¿Qué es la cultura de Ciberseguridad?

La Agencia Europea de Seguridad de las Redes y de la Información (en inglés, «European Union Agency for Network and Information Security», ENISA), define la Cultura de la Seguridad de las Organizaciones como el conjunto de conocimientos, hábitos, percepciones, actitudes, normas y valores de las personas en relación con la Ciberseguridad y la forma en que se manifiestan en su comportamiento con las Tecnologías de la Información.

Hasta ahora, las empresas y organizaciones habían dirigido sus acciones y esfuerzos a las medidas técnicas y acciones de concienciación aisladas, pero esto no es suficiente ante la realidad actual. De acuerdo con PwC, alrededor del 95% de los ciberataques que sufren las empresas tienen su origen en el factor humano, ya sea por desconocimiento o error. En este contexto, el desarrollo de una Cultura de Ciberseguridad es esencial para reducir los riesgos y ciberamenazas.

El estado de la cultura empresarial en España

El estudio realizado por PwC España involucró a 50 organizaciones en el ámbito nacional español a través de entrevistas a expertos, encuestas a Responsables de Seguridad e investigación. La finalidad principal es conocer el estado en la Cultura de Ciberseguridad en el entorno empresarial en base a cuatro campos: estrategia, conocimiento, comportamiento, y perspectiva futura.  

Estrategia

Entre el 42% y el 48% de las organizaciones ya dispone de un rol o un comité ligado a la formación o concienciación en seguridad. No obstante, el 60% de las compañías no considera la seguridad como uno de sus valores principales o bien, no lo refleja claramente en sus políticas o prácticas generales.

Conocimiento

Muchas de las compañías ofrecen formación en ciberseguridad a sus empleados, así como ejercicios de simulación de ataques phishing o ransomware. Sin embargo, solo el 9% de las organizaciones disponen de un procedimiento para medir el conocimiento de los profesionales, lo que impide el establecimiento de planes de formación adecuados.

Comportamiento

El 84% de las organizaciones no puede medir el nivel de concienciación de los empleados; y el 70% tampoco mide el éxito de las campañas que realizan.

Por otro lado, el presupuesto medio aplicado a formación y concienciación equivale a un 9% del presupuesto total destinado a la seguridad de la información de la compañía.

Perspectiva futura

El 93% de los encuestados considera que la concienciación de los empleados es una medida muy relevante; y el 95% de las compañías ya disponen o tienen planificado generar un plan de concienciación para empleados.

Las principales conclusiones

De los resultados obtenidos, PwC España concluye que el nivel de Cultura de Ciberseguridad de media en las empresas españolas se sitúa en un 2,8 sobre un rango de valores de 1 a 5. Esto significa que en el sector empresarial español:

• No existe un plan estratégico de cultura y las iniciativas de concienciación se despliegan al azar.
• El programa de concienciación cuenta con un apoyo limitado por parte de la Alta Dirección, y solo se invierten los recursos mínimos para cumplir con las normativas.
• La concienciación en seguridad no ocupa un lugar destacado en la estrategia de la organización.
• De forma generalizada, no existe una persona nombrada responsable de la ejecución y desarrollo de los planes de cultura y concienciación.
• Se realizan formaciones de ciberseguridad de forma aislada, sin un refuerzo constante ni un alcance generalizado.
• Hay poca participación de otros departamentos, como el de recursos humanos, comunicación o formación.

Todo ello implica que el panorama de Cultura en Ciberseguridad actual a nivel empresarial en España es inmaduro, con un alto margen de mejora.