Según el Informe del estado de cultura de ciberseguridad en el entorno empresarial, elaborado por PwC, en España hay poca madurez en la cultura de ciberseguridad. El tejido empresarial está formado en más de un 90% por Pymes, las cuales se encuentran con numerosos obstáculos que les impiden avanzar en el proceso de digitalización. El estudio, que ha sido realizado a 50 empresas en el ámbito nacional a través de encuestas a responsables de investigación y seguridad y entrevistas a expertos, busca dar respuesta al panorama actual en lo que a la ciberseguridad se refiere. La cultura de ciberseguridad se define como los hábitos, conocimientos, normas, actitudes y valores de las personas en relación a la seguridad informática y la forma en la que éstas se comportan con las tecnologías de la información.
Claves para crear una cultura de ciberseguridad
Cuando se hace mención a la seguridad de la información, por lo general se habla de los procesos y las nuevas tecnologías. Sin lugar a dudas, son una pieza muy relevante, pero los auténticos protagonistas de la cultura de la ciberseguridad son los empleados. Son estos quienes utilizan y gestionan los dispositivos tecnológicos de la empresa para la que trabajan, y quienes están en contacto directo con la información, el activo más valioso de las compañías del siglo XXI.
Por lo tanto, la formación es el primer paso para crear una cultura de ciberseguridad sólida y sostenida en el tiempo. Todos los empleados deben tomar conciencia de esta disciplina y aprender a aplicar las herramientas adecuadas para prevenir los ataques informáticos. Cabe señalar que la cultura de ciberseguridad no es algo que se puede implementar con una simple sesión formativa. Se trata de un proceso continuo que requiere de medición y análisis continuos.
Niveles de cultura de ciberseguridad
Existen cinco niveles de cultura de ciberseguridad, cada uno con sus propias características.
- Cultura inexistente: tal y como su propio nombre indica, en la empresa no existe una cultura de ciberseguridad. Los empleados no son conscientes de que alguna de sus acciones puede dar lugar a un ataque informático. Por lo tanto, son potenciales víctimas de fraudes cibernéticos ya que no comprenden las políticas de seguridad de la compañía.
- Cultura inicial: la dirección ha sentado las bases de la concienciación, de forma que existe una cierta cultura de ciberseguridad. Sin embargo, el programa ha sido diseñado principalmente para cumplir con los requisitos de auditoría, los cuales en muchos casos son insuficientes para detener la mayor parte de los ciberataques.
- Cultura en desarrollo: existe una estrategia y un plan de formación digital y concienciación en ciberseguridad para los empleados. La empresa sabe identificar los riesgos y establece un plan de análisis continuado en el tiempo. Los empleados comprenden y siguen las políticas de seguridad establecidas, y son capaces de reconocer, prevenir y reportar los incidentes.
- Cultura avanzada: el programa organizacional cuenta con los recursos, procesos y apoyo de la alta dirección que se necesitan para el ciclo de vida a largo plazo, incluyendo, al menos, una actualización del programa al año. El programa forma parte de la cultura organizacional, y resulta atractivo para los empleados.
- Forma de vida: el programa está plenamente asentado en la compañía, y forma parte del ciclo de mejora continua. Demuestra el retorno de la inversión y los empleados están plenamente concienciados con la ciberseguridad de la empresa.
Panorama de las empresas españolas
El informe analiza el nivel de cultura promedio de ciberseguridad promedio que existe en estos momentos en España desde diferentes puntos de vista, y lo cuantifica en 2,8 puntos sobre un abanico de valores que oscila entre 1 y 5. Por lo tanto, existe un amplio margen de mejora en la cultura de ciberseguridad en las empresas españolas.
Son las compañías grandes, que tienen más de 10.000 empleados, las que cuentan con un mayor nivel de cultura de ciberseguridad. Esto se explica por varios motivos, siendo uno de los más relevantes la mayor cantidad de recursos. Además, estas organizaciones están más expuestas a las amenazas y los riesgos. A esto hay que sumar que pueden destinar más presupuesto a la ciberseguridad.
Desafíos del futuro
Uno de los principales desafíos de futuro al que deben enfrentarse las compañías en el ámbito de la ciberseguridad es el espionaje, entre otros ciberataques que existen. Afectará en mayor medida a los sectores de alta tecnología y, según la previsión de los expertos, en la próxima década podría tener lugar una guerra estratégica con gobiernos y empresas implicados.
Los ataques a la cadena de suministro también serán cada vez más comunes. El principal reto será prestar mayor atención a la seguridad de los proveedores y garantizar una adecuada higiene de seguridad. La tecnología 5G también provocará más vulnerabilidades por el incremento de la superficie de exposición.