Resultados de la fase de diagnóstico del Programa ACTIVA Ciberseguridad
Estrategia nacional 22/06/2021
El principal objetivo de este programa de innovación en ciberseguridad de la PYME, impulsado por el Ministerio de Industria, Comercio y Turismo a través de la Escuela de Organización Industrial (EOI) y con la colaboración de INCIBE, es determinar el nivel de seguridad actual de las PYME españolas y ayudarlas a proteger sus sistemas y la información corporativa.
Durante estas últimas semanas, ha tenido lugar la segunda fase del programa ACTIVA Ciberseguridad. Durante esta segunda fase, conocida como “Diagnóstico”, se han realizado entrevistas personalizadas con todas las empresas participantes con el objetivo de recoger evidencias y datos sobre cómo protegen su infraestructura, redes, datos y otra serie de factores relacionados con su ciberseguridad.
Las áreas y controles evaluados durante esta fase han sido los siguientes:
- Gestión de activos y datos.
- Protección de infraestructura, red, aplicaciones y datos.
- Respuesta frente a amenazas.
- Concienciación y formación.
- Cumplimiento legal.
El número de pymes participantes durante esta fase ha sido de 149 y se han organizado en tres grupos diferentes, en función de su tamaño y dependencia tecnológica, entre otros factores:
- Grupo 1 – 81 empresas: generalmente con pocos trabajadores, pertenecientes a sectores no tecnológicos en su mayoría, aunque con una dependencia tecnológica alta, pero sin apenas infraestructura.
- Grupo 2 – 26 empresas: entre 1 y 250 trabajadores, pertenecientes en su mayoría a sectores tecnológicos y algo de infraestructura.
- Grupo 3 – 42 empresas: por encima de los 60 trabajadores en plantilla, con cierto nivel de madurez en ciberseguridad y alta dependencia tecnológica.
A nivel global, las empresas han sido evaluadas para cada uno de los controles anteriormente mencionados en una escala de 1 a 3, donde una mayor puntuación equivale a una mejor preparación y mayor madurez en ciberseguridad.
Los resultados alcanzados permiten extraer las siguientes conclusiones:
- Las empresas han obtenido un mejor resultado en los controles de “Cumplimiento legal”, con una valoración media de 2,62 puntos. La razón puede deberse a que muchas de ellas no trabajan con datos sensibles, y, por lo tanto, no dependen de dicha legislación, o también a que disponen de proveedores externos capaces de gestionar estas tareas.
- Los controles evaluados pertenecientes a la categoría “Concienciación y formación” han sido los que han obtenido la puntuación más baja, con 1,51 puntos de media. Este resultado permite concluir que las empresas tienen dificultades para comunicar y concienciar a los trabajadores sobre las buenas prácticas vinculadas a la ciberseguridad de la organización.
- El grupo 3 parece ser el mejor preparado y el que más puntuación ha obtenido de media para las diferentes categorías de controles. Sin embargo, las empresas correspondientes al grupo 1 son las que mejor puntuación han obtenido en los controles pertenecientes a la categoría “Respuesta frente a amenazas”, mientras que el grupo 2 ha sido el conjunto de empresas que mejor valoración obtuvo en “Gestión de activos y datos”.
Tras la finalización de esta segunda fase, las empresas avanzarán a la tercera fase de Implantación que consiste en una reunión para dibujar la hoja de ruta que deberán seguir las empresas.