Estudio Sobre La Seguridad y La E-Confianza en Las Pequenas y Micro-Empresas Españolas - INTECO

Estudio sobre la seguridad y la
e-confianza en las pequeñas y

microempresas españolas
OBSERVATORIO DE LA
Estudio sobre la seguridad y e-confianza SEGURIDAD
en las
Observatorio de la Seguridad de la Información
DE
pequeñas y microempresas LA INFORMACIÓN
españolas Página 1 de 143
Edición: Diciembre 2009
El “Estudio sobre la seguridad y la e-confianza en las pequeñas y microempresas españolas” ha

sido elaborado por el equipo de trabajo del Observatorio de la Seguridad de la Información de
INTECO:
Pablo Pérez San-José (Coordinador)
Susana de la Fuente Rodríguez
Laura García Pérez
Javier Rey Perille
Héctor René Suárez Suárez
INTECO quiere mencionar la participación en la realización del trabajo de campo e investigación

para este estudio de:
La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está bajo una
licencia Reconocimiento-No comercial 2.5 España de Creative Commons, y por ello esta permitido copiar, distribuir y
comunicar públicamente esta obra bajo las condiciones siguientes:
• Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su
procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no
podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra.
• Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos
mientras su uso no tenga fines comerciales.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas
condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta
licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/by-nc/2.5/es/
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se
trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y
orden de lectura adecuado.
Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la
sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 2 de 143
ÍNDICE
ÍNDICE.................................................................................................................................3
PUNTOS CLAVE .................................................................................................................7
I Herramientas, buenas prácticas y políticas de seguridad .......................................7
II Incidencias de seguridad: percepción y situación real...........................................12
III Efectos de las incidencias de seguridad y reacción ante las mismas ...................12
IV e-Confianza............................................................................................................13
V Sistema de Indicadores de Seguridad ...................................................................14
VI Recomendaciones .................................................................................................14
1 INTRODUCCIÓN Y OBJETIVOS ...............................................................................16
1.1 Presentación ......................................................................................................16
1.1.1 Instituto Nacional de Tecnologías de la Comunicación. ................................16
1.1.2 Observatorio de la Seguridad de la Información............................................16
1.2 Estudio sobre la seguridad y la e-confianza en las pequeñas y microempresas

españolas.......................................................................................................................17
1.2.1 Objetivo general .............................................................................................18
1.2.2 Objetivos específicos .....................................................................................18
2 DISEÑO METODOLÓGICO .......................................................................................20
2.1 Caracterización del universo objeto de la investigación ....................................21
2.2 Fases del proyecto de investigación..................................................................22
2.2.1 Fase 1: Recopilación y estudio de informes ..................................................22
2.2.2 Fase 2: Auditoría de seguridad ......................................................................23
2.2.3 Fase 3: Encuestas a empresas......................................................................25
2.2.4 Fase 4: Elaboración del informe ....................................................................28
3 HERRAMIENTAS, BUENAS PRÁCTICAS Y POLÍTICAS DE SEGURIDAD EN LAS
PEQUEÑAS Y MICROEMPRESAS ..................................................................................30
3.1 Herramientas de seguridad................................................................................30
3.1.1 Nivel de implantación de las herramientas de seguridad en las pequeñas y

microempresas españolas..........................................................................................31
3.1.2 Motivos declarados por las empresas para no utilizar las distintas
herramientas de seguridad en sus equipos................................................................36
3.1.3 Personal dedicado a la seguridad de la información .....................................38
3.1.4 Evolución de la inversión en seguridad respecto al gasto en informática......42
3.1.5 Necesidades de productos y servicios de seguridad en las pequeñas y

microempresas españolas..........................................................................................44
3.2 Buenas prácticas de seguridad..........................................................................45
3.2.1 Realización de copias de seguridad ..............................................................46
3.2.2 Actualización de los programas y sistemas operativos..................................50
3.3 Conocimiento y adecuación a la normativa sobre protección de datos .............52
3.4 Planes y políticas de seguridad .........................................................................59
4 INCIDENCIAS DE SEGURIDAD: PERCEPCIÓN DE LAS PEQUEÑAS Y

MICROEMPRESAS Y SITUACIÓN REAL DE SUS EQUIPOS.........................................66
4.1 Percepción de las incidencias de seguridad por parte de las empresas ...........66
4.2 Incidencias reales detectadas en los ordenadores de las microempresas y

pequeñas empresas españolas .....................................................................................68
4.2.1 Evolución de la incidencia de malware ..........................................................71
4.2.2 Tipología del código malicioso detectado ......................................................73
4.2.3 Diversificación del código malicioso detectado..............................................74
4.2.4 Nivel de peligrosidad del código malicioso detectado en los equipos en

función del riesgo potencial que éste supone ............................................................78
4.2.5 Factores de influencia sobre el estado de infección de los equipos ..............80
5 SEGURIDAD DE LAS COMUNICACIONES MÓVILES E INALÁMBRICAS EN LAS
PEQUEÑAS Y MICROEMPRESAS ..................................................................................82
5.1 Seguridad en dispositivos móviles avanzados ..................................................82
5.2 Seguridad en las conexiones inalámbricas........................................................85
6 CONSECUENCIAS, REACCIONES Y RESPUESTAS ANTE LAS INCIDENCIAS DE

SEGURIDAD EN LAS PEQUEÑAS Y MICROEMPRESAS ..............................................88
6.1 Consecuencias de las incidencias de seguridad ...............................................88
6.2 Reacciones de las empresas frente a las incidencias de seguridad..................91
6.3 Respuesta de las empresas frente a las incidencias de seguridad ...................93
7 E-CONFIANZA DE LAS PEQUEÑAS Y MICROEMPRESAS ....................................95
7.1 e-Confianza en la Sociedad de la Información ..................................................97
7.1.1 e-Confianza en las gestiones con las Administraciones Públicas .................97
7.1.2 e-Confianza en el comercio electrónico .........................................................99
7.1.3 e-Confianza en las operaciones bancarias electrónicas..............................104
7.1.4 e-Confianza en la firma electrónica y el envío de datos personales............105
7.2 Frenos al desarrollo de la Sociedad de la Información ....................................108
8 SISTEMA DE INDICADORES DE SEGURIDAD DE LAS PEQUEÑAS Y

