Las empresas españolas tienen poca cultura en ciberseguridad. Es la principal conclusión que desprende un reciente informe elaborado por el área de Cyber Risk Culture (CRC) de PwC España. Un 86% de las organizaciones nacionales consultadas –50 en concreto– consideran que sus empleados no tienen la formación suficiente en este ámbito. Traducido en cifras, el estudio los sitúa en un 2,8 sobre un rango de valores de 1 a 5, lo que implica que existe un margen de mejora importante.
"Las empresas, y ahora aún más, tienen muchas preocupaciones. Lamentablemente la ciberseguridad no está entre sus prioridades y eso se puede convertir en un problema", ha explicado Guillermo Rodríguez, director de Cyber Risk Culture en PwC España, en una sesión online en colaboración con ESIC. Aunque no todo está perdido. Según el informe, el sector empresarial español está en proceso de tomar conciencia de la necesidad de establecer un plan de cultura, capacitación y concienciación en ciberseguridad.
Hasta ahora las empresas y organizaciones habían dirigido sus acciones y esfuerzos a la concienciación en seguridad. Sin embargo, ésta se ha quedado atrás en cuanto las necesidades de seguridad que reclama la realidad actual de riesgos y amenazas. "Es importante cambiar el comportamiento de nuestros usuarios. Podemos repetir muchas veces el mensaje de no usar las mismas contraseñas siempre, pero para que el usuario haga caso hace falta generar motivación. Se trata de transmitir la importancia que tiene la seguridad en la red", ha afirmado Rodríguez.
[Te puede interesar: Las empresas, blanco creciente de la ciberdelincuencia]
El informe destaca que las compañías que disponen de un mayor nivel de cultura en ciberseguridad son aquellas con más de 10.000 empleados. Las razones no son nuevas: cuentan con una mayor cantidad de recursos y mayor grado de exposición a los riesgos y amenazas derivados del factor humano.
Teniendo en cuenta que el tejido empresarial español se caracteriza por el predominio de pymes (más del 94 % de las empresas españolas lo son), el reto es si cabe mayor, ya que, como ha expuesto Rodríguez, "no invertir en ciberseguridad en los próximos años, o bien por falta de presupuesto o por desconocimiento, acarreará graves consecuencias".
Por otro lado, alrededor del 95 % de los ciberataques que sufren las empresas tienen su origen en el factor humano, ya sea por desconocimiento o por error. "Una cultura de ciberseguridad en las empresas ayuda a hacer entender que las recomendaciones de seguridad de la información son una parte integral del trabajo, los hábitos y la conducta de los empleados, incorporándolas en sus acciones diarias", detalla el informe.
El documento sostiene que adoptar el enfoque correcto para la seguridad de la información permite que una cultura de ciberseguridad se desarrolle naturalmente a partir de los comportamientos y actitudes de los empleados, y como parte de la cultura organizacional más amplia de una empresa.
"Ninguna de las compañías que hemos entrevistado para elaborar el informe tiene como valor formal la ciberseguridad. Tienen la sostenibilidad, la transparencia, la integridad... Pero no hablan de seguridad. Esto a la larga puede provocar ataques, ya que los ciberdelincuentes son expertos en aprovechar las debilidades", argumenta el responsable, que ha aprovechado la sesión para hacer un llamamiento. "Hay que concienciar a las altas direcciones de las empresas para que comprendan la importancia de estar protegidos en la red. Esto se conseguirá incorporándoles en las diferentes iniciativas y que no sean ajenos al problema".
