El 86% de las empresas españolas carecen de cultura de ciberseguridad

La poca madurez en la cultura de ciberseguridad de las compañías en España -un 86% considera que no existe o bien debería de mejorarse- es una de las principales conclusiones del Informe del Estado de Cultura de Ciberseguridad en el Entorno Empresarial, elaborado por el área de ‘Cyber Risk Culture’ (CRC) de PwC España.

Este estudio, realizado a 50 organizaciones en el ámbito nacional -a través de entrevistas a expertos, encuestas a responsables de ciberseguridad e investigación-, tiene como finalidad dar respuesta al paradigma actual de la cultura de ciberseguridad dentro de las organizaciones.

El informe analiza el nivel de cultura medio de ciberseguridad que existe actualmente en las empresas en España desde diferentes perspectivas, situándolo en 2,8 sobre un rango de valores de 1 a 5, lo que implica que existe un margen de mejora importante en la Cultura de Ciberseguridad actual.

Esto significa que el sector empresarial español está en proceso de tomar conciencia de la necesidad de establecer un plan de cultura, capacitación y concienciación en ciberseguridad.

Expertos como Pablo García, director del área de Derecho Digital en Herbert Smith Freehills; Vicente Moret, ‘Of Counsel’ de Andersen Tax & Legal y letrado de las Cortes Generales; y Manuel Asenjo, director de IT de Eversheds Sutherland en España, opinan sobre esta cuestión y dan ideas para mejorar este déficit en las empresas españolas.

Formación, clave para entender la ciberseguridad

Pablo García apunta sobre la escasa presencia de la ciberseguridad en la cultura de las empresas que “el nivel de concienciación entre los consejeros, directivos y empleados es aún claramente mejorable”.

“Y para esto es desde luego determinante la formación. No puedo estar más de acuerdo: quizá justo por eso dedico cada año mucho tiempo precisamente a la formación de las empresas y en general de las organizaciones en esta materia”, apunta.

A su juicio, “consecuencia de lo anterior es el hecho de que las empresas no sean suficientemente conscientes de que la ciberamenaza está avanzando por doquier y sin descanso en el entorno empresarial, que quizá no entra del todo en estas cuestiones pensando -es humano- que esto solo les ocurre a los demás”.

Para este experto en derecho digital, “esto no es así y hasta qué terrible punto es cierto la famosa frase de que hay dos tipos de organizaciones, las que han sido ciberatacadas y las que no son conscientes de haberlo sido”.

En cuanto a la manera de convencer a las empresas para que incrementen sus presupuestos en ciberseguridad, destaca que “el ciberdelito mueve ya al año en el mundo una cantidad superior al narcotráfico. Otro más, el ciberdelito lleva ya muchos años siendo la variedad delictiva de mayor crecimiento. Un tercero, hoy en día ya prácticamente todos los delitos tienen algún componte digital, aunque fuera en términos de prueba”.

En su opinión, “todo esto no ha hecho sino incrementarse con el Covid, al ampliarse los frentes de vulnerabilidad por el teletrabajo. Y el argumento más importante de todos: no hay un medio mejor para ser consciente de todo esto que la propia formación”.

Pablo García, director del área de Derecho Digital en Herbert Smith Freehills.

“Dudo muchísimo que ninguno de los ciberataques sobre los que estoy a día de hoy asesorando a clientes se hubiera producido si las personas involucradas, las víctimas personales concretas de los mismos, hubieran sido conscientes de la existencia de las prácticas ciberdelictivas que sufrieron. Sencillamente las habrían visto venir, las habrían identificado, habrían desenmascarado a los atacantes”.

Otro dato que valora este jurista es que solo el 11% de las compañías miden la concienciación de los empleados en este ámbito.

“Es un dato relevante que debe mejorarse. Aunque la realidad va desde luego mucho más allá que lo cuantificable y mensurable, desde luego en la actividad empresarial (y de otro tipo de organizaciones), la medición es un instrumento muy útil para evaluar, conocer mejor y poner remedio a un determinado problema. Mensurar ese defecto en formación ayudaría decisivamente por tanto a incrementar la efectividad a este respecto”, advierte.

Desde su punto de vista, “es también clave la concienciación llevada a cabo desde el poder público. Quiero destacar en este sentido la labor más que encomiable de instituciones como el CCN-CNI o por INCIBE, que no cesan de lanzar documentos de enorme calidad técnica, fácilmente accesibles y absolutamente al cabo de la calle (sobre los mayores riesgos de Covid, por ejemplo) para divulgar la importancia de estas cuestiones, pero también para ayudar a todo tipo de empresas, organizaciones e incluso a los ciudadanos, a enfrentarse al ciberataque una vez ha podido llegar a suceder por así decir «en las propias carnes”.

También subraya “la que desarrollan las fuerzas de seguridad, Policía Nacional y Guardia Civil y fuerzas policiales autonómicas, quienes cuentan con unidades especializadas de también enorme calidad técnica, perfectamente comparable a las mejores de mundo y que, quiero destacarlo, por ser propia experiencia en mis labores de asesoramiento, son muchas veces la primera fuente de detección para las propias víctimas, quienes digamos se enteran gracias a ellos de haber sufrido un ciberataque”.

La ciberseguridad debe ser prioritaria

Por su parte, Vicente Moret cree que “hay varias razones para que todavía las empresas no coloquen la ciberseguridad como una de sus prioridades. La primera es la rapidez con la cual está produciendo la transformación digital en todos los ámbitos”.

Al mismo tiempo cree que “otro factor a tener en cuenta es que no se puede hablar en general de poca cultura de ciberseguridad en las empresas. Hay sectores como el financiero en los cuales sí existe una percepción y priorización de estas cuestiones”.

A su juicio, “en cuanto al marco del cumplimiento normativo en esta materia, este todavía es bajo en algunos sectores señalados como estratégicos, a pesar de que desde hace dos años ya existe una normativa aplicable, el Real Decreto-ley 12/2018”.

“Por tanto, todavía no hay una percepción urgente de cumplimiento en esta materia al contrario de lo que ocurre en materia de datos”.

Moret cree que “es posible que esa falta de percepción de riesgo por parte de las empresas se deba a que no ha existido todavía una actividad sancionadora de la Administración en esta materia que se haya desplegado con la misma intensidad que en materia de datos”.

Este experto subraya que este martes se publicó en el BOE una norma que puede suponer una antes y un después en esta materia, ya que el nuevo Real Decreto  que desarrolla el RD-Ley 12/2018, «puede ser la pieza que faltaba para que las empresas obligadas tengan que adoptar una gran cantidad de medidas internas organizativas”.

En su opinión, “puede permitir mejorar la gobernanza de la ciberseguridad incluyendo el nuevo rol legal del ciso o los nuevos protocolos de comunicación de ciberincidentes”.

En cuanto a cómo convencer a las empresas para que incrementen el presupuesto en ciberseguridad, ahora 9% del total, este experto señala que “no creo que se trate de convencer sino de observar la realidad de los tiempos que corremos”.

Cree que “la realidad digital se impone y esta es una maravillosa realidad que nos va a traer una gran explosión de talento, de nuevos empleos y en general de actividad económica que como país debemos aprovechar al máximo”.

Este experto cree que “el reverso de esa realidad es la necesidad de tomar en serio la ciberseguridad de las redes y sistemas especialmente en una contexto de pandemia con el teletrabajo como protagonista”.

Vicente Moret, ‘Of Counsel’ de Andersen Tax & Legal y letrado de las Cortes Generales.

Moret cree que “deben señalarse las posibles consecuencias para las empresas y sus directivos de una negligente gestión de estos riesgos que pueden suponer graves pérdidas económicas, consecuencias reputacionales o responsabilidades administrativas o civiles”.

Para este jurista, “los tres pilares básicos de la ciberseguridad, en su versión de defensa en profundidad, han sido definidos por la UE en sus últimas normativas reguladoras. La ciberseguridad se compone de tres elementos; tecnología, personas y procesos”.

“Por tanto las personas son esenciales, porque en muchas ocasiones lo que falla no es la tecnología sino el elemento humano”, advierte.