MICROEMPRESAS.........................................................................................................111
8.1 Análisis de los indicadores de la seguridad de la información.........................116
9 CONCLUSIONES.....................................................................................................118
9.1 Análisis DAFO..................................................................................................123
9.1.1 Fortalezas ....................................................................................................123
9.1.2 Debilidades ..................................................................................................124
9.1.3 Oportunidades..............................................................................................125
9.1.4 Amenazas ....................................................................................................126
10 RECOMENDACIONES........................................................................................127
10.1 Recomendaciones a las pequeñas y microempresas .....................................127
10.2 Recomendaciones a los fabricantes ................................................................129
10.3 Recomendación a las Administraciones Públicas ...........................................130
10.4 Asignación de prioridad de las recomendaciones ...........................................132
ANEXO I: BIBLIOGRAFIA ...............................................................................................134
ÍNDICE DE GRÁFICOS...................................................................................................136
ÍNDICE DE TABLAS........................................................................................................141
PUNTOS CLAVE
Dentro del compromiso de INTECO con el tejido empresarial nacional, el Observatorio de

la Seguridad de la Información publica el Estudio sobre la seguridad y la e-confianza en
las pequeñas y microempresas españolas. El informe realiza un diagnóstico de la
situación de las empresas españolas de menos de 50 empleados en lo relativo a
adopción de medidas de seguridad de la información en sus equipos e instalaciones,
nivel de incidencias ocurridas y, finalmente, grado de confianza de las empresas hacia las
Tecnologías de la Información y Comunicación.
Para realizar el análisis, se ha seguido una metodología basada en la realización de

encuestas a los empresarios y en la elaboración de auditorías de seguridad en línea a los
equipos de las empresas participantes en el estudio. Para la ejecución de las auditorías
se ha utilizado iScan, una potente herramienta desarrollada por INTECO que analiza los
sistemas y ofrece información empírica sobre las herramientas instaladas, el nivel de
actualización de los sistemas, y el grado de infección de los equipos.
La ventaja que aporta la metodología utilizada es que permite contrastar un dato basado
en la percepción del empresario sobre la seguridad de la información en su empresa con
un dato real basado en el análisis en línea del nivel de seguridad efectivo de sus equipos.
En el informe se analizan las particularidades específicas de las microempresas (aquéllas

con menos de 10 empleados) y pequeñas empresas (las que tienen entre 10 y 49
empleados).
Con este informe INTECO continúa la trayectoria iniciada en 2008 con la publicación del
Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas
empresas españolas y el Estudio sobre el grado de adaptación de las Pequeñas y
Medianas Empresas españolas a la Ley Orgánica de Protección de Datos (LOPD) y el
nuevo Reglamento de Desarrollo (RDLOPD).
Se muestran a continuación algunos de los puntos clave del diagnóstico.
I Herramientas, buenas prácticas y políticas de seguridad
Herramientas de seguridad instaladas en los equipos
El nivel de seguridad que muestran los equipos de las pequeñas y microempresas

españolas de menos de 50 empleados es adecuado. Herramientas de protección
consideradas básicas están siendo utilizadas de forma muy notable: a partir de las
propias declaraciones de los encuestados, un 97,8% de las empresas reconoce tener
instalados antivirus en los equipos corporativos, seguido de un 72,4% que manifiesta
disponer de cortafuegos y un 66,8% que admite tener algún medio de control de acceso
al equipo.
En los tres casos, el nivel de utilización de las medidas por parte de las empresas
españolas es superior al mostrado a nivel internacional, donde las empresas se sitúan
17,8 puntos porcentuales por detrás de las españolas en el uso de antivirus, 8,3 respecto
a los cortafuegos y 22,9 en el caso del control de acceso al equipo.
Las soluciones de seguridad de carácter más específico instaladas en los equipos están
presentes en mayor medida en las empresas pequeñas (de 10 a 49 empleados) que en
las microempresas (aquéllas con menos de 10 trabajadores). Así, la utilización de
distintos privilegios en cada equipo en función del usuario es aplicada por un 51,3% de
las pequeñas empresas, frente a sólo un 30,2% en el caso de las microempresas, y el
uso de herramientas que permiten acceder a la red corporativa desde el hogar es
adoptado por un 36,2% de empresas de entre 10 y 49 trabajadores, frente a un 20,3% de
empresas de hasta 9 empleados.
Parece que, independientemente del tamaño, las empresas utilizan medidas de

protección de carácter básico, pero el uso de herramientas más específicas de seguridad
crece entre las empresas con más empleados.
El nivel de instalación real de antivirus, según las auditorías de seguridad realizadas

gracias a la herramienta iScan, muestra que un 93,1% de los equipos analizados dispone
efectivamente de una herramienta antivirus activa. El gap de 4,7 puntos porcentuales
entre el nivel declarado de uso (97,8%) y el nivel efectivo de instalación (93,1%)
representa a empresas que creen tener sus equipos protegidos con antivirus, cuando en
realidad no es así.
Herramientas de seguridad de la información adoptadas a nivel corporativo
Más allá de la protección de los equipos de la empresa, existen una serie de

herramientas que, adoptadas a nivel corporativo, contribuyen a aumentar la seguridad de
la empresa. Se trata, por ejemplo, de la existencia de técnicas para asegurar la
realización de copias de seguridad de los datos (disponible en un 82,4% de las empresas
participantes en el estudio), la instalación de cortafuegos en red (72,9%) o la adopción de
sistemas para la prevención de intrusos (51,7%).
Existencia de recursos humanos encargados de la seguridad de la información
En un 17,8% de las empresas existe personal dedicado a cuestiones informáticas, frente

a un mayoritario 82,2% de empresas que reconocen que no existe ningún empleado en
nómina con estas funciones. La pequeña empresa española aboga por la subcontratación
de los servicios informáticos en personal externo a la compañía.
Entre las empresas que sí tienen personal informático en plantilla, cerca de un 80%
contempla la existencia de una persona responsable de la seguridad informática, bien
sea una responsabilidad exclusiva, bien compartida con otras funciones de carácter
tecnológico.
Inversión en tecnología efectuada por la pequeña y microempresa española
Analizando la inversión realizada por las empresas en material informático, un 79,9%

opina haber invertido lo justo, frente a un 17,4% que reconoce haber destinado pocos
recursos a este concepto y un 2,7% que manifiesta haber empleado más de lo esperado
en la adquisición de material tecnológico.
Parece que, en general, las empresas se encuentran cómodas con el nivel de inversión
efectuado en TIC. Pero, ¿cuánto han invertido? A falta de datos absolutos sobre
inversión, que no es objeto del presente estudio, se les preguntó a los participantes sobre
el nivel de inversión del año en curso en relación con lo invertido el año precedente. Sólo
un 2,6% de las empresas ha invertido más que el año anterior, y un 7,8% adicional se ha
mantenido en un nivel constante de inversión. La mayoría, un 88,7% de las pequeñas y
microempresas españolas, reconoce haber destinado menos recursos que el año anterior
a material informático.
Demandas y necesidades de la pequeña empresa española en seguridad de la

información
En un contexto caracterizado por una correcta adopción de herramientas de seguridad

básica entre las pequeñas empresas españolas, una tendencia a la externalización de los
servicios informáticos y una inversión en recursos tecnológicos inferior a la del año
anterior, ¿a qué necesidades de seguridad se enfrenta la empresa?
Un 76,3% considera necesario o muy necesario la realización de revisiones de seguridad,

mientras que un 73,2% declara lo propio con respecto a la disponibilidad de servicios de
solución de incidentes de seguridad. Algo menos necesaria, con un 66,5% de
declaraciones, es la formación especializada en seguridad.
Respecto a las necesidades referentes a las prestaciones de las herramientas, lo que

