Ir directamente al contenido

El 86% de las compañías españolas carecen de una cultura de ciberseguridad entre los empleados

29/03/2021

Según el “Informe del estado de cultura de ciberseguridad en el entorno empresarial”, elaborado por PwC, el nivel de cultura de ciberseguridad en las compañías en España es de 2,8 sobre 5. El presupuesto medio destinado concienciar y formar en ciberseguridad supone solo un 9% del total destinado a Seguridad de la Información. Mientras que solo el 11% de las compañías miden la concienciación de los empleados en este ámbito.

La poca madurez en la cultura de ciberseguridad de las compañías en España -un 86% considera que no existe o bien debería de mejorarse- es una de las principales conclusiones del “Informe del estado de cultura de ciberseguridad en el entorno empresarial”, elaborado por el área de Cyber Risk Culture (CRC) de PwC España y presentado el 19 de enero en ESIC. El estudio, realizado a 50 organizaciones en el ámbito nacional -a través de entrevistas a expertos, encuestas a responsables de ciberseguridad e investigación-, tiene como finalidad dar respuesta al paradigma actual de la cultura de ciberseguridad dentro de las organizaciones.
El informe analiza el nivel medio de cultura de ciberseguridad que existe actualmente en las empresas en España desde diferentes perspectivas, situándolo en 2,8 sobre un rango de valores de 1 a 5, lo que implica que existe un margen de mejora importante en la cultura de ciberseguridad actual. Esto significa que el sector empresarial español está en proceso de tomar conciencia de la necesidad de establecer un plan de cultura, capacitación y concienciación en ciberseguridad.
De acuerdo con instituciones de referencia en el ámbito de la ciberseguridad como Enisa, la cultura de la ciberseguridad de las organizaciones se refiere a los conocimientos, hábitos, percepciones, actitudes, normas y valores de las personas en relación con la seguridad cibernética y la forma en que se manifiestan en el comportamiento de las personas con las tecnologías de la información. Hasta ahora, las empresas y organizaciones habían dirigido sus acciones y esfuerzos a la concienciación en seguridad; sin embargo, esta se ha quedado atrás en cuanto las necesidades de seguridad que reclama la realidad actual de riesgos y amenazas.

Dónde encontrar mayores niveles de cultura de ciberseguridad
El informe destaca que las compañías que disponen de un mayor nivel de cultura en ciberseguridad son aquellas con más de 10.000 empleados -debido a que cuentan con una mayor cantidad de recursos y mayor grado de exposición a los riesgos y amenazas derivados del factor humano-; con un mayor nivel de ingresos (más de 5.000 millones de euros) -tanto por el control del cumplimiento de la legislación, los estándares en los que se certifican, como por los procesos internos seguramente más estrictos-, así como aquellas ubicadas tanto en Cataluña como en Madrid.
Actualmente, alrededor del 95% de los ciberataques que sufren las empresas tienen su origen en el factor humano, ya sea por desconocimiento o por error. Una cultura de ciberseguridad en las empresas ayuda a hacer entender que las recomendaciones de seguridad de la información son una parte integral del trabajo, los hábitos y la conducta de los empleados, incorporándolas en sus acciones diarias. El documento sostiene que adoptar el enfoque correcto para la seguridad de la información permite que una cultura de ciberseguridad se desarrolle naturalmente a partir de los comportamientos y actitudes de los empleados y como parte de la cultura organizacional más amplia de una empresa.

Cuatro ámbitos de análisis
El informe analiza el nivel actual de las organizaciones sobre la base de cuatro campos: Estrategia, Conocimiento, Comportamiento, y Perspectiva futura. En cuanto a la Estrategia, el documento sostiene que el 42% de las organizaciones ya dispone de un rol o un comité ligado a la formación y la capacitación en seguridad de las compañías, mientras que el 48% de las organizaciones tiene un rol o un comité ligado a la concienciación en seguridad. Sin embargo, el 60% no considera la seguridad como uno de sus valores, o bien no lo refleja claramente en sus políticas o prácticas generales.
Respecto al Conocimiento, el análisis concluye que, en general, las compañías ofrecen formación en ciberseguridad a los empleados, así como ejercicios de simulación de ataques, especialmente phishing. Sin embargo, solo el 9% de las organizaciones disponen de un procedimiento para medir el conocimiento de los profesionales de ciberseguridad, lo que dificulta el establecimiento de planes de formación adecuados a la organización y sus diferentes colectivos.
Por su parte, en referencia al Comportamiento, el estudio sostiene que el 84% de las organizaciones no es capaz de medir, o no puede medir de forma homogénea, el nivel de concienciación de los empleados, y que el 70% tampoco miden el éxito de las campañas de concienciación que realizan. Asimismo, el informe indica que el presupuesto medio aplicado a formación y concienciación se corresponde con un 9% del presupuesto en Seguridad de la Información de la compañía, y añade que el 64% de las organizaciones considera que el presupuesto aplicado en Formación y Concienciación es escaso respecto a la importancia del área.
Finalmente, en relación con la Perspectiva futura, el informe subraya la creciente importancia del factor humano para conseguir una correcta ciberseguridad de las compañías. Así, el 93% de los encuestados considera que la concienciación de los empleados es una medida relevante o muy relevante, y el 95% de las compañías ya disponen, tienen planificado generar o están considerando generar un Plan de Concienciación para empleados.
Según Jesús Romero, socio responsable de Business Security Solutions de PwC España, “la formación y concienciación en ciberseguridad es un ámbito en el que muchas compañías todavía no han puesto el suficiente foco. Es recomendable aumentar la prioridad de estas acciones entre los empleados, ya que muchos de los incidentes que se producen en la actualidad logran un alto impacto debido a la falta de cultura de ciberseguridad. En general, dedicar más recursos a esta materia genera un retorno para las empresas -en términos de gestión del riesgo tecnológico- muy relevante, con independencia de su tamaño o del sector al que pertenezcan”.

