El 86% de las empresas españolas reconoce que no hay una cultura de ciberseguridad entre los empleados o, si existe, debe ser mejorada, según el Informe del estado de cultura de ciberseguridad en el entorno empresarial, elaborado por el área de Cyber Risk Culture de PwC España.

Los resultados del estudio evidencian que «existe un margen de mejora importante en la cultura de ciberseguridad actual». «Esto significa que el sector empresarial español está en proceso de tomar conciencia de la necesidad de establecer un plan de cultura, capacitación y concienciación en ciberseguridad», incide la firma de consultoría.

El informe destaca que las compañías que disponen de un mayor nivel de cultura en ciberseguridad son aquellas con más de 10.000 empleados, debido a que cuentan con una mayor cantidad de recursos y mayor grado de exposición a los riesgos y amenazas derivados del factor humano.

Además, también es elevado en aquellas con un mayor nivel de ingresos (más de 5.000 millones€), tanto por el control del cumplimiento de la legislación, los estándares en los que se certifican, así como por los procesos internos seguramente más estrictos, y en aquellas ubicadas tanto en Cataluña como en Madrid.

El 42% de las organizaciones ya dispone de un rol o un comité ligado a la formación y la capacitación en seguridad de las compañías, mientras que el 48% tiene uno ligado a la concienciación en seguridad. Sin embargo, el 60% no considera la seguridad como uno de sus valores o no lo refleja claramente en sus políticas o prácticas generales.

Las compañías ofrecen formación en ciberseguridad a los empleados, así como ejercicios de simulación de ataques, especialmente phishing. Sin embargo, solo el 9% dispone de un procedimiento para medir el conocimiento de los profesionales de ciberseguridad.

El 84% de las organizaciones no es capaz de medir, o no puede medir de forma homogénea, el nivel de concienciación de los empleados, y que el 70% tampoco mide el éxito de las campañas de concienciación que realizan.

El presupuesto medio aplicado a formación y concienciación se corresponde con un 9% del presupuesto en Seguridad de la Información de la compañía. El 64% de las organizaciones considera que el presupuesto aplicado a este campo es escaso respecto a la importancia del área.

El 93% de las empresas considera que la concienciación de los empleados es una medida relevante o muy relevante. El 95% ya disponen, tienen planificado generar o están considerando generar un Plan de Concienciación para empleados.

El socio responsable de Business Security Solutions de PwC España, Jesús Romero, cree que la formación y concienciación en ciberseguridad es un ámbito en el que muchas compañías todavía «no han puesto el suficiente foco», por lo que es «recomendable» aumentar la prioridad de estas acciones entre los empleados, ya que muchos de los incidentes que se producen en la actualidad logran un alto impacto debido a la falta de cultura de ciberseguridad.