más valora la pequeña y microempresa española es la calidad y efectividad del producto
de seguridad informática. Un 66,6% de los participantes en el estudio declaran valorar
mucho esta prestación. Por detrás de ella, la calidad del servicio posventa (62,2%), la
facilidad en el mantenimiento de la herramienta (59,7%) y la facilidad en la instalación
(44,4%) son también aspectos positivamente valorados.
En este punto, es oportuno destacar la labor del Centro Demostrador de Seguridad para
la PYME de INTECO, orientado a fomentar y difundir entre las pymes españolas el uso
de las tecnologías de seguridad de la información. El Centro Demostrador actúa como
facilitador de mecanismos de demanda temprana, acercándose a las necesidades de la
empresa a través de diversas líneas de trabajo. Así, trabaja elaborando un catálogo de
productos, soluciones y servicios de seguridad y llevando a cabo acciones de
concienciación sobre la necesidad de implantar entornos de trabajo seguros.
Buenas prácticas en seguridad de la información llevadas a cabo por las pequeñas

empresas y microempresas españolas
Para garantizar un adecuado nivel de seguridad es necesario, además de las

herramientas adecuadas, el seguimiento de una serie de buenas prácticas. En concreto,
la realización de copias de seguridad de los archivos y la actualización de los programas
son pautas necesarias para garantizar un entorno empresarial seguro. Los datos del
estudio muestran que la empresa española presenta un elevado nivel de cumplimiento de
ambos comportamientos.
El 94,2% de las empresas españolas de menos de 50 empleados realiza copias de

seguridad, y el porcentaje alcanza el 99,1% cuando nos referimos sólo a las empresas de
entre 10 y 49 trabajadores. Sin duda, se trata de un comportamiento adoptado por la
práctica totalidad del tejido empresarial español.
La frecuencia de realización de copias de seguridad es diaria en un 43,2% de los casos

analizados, y semanal en un 30,4%.
Las microempresas de menos de 10 empleados muestran preferencia por la realización

de copias de seguridad de forma manual: un 51,3% lo ejecutan de este modo, frente al
45,2% que afirman hacerlo de manera automatizada. En las pequeñas empresas de 10 a
49 empleados la preferencia es la inversa: un mayoritario 65,8% confía en la realización
de copias de forma automática, frente a un 29,8% que apuesta por la solución manual.
En el análisis del nivel declarado de actualización, el 88,9% de las empresas afirman que
el sistema operativo y las herramientas de seguridad con los que trabajan se encuentran
actualizados. La información aportada por la auditoría de seguridad iScan revela que, en
realidad, un 58,5% de los equipos analizados están efectivamente actualizados. Existe
una notoria discrepancia entre nivel de actualización del equipo percibido y real.
Adaptación a la normativa sobre protección de datos
Los datos del estudio muestran una evolución realmente positiva de la empresa española
en el cumplimiento de las obligaciones previstas en la normativa sobre protección de
datos.
Un 60,2% de las empresas es consciente de que su actividad en lo que se refiere a
ficheros con datos personales está sujeta a la normativa sobre protección de datos, frente
a un 26,1% que piensa no estar afectada por la legislación y un 13,7% que lo desconoce.
El cumplimiento de la obligación de inscribir los ficheros que contengan datos personales

ante el Registro General de la Agencia Española de Protección de datos se sitúa en un
nivel aceptable, y experimenta una evolución muy positiva con respecto a la situación del
año 2008. Así, el 52,6% de las entidades participantes en el estudio declaran haber
notificado sus ficheros, frente a un 33,7% que admite lo contrario. Los datos de 2008 1
mostraban una tasa de cumplimiento del 37%, frente a un incumplimiento declarado del
47%.
La misma tendencia de evolución positiva se aprecia en el cumplimiento del deber de

información, cuya observancia es reconocida por un 67,1% de las empresas españolas
de menos de 50 empleados (frente al 29% en 2008) y el cumplimiento del deber de
solicitud de consentimiento del interesado, realizado por un 62,3% de las entidades (29%
en 2008).
Los datos son positivos, y en cualquier caso confirman la progresiva adopción de la

normativa sobre protección de datos por parte de la empresa española.
Planes y políticas de seguridad
Un 34,3% de las empresas disponen de plan de seguridad en el momento de realización

de la encuesta, o entra dentro de sus planteamientos futuros instaurar uno. A los efectos
del estudio, se entiende por plan de seguridad el establecimiento de una estrategia o
calendario para el aumento paulatino del nivel de seguridad de la empresa (mediante la
adquisición de soluciones de seguridad, etc.) A pesar de este dato, razonablemente
positivo, la adopción de esta medida a nivel internacional excede el nivel mostrado por las
empresas españolas.
Se ha analizado también la existencia de planes y políticas que afectan al nivel de

seguridad de las empresas de más de diez trabajadores. El más frecuente es el plan de
concienciación, implantado en el 24,6% de las empresas, seguido de la política de uso de
correo electrónico (17,6%) y el plan de continuidad de negocio (11,9%). También en
estos casos las empresas españolas tienen una oportunidad de mejora para alcanzar el
grado de implantación de estas políticas a nivel internacional.
1
INTECO (2008). Estudio sobre el grado de adaptación de las Pequeñas y Medianas Empresas españolas a la Ley
Orgánica de Protección de Datos (LOPD) y el nuevo Reglamento de Desarrollo RDLOPD. Disponible en
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_informes/Estudios_e_Informes_1/estudio_lopd_PYME
Por último, el 22,8% de las entidades con más de diez empleados afirma que ha
realizado alguna vez una auditoría de seguridad, con objeto de evaluar y establecer las
acciones de mejora a efectuar.
II Incidencias de seguridad: percepción y situación real
El capítulo de las incidencias de seguridad que tienen lugar en el ámbito empresarial se

define por dos situaciones mayoritarias: spam y malware. Al 63,2% de los encuestados
les consta que su empresa ha recibido correo electrónico no deseado en alguna ocasión,
y el 49,2% afirma lo mismo respecto a la infección por virus.
En el análisis real de la situación de seguridad de los equipos se obtiene que, en la fecha

de realización del estudio, el 48,4% de los equipos auditados están comprometidos por
algún tipo de código malicioso. En este caso, la percepción del encuestado es fiel a la
realidad de su equipo: 49,2% de empleados que admite haber sufrido virus frente a
48,4% de equipos que efectivamente alojan malware 2 .
Las categorías de malware más frecuentes son los troyanos (presentes en un 27,8% de
los equipos auditados) y el software publicitario no deseado (identificado en un 23,2% de
los ordenadores.) Se trata, precisamente, de las dos categorías de código malicioso que
más beneficios reportan a sus creadores: la primera, los troyanos, porque suelen estar
relacionados con el fraude; y la segunda, el adware publicitario, porque proporciona
ingresos por publicidad. Es lógico pensar que los ciberdelincuentes inviertan más
esfuerzos en crear y diseminar este tipo de malware. La primera característica del
malware detectado en los equipos es, por tanto, su finalidad lucrativa.
Se trata, además, de código malicioso muy heterogéneo: de los 1.381 archivos

maliciosos localizados, 963 son variantes únicas. Este dato constata el gran volumen de
variantes que crean los cibercriminales con el objetivo de dificultar su detección y
obstaculizar así la efectividad de los programas antivirus y soluciones antimalware
basados en el reconocimiento de especímenes.
III Efectos de las incidencias de seguridad y reacción ante las mismas
En opinión de los encuestados, la pérdida de tiempo de trabajo es la consecuencia a la

