Tener una cultura sólida de ciberseguridad, asignatura pendiente de las empresas españolas
- Actualidad
Los datos de un informe de PwC sugieren que las empresas españolas necesitan mejorar en cultura de ciberseguridad y el dato que lo corrobora es que obtienen una nota de 2,8 sobre 5. En el 86% esta cultura no existe o debería mejorarse.
Recomendados: Los desastres ocurren... ¿tienes un plan de continuidad de negocio? Webinar Ciberseguridad en el sector del transporte Leer Ciberseguridad avanzada para entornos de servicios públicos Leer |
Este informe, que ha preparado la unidad de Cyber Rist Culture de PwC España y que se ha presentado este martes en ESIC, pone en evidencia una escasa madurez en la cultura de ciberseguridad que tienen las empresas españolas, ya que un 86% considera que no existe o bien debería de mejorarse.
El estudio, realizado a 50 organizaciones a través de entrevistas a expertos, encuestas a responsables de ciberseguridad e investigación, analiza el nivel de cultura medio de ciberseguridad que existe actualmente en las organizaciones desde diferentes perspectivas, y el resultado muestra un amplio margen de mejora: la nota conseguida es de un 2,8 sobre un rango de valores de 1 a 5. Para los autores del estudio, esto significa que las compañías están aún “proceso de tomar conciencia de la necesidad de establecer un plan de cultura, capacitación y concienciación en ciberseguridad”.
Cuatro ámbitos de análisis
El informe analiza el nivel actual de las organizaciones en base a cuatro campos: estrategia, conocimiento, comportamiento y perspectiva futura.
En cuanto al primero de ellos, el documento sostiene que el 42% de las empresas participantes ya dispone de un rol o un comité ligado a la formación y la capacitación en seguridad de las compañías, mientras que el 48% tiene un rol o un comité ligado a la concienciación en seguridad. Sin embargo, el 60% no considera la seguridad como uno de sus valores, o bien no lo refleja claramente en sus políticas o prácticas generales.
Respecto al segundo ámbito, el análisis concluye que, en general, las empreas ofrecen formación en ciberseguridad a los empleados, así como ejercicios de simulación de ataques, especialmente phishing. Sin embargo, solo el 9% disponen de un procedimiento para medir el conocimiento de los profesionales de ciberseguridad, lo que dificulta el establecimiento de planes de formación adecuados a la organización y sus diferentes colectivos.
En lo que al comportamiento se refiere, el 84% de las organizaciones no es capaz de medir, o no lo pueden hacer de forma homogénea, el nivel de concienciación de los empleados; y el 70% tampoco miden el éxito de las campañas de concienciación que realizan. Además, el informe indica que el presupuesto medio aplicado a formación y concienciación se corresponde con un 9% del presupuesto en Seguridad de la Información de la organización, un ratio que las propias empresa consideran bajo respecto a la importancia del área, según el 64% de las respuestas.
Finalmente, en relación con la perspectiva futura, el informe subraya la creciente importancia del factor humano para conseguir una correcta ciberseguridad de las compañías. Así, el 93% de los encuestados considera que la concienciación de los empleados es una medida relevante o muy relevante; y el 95% de las compañías ya disponen, tienen planificado generar o están considerando generar un Plan de Concienciación para empleados.