Así se desprende del ‘Informe del estado de cultura de ciberseguridad en el entorno empresarial’, elaborado por la consultora PwC a partir de entrevistas a expertos, responsables de ciberseguridad y directivos empresariales.

El estudio puntúa el nivel de conciencia sobre ciberseguridad en las empresas españolas con una nota de 2,8 sobre un rango de valores de 1 a 5, lo que significa que “el sector empresarial español está en proceso de tomar conciencia de la necesidad de establecer un plan de cultura, capacitación y concienciación en ciberseguridad”, señalan los autores del informe.

De acuerdo con instituciones de referencia en el ámbito de la ciberseguridad como la empresa pública Enisa (Empresa Nacional de Innovación), la cultura de la ciberseguridad de las organizaciones se refiere a los conocimientos, hábitos, percepciones, actitudes, normas y valores de las personas en relación con la seguridad cibernética y la forma en que se manifiestan en el comportamiento de las personas con las tecnologías de la información. Hasta ahora las empresas y organizaciones habían dirigido sus acciones y esfuerzos a la concienciación en seguridad; sin embargo, ésta se ha quedado atrás en cuanto las necesidades de seguridad que reclama la realidad actual de riesgos y amenazas.

GRANDES CORPORACIONES

El informe destaca que las compañías que disponen de un mayor nivel de cultura en ciberseguridad son aquellas con más de 10.000 empleados, debido a que cuentan con una mayor cantidad de recursos y mayor grado de exposición a los riesgos y amenazas derivados del factor humano, y las que tienen un mayor nivel de ingresos (más de 5.000 millones de euros).

Por regiones, las más ‘concienciadas’ son las empresas ubicadas tanto en Cataluña como en Madrid.

El 60% de las organizaciones no considera la seguridad como uno de sus valores, o bien no lo refleja claramente en sus políticas o prácticas generales.

Respecto al conocimiento, el análisis concluye que, en general, las compañías ofrecen formación en ciberseguridad a los empleados, así como ejercicios de simulación de ataques, especialmente 'phishing'. Sin embargo, solo el 9% de las organizaciones disponen de un procedimiento para medir el conocimiento de los profesionales de ciberseguridad, lo que dificulta el establecimiento de planes de formación adecuados a la organización y sus diferentes colectivos.

El informe indica que el presupuesto medio aplicado a formación y concienciación se corresponde con un 9% del presupuesto en Seguridad de la Información de la Compañía; y añade que el 64% de las organizaciones considera que el presupuesto aplicado en Formación y Concienciación es escaso respecto a la importancia del área.

Finalmente, en relación con la perspectiva futura, el informe subraya la creciente importancia del factor humano para conseguir una correcta ciberseguridad de las compañías. Así, el 93% de los encuestados considera que la concienciación de los empleados es una medida relevante o muy relevante; y el 95% de las compañías ya disponen, tienen planificado generar o están considerando generar un plan de concienciación para empleados.

Para Jesús Romero, socio responsable de Business Security Solutions de PwC España, "la formación y concienciación en ciberseguridad es un ámbito en el que muchas compañías todavía no han puesto el suficiente foco. Es recomendable aumentar la prioridad de estas acciones entre los empleados, ya que muchos de los incidentes que se producen en la actualidad logran un alto impacto debido a la falta de cultura de ciberseguridad. En general, dedicar más recursos a esta materia genera un retorno para las empresas -en términos de gestión del riesgo tecnológico- muy relevante, con independencia de su tamaño o del sector al que pertenezcan”.