que en mayor medida se enfrentan las empresas (un 54,9%), seguida de problemas de
conexión/redes (26,1%) y pérdida de archivos y datos (20,1%).
De hecho, de las tres variables consideradas, pérdida de tiempo, dinero e imagen, sólo la
pérdida de tiempo se considera que tiene cierto impacto ante una incidencia. Así, el
73,8% de las empresas afirma que una incidencia de seguridad no tiene ningún impacto
2
En rigor, los datos no son perfectamente comparables, ya que la pregunta de la encuesta se refiere a si ha sufrido virus
“en alguna ocasión” y los datos de la auditoria se aplican al momento de realización del escaneo, a cualquier tipo de
malware.
sobre la imagen de su empresa y un 69% opina que carece de impacto económico en el
negocio.
Ante un incidente de seguridad, un 42,9% de las empresas ha reaccionado instalando o

actualizando una herramienta de seguridad, y un 24,6% ha comenzado a realizar copias
de seguridad de los archivos. Estos datos confirman que, en el contexto de una situación
problemática relativa a la seguridad de la información, las empresas actúan mejorando
sus medidas y hábitos de seguridad, y no abandonando el servicio (sólo el 5,4%
manifiesta dejar de utilizar servicios de Internet como consecuencia de una incidencia.)
Internet está tan interiorizado en la realidad de la empresa española que abandonar su
uso no es una opción para la inmensa mayoría.
¿Cómo solucionan las pequeñas empresas españolas de menos de 50 empleados los

incidentes de seguridad? En un 65,7% de las ocasiones, recurren a servicios
especializados, ya sea un experto en seguridad (25,5%), un servicio técnico (23,3%) o un
proveedor local de sistemas informáticos (16,9%).
IV e-Confianza
El indicador más limpio del nivel de confianza que las empresas españolas muestran
hacia la Sociedad de la Información es el uso efectivo de los servicios telemáticos
existentes. En este sentido, los datos confirman que la e-confianza de las empresas
españolas de menos de 50 empleados goza de buena salud: un 84,2% de las entidades
estudiadas utiliza la banca electrónica; la comunicación vía e-mail o formulario web es
practicada por el 59,9% de las empresas; el 57,2% reconoce realizar gestiones con la
Administración Pública; un nada desdeñable 50,2% de organizaciones afirma utilizar la
firma electrónica; por detrás de ellas, transacciones en línea de componente económico
que implican compras a proveedores, ventas a clientes o realización de pagos son
llevadas a cabo, respectivamente, por el 41%, 40,6% y 41,5% de las empresas
participantes en el estudio.
En muchos casos, el nivel de adopción de estos servicios por la empresa española

supera al registrado entre las europeas: tal es el caso del uso de banca electrónica, la
realización de gestiones con las administraciones públicas, la utilización de la firma
electrónica, la realización de compras y, por último, las ventas en línea.
El uso está más extendido entre las empresas de mayor tamaño (10 a 49 empleados)
que entre las microempresas. Las acciones de formación y concienciación que se lancen
desde las administraciones y sector privado deberían tener en cuenta esta circunstancia
para seleccionar colectivos de impacto a los que dirigirse.
Además, los niveles de confianza en cada servicio son muy elevados entre los usuarios,
en valores que se sitúan entre el 75 y el 90% en todos los casos. En este caso, el tamaño
de la empresa no afecta a la hora de determinar una mayor o menor confianza.
V Sistema de Indicadores de Seguridad
El análisis del presente estudio se completa con el cálculo de una serie de indicadores
que ofrecen, de manera sistemática y segmentada, una visión integral del estado de la
seguridad de las empresas españolas.
El cálculo se compone de siete indicadores clasificados en tres grupos, relacionados con

la protección (indicador de herramientas, indicador de buenas prácticas e indicador de
políticas), el riesgo y nivel de incidencias (indicador de incidencias de malware e
indicador de equipos en situación de riesgo) e indicadores generales de seguridad y
e-confianza (indicador agregado global de seguridad e indicador de e-confianza). Todos
los indicadores toman valores que se encuentran entre 0 y 100 puntos.
En general, la situación global se mantiene con un equipamiento en herramientas

considerable (76,1), una realización de buenas prácticas moderado (51,1) y una
existencia de planes y políticas ciertamente mejorable (21,0). En el análisis de las
incidencias, se obtiene una moderada incidencia en ordenadores con códigos maliciosos
(48,4) y una cifra relativamente baja de ordenadores en situación de riesgo (23,8).
Respecto a los indicadores generales de seguridad y e-confianza, los valores son 54,4 y
73,2 respectivamente, deduciéndose que la situación de seguridad ofrecida por el
indicador agregado global se encuentra en unos niveles adecuados, y la percepción
subjetiva respecto al grado de confianza de seguridad de las empresas cuando usan
Internet es bastante elevada.
VI Recomendaciones
Recomendaciones a las pequeñas y microempresas españolas
Su papel es decisivo en la implantación de la seguridad de la información como elemento

añadido que aporte valor a su actividad empresarial. Para ello, se propone la adopción de
las siguientes iniciativas:
• Usar adecuadamente las medidas y herramientas de seguridad.
• Instalar software bajo licencia y actualizar los programas/sistemas operativos.
• Establecer procedimientos, planes y políticas de seguridad.
• Erradicar la falsa percepción de seguridad de las empresas españolas a través de

la información y la sensibilización.
• Implantar Sistemas de Gestión de la Seguridad de la Información (SGSI).
• Proporcionar a los empleados formación en materia de seguridad de la

información.
Recomendaciones a los fabricantes y proveedores de soluciones de seguridad
Las recomendaciones propuestas a los fabricantes y los proveedores de soluciones son:
• Adaptar los productos y soluciones de seguridad dirigidos a las pequeñas

empresas a sus necesidades concretas.
• Hacer atractivos los precios finales y márgenes de los intermediarios.
• Fomentar mecanismos que favorezcan las relaciones con las AA.PP.
• Ampliar y mejorar los servicios pre-venta y post-venta.
Recomendaciones a las Administraciones Públicas
La función de las Administraciones Públicas será decisiva a la hora de destinar

financiación, así como en la coordinación, armonización y consolidación de economías de
escala. Se propone a las administraciones lanzar las siguientes iniciativas:
• Promover y asesorar en la implantación de Sistemas de Gestión de la Seguridad

de la Información.
• Sensibilizar a las empresas a través de un enfoque de la seguridad proactivo

basado en el riesgo.
• Orientar acciones en las empresas subcontratadas de prestación de servicios de

tecnologías de la información (TI).
• Ofrecer información y asesoramiento a las empresas en sus planes de formación

a los empleados.
• Seguir fomentando la e-confianza entre las empresas.
• Realizar una labor recurrente de diagnóstico y métrica del estado de la seguridad

de la información en las empresas.
• Elaborar y difundir información adaptada a las necesidades de las empresas.
1 INTRODUCCIÓN Y OBJETIVOS
1.1 Presentación
1.1.1 Instituto Nacional de Tecnologías de la Comunicación.
El Instituto Nacional de Tecnologías de la Comunicación (INTECO), sociedad estatal

promovida por el Ministerio de Industria, Turismo y Comercio, es una plataforma para el
desarrollo de la Sociedad del Conocimiento a través de proyectos del ámbito de la
innovación y la tecnología.
Su objetivo es doble: por una parte, contribuir a la convergencia de España con Europa
en la Sociedad de la Información y, por otra parte, promover el desarrollo regional,
enraizando en León un proyecto con vocación global.
La misión de INTECO es impulsar y desarrollar proyectos de innovación relacionados con

