El 86% de las empresas españolas consideran que no existe o que debería mejorar en materia de cultura de ciberseguridad. Asimismo, señala que el 95% de los ciberataques que sufren las empresas tienen su origen en el factor humano. Precisamente allí radica la importancia de establecer una cultura organizacional que esté a la altura de la seguridad cibernética.
Así lo concluye el «Informe del estado de la cultura de ciberseguridad en el entorno empresarial 2020». Este fue realizado por el área de Cyber Risk Culture de PwC España a 50 organizaciones de diferentes sectores, geografía, ingresos y tamaño del país ibérico, entre los meses de junio y septiembre del mencionado año. Su objetivo es «dar respuesta al paradigma actual» en esta materia, así como proporcionar el nivel de cultura medio que existe actualmente en las empresas españolas desde diferentes perspectivas.
¿Qué es la cultura de la ciberseguridad?
Este estudio entiende a la cultura de ciberseguridad desde la perspectiva de instituciones de este ámbito como ENISA. En ese sentido, este término hace referencia a «los conocimientos, hábitos, percepciones, actitudes, normas y valores de las personas en relación con la seguridad cibernética». Asimismo, alude a «a la forma en que se manifiestan en el comportamiento de las personas con las tecnologías de la información».
La ciberseguridad debe involucrar a todas las partes dentro y fuera de una organización. En ese orden, recae sobre tres pilares: las personas, la tecnología y los procesos empresariales. Estos son interdependientes, por eso, para que la seguridad cibernética exista debe haber armonía entre estas tres variables. Si una de ellas falla, abre espacio a que se materialicen riesgos y amenazas.
¿Cuál es la importancia de la ciberseguridad en las empresas?
Como consecuencia de la transformación digital, cada vez más procesos de las organizaciones han migrado al ciberespacio, lo que hace cada vez más factible la posibilidad de sufrir ciberataques. Este tipo de amenazas ponen en riesgo la información de la empresa, así como de proveedores y clientes.
En ese sentido, garantizar la seguridad cibernética de una organización recae más bien en el desarrollo de buenas prácticas sencillas, como proteger las contraseñas, y no en soluciones complejas. Por eso, se dice que es un proceso que involucra a todas las partes de la organización y que no es exclusivo de los departamentos de seguridad.
Invertir en ciberseguridad, formación y concienciación
En cuestión de presupuesto, el estudio de PwC afirma que, el sector financiero, junto con el de infraestructura, logística y manufacturing, destacan frente a otros sectores económicos al disponer, en general, de un presupuesto destinado a la formación y concienciación. De igual forma, por el aumento material de estos en años anteriores.
En general, el 90% de las empresas señaló que su presupuesto en seguridad ha crecido en los últimos años. Sin embargo, el 50% de las compañías encuestadas no dispone de presupuesto específico o diferenciado para formación en seguridad. Mientras que un 75% de ellas sí que dispone de presupuesto específico para concienciación en seguridad.
Más allá del presupuesto
El presupuesto no lo es todo. Cerca del 95% de los ciberataques que sufren las empresas tienen su origen en el factor humano, ya sea por desconocimiento o error, apunta el estudio. Al respecto, Rosa Kariger, Chief Information Security Officer de Iberdrola, aboga por la importancia de crear una cultura de ciberseguridad en las organizaciones que involucre a todas las personas. Ella plantea
«Montar departamentos de ciberseguridad es como dar una falsa sensación de seguridad. Es como intentar demostrar que nos preocupamos por los ciberataques porque tenemos a una gente concreta trabajando en ello. Todos tenemos que ser partícipes de esto, porque, queramos o no, ciberseguridad y seguridad forman un único concepto»
Kariger también añade que «la ciberseguridad tiene que empezar a formar parte de la toma de decisión de los negocios», siendo los CEOs los primeros en generar esta cultura.
¿Cómo se ve el futuro de la ciberseguridad en las empresas?
De cara al futuro, el informe explica que el 86% de las empresas encuestadas carece de una cultura de ciberseguridad o bien, que esta debería mejorarse. Al respecto, el 36% de las empresas considera que el presupuesto es muy reducido. El 32% que es recomendable mejorar y el 32% restante que el presupuesto actual del que disponen es adecuado.
De esta forma, las empresas creen que las principales «amenazas» a la cultura de ciberseguridad son la reducción del presupuesto, la disminución de la Alta Dirección y la mala imagen del departamento de seguridad.
La Covid-19 también ha impactado en este aspecto a las organizaciones. Sin embargo la mayoría de las empresas señala que esa influencia ha sido positiva. Así lo cree el 50% de los encuestados, mientras que los el 4% considera que el impacto ha sido negativo.
En ese orden, un estudio de la firma Deloitte sobre este mismo ámbito, ha revelado que el 62% de las empresas reconocen haber sufrido más ciberataques desde que inició la pandemia por el coronavirus.
En términos de respuesta a la crisis, solo el 12% de las empresas han entrenado a las personas en la gestión de estos escenarios. Pese a ello, el 70% planea realizar este tipo de entrenamientos de gestión de crisis entre su Alta Dirección, dice el documento.
Asimismo, el 55% de las empresas ve necesario disponer de un rol ligado a la formación y concienciación al interior de la compañía. En ese sentido, el 41% de las organizaciones encuestadas ya dispone de esa persona o está considerando hacerlo.
Palabras finales
La protección de datos se perfila como una de los retos del 2021 para las empresas. Por eso, las personas, uno de los pilares de esta cultura organizacional, deben contar con las herramientas y formación adecuada para tomar decisiones seguras en su día a día. Asimismo, deben ser responsables de sus prácticas.
«Se necesita capacitación, conciencia, promoción y medición constante para construir una cultura de ciberseguridad sólida», zanja el documento de PwC.
A su vez, este detalla que el 93% de las compañías considera que la concienciación de los empleados es una medida relevante o muy relevante. No obstante, también señala que el presupuesto medio aplicado a formación y concienciación corresponde, en promedio, a un 9% del presupuesto en seguridad de la información de la empresa. Quedando así un «largo» camino por recorrer, concluye PwC.
Para la Chief Information Security Officer de Iberdrola es «mejor prevenir que curar». A ello añade que «las grandes empresas tenemos la seguridad física en nuestro ADN. Contamos con infraestructuras sólidas y vigilancia. ¿Por qué no empezamos a hacer lo mismo con la ciberdelincuencia?».
