La ciberseguridad es unas de las principales amenazas a las que se enfrentan las empresas desde hace ya algunos años. Sin embargo, la situación provocada por la COVID-19 y el incremento del teletrabajo ha puesto de manifiesto la necesidad de actuar de forma inmediata ante este problema que puede comprometer la privacidad y el buen funcionamiento de las compañías. Tal y como comentábamos en este artículo, el 62% de las empresas asegura haber sufrido más ciberataques desde el inicio de la pandemia, según un informe de Deloitte. De la misma manera, dicho estudio revela que los presupuestos en ciberseguridad se han recortado una media del 57%.
En este sentido, PwC ha publicado su ‘Informe del estado de cultura de ciberseguridad en el entorno empresarial 2020’, que viene a corroborar que el escenario actual en España es preocupante. El estudio, realizado a partir de una amplia encuesta a medio centenar de compañías de distintos sectores, tamaños e ingresos, revela que el nivel de cultura de ciberseguridad de las empresas españolas es de 2,8 sobre un total de 5 puntos.
Triple perspectiva: Estrategia, Conocimiento y Comportamiento
Antes de nada, es necesario aclarar qué es la cultura de ciberseguridad. Según la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), este concepto se refiere a los conocimientos, hábitos, percepciones, actitudes, normas y valores de las personas en relación con la seguridad cibernética y la forma en que se manifiestan en el comportamiento de las personas con las tecnologías de la información.
El informe de PwC se ha centrado en tres ámbitos distintos para un análisis más detallado: Estrategia, Conocimiento y Comportamiento. El primero tiene que ver con el apoyo a la cultura de la ciberseguridad por parte de la Dirección, con la madurez en la gestión de los procesos de formación, concienciación y resiliencia. El segundo se refiere a los recursos formativos que una empresa pone a disposición de sus empleados. El tercer ámbito engloba los aspectos relacionados con el comportamiento de la organización sobre actores externos, como clientes, accionistas o proveedores, el comportamiento de los empleados respecto a la seguridad de los activos y las medidas de seguridad implantadas.
Todas las empresas encuestadas se encuentran en el nivel 2 de los 5 posibles en cuanto a nivel de cultura de ciberseguridad: cultura inicial. Por sectores, los más desarrollados son Servicios, Transporte, Turismo y Juego y Energía, con una nota de 2,9. Los que tiene peor puntuación son Retail y consumo, Sanidad y el sector farmacéutico, con 2,3 puntos.
El 86% de las empresas considera que no cuentan con una cultura de ciberseguridad o que esta debe mejorarse
Dentro del marco de Estrategia, el informe de PwC destaca que el 86% de las compañías considera que no existe una cultura de la ciberseguridad en la organización o bien que esta debería de mejorarse. Los principales impedimentos mencionados son la diminución del apoyo de la Alta Dirección, la mala imagen del departamento de seguridad y la reducción del presupuesto. En cuanto a este último aspecto, el 36% de las empresas considera que es muy reducido y el 32% apostaría por incrementar la inversión en este ámbito. Sin embargo, un 32% cree que dispone de un presupuesto adecuado.
Respecto a la crisis provocada por la COVID-19, el 50% de los encuestados valora positivamente la influencia de esta en el desarrollo de la cultura de ciberseguridad, mientras que un 4% de las compañías cree que su impacto ha sido negativo.
Por su parte, el apartado del informe que estudia el Conocimiento arroja algo de luz, al menos en términos de predisposición y planificación. El 55% de las empresas estiman necesario disponer en plantilla de un rol ligado con la formación y la concienciación y el 41% de las compañías ya disponen o están considerando disponer de dicho perfil profesional.
El 32% afirma tener un plan de formación actualmente; por su parte, el 41% lo tiene planificado o lo está considerando y únicamente el 27% no ve necesario un programa de este tipo. En cuanto a los métodos para medir el conocimiento de los especialistas en seguridad, tan solo el 14% de las compañías disponen de ellos. Sin embargo, un 61% tiene planificado o está considerando implementar estos sistemas de medición.
El 93% de las empresas considera necesario un plan de concienciación en ciberseguridad
El último dominio estudiado en el informe de PwC, el del Comportamiento, refleja que la gran mayoría de las empresas, un 93%, considera que la concienciación de los empleados en materia de ciberseguridad es una medida relevante o muy relevante y el 55% percibe que se infravalora este aspecto en las compañías.
Esto se traduce en que el 95% de las organizaciones ya tienen o están planificando un Plan de Concienciación en seguridad para sus empleados, aunque solamente el 11% cuenta con métodos para medir los resultados del mismo.
La Alta Dirección también se incluye dentro de estos planes, por lo que el 27% de las empresas ya ha llevado a cabo iniciativas de concienciación con los altos cargos, mientras que el 68% tiene pensado hacerlo. Además, el 48% de los encuestados asegura estar ya entrenando a sus empleados en la detección de fraudes y amenazas.
¿Por qué es importante la cultura de ciberseguridad?
Actualmente, alrededor del 95% de los ciberataques que sufren las empresas tienen su origen en el factor humano, ya sea por desconocimiento o error, según el informe de PwC. La importancia de la cultura de ciberseguridad reside en que, gracias a ella, las personas pueden actuar como cortafuegos humanos contra los ciberataques y los diversos riesgos y amenazas del día a día.
«Es recomendable aumentar la prioridad de estas acciones entre los empleados, ya que muchos de los incidentes que se producen en la actualidad logran un alto impacto debido a la falta de cultura de ciberseguridad», explica Jesús Romero, socio responsable de Business Security Solutions de PwC España. «En general, dedicar más recursos a esta materia genera un retorno para las empresas –en términos de gestión del riesgo tecnológico– muy relevante, con independencia de su tamaño o del sector al que pertenezcan», añade Romero, poniendo así de manifiesto que la cultura de ciberseguridad es una cuestión vital para las empresas, a la que ya llegan tarde.
Imagen de Pete Linforth en Pixabay.