el sector de las Tecnologías de la Información y la Comunicación (TIC) y en general, en el
ámbito de la Sociedad de la Información, que mejoren la posición de España y aporten
competitividad, extendiendo sus capacidades tanto al entorno europeo como al
latinoamericano. Así, el Instituto tiene la vocación de ser un centro de desarrollo de
carácter innovador y de interés público a nivel nacional que constituirá una iniciativa
enriquecedora y difusora de las nuevas tecnologías en España en clara sintonía con
Europa.
El objeto social de INTECO es la gestión, asesoramiento, promoción y difusión de

proyectos tecnológicos en el marco de la Sociedad de la Información. Para ello, INTECO
desarrollará actuaciones, al menos, en las líneas estratégicas de Seguridad Tecnológica,
Accesibilidad y Calidad del Software.
1.1.2 Observatorio de la Seguridad de la Información
El Observatorio de la Seguridad de la Información se inserta dentro de la línea estratégica

de actuación de INTECO en materia de Seguridad Tecnológica. Nace con el objetivo de
describir de manera detallada y sistemática el nivel de seguridad y confianza en la
Sociedad de la Información y de generar conocimiento especializado en la materia. De
este modo, se encuentra al servicio de los ciudadanos, las empresas y las
Administraciones Públicas españolas para describir, analizar, asesorar y difundir la
cultura de la seguridad de la información y la e-confianza.
El Observatorio ha diseñado un Plan de Actividades y Estudios con el objeto de producir

conocimiento especializado y útil en materia de seguridad por parte de INTECO, así
como de elaborar recomendaciones y propuestas que definan tendencias válidas para la
toma de decisiones futuras por parte de los poderes públicos.
Dentro de este plan de acción se realizan labores de investigación, análisis, estudio,
asesoramiento y divulgación que atenderán, entre otras, a las siguientes estrategias:
• Elaboración de estudios e informes propios en materia de seguridad de las

Tecnologías de la Información y la Comunicación, con especial énfasis en la
Seguridad en Internet.
• Seguimiento de los principales indicadores y políticas públicas relacionadas con la

seguridad de la información y la confianza en el ámbito nacional e internacional.
• Generación de una base de datos que permita el análisis y evaluación de la

seguridad y la confianza con una perspectiva temporal.
• Impulso de proyectos de investigación en materia de seguridad TIC.
• Difusión de estudios e informes publicados por otras entidades y organismos

nacionales e internacionales, así como de información sobre la actualidad
nacional y europea en materia de la seguridad y confianza en la Sociedad de la
Información.
• Asesoramiento a las Administraciones Públicas en materia de seguridad de la

información y confianza, así como el apoyo a la elaboración, seguimiento y
evaluación de políticas públicas en este ámbito.
1.2 Estudio sobre la seguridad y la e-confianza en las pequeñas y microempresas

españolas
El empleo de las tecnologías por parte de las empresas españolas se ha posicionado

como elemento dinamizador del crecimiento económico basado en el aumento de la
competitividad y la productividad, con numerosas iniciativas procedentes del sector
público enfocadas a facilitar el acceso a las tecnologías por parte de los actores
principales de la Sociedad de la Información.
Resulta clave la necesidad de poner el foco en el fomento de las TIC y por ende, de la
seguridad de la información, ya que no se pueden entender unas sin la otra entre las
El estudio cuenta con dos peculiaridades que lo pueden convertir en material exclusivo de
referencia en seguridad de la información a nivel nacional e internacional:
• En primer lugar, el estudio permite realizar lecturas evolutivas con respecto a

tomas de datos realizadas por INTECO en 2008. De este modo, se pueden
apreciar tendencias de evolución.
• En segundo lugar, los resultados del estudio proceden de dos fuentes
diferenciadas y comparables, permitiendo conocer el nivel de coincidencia y/o
discrepancia entre la percepción de las empresas (obtenida a través de las
encuestas) y la situación real de seguridad de sus equipos (extraída de los
análisis de seguridad practicados en línea). En el epígrafe 2 se profundiza en la
metodología seguida.
1.2.1 Objetivo general
El objetivo general de este estudio es el análisis, basado en las percepciones de los

empresarios, de la evolución de la situación de seguridad de la información y e-confianza
entre las pequeñas y microempresas, al mismo tiempo que su contraste con el nivel real
de seguridad e incidencias que mantienen sus equipos.
Todo ello, con el fin de proponer recomendaciones de actuación a las entidades, a la

industria de seguridad de la información y a las Administraciones Públicas para impulsar
el conocimiento y el seguimiento de los principales indicadores y políticas públicas
relacionadas con la Sociedad de la Información en materia de seguridad de la
información y e-confianza.
1.2.2 Objetivos específicos
El anterior objetivo se desglosa operativamente en los siguientes objetivos específicos

que permiten, además, orientar la estructura temática del presente informe.
Herramientas, buenas prácticas y políticas de seguridad en las empresas
• Analizar la oferta disponible y el estado de implantación de los productos de

seguridad existentes en las empresas, y contrastar los resultados con el nivel de
instalación de los mismos en el ámbito internacional.
• Examinar las diferencias existentes en el equipamiento de seguridad entre las

empresas españolas, en función de su tamaño.
• Conocer las barreras a la instalación de las medidas de seguridad en los equipos

de las pequeñas y microempresas.
• Comprobar la existencia de recursos humanos especializados en temas

tecnológicos y de seguridad informática en el ámbito de la pequeña empresa
española.
• Conocer la inversión que las empresas españolas están llevando a cabo en

seguridad de la información.
• Verificar el comportamiento de las pequeñas y microempresas españolas en
relación con la adopción de buenas prácticas de seguridad: realización de copias
de seguridad y actualización de los programas y sistemas operativos.
• Analizar la evolución del conocimiento y cumplimiento de la normativa de

protección de datos.
• Identificar los planes y políticas de seguridad adoptados por las entidades

españolas, y contrastar los resultados con el nivel de adopción de los mismos en
el ámbito internacional.
Incidencias de seguridad ocurridas y reacción ante ellas
• Conocer la frecuencia con la que los usuarios declaran padecer incidencias de

seguridad en los equipos de sus entidades.
• Determinar el nivel de incidencia general del código malicioso o malware, definir

sus categorías y cuantificar la gravedad de los mismos.
• Analizar la diversificación del código malicioso, a partir de la existencia de

variantes únicas y del número de detecciones en los equipos.
Seguridad de las comunicaciones móviles e inalámbricas
• Determinar el nivel de seguridad que las organizaciones otorgan a sus

dispositivos móviles avanzados y comunicaciones inalámbricas.
Consecuencias, reacciones y respuestas ante las incidencias de seguridad
• Determinar las consecuencias y los cambios de hábitos adoptados por las

pequeñas y microempresas españolas tras las incidencias de seguridad.
e-Confianza de las empresas
• Elaborar un diagnóstico sobre la adopción de la Sociedad de la Información entre

las pequeñas y microempresas españolas, y analizar su grado de e-confianza.
• Conocer las circunstancias que, potencialmente, pueden suponer un freno al

