Sólo el 11% de las compañías españolas mide la concienciación de los empleados en ciberseguridad

Sólo el 11% de las compañías españolas mide la concienciación de los empleados en ciberseguridad

PwC ha publicado su ‘Informe del estado de cultura de ciberseguridad en el entorno empresarial’, realizado a partir de entrevistas a expertos, encuestas a responsables de ciberseguridad e investigación de 50 organizaciones españolas.

 

Para PwC el proceso de madurez en cultura de seguridad es el siguiente:

  1. Cultura inexistente: No existe una cultura en ciberseguridad dentro de la empresa. Los empleados no son conscientes de que son objetivo de ciberataques ni de que sus acciones tienen un impacto directo en la seguridad de la organización. Son potenciales víctimas de fraudes cibernéticos y representan un vector de entrada real de ciberataques. No conocen ni entienden las políticas de seguridad de la organización.
  2. Cultura inicial: Existe una cierta cultura de ciberseguridad donde se ha realizado un primer acercamiento a la concienciación. Se han realizado acciones aisladas de formación y concienciación, pero el programa está diseñado principalmente para cumplir con los requisitos específicos de cumplimiento o auditoría. La capacitación se limita a una base anual o ad hoc. Los empleados no están seguros de las políticas de seguridad de la organización y/o su papel en la protección de los activos de información de su organización.
  3. Cultura en desarrollo: Hay un plan y una estrategia de concienciación y capacitación en seguridad en los que se identifican grupos y temáticas específicas. La organización sabe identificar los temas con mayor necesidad e impacto para el objetivo de seguridad y se centra en estos elementos clave. El programa de formación va más allá de la formación anual e incluye refuerzo a lo largo de año. El contenido se comunica, o al menos se pretende comunicar, de una manera atractiva y positiva que fomenta el cambio de comportamiento en el trabajo y en el hogar. Como resultado, la gente entiende y sigue las políticas de seguridad de la organización y reconoce, previene y reporta activamente los incidentes de seguridad.
  4. Cultura avanzada: El programa cuenta con los procesos, recursos y apoyo de la Alta Dirección necesarios para un ciclo de vida a largo plazo, incluyendo (como mínimo) una revisión y actualización anual del programa. Como resultado, el programa es una parte establecida de la cultura de la organización y es actual y atractivo. El programa ha ido más allá de cambiar el comportamiento y está cambiando las creencias, actitudes y percepciones de seguridad de las personas.
  5. Forma de vida: El programa tiene un marco robusto de métricas alineado con la misión de la organización de hacer seguimiento del progreso y medir el impacto. Como resultado, el programa está mejorando continuamente y es capaz de demostrar el retorno de la inversión. Esta etapa no implica que las métricas no sean parte de cada etapa (que lo son). Esta etapa refuerza que, para tener un programa verdaderamente maduro, se deben tener métricas para demostrar el éxito. Esta etapa del programa tampoco significa que la organización esté exenta de los riesgos y amenazas que comportan la seguridad y el componente humano, sino que es consciente del mismo y trabaja de forma activa y proactiva en reducir estos riesgos a través de un plan estratégico que es considerado vital en la organización. Es decir, se trabaja la seguridad de la empresa desde el punto de vista humano de forma constante teniendo en cuenta todas las consideraciones anteriores para hacer de la seguridad su forma de vida.

 

El nivel de cultura de ciberseguridad en las compañías de España es de 2,8 sobre un rango de valores de 1 a 5, por lo que se encuentra en la segunda fase de la clasificación de madurez que hemos visto antes (Cultura inicial). Por tanto el sector empresarial español está todavía en proceso de tomar conciencia de la necesidad de establecer un plan de cultura, capacitación y concienciación en ciberseguridad. En el estudio se indica que la cultura necesita empatía y motivación, ya que el 86% de las compañías considera que no existe una cultura de ciberseguridad en la organización o bien ésta debería mejorarse. Además, sólo 11% de las empresas mide la concienciación de los empleados en ciberseguridad.

 

Jesús Romero, socio responsable de Business Security Solutions de PwC España, comenta: «La formación y concienciación en ciberseguridad es un ámbito en el que muchas compañías todavía no han puesto el suficiente foco. Es recomendable aumentar la prioridad de estas acciones entre los empleados, ya que muchos de los incidentes que se producen en la actualidad logran un alto impacto debido a la falta de cultura de ciberseguridad. En general, dedicar más recursos a esta materia genera un retorno para las empresas -en términos de gestión del riesgo tecnológico- muy relevante, con independencia de su tamaño o del sector al que pertenezcan”.

 

 

Comentarios

Déjanos un comentario o cuéntanos algo.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *