Tener una cultura sólida de ciberseguridad, asignatura pendiente de las empresas españolas

  • Actualidad

Los datos de un informe de PwC sugieren que las empresas españolas necesitan mejorar en cultura de ciberseguridad y el dato que lo corrobora es que obtienen una nota de 2,8 sobre 5. En el 86% esta cultura no existe o debería mejorarse.

Recomendados: 

Los desastres ocurren... ¿tienes un plan de continuidad de negocio? Webinar

Ciberseguridad en el sector del transporte Leer

Ciberseguridad avanzada para entornos de servicios públicos Leer

Este informe, que ha preparado la unidad de Cyber Rist Culture de PwC España y que se ha presentado este martes en ESIC, pone en evidencia una escasa madurez en la cultura de ciberseguridad que tienen las empresas españolas, ya que un 86% considera que no existe o bien debería de mejorarse.

El estudio, realizado a 50 organizaciones a través de entrevistas a expertos, encuestas a responsables de ciberseguridad e investigación, analiza el nivel de cultura medio de ciberseguridad que existe actualmente en las organizaciones desde diferentes perspectivas, y el resultado muestra un amplio margen de mejora: la nota conseguida es de un 2,8 sobre un rango de valores de 1 a 5. Para los autores del estudio, esto significa que las compañías están aún “proceso de tomar conciencia de la necesidad de establecer un plan de cultura, capacitación y concienciación en ciberseguridad”.

Cuatro ámbitos de análisis
El informe analiza el nivel actual de las organizaciones en base a cuatro campos: estrategia, conocimiento, comportamiento y perspectiva futura.

En cuanto al primero de ellos, el documento sostiene que el 42% de las empresas participantes ya dispone de un rol o un comité ligado a la formación y la capacitación en seguridad de las compañías, mientras que el 48% tiene un rol o un comité ligado a la concienciación en seguridad. Sin embargo, el 60% no considera la seguridad como uno de sus valores, o bien no lo refleja claramente en sus políticas o prácticas generales.

Respecto al segundo ámbito, el análisis concluye que, en general, las empreas ofrecen formación en ciberseguridad a los empleados, así como ejercicios de simulación de ataques, especialmente phishing. Sin embargo, solo el 9% disponen de un procedimiento para medir el conocimiento de los profesionales de ciberseguridad, lo que dificulta el establecimiento de planes de formación adecuados a la organización y sus diferentes colectivos.

En lo que al comportamiento se refiere, el 84% de las organizaciones no es capaz de medir, o no lo pueden hacer de forma homogénea, el nivel de concienciación de los empleados; y el 70% tampoco miden el éxito de las campañas de concienciación que realizan. Además, el informe indica que el presupuesto medio aplicado a formación y concienciación se corresponde con un 9% del presupuesto en Seguridad de la Información de la organización, un ratio que las propias empresa consideran bajo respecto a la importancia del área, según el 64% de las respuestas.

Finalmente, en relación con la perspectiva futura, el informe subraya la creciente importancia del factor humano para conseguir una correcta ciberseguridad de las compañías. Así, el 93% de los encuestados considera que la concienciación de los empleados es una medida relevante o muy relevante; y el 95% de las compañías ya disponen, tienen planificado generar o están considerando generar un Plan de Concienciación para empleados.