desarrollo de la Sociedad de la Información y analizar en qué medida la seguridad
afecta a la utilización de nuevos servicios.
2 DISEÑO METODOLÓGICO
En la definición de la metodología del estudio, se ha considerado una fórmula que

permite obtener información relativa al nivel de seguridad y e-confianza de las pequeñas
empresas españolas desde una doble perspectiva: información basada en la opinión del
empresario e información empírica de la situación de seguridad de los equipos:
• Percepción sobre la situación de la seguridad de la información y nivel de e-

confianza de los empresarios. Un total de 2.206 pequeñas y microempresas
han respondido a la encuesta, de acuerdo con los criterios del muestreo aleatorio
simple en las que p=q=0,5 y para un nivel de confianza del 95,5%, el error
muestral para n=2.206 es de ±2,1%.
• Nivel de seguridad real de los equipos informáticos existentes en las

empresas. Para ello, se utiliza el software iScan 3 , desarrollado por INTECO, que
analiza los sistemas y las incidencias de seguridad en los equipos gracias a la
utilización conjunta de 46 motores antivirus. Este software se instala en los
equipos y los analiza, detectando todo el malware residente en los mismos y
recogiendo además datos del sistema operativo, del estado de su actualización y
de las herramientas de seguridad instaladas. El programa informático remite esta
información a INTECO, que la trata de manera anónima y agregada. El número
total de análisis remotos de seguridad ha sido 622.
Esto permite analizar dos fuentes paralelas de información en el ámbito de la seguridad

informática, lo que produce la ventaja de contrastar la percepción sobre la seguridad
corporativa que tienen los encuestados y la situación real de los equipos de las
empresas. Para facilitar la lectura de los contenidos de los gráficos, en cada uno de ellos
se menciona la base de cálculo empleada.
Esta es la primera ocasión en la que se aplica esta metodología basada en el contraste

de una doble fuente en un estudio referido a pequeñas y microempresas españolas, lo
que aporta una gran ventaja comparativa y lo convierte en referente nacional. Sí se ha
utilizado con anterioridad en estudios realizados sobre equipos domésticos. En concreto,
el Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles
elaborado por el Observatorio de la Seguridad de la Información de INTECO ofrece
trimestralmente información relativa al nivel de seguridad y e-confianza de los hogares.
3
El software, propiedad de INTECO, es un programa sencillo e inocuo que permite realizar un análisis exhaustivo en
remoto tanto del sistema como de la seguridad de los ordenadores. Todo ello, con absoluta confidencialidad y
transparencia. En apartado 2.2.2. se explica de forma detallada el funcionamiento de iScan
2.1 Caracterización del universo objeto de la investigación
El universo objeto del estudio está constituido por toda empresa española de hasta 50
empleados, diferenciando entre las microempresas (menos de 10 empleados) y las
pequeñas empresas (10-49 asalariados).
Para la definición de microempresas y pequeñas empresas se ha tenido en cuenta la

clasificación establecida por la Comunidad Europea 4 .
Tabla 1: Clasificación de las empresas según la normativa de la Comunidad Europea (en

vigor desde el 1 de enero de 2005)
Empresa Empresa
Microempresa
pequeña mediana
Número de empleados Menos de 10 Menos de 50 Menos de 250
Facturación máxima (en millones de
2 10 50
euros)
Volumen de negocio anual o balance
2 10 43
general anual (en millones de euros)
Fuente: Recomendación C.E. (6 de mayo de 2003)
El número de empresas activas en España a 1 de enero de 2009, según datos del

Directorio Empresarial (DIRCE) 5 es de 3.355.830, distribuyéndose por tamaño según
muestra el Gráfico 1. El 94,8% dispone de menos de 10 empleados, que son las
denominadas microempresas. El 5,2% restante son empresas de 10 o más empleados,
clasificadas en pequeñas (de 10 a 49 asalariados), medianas (de 50 a 199 asalariados) y
grandes empresas (de 200 o más asalariados).
Por el escaso peso numérico que tienen las empresas de más de 50 empleados dentro
del panorama empresarial español (ver Gráfico 1), se excluyen del ámbito del estudio.
4
Comisión Europea (2003): Recomendación de 6 de mayo de 2003 sobre la definición de microempresa, pequeñas y
medianas empresas. Diario Oficial de la Unión Europea L 124, pp. 36-41, de 20 de mayo de 2003. Más información
disponible en http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:124:0036:0041:ES:PDF
5
Instituto Nacional de Estadística (2009): Directorio Central de Empresas. Disponible en
http://www.ine.es/jaxiBD/menu.do?type=db&divi=dir&his=0&L=0
Gráfico 1: Distribución de empresas en España según número de empleados (%)
0,1%
0,6%
80,3%
4,4% 94,8%
14,5%
Microempresas Pequeñas Medianas Grandes

De 0 a 2 asalariados De 3 a 9 asalariados
Fuente: DIRCE 2009
2.2 Fases del proyecto de investigación
El desarrollo del estudio, con la metodología descrita, se ha llevado a cabo en cuatro

etapas que se han desarrollado de forma secuencial:
• Fase 1: Recopilación y estudio de informes.
• Fase 2: Auditoría de seguridad.
• Fase 3: Encuestas a empresas.
• Fase 4: Elaboración del informe.
2.2.1 Fase 1: Recopilación y estudio de informes
Esta etapa ha abordado el análisis de la situación actual de la empresa española en

relación a la adopción de políticas y buenas prácticas de seguridad de la información.
Para ello se ha partido, de un lado, de los análisis efectuados en la materia por INTECO
y, de otro, de informes elaborados por empresas dedicadas al estudio de las tecnologías
de la información. A partir de ellos se han extraído conclusiones que han contribuido a
crear un perfil de conocimiento de la situación actual de la seguridad en las pequeñas y
microempresas, los riesgos y amenazas a los que se enfrenta, y las necesidades y
carencias en la oferta de servicios.
Todos los informes consultados en el presente estudio son propiedad de las siguientes
entidades:
• Asociación Empresas de • International Organization for
Tecnologías de la Información y Standardization (ISO) e
Comunicaciones de España International Electrotechnical
(AETIC) Commission (IEC)
• Asociación Española de • McAfee

Comercio Electrónico y Marketing
Relacional (AECEM) • McKinsey&Company
• Comisión Mercado de • MessageLabs

Telecoumicaciones (CMT)
• Ministerio de Industria, Turismo y
• Eurostat Comercio
• Everis • Organización de Cooperación y

