Conclusiones finales del Programa ACTIVA Ciberseguridad 2021
Estrategia nacional 27/10/2021
Han pasado más de 5 meses desde el inicio del programa ACTIVA CIBERSEGURIDAD que, impulsado por el Ministerio de Industria, Comercio y Turismo a través de la Escuela de Organización Industrial (EOI) y con la colaboración de INCIBE, se marcó como objetivo determinar el nivel de seguridad actuar de las PYMES españolas y ayudarlas a mejorar la seguridad de sus sistemas y a proteger su información corporativa.
El programa ACTIVA Ciberseguridad cuenta ya con dos exitosas convocatorias en su trayectoria. Recientemente, el 17 de septiembre, se daba por finalizada esta última convocatoria, con 149 empresas participantes. A lo largo del programa, las organizaciones disfrutaron de varias horas de consultoría y mentoring de la mano de expertos en ciberseguridad a través de cuatro fases bien definidas:
- Autodiagnóstico: entrevista, toma y análisis de evidencias proporcionadas por la propia empresa. Es fundamental conocer el punto de vista y la percepción que el participante tiene sobre sus procesos y seguridad del negocio.
- Diagnóstico: análisis y entrevista personalizada de las evidencias proporcionadas para identificar correctamente las vulnerabilidades, riesgos y amenazas más comunes para la empresa. En esta ocasión, la perspectiva es la del consultor y así se lo hace saber a la organización con el informe correspondiente.
- Implantación: elaboración de un plan de implantación adaptado a la empresa con mejoras organizadas por categorías y con instrucciones detalladas. Se complementan con recursos, enlaces y herramientas que permitan a la organización implantar dichas mejoras.
- Seguimiento: entrevista personalizada para el análisis y evaluación de los avances en cuanto a las mejoras propuestas en la fase anterior. Los consultores aprovechan para tratar de planificar la hoja de ruta que las empresas deberán seguir a corto, medio y largo plazo.
Debido a las diferentes necesidades y características de las empresas, fue necesario categorizarlas en tres grupos, teniendo en cuenta los siguientes factores:
- Nivel de digitalización o dependencia tecnológica.
- Infraestructura (número de equipos, empleados, tamaño, etc.).
- Departamentos técnicos en informática y/o seguridad.
Como resultado de esta categorización, se replantearon los objetivos marcados como deseables para cada grupo, permitiendo a aquellas PYMES con una menor infraestructura y procesos menos definidos recibir consejos y metodologías que les ayudasen a proteger uno de sus activos más importantes, la información, desde un nivel más básico. Mientras que, aquellas empresas con procesos y una infraestructura más avanzada, recibieron consejos y herramientas más orientadas a mejorar sus sistemas de comunicación, herramientas de seguridad y documentación de todas sus políticas y procedimientos internos.
Durante la última etapa del mismo, los consultores asignados constataron el esfuerzo que las PYMES tuvieron que llevar a cabo para dedicar tiempo y recursos a una tarea como es la ciberseguridad. Sin embargo, la implicación y sensibilidad que demostraron les permitió concluir satisfactoriamente el programa a las 149 empresas participantes. Todas sus dudas fueron resueltas e, incluso, hubo un pequeño porcentaje de empresas que consiguió completar todas aquellas tareas que les habían sido asignadas para alcanzar unos niveles de seguridad más que suficientes.
Es un hecho que aún tienen un largo camino por delante, pues además de las mejoras a implantar, la ciberseguridad es un proceso que requiere de una constante actualización y preparación, no solo de sus sistemas de información, sino también de la sensibilización de todo el personal de las organizaciones.
Una de las ideas que se ha tratado de sembrar en dichas empresas es que, los trabajadores son la primera línea de defensa en la mejora de su ciberseguridad y que, por tanto, deben implicarse en la implantación de dichas mejoras.
Finalmente, gracias a las encuestas de satisfacción recibidas, podemos afirmar que el programa ha tenido un impacto muy positivo en las mismas, ha permitido cambiar la cultura interna de la empresa y ha ayudado a las organizaciones a dar el paso en la dirección correcta.