El 86 % de las compañías españolas carecen de una cultura de ciberseguridad entre los empleados, ese es el demoledor y principal dato que arroja el último informe del estado de cultura de ciberseguridad en el entorno empresarial elaborado por la firma de consultoría PwC España.
El área de Cyber Risk Culture de esta compañía ha presentado este martes los resultados de este estudio realizado en una cincuentena de organizaciones del ámbito nacional a través de entrevistas a expertos, así como encuestas a responsables de ciberseguridad e investigación.
El objetivo es analizar el nivel de cultura medio de ciberseguridad que existe en las empresas españolas desde diferentes perspectivas.
La ciberseguridad en el entorno empresarial, un problema presente y futuro

La seguridad informática en el entorno empresarial es un asunto capital. Un problema de primer orden si se quieren evitar ataques. Desde datos bancarios a información confidencial, pasando por sistemas internos o simples datos personales pueden ser los objetivos de los cibercriminales tanto en empresas grandes como en pequeñas. Los ataques, decía el CNI hace un año, provienen sobre todo de Rusia, Irán, China y Corea del Norte.
Por si fuese poco, la pandemia ha acelerado la transformación digital en muchas empresas, ha potenciado la adopción del teletrabajo y ha incrementado todavía más los ataques. Por eso, quizás más que nunca, la ciberseguridad importa. También en el ámbito empresarial.

Informe del estado de cultura de ciberseguridad en el entorno empresarial de PwC sitúa el nivel de cultura medio de ciberseguridad que existe actualmente en las empresas en España en un 2,8 sobre un rango de valores de 1 a 5.
Eso, explican, implica que "existe un margen de mejora importante en la cultura de ciberseguridad actual". Es decir, una mejora en los conocimientos, hábitos, percepciones, actitudes, normas y valores de las personas, en este caso trabajadoras, en relación con la seguridad informática. También forma parte de esta cultura la forma en que se manifiestan estos valores en el comportamiento que las personas tienen con las TIC.
Y esto es importante porque se estima que el 95 % de los ciberataques que sufren las empresas tienen su origen en el factor humano.

El trabajo de la consultora analiza la situación en base a estrategia, conocimiento, comportamiento y perspectiva futura. En el primer campo, destaca que el 60 % de las organizaciones no considera que la seguridad forma parte de sus valores.
En cuanto a conocimiento, un exiguo 9 % de las empresas analizadas disponen de un procedimiento para medir el conocimiento de los profesionales de ciberseguridad. En el campo del comportamiento, resulta llamativo que el 84 % de las organizaciones no es capaz de medir, o no puede medir de forma homogénea, el nivel de concienciación de los empleados y el 64 % de las empresas considera que el presupuesto aplicado en Formación y Concienciación es escaso respecto a la importancia del área. Ahora, según el estudio de PwC, el presupuesto medio aplicado a formación y concienciación se corresponde con un 9 % del presupuesto en Seguridad de la Información de la compañía.
No obstante, encontramos datos para el optimismo, dado que en el ámbito de la perspectiva futura, el informe concluye que el 93 % de los encuestados considera que la concienciación de los empleados es una medida relevante o muy relevante y el 95 % de las empresa disponen, tienen planificado o están considerando un plan de concienciación para empleados.
El informe destaca el mayor nivel de cultura de ciberseguridad se encuentra en las empresas más grandes, con más de 10.000 empleados, dado que cuentan con mayores recursos, una exposición mayor y un mayor riesgo, así como en las que tienen un mayor nivel de ingresos (más de 5.000 millones de euros) y aquellas ubicadas en Cataluña y Madrid.
"Una cultura de ciberseguridad en las empresas ayuda a hacer entender que las recomendaciones de seguridad de la información son una parte integral del trabajo, los hábitos y la conducta de los empleados, incorporándolas en sus acciones diarias", destacan los responsables del informe.
Ver 2 comentarios
2 comentarios
iagodiaz uribe
Trabajo como analista en ciberseguridad y soy consciente de que cada vez que proponemos una solución que refuerza nuestro ámbito genera incomodidad en todos los usuarios afectados.
De todas formas muchas de las veces que se toman esas medidas suele ser para pasar las auditorías de certificaciones como la ISO 27000, más que por que realmente se considere práctico o tan siquiera efectivo.
Dicho esto, hay soluciones para reforzar el acceso a servicios que no requieren cambiar contraseñas cada 2x3, como la autenticación de doble factor. Muchas aplicaciones o servicios en la nube ya disponen de ello, o incluso Cisco Systems ofrece Cisco DUO, que se puede integrar prácticamente CON TODO.
Incluso puedes crear un sistema SSO (Single sign-on) que te permita metiendo la contraseña una única vez y validándolo con el móvil por ejemplo, acceder a todos los servicios, aplicaciones y servidores de tu empresa durante una jornada entera (o hasta que bloquees el equipo que usas).
Todo es ponerse, las soluciones en ciberseguridad van mejorando en este aspecto, pero hace falta que las empresas quieran invertir en ello.
Usuario desactivado
Habiendo trabajado ya en alguna de estas grandes consultoras, tengo el profundo convencimiento de que ellas son parte del problema. No digo que no haya usuarios que sean para darles de comer a parte, y que parte de las políticas vayan dirigidas a estos patanes, pero su obsesión por seguir protocolos sin cuestionar sus consecuencias es, a menudo, contraproducente.
* Me obligan a cambiar de contraseña una vez al mes. Como norma general uso un gestor de contraseñas para todas mis cuentas menos importantes, y hago un esfuerzo por recordar las 3 o 4 contraseñas más importantes, aquellas que no quiero que, en caso de fuga en mi gestor de contraseñas, sean reveladas de ningún modo. La de mi correo, la del banco, alguna red social y poco más. En una situación normal incluiría la de mi trabajo en esta lista, pero si me obligan a generar una nueva mensualmente, no puedo. No puedo pensar y recordar mensualmente una contraseña nueva, no es razonable que lo pretendan y eso me conduce a tomar malas prácticas. En el mejor de los casos usaré el gestor de contraseñas para el trabajo también, en el peor, el usuario creará contraseñas fáciles de recordar y también de adivinar. Como anécdota, en un intento por "vencer al sistema", viendo que no me dejaba usar ninguna de mis 20 últimas contraseñas, me pasé casi una hora cambiándola, 20 veces, hasta que me permitió volver a poner la antigua. Lo hice dos veces antes de rendirme y usar el gestor.
* Los servicios de almacenamiento están ultracapados. Si un cliente me pide que le envíe un manual de 20Mb, no puedo con los servicios de la empresa. Su OneDrive está a menudo capado para que solo miembros de la organización puedan acceder, y para el cliente está bloqueado. Eso provoca que, a menudo, la gente opte por soluciones "alternativas", poniendo en riesgo los datos.