Desarrollo Económico (OCDE)
• Forrester Research
• Panda Software
• Fundetec
• PricewaterhouseCoopers
• Gartner
• Red.es
• IDC
• Sectoral e-Business Watch
• INTECO
• Telefónica
2.2.2 Fase 2: Auditoría de seguridad
Se han realizado un total de 622 auditorías de seguridad en, al menos, un equipo de

otras tantas pequeñas y microempresas españolas. La fase de análisis y monitorización
en línea de los ordenadores se realizó entre febrero y junio del año 2009.
Para llevar a cabo los análisis en línea se ha utilizado el programa iScan, una
herramienta de análisis de seguridad propiedad de INTECO especializada en la detección
de medidas activas de seguridad y, sobre todo, de código malicioso (malware).
En el análisis de los parámetros de seguridad, la herramienta identifica

vulnerabilidades críticas, detecta las soluciones antivirus instaladas y analiza la versión
del sistema operativo.
Por lo que respecta al análisis del malware, iScan detecta las incidencias de seguridad
con 46 antivirus distintos con el objetivo de asegurar una mayor tasa de detección
(especialmente ante las nuevas amenazas de carácter altamente indetectable). Como
contrapunto, precisamente con el objeto de minimizar los falsos positivos 6 , se establecen
una serie de filtros y controles posteriores:
1) Filtrado y ponderación de soluciones antivirus. En la selección de los

motores se han tenido en cuenta los siguientes factores:
a. En el listado de soluciones antimalware utilizadas por iScan se excluyen

productos antivirus de perímetro, altamente paranoicos.
b. Tampoco se consideran algunas soluciones que comparten firmas, para

de este modo considerar sólo un motor con el mismo conjunto de firmas.
c. Se ha identificado un subconjunto con los 11 antivirus más reputados,

con mejor tasa de detección frente a especimenes detectados por más
de 10 antivirus.
Para que un archivo sea marcado como malware, éste debe ser detectado por 5
productos de los 46 considerados, teniendo en cuenta que uno de los 5
necesariamente debe pertenecer al subconjunto de los 11 antivirus más
reputados.
2) Verificación manual de un número acotado de ejemplares. Tras una primera

capa de filtrado, se ordenan todos los ficheros detectados en los equipos
auditados por tasa de penetración (número de equipos en los que han sido
avistados). Los 40 ficheros más avistados se analizan manualmente, con el fin
nuevamente de filtrar falsos positivos.
3) Comparación de los ficheros marcados como maliciosos con bases de

datos de software conocido y de ficheros inocuos. INTECO mantiene una
base de datos de software de fabricantes confiables. Todos los ejemplares que
siguen siendo detectados tras las dos capas de filtrado anteriores son
comparados con esta base de datos para eliminar más falsos positivos. De igual
forma, los ficheros son contrastados con la estadounidense National Software
Reference Library 7 del National Institute of Standards and Technology (NIST).
Si se detectase que alguno de los ficheros señalados por iScan está en dicha
base de datos y no forma parte de un kit de hacking o cracking, el archivo no es
considerado como malicioso.
El establecimiento de estos filtros y controles es una medida muy importante de cara a

asegurar la fiabilidad del estudio, pero aun así no elimina por completo la problemática de
6
Un “falso positivo” es la detección, errónea, de un fichero inocuo como malicioso.
7
National Institute of Standards and Technology: National Software Reference Library. Disponible en
http://www.nsrl.nist.gov
los falsos positivos (una problemática inherente a la industria antivirus), ni la de los falsos
negativos.
Asimismo, debe tenerse en cuenta que al comparar todos los ficheros de los equipos
inspeccionados con las bases de datos de malware conocido, no es posible detectar
ningún espécimen desconocido que no se encuentre en dichas librerías. Esto es
especialmente acusado en el caso de los gusanos y virus. Los gusanos suelen incluir un
motor polimórfico que da lugar a un fichero binariamente distinto en cada replicación del
mismo. En consecuencia, es muy difícil que un gusano polimórfico sea detectado, pues
muchos de ellos serán únicos para cada infección y por tanto no estarán presentes en la
base de datos de malware conocido. El caso de los virus es similar: muchos virus infectan
otros archivos, dando lugar a ficheros con nuevas huellas digitales que no están
presentes en la base de datos.
Por último, iScan no proporciona información sobre si un determinado código malicioso

se encuentra activo en el sistema. Podría darse la posibilidad (ciertamente infrecuente,
por otra parte) de un sistema que, aun alojando malware, en realidad no estuviera
infectado. Por ejemplo, el caso de un investigador que tuviera un directorio con código
malicioso para estudiar, o el caso de que un código malicioso haya sido detectado por un
antivirus y movido a una carpeta de cuarentena sin ofuscarlo 8 . Se trata de una situación
que no parece muy probable, pero que sería considerado malware por iScan.
En definitiva, a pesar de la fortaleza de la herramienta iScan y de las medidas adoptadas

por INTECO para mitigar la incidencia de falsos positivos, existen limitaciones intrínsecas
a la metodología empleada que hacen que el análisis no sea infalible. Por ello, a pesar
del rigor y robustez del análisis, los datos que se ofrecen cuentan con un margen de error
que da una perspectiva de los problemas actuales a los que se enfrenta la industria de
seguridad a la hora de desarrollar sus programas antivirus.
2.2.3 Fase 3: Encuestas a empresas
Han participado un total de 2.206 pequeñas y microempresas seleccionadas mediante un

muestreo aleatorio estratificado (número de empleados, sector de actividad y Comunidad
Autónoma) con afijación proporcional según el porcentaje de uso de Internet en función
de los datos del Instituto Nacional de Estadística (INE) 9 .
Para la captación de la muestra se han empleado las siguientes técnicas:
8
En informática, la ofuscación se refiere al acto deliberado de realizar un cambio no destructivo, ya sea en el código fuente
de un programa informático o código máquina cuando el programa está en forma compilada o binaria, con el fin de que no
sea fácil de entender o leer, es decir, se hace ininteligible específicamente para ocultar su funcionalidad.
9
Instituto Nacional de Estadística (2008): Encuesta de uso de TIC y Comercio electrónico (CE) en las empresas 2007 –
2008. Disponible en http://www.ine.es/jaxi/menu.do?type=pcaxis&path=%2Ft09/e02&file=inebase&L=0
• Entrevista telefónica asistida por ordenador –sistema CATI– para la presentación
del estudio y la solicitud de colaboración y participación.
• Página web creada para la difusión y participación en el estudio.
• Contactos disponibles de INTECO de empresas participantes en las diversas

jornadas de sensibilización realizadas por las Cámaras de Comercio de cada una
de las provincias donde se celebraron, dirigidas a PYME españolas a lo largo de
la geografía española.
Muestra
El trabajo de campo se ha desarrollado entre febrero y julio de 2009, atendiendo a

criterios de representatividad nacional en función del sector de actividad (Industria /
Construcción y Servicios), la comunidad autónoma, el tamaño de la empresa y el
porcentaje de uso de Internet.
En relación con el número de empleados, el Gráfico 2 recoge la distribución porcentual

del número de empresas participantes.
Gráfico 2: Distribución porcentual del número de empresas participantes en función del

número de empleados
6,1%
85,1% 14,9%
4,3%
2,2%
2,3%
Menos de 10 De 10 a 19 De 20 a 29 De 30 a 39 De 40 a 49
Fuente: INTECO
Dado que en la fase de auditoría de seguridad han participado 622 empresas, y en la

fase de encuesta 2.206, existe una parte de empresas que han participado en las dos
fases y, por tanto, han aportado datos basados en opinión y en el análisis de sus equipos.
Se trata de 527 empresas, y será la muestra que se considere cuando se analicen cruces
directos entre percepción y realidad.
Error muestral
A continuación se presentan los niveles de error muestral por sector y número de

empleados. El cálculo del error muestral se ha realizado en el supuesto de p=q=0,5, para
un nivel de confianza del 95,5% (1,96 σ respecto de la μ).
El margen de error para este conjunto de empresas es del ± 2,1%, lo que le confiere la
suficiente representatividad para poder extraer conclusiones a nivel nacional y por
tamaño de la empresa (donde los errores muestrales son, para los mismos niveles de
significatividad y de confianza, de un ± 2,3% para una muestra de 1.877 entidades de
menos de 10 trabajadores y de un ± 5,5% sobre una muestra de 329 empresas de entre
10 y 49 empleados).
Tabla 2: Niveles de error muestral por tamaño de las empresas participantes en el estudio
Tamaño Número Margen de Error

