PwC determinó en un estudio reciente que las empresas tienen más riesgo que nunca de sufrir un ciberataque y ahora ha presentado un nuevo informe que revela que el 86% de las compañías españolas consideran que carecen de una cultura de ciberseguridad suficientemente madura entre sus empleados.
Esta es una de las principales conclusiones del Informe del estado de cultura de ciberseguridad en el entorno empresarial, elaborado por el área de Cyber Risk Culture (CRC) de PwC España y presentado en ESIC. Este estudio ha contado con la participación de 50 organizaciones de ámbito nacional y tiene como objetivo dar respuesta al paradigma actual de la cultura de ciberseguridad dentro de las organizaciones.
El informe analiza el nivel de cultura medio de ciberseguridad que existe actualmente en las empresas en España desde diferentes perspectivas, situándolo en 2,8 sobre un rango de valores de 1 a 5. Por lo tanto, refleja que existe un importante margen de mejora en la cultura de ciberseguridad actual.
De acuerdo con instituciones de referencia como la empresa nacional de innovación (ENISA), la cultura de la ciberseguridad de las organizaciones se refiere a los conocimientos, hábitos, percepciones, actitudes, normas y valores de las personas en relación con la ciberseguridad y a la forma en que se manifiestan en el comportamiento de las personas con las tecnologías de la información. "Hasta ahora, las empresas y organizaciones habían dirigido sus acciones y esfuerzos a la concienciación en seguridad. Sin embargo, ésta se ha quedado atrás en cuanto las necesidades de seguridad que reclama la realidad actual de riesgos y amenazas", advierte la firma de consultoría.
Qué empresas disponen de los mayores niveles de cultura de ciberseguridad
El informe de PwC resalta que las compañías que disponen de un mayor nivel de cultura en ciberseguridad son aquellas que:
- Cuentan con más de 10.000 trabajadores, ya que tienen una mayor cantidad de recursos y un mayor grado de exposición a riesgos y amenazas derivados del factor de ingresos.
- Tienen un mayor nivel de ingresos (más de 5.000 millones de euros), debido al control del cumplimiento de la legislación y a unos procesos internos "seguramente más estrictos".
- Están ubicadas tanto en Madrid como en Cataluña.
"Actualmente, alrededor del 95% de los ciberataques que sufren las empresas tienen su origen en el factor humano, ya sea por desconocimiento o por error. Una cultura de ciberseguridad en las empresas ayuda a hacer entender que las recomendaciones de seguridad de la información son una parte integral del trabajo, los hábitos y la conducta de los empleados, incorporándolas en sus acciones diarias", señala PwC. En este sentido, también indica que su informe sostiene que adoptar el enfoque correcto para la seguridad de la información permite que una cultura de ciberseguridad se desarrolle con naturalidad a partir de los comportamientos y actitudes de los trabajadores, y como parte de la cultura organizacional más amplia de una empresa.
Cuatro ámbitos de análisis: Estrategia, conocimiento, comportamiento y perspectiva futura
El Informe del estado de cultura de ciberseguridad en el entorno empresarial analiza el nivel actual de las organizaciones en base a cuatro campos:
- Estrategia: Según el documento, el 48% de las organizaciones tiene un rol o un comité ligado a la concienciación en seguridad. No obstante, el 60% no considera la seguridad como uno de sus valores, o bien no lo refleja claramente en sus políticas o prácticas generales.
- Conocimiento: El informe concluye que, en general, las empresas ofrecen formación en ciberseguridad a sus trabajadores, así como ejercicios de simulación de ataques, especialmente de phishing.Sin embargo, también muestra que solo el 9% de las organizaciones disponen de un procedimiento para medir el conocimiento de los profesionales de ciberseguridad, "lo que dificulta el establecimiento de planes de formación adecuados a la organización y sus diferentes colectivos".
- Comportamiento: El estudio de PwC sostiene que el 84% de las organizaciones no es capaz de medir de forma homogénea el nivel de concienciación de sus trabajadores y que el 70% tampoco evalúan el éxito de las campañas de concienciación que realizan. Asimismo, indica que el presupuesto medio aplicado a formación y concienciación se corresponde con un 9% del presupuesto en Seguridad de la Información de la Compañía, una cifra que el 64% de las empresas considera que escaso respecto a la importancia del área.
- Perspectiva futura: El informe resalta la creciente importancia del factor humano para conseguir una correcta ciberseguridad de las compañías. Así, el 93% de los encuestados considera que la concienciación de los empleados es una medida relevante o muy relevante; y el 95% de las compañías ya disponen, tienen planificado o están considerando generar un Plan de Concienciación para empleados.
Desde PwC advierten: "Muchas compañías todavía no han puesto el foco suficiente en la formación y concienciación en ciberseguriad"
Jesús Romero, socio responsable de Business Security Solutions de PwC España, ha hecho la siguiente valoración: "La formación y concienciación en ciberseguridad es un ámbito en el que muchas compañías todavía no han puesto el suficiente foco. Es recomendable aumentar la prioridad de estas acciones entre los empleados, ya que muchos de los incidentes que se producen en la actualidad logran un alto impacto debido a la falta de cultura de ciberseguridad. En general, dedicar más recursos a esta materia genera un retorno para las empresas -en términos de gestión del riesgo tecnológico- muy relevante, con independencia de su tamaño o del sector al que pertenezcan”.