Resultados de la primera fase de autodiagnóstico del Programa ACTIVA Ciberseguridad
Estrategia nacional 17/05/2021
El principal objetivo de este programa de Innovación en Ciberseguridad de la PYME, impulsado por el Ministerio de Industria, Comercio y Turismo a través de la Escuela de Organización Industrial (EOI) y con la colaboración de INCIBE, es determinar el nivel de seguridad actual de las PYMES españolas y ayudarlas a proteger sus sistemas y la información corporativa.
A lo largo de las últimas semanas se ha llevado a cabo la primera fase del programa ACTIVA Ciberseguridad. Durante esta primera fase, conocida como Autodiagnóstico, se han realizado entrevistas con todas las empresas participantes para recoger información sobre la empresa, su sector y analizar, de forma preliminar, la situación actual de la empresa en materia de ciberseguridad.
Para ello, se ha hecho uso de la herramienta de Autodiagnóstico de INCIBE con el objetivo de:
- Identificar los niveles de riesgos según los Procesos, Personas y Tecnología.
- Detectar las necesidades de la organización en materia de ciberseguridad.
- Identificar las posibilidades de mejora de su seguridad.
El número de pymes participantes durante esta fase ha sido de 144 y los datos obtenidos tras esta primera fase revelan que:
- 106 empresas presentan un nivel medio de riesgo Medio.
- 38 empresas presentan un nivel medio de riesgo Alto.
Estos resultados están basados en la percepción que las organizaciones tienen sobre sí mismas, por lo que pueden no coincidir con el valor de riesgo real, que se evaluará durante la siguiente fase de Diagnóstico.
El riesgo se ha evaluado en función a tres categorías: Personas, Procesos y Tecnología. A la vista de los resultados el mayor riesgo de las organizaciones está vinculado a la categoría “personas”, con una media de 2,3 puntos de madurez global, mientras que la categoría “procesos” es la que ha obtenido una menor puntuación con 2,0 puntos de media, siendo la escala de 1 a 3, a mayor puntuación mayor riesgo.
Se puede deducir que las empresas perciben que sus trabajadores no están los suficientemente concienciados en materia de ciberseguridad y pueden suponer una de las principales vulnerabilidades. Por otro lado, la mayoría parece percibir una mayor seguridad en los procedimientos y protocolos internos.
De forma adicional, se ha evaluado el nivel de madurez vinculado al teletrabajo y acceso a los recursos de la organización desde fuera de la propia empresa. Como resultado, las organizaciones han obtenido un nivel de riesgo medio, demostrando que han sabido adaptarse, pero aún tienen mucho camino por delante para evolucionar y desarrollar mejor sus procesos.
Con el fin de esta fase, las empresas avanzarán a la fase 2 de Diagnóstico que consiste en una entrevista personalizada de cumplimiento.