La cultura de la ciberseguridad, una gran carencia en las empresas españolas según un informe de PwC España
El 86 % de las compañías españolas carecen de una cultura de ciberseguridad entre los empleados, ese es el demoledor y principal dato que arroja el último informe del estado de cultura de ciberseguridad en el entorno empresarial elaborado por la firma de consultoría PwC España.
El área de Cyber Risk Culture de esta compañía ha presentado este martes los resultados de este estudio realizado en una cincuentena de organizaciones del ámbito nacional a través de entrevistas a expertos, así como encuestas a responsables de ciberseguridad e investigación.
El objetivo es analizar el nivel de cultura medio de ciberseguridad que existe en las empresas españolas desde diferentes perspectivas.
La ciberseguridad en el entorno empresarial, un problema presente y futuro
La seguridad informática en el entorno empresarial es un asunto capital. Un problema de primer orden si se quieren evitar ataques. Desde datos bancarios a información confidencial, pasando por sistemas internos o simples datos personales pueden ser los objetivos de los cibercriminales tanto en empresas grandes como en pequeñas. Los ataques, decía el CNI hace un año, provienen sobre todo de Rusia, Irán, China y Corea del Norte.
Por si fuese poco, la pandemia ha acelerado la transformación digital en muchas empresas, ha potenciado la adopción del teletrabajo y ha incrementado todavía más los ataques. Por eso, quizás más que nunca, la ciberseguridad importa. También en el ámbito empresarial.
Informe del estado de cultura de ciberseguridad en el entorno empresarial de PwC sitúa el nivel de cultura medio de ciberseguridad que existe actualmente en las empresas en España en un 2,8 sobre un rango de valores de 1 a 5.
Eso, explican, implica que "existe un margen de mejora importante en la cultura de ciberseguridad actual". Es decir, una mejora en los conocimientos, hábitos, percepciones, actitudes, normas y valores de las personas, en este caso trabajadoras, en relación con la seguridad informática. También forma parte de esta cultura la forma en que se manifiestan estos valores en el comportamiento que las personas tienen con las TIC.
Y esto es importante porque se estima que el 95 % de los ciberataques que sufren las empresas tienen su origen en el factor humano.
El trabajo de la consultora analiza la situación en base a estrategia, conocimiento, comportamiento y perspectiva futura. En el primer campo, destaca que el 60 % de las organizaciones no considera que la seguridad forma parte de sus valores.
En cuanto a conocimiento, un exiguo 9 % de las empresas analizadas disponen de un procedimiento para medir el conocimiento de los profesionales de ciberseguridad. En el campo del comportamiento, resulta llamativo que el 84 % de las organizaciones no es capaz de medir, o no puede medir de forma homogénea, el nivel de concienciación de los empleados y el 64 % de las empresas considera que el presupuesto aplicado en Formación y Concienciación es escaso respecto a la importancia del área. Ahora, según el estudio de PwC, el presupuesto medio aplicado a formación y concienciación se corresponde con un 9 % del presupuesto en Seguridad de la Información de la compañía.
No obstante, encontramos datos para el optimismo, dado que en el ámbito de la perspectiva futura, el informe concluye que el 93 % de los encuestados considera que la concienciación de los empleados es una medida relevante o muy relevante y el 95 % de las empresa disponen, tienen planificado o están considerando un plan de concienciación para empleados.
El informe destaca el mayor nivel de cultura de ciberseguridad se encuentra en las empresas más grandes, con más de 10.000 empleados, dado que cuentan con mayores recursos, una exposición mayor y un mayor riesgo, así como en las que tienen un mayor nivel de ingresos (más de 5.000 millones de euros) y aquellas ubicadas en Cataluña y Madrid.
"Una cultura de ciberseguridad en las empresas ayuda a hacer entender que las recomendaciones de seguridad de la información son una parte integral del trabajo, los hábitos y la conducta de los empleados, incorporándolas en sus acciones diarias", destacan los responsables del informe.
