El trabajador español no tiene cultura de ciberseguridad
- Vídeos
El nivel de cultura de ciberseguridad en las compañías en España es de 2,8 sobre 5. El presupuesto medio destinado a formar supone sólo un 9% del total de la Seguridad de la Información. Únicamente el 11% de las empresas mide la concienciación de sus empleados.
|
Recomendados: 2021, ¿el año de la ciberdefensa? Webinar Cambio de enfoque en el departamento de TI para mejorar la seguridad de la empresa Leer Stormshield Endpoint Security Leer |
Un 86% de las compañías españolas considera que no tiene la suficiente cultura de ciberseguridad, según un estudio PwC España realizado a 50 organizaciones en el ámbito nacional. El informe sitúa la media en 2,8 sobre un rango de 1 a 5, lo que implica que existe un margen de mejora importante, por lo que el sector empresarial está todavía en proceso de tomar conciencia de la necesidad de establecer un plan de capacitación y concienciación.
Actualmente, alrededor del 95% de los ciberataques que sufren las compañías tiene su origen en el factor humano, ya sea por desconocimiento o por error. Una cultura en seguridad apropiada ayuda a mejorar este porcentaje, pues explica las recomendaciones de los profesionales, lo que redunda en una mejora de los hábitos y la conducta de los empleados. El documento también sostiene que adoptar un enfoque correcto a la hora de transmitir conocimientos permite que la citada cultura empresarial se desarrolle de forma mucho más natural.
Cuatro ámbitos de análisis
El texto analiza el nivel actual de las organizaciones en base a cuatro campos: Estrategia, Conocimiento, Comportamiento y Perspectiva futura.
Estrategia: El 42% de los encuestados ya dispone de un rol o un comité ligado a la formación y la capacitación en seguridad de las empresas, mientras que el 48% tiene un rol o un comité ligado a la concienciación en seguridad. Sin embargo, el 60% no considera la securización como un valor importante, o bien no lo refleja claramente en sus políticas o prácticas generales.
Conocimiento: En general, las compañías ofrecen formación a los trabajadores, así como ejercicios de simulación de ataques, especialmente phishing. Sin embargo, sólo el 9% dispone de un procedimiento para medir el conocimiento de los profesionales de ciberseguridad, lo que dificulta el establecimiento de planes de formación adecuados.
Comportamiento: El 84% de las organizaciones no es capaz de estimar (o no puede hacerlo de forma homogénea) el nivel de concienciación de los empleados. El 70% tampoco mide el éxito de las campañas de concienciación que realizan. Asimismo, el estudio indica que el presupuesto medio aplicado a formación y concienciación se corresponde con un 9% del dinero destinado a la Seguridad de la Información de la Compañía, y añade que el 64% de las cuestionados afirma que el presupuesto aplicado en Formación y Concienciación es escaso respecto a la importancia del área.
Perspectiva futura: El informe subraya la creciente relevancia del factor humano para conseguir una correcta ciberseguridad de los negocios. Así, el 93% de los encuestados considera que la concienciación de los trabajadores es una medida significativa o muy significativa. Además, el 95% de las compañías ya dispone, tiene planificado o está considerando generar un Plan de Concienciación para empleados.
