida a largo plazo, incluyendo (como mínimo) una revisión y actualización anual del programa. Como resultado, el programa es una parte establecida de la cultura de la organización y es actual y atractivo. El programa ha ido más allá de cambiar el comportamiento y está cambiando las creencias, actitudes y percepciones de seguridad de las personas.
Nivel 5: Forma de vida
El programa tiene un marco sólido de métricas alineado con la misión de la organización de hacer seguimiento del progreso y medir el impacto. Como resultado, el programa está mejorando continuamente y es capaz de demostrar el retorno de la inversión. Esta etapa no implica que las métricas no sean parte de cada etapa (que lo son). Esta etapa refuerza que, para tener un programa verdaderamente maduro, se deben tener métricas para demostrar el éxito.
Análisis por ámbitos
Nuestro informe analiza el nivel actual de las empresas españolas en cuatro ámbitos:
El 42% de las empresas ya dispone de un rol o un comité ligado a la formación y la capacitación en seguridad de la compañía y el 48% para la concienciación en seguridad. Sin embargo, el 60% no considera la seguridad como uno de sus valores, o bien no lo refleja claramente en sus políticas o prácticas generales.
En general, las compañías ofrecen formación en ciberseguridad a los empleados, así como ejercicios de simulación de ataques, especialmente phishing. Sin embargo, solo el 9% de las organizaciones disponen de un procedimiento para medir el conocimiento de los profesionales de ciberseguridad, lo que dificulta el establecimiento de planes de formación adecuados a la organización y sus diferentes colectivos.
El 84% de las organizaciones no es capaz de medir, o no puede medir de forma homogénea, el nivel de concienciación de los empleados; y que el 70% tampoco miden el éxito de las campañas de concienciación que realizan. Además, el presupuesto medio aplicado a formación y concienciación se corresponde con un 9% del presupuesto en Seguridad de la Información de la Compañía.
Aumenta la importancia del factor humano para conseguir una correcta ciberseguridad de las compañías. Así, el 93% de los encuestados considera que la concienciación de los empleados es una medida relevante o muy relevante; y el 95% de las compañías ya disponen, tienen planificado generar o están considerando generar un Plan de Concienciación para empleados.
Una cultura de ciberseguridad en las empresas ayuda a hacer entender que las recomendaciones de seguridad de la información son una parte integral del trabajo, los hábitos y la conducta de los empleados.
“La formación y concienciación en ciberseguridad es un ámbito en el que muchas compañías todavía no han puesto el suficiente foco. Es recomendable aumentar la prioridad de estas acciones entre los empleados, ya que muchos de los incidentes que se producen en la actualidad logran un alto impacto debido a la falta de cultura de ciberseguridad. En general, dedicar más recursos a esta materia genera un retorno para las empresas -en términos de gestión del riesgo tecnológico- muy relevante, con independencia de su tamaño o del sector al que pertenezcan”.
Contacta con nosotros
Síguenos en