Menos de 10 empleados 1.877 ± 2,3%
De 10 a 49 empleados 329 ± 5,5%
TOTAL 2.206 ± 2,1%
Fuente: INTECO
En relación con la otra variable utilizada para el diseño muestral, la Comunidad

Autónoma, se definió una muestra objetivo en la que el reparto por estrato implicase unos
errores muestrales inferiores al ±11%. De este modo el número de encuestas se repartió
buscando la proporcionalidad con el número de empleados y el sector empresarial.
Tabla 3: Distribución de las empresas en la muestra según las distintas Comunidades
Autónomas
Comunidades Autónomas Número de empresas por CCAA Error muestral

Andalucía y ciudades
220 6,7%
autónomas (Ceuta y Melilla)
Aragón 99 10,1%
Asturias (Principado de) 115 9,3%
Balears (Illes) 105 9,8%
Canarias 103 9,9%
Cantabria 87 10,7%
Castilla y León 130 8,8%
Castilla-La Mancha 102 9,9%
Cataluña 206 7,0%
Comunitat Valenciana 172 7,6%
Extremadura 98 10,1%
Galicia 148 8,2%
Madrid (Comunidad de) 236 6,5%
Murcia (Región de) 99 10,1%
Navarra (Comunidad Foral de) 89 10,6%
País Vasco 113 9,4%
Rioja (La) 84 10,9%
Fuente: INTECO
2.2.4 Fase 4: Elaboración del informe
En la elaboración del presente informe se recogen el análisis y conclusiones de la

investigación, junto con las recomendaciones de actuación.
Para realizar los análisis comparativos a nivel europeo e internacional sobre el estado de
la seguridad de las pequeñas y microempresas españolas se han utilizado las siguientes
fuentes:
• Para los análisis europeos, se ha considerado el informe ICT usage by

Enterprise 10 , realizado por Eurostat en 2008. Los resultados del estudio se basan
en las respuestas de 133.300 empresas con al menos 10 empleados situadas en
la Europa de los 27 (UE 27), más Noruega e Islandia. En el estrato de empresas
entre 10 y 49 empleados se encuestó a 67.303 empresas. Los datos utilizados de
10
Eurostat (2008): ICT usage by enterprise 2008. Disponible en
http://epp.eurostat.eu/portal/page/portal/information_society/introduction
este estudio son los correspondientes a la Europa de los 15 (UE 15 11 ) y de los 27
(UE 27 12 ).
• Para el análisis internacional, se han considerado dos informes:
o El informe Global State of Information Security Survey 13 (GSISS) realizado

por PricewaterhouseCoopers en colaboración con las revistas CIO y CSO.
En el estudio participan 7.097 CEOs, CFOs, CIOs, CSOs, Vicepresidentes,
Directores de Tecnologías de la Información (en adelante TI) y de
seguridad de la información y profesionales de TI y seguridad de 119
países en 5 continentes, con un margen de error del ±1,2%.
A efectos de facilitar la comparabilidad, se han utilizado los datos del

estrato de empresas de 1 a 100 empleados, lo que supone una base
muestral de 2.217 encuestados distribuidos geográficamente entre
empresas situadas en los cinco continentes. De ellos, el 35,4% de las
entidades se ubican en Europa (un 5% de las mismas -119- son
españolas) y en América del Norte (un 29,2% del total).
o El Barómetro Internacional de Seguridad en PYMES 14 realizado por Panda

Security en Mayo de 2009. Los resultados del estudio se basan en las
respuestas de 2.565 empresas de entre 1 y 400 ordenadores de toda
España, y 5.760 empresas de diversos países, con un margen de error del
±1,1%.
Además, con el objeto de disponer de un único valor que permita conocer el nivel de
seguridad de la información de las pequeñas y microempresas españolas, se ha
diseñado un sistema de indicadores estadísticos específico que sintetiza la información y
resultados del estudio en una serie de medidas estadísticas sobre seguridad de la
información (ver epígrafe 8 SISTEMA DE INDICADORES).Para la construcción de este
sistema se ha tomado como referencia el Small Business Information Security: The
Fundamentals 15 elaborada por el NIST. En dicho documento se enumeran las acciones
que una pequeña empresa debe realizar para estar protegida.
11
Alemania, Austria, Bélgica, Dinamarca, España, Finlandia, Francia, Grecia, Italia, Irlanda, Luxemburgo, Países Bajos,
Portugal, Suecia y Reino Unido.
12
Alemania, Austria, Bélgica, Bulgaria, Chipre, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia,
Grecia, Holanda, Hungría, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Polonia, Portugal, Reino Unido, Republica
Checa, Rumania y Suecia.
13
PricewaterhouseCoopers (2008): The Global State of Information Security Survey (GSISS). Disponible en
http://www.pwc.com/extweb/insights.nsf/docid/0E50FD887E3DC70F852574DB005DE509/$File/PwCsurvey2008_cio_reprin
t.pdf
14
Panda Security (2009): Barómetro Internacional de Seguridad en PYMES. Disponible en
http://www.pandasecurity.com/NR/rdonlyres/9A6054F7-7C2F-4CFB-9A83-
315BA2072B35/0/01PF_Barometro_Seguridad_PYMEs_Ejemplo.pdf
15
National Institute of Standards and Technology (2009): Small Business Information Security: The Fundamentals.
Disponible en http://csrc.nist.gov/publications/drafts/ir-7621/draft-nistir-7621.pdf
3 HERRAMIENTAS, BUENAS PRÁCTICAS Y
POLÍTICAS DE SEGURIDAD EN LAS PEQUEÑAS Y
MICROEMPRESAS
En la actualidad hay un consenso casi generalizado en que el desarrollo de cualquier tipo

de negocio y el uso de las tecnologías de la información no son hechos aislados y, por lo
tanto, están sujetos a interacción.
Además, dado el grado de implantación de estas tecnologías en el seno de las pequeñas

y microempresas españolas, se hace necesario realizar este análisis que se centra en las
herramientas, buenas prácticas y políticas de seguridad que adoptan.
El análisis de las buenas prácticas de seguridad se realiza tomando como base la opinión
de los responsables de las empresas que han participado en el estudio, mediante las
declaraciones efectuadas por éstos en las encuestas de opinión.
En el caso de las soluciones, el informe muestra el contraste entre la opinión del

encuestado acerca de las medidas que cree tener instaladas en al menos uno de los
ordenadores ubicados en la propia empresa y las que efectivamente se encuentran en los
equipos auditados, según los resultados ofrecidos por la herramienta iScan. Esto permite
identificar el grado de familiarización de los responsables de las pequeñas y
microempresas con el equipamiento de sus ordenadores, y ofrecer una radiografía de las
herramientas de seguridad utilