Cultura en ciberseguridad, asignatura pendiente de las empresas españolas
Son minoría las que cuentan con comités para la formación y concienciación en seguridad o las que tienen capacidad para medir el conocimiento de sus trabajadores.
Las empresas españolas tienen mucho que mejorar en cuestión de ciberseguridad. Así lo confirma el Informe del estado de cultura de ciberseguridad en el entorno empresarial de PwC España, que sitúa el nivel medio en un 2,8 sobre 5.
Ahora mismo, los empleados de un 86 % de las organizaciones carece de dicha cultura. Ellas mismas reconocen que no existen conocimientos, hábitos, percepciones, actitudes, normas y valores adecuados en esta área o que deberían mejorarse, para mejorar también la relación de las personas con las tecnologías de la información.
Además, 6 de cada 10 no incluyen la seguridad entre sus valores. Son minoría las compañías que cuentan con un rol o comité para la formación y la capacitación en seguridad (42 %) o para la concienciación (48 %). Su estrategia todavía es débil.
Y, aunque suelen ofrecer formación y ejercicios de simulación de ataques tipo phishing, sólo un 9 % cuenta con un procedimiento para medir el conocimiento de sus trabajadores.
Es más, el 84 % es incapaz de medir el nivel de concienciación de los empleados. Menos de una décima parte del presupuesto de seguridad de la información va destinado a formación y concienciación. Y esto afecta al comportamiento final.
El factor humano es clave para fortalecer la ciberseguridad. Casi todos (95 %) los ciberataques tienen su origen en el desconocimiento o un error individual. Unas correctas recomendaciones y la corrección de la actitud ayudarán a evitar amenazas.
Un 93 % de las empresas consultadas reconoce que concienciar a sus empleados es relevante y el 95 % tiene o piensa generar un plan de concienciación. Esto habla bien de la perspectiva futura.
“La formación y concienciación en ciberseguridad es un ámbito en el que muchas compañías todavía no han puesto el suficiente foco”, observa Jesús Romero, socio responsable de Business Security Solutions de PwC España. “Es recomendable aumentar la prioridad de estas acciones entre los empleados, ya que muchos de los incidentes que se producen en la actualidad logran un alto impacto debido a la falta de cultura de ciberseguridad”.
“En general, dedicar más recursos a esta materia genera un retorno para las empresas -en términos de gestión del riesgo tecnológico- muy relevante, con independencia de su tamaño o del sector al que pertenezcan”, añade Romero.
Las empresas con más cultura en ciberseguridad hoy por hoy son las que superan los 10 000 empleados, ingresan más de 5000 millones de euros y se ubican en Madrid y Cataluña. También son las que disponen de mayores recursos y suelen estar más expuestas al riesgo.