Resultados de la fase de implantación del Programa ACTIVA Ciberseguridad

Estrategia nacional 09/08/2021

El principal objetivo del programa ACTIVA Ciberseguridad, impulsado por el Ministerio de Industria, Comercio y Turismo a través de la Escuela de Organización Industrial (EOI) y con la colaboración de INCIBE, es determinar el nivel de seguridad actual de las pymes españolas y ayudarlas a proteger sus sistemas y la información corporativa.

Recientemente, las empresas participantes han podido finalizar la tercera fase del programa ACTIVA Ciberseguridad. Esta fase, conocida como Implantación, ha servido para dotar a las organizaciones de un plan de acción que deberán planificar y ejecutar para mejorar su ciberseguridad. El número de pymes participantes durante esta fase ha sido de 149, el 100% de las que comenzaron el programa.

Durante las sesiones, los consultores han compartido con ellas las recomendaciones vinculadas a las evidencias obtenidas durante la fase de diagnóstico, permitiéndoles tener una visión más detallada de las instrucciones concretas de cada una de las tareas, así como una estimación de esfuerzo y tiempo de ejecución.

Durante la fase anterior de diagnóstico, las organizaciones fueron evaluadas en torno a diferentes controles pertenecientes a 5 categorías con el objetivo de medir su nivel de madurez en ciberseguridad. En la fase de implantación, este análisis nos permitió asignar a las empresas una lista de recomendaciones personalizadas, que a su vez estarían adaptadas según el grupo de imple mentación al que perteneciese la organización:

  • Para las empresas pertenecientes al Grupo 1 se asignaron una media de 12 tareas básicas.
  • Para las empresas del Grupo 2, Una media de 15 tareas de nivel medio. 
  •  Y, para el Grupo 3, hasta 20 tareas de nivel avanzado.

Cada una de estas tareas fue descrita durante la sesión para resolver posibles dudas y compartir con las organizaciones los numerosos recursos y herramientas que los consultores habían seleccionado para ayudarles a llevar a cabo la tarea de la forma más autónoma posible.

La planificación de estas tareas se ha concebido como algo indispensable, ya que nos ayudará a marcar las prioridades y a dibujar la hoja de ruta que las organizaciones deberán interiorizar a partir de ahora. Por esta razón, durante la sesión se ha tratado de dar visibilidad a las siguientes cuestiones:

  • Creación de un comité de gestión que monitorice el avance de las mejoras y desbloquee cualquier obstáculo que pueda surgir. Se les recomendó la inclusión del personal de dirección dentro de este comité.
  • Proyección de un objetivo deseable y realista que tenga en cuenta la dedicación estimada, los recursos necesarios y el personal disponible.

Más del 75% de las organizaciones consiguió reportar el plan de implantación a su dirección. Sin embargo, solo el 50% llegó a integrar la figura del comité de dirección en los comités de gestión generales de la empresa en el tiempo de duración de esta fase dentro del programa.

Finalmente, tras finalizar las sesiones con las empresas, podemos obtener las siguientes conclusiones:

  • Las tareas vinculadas al cumplimiento legal son las menos frecuentes, ya que la mayoría de empresas ha demostrado suficiente madurez en esta categoría.
  • Las empresas pertenecientes a los grupos de implementación 1, especialmente, necesitan dedicar esfuerzos a tareas vinculadas con la gestión de los activos, como la elaboración de inventarios de hardware, software y cuentas corporativas.
  • A la mayor parte de las empresas se les sugirió, como tarea más importante, la elaboración de una política de seguridad. Esta acción se nutrirá de otras tareas donde se solicita a las organizaciones disponer de sus protocolos debidamente documentados y actualizados, como son las políticas de contraseñas o un plan de contingencia.

Con el fin de esta fase, las empresas avanzarán a la fase 4 de Seguimiento que consiste en una serie de sesiones donde resolver dudas y monitorizar el avance de las organizaciones con respecto la hoja de ruta que dibujamos durante la Implantación.

Más información sobre el programa