Introducción a la cultura de ciberseguridad

Qué es la cultura en ciberseguridad
De acuerdo con instituciones de referencia en el ámbito de la ciberseguridad como Enisa, la cultura de la seguridad de las organizaciones se refiere a los conocimientos, hábitos, percepciones, actitudes, normas y valores de las personas en relación con la seguridad cibernética y la forma en que se manifiestan en el comportamiento de las personas con las tecnologías de la información.
Hasta ahora, las empresas y organizaciones habían dirigido sus acciones y esfuerzos a la concienciación en seguridad. PwC España considera que la concienciación se ha quedado atrás en cuanto las necesidades de seguridad que reclama la realidad actual de riesgos y amenazas. Es por ello por lo que cree que las empresas deben repensar la manera en la que se integra la seguridad desde el punto de vista humano y apostar por la creación, desarrollo e integración de una cultura de ciberseguridad.
La ciberseguridad se compone de tecnología, procesos y personas. Estos tres pilares son interdependientes. Es decir, las tecnologías no pueden proteger a las organizaciones si no se integran y utilizan correctamente o si los empleados no conocen los procesos. Las medidas técnicas de seguridad cibernética deben funcionar en armonía con los procesos empresariales y las personas.
Es por ello por lo que las personas son una pieza clave de la estrategia de ciberseguridad. En este contexto, el desarrollo de una cultura de ciberseguridad es esencial para reducir los riesgos y ciberamenazas.

Para poder ver el contenido completo tienes que estar suscrito. El contenido completo para suscriptores incluye informes y artículos en profundidad

Inicia sesión Suscríbete

Te recomendamos

La nueva cadena portacables para cajones de igus permite ahorrar hasta un 30% en costes

La nueva cadena portacables para cajones de igus permite ahorrar hasta un 30% en costes

25/03/2024 Noticias Metal

Leer más sobreHaimer un socio de confianza en producción

Revamping & Retrofitting, nueva área de BI-MU bajo criterios de circularidad y sostenibilidad

Revamping & Retrofitting, nueva área de BI-MU bajo criterios de circularidad y sostenibilidad

25/03/2024 Noticias Metal

Leer más sobreHaimer un socio de confianza en producción

Los proveedores españoles de automoción exportaron por valor de 25.186 millones euros

Los proveedores españoles de automoción exportaron por valor de 25.186 millones euros

25/03/2024 Noticias Metal

Leer más sobreHaimer un socio de confianza en producción

Revista

IMHE Marzo 2024 Automatización y robótica, Mercados Energía

Ver la revista

Lo más leído

José Manuel Orcasitas, nuevo Presidente de Cidetec

Metal Noticias

Leer más sobre José Manuel Orcasitas, nuevo Presidente de Cidetec

Innovalia Metrology presentará en Metromeet metrología para una fabricación de cero defectos

Metal Noticias

Leer más sobre Innovalia Metrology presentará en Metromeet metrología para una fabricación de cero defectos

Metrol Springs, nueva incorporación a la familia de normalizados de Daunert

Metal Noticias

Leer más sobre Metrol Springs, nueva incorporación a la familia de normalizados de Daunert

Bystronic y Kurago se convierten en socios en la innovación

Metal Noticias

Leer más sobre Bystronic y Kurago se convierten en socios en la innovación

Diez meses antes del debut de BIMU, ya hay más de 460 empresas expositoras

Metal Noticias

Leer más sobre Diez meses antes del debut de BIMU, ya hay más de 460 empresas expositoras

Customización de cookies

Cookies Analytics

Este sitio web utiliza cookies de terceros para cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos por medio de la cookie Google Anlytics

Cookies para compartir en redes sociales

Usamos algunos complementos para compartir en redes sociales, para permitirle compartir ciertas páginas de nuestro sitio web en las redes sociales. Estos complementos colocan cookies para que pueda ver correctamente cuántas veces se ha compartido una página.