A su juicio, “eso debe tenerse en cuenta, ya que si gastamos en tecnología pero no formamos y no desarrollamos normativas internas, estrategias, políticas y protocolo, seguiremos asumiendo muchos riesgos, especialmente las grandes empresas que ya han sido designadas como operadores de servicios esenciales o que son prestadoras de servicios digitales”.

Vicente Moret cree que “la conformación de una sólida cultura de ciberseguridad dentro de la empresa debe ser una combinación, adaptada a la propia empresa, de formación, normas internas y políticas. Estos elementos deben ser desarrollados de forma que la empresa quede protegida en la medida de lo posible y según su actividad”, indica.

Correo electrónico puerta para el ciberataque

Para Manuel Asenjo “una cosa muy concreta es la no existencia de la cultura de Ciberseguridad y otra muy diferente es que haya que mejorarla. Todo se puede mejorar y en este caso con mayor motivo. El simple hecho de que alguien en alguna empresa piense dos veces antes de pulsar un enlace o de poner un dato de acceso ya es una victoria”.

Este experto sostiene que “ya hay en el usuario algún tipo de mecanismo que le hace dudar antes de entregar la llave a los delincuentes. Este mecanismo se podrá mejorar hasta hacerlo un experto si es necesario pero la semilla estará plantada”.

Señala que “en las últimas formaciones que he dado he visto que existe un interés mayor por el tema y creo que se debe a que los consejos que damos a los usuarios no son solo válidos para el ámbito de la empresa también son válidos para su vida privada”.

Desde su punto de vista, “en las empresas es importante la formación y la concienciación. Siempre que puedo aconsejo una formación de carácter anual cómo mínimo y recomiendo implantar políticas similares a las de prevención en blanqueo de capitales”.

«Por otra parte, para los equipos responsables de esa concienciación es muy importante poder medir el grado de madurez de las organizaciones. Para esto existen múltiples herramientas algunas gratuitas y otras de pago qué permiten simular ataques de vía mail”, comenta.

Manuel Asenjo, director de IT de Eversheds Sutherland en España.

Otro dato que revela este experto es que “organizaciones y medios expertos cifran que hasta en un 90% de los ciberataques son a través del mail. Estas herramientas simulan correos fraudulentos que bien dirigidos y de manera periódica permitirán medir la evolución y madurez de una organización a la hora de recibir un ciberataque por este medio”.

Manuel Asenjo reconoce que el ser humano es “el eslabón más débil de cualquier sistema de seguridad y por eso debemos activar el último mecanismo, el ‘firewall’ humano. Es la última barrera y por tanto la más importante”.

Este experto recuerda que puede evitarse “que capturen nuestra cuenta de correo y hagan un fraude del Ceo, nos roben los documentos de nuestro repositorio digital, nos instalen un ‘bot’ que utilice nuestro equipo para fines fraudulentos, nos implanten un ‘ransomware’ que nos secuestre esa información tan valiosa o cualquier otra maldad que los delincuentes y su imaginación nos quieran hacer”.

En su opinión, dicho sistema “debe estar en el usuario implantado de manera que le sea natural. Todas esas pautas debemos revisarlas de manera imperceptible y saltarán nuestras alarmas si algo no está en su sitio o cómo cabe de esperar”.

“Hay que añadir que la naturaleza de la organización hará que esta labor sea más fácil y que esta carrera es de fondo no de velocidad”

Para Asenjo el concepto de ciberseguridad y su implantación “ no debe tomarse a la ligera, debe tener su tiempo e insistir todo lo que sea necesario hasta saber que los integrantes de tu organización están totalmente concienciados. Va en ello tu prestigio y tu dinero”.

Noticias Relacionadas:

Grant Thornton apuesta por la ciberseguridad y nombra socia a Cristina Muñoz-Aycuens

La incertidumbre global y los aranceles frenan el empuje exportador de las empresas españolas, según Grant Thornton

Los ciberataques, una tarea que no sólo afecta a las grandes empresas: «todos podemos ser ese punto débil»

La juez abre juicio oral contra el hermano de Pedro Sánchez y el presidente de la Diputación de Badajoz

El Senado denuncia ante la Fiscalía un posible caso de espionaje parlamentario y despide a dos empleados

Interior mantiene la Instrucción que blinda el consumo de drogas en coches estacionados pese a basarse en jurisprudencia obsoleta