Las empresas españolas, aprobado raspado en cultura de ciberseguridad
El nivel general de cultura de ciberseguridad en las compañías en España es de 2,8 sobre 5, según un análisis de la consultora PwC presentado este martes. El informe también destaca que el presupuesto medio destinado concienciar y formar en ciberseguridad a sus empleados supone solo un 9% del total destinado a Seguridad de la Información, mientras que solo el 11% de las compañías miden la concienciación de sus trabajadores en este ámbito.
Un 86% de las compañías españolas considera que no existe una cultura de ciberseguridad en su empresa o bien debería de mejorarse, “lo que implica que existe un margen de mejora importante”, afirma el estudio. Las que disponen de un mayor nivel de cultura en ciberseguridad son aquellas con más de 10.000 empleados, debido a que cuentan con una mayor cantidad de recursos y mayor grado de exposición a los riesgos y amenazas derivados del factor humano, así como aquellas con un mayor nivel de ingresos (más de 5.000 millones de euros), detalla el informe.
Las empresas de Catalunya y Madrid también se sitúan por encima de las demás en los resultados. En el primero de los cuatro campos que analiza el informe, la Estrategia, encuentra que el 42% de las organizaciones ya dispone de un rol o un comité ligado a la formación y la capacitación en seguridad de las compañías, mientras que el 48% tiene uno ligado a la concienciación en seguridad. Sin embargo, el 60% no considera la seguridad como uno de sus valores o no lo refleja claramente en sus políticas o prácticas generales.
Respecto al Conocimiento, el análisis concluye que, en general, las compañías ofrecen formación en ciberseguridad a los empleados, así como ejercicios de simulación de ataques, especialmente phishing. Sin embargo, solo el 9% dispone de un procedimiento para medir el conocimiento de los profesionales de ciberseguridad. En cuanto al Comportamiento, el estudio sostiene que el 84% de las organizaciones no es capaz de medir, o no puede medir de forma homogénea, el nivel de concienciación de los empleados, y que el 70% tampoco mide el éxito de las campañas de concienciación que realizan.
El 64% de las organizaciones considera que el presupuesto aplicado a este campo es escaso respecto a la importancia del área. En relación con la Perspectiva futura, el informe apunta que el 93% de los encuestados considera que la concienciación de los empleados es una medida relevante o muy relevante y que el 95% de las compañías ya disponen, tienen planificado generar o están considerando generar un Plan de Concienciación para empleados.
Jesús Romero, de PxC España, ha destacado que la formación y concienciación en ciberseguridad es un ámbito en el que muchas compañías todavía “no han puesto el suficiente foco”, por lo que ha señalado es “recomendable” aumentar la prioridad de estas acciones entre los empleados, ya que muchos de los incidentes que se producen en la actualidad logran un alto impacto debido a la falta de cultura de ciberseguridad. “En general, dedicar más recursos a esta materia genera un retorno para las empresas -en términos de gestión del riesgo tecnológico- muy relevante, con independencia de su tamaño o del sector al que pertenezcan”, ha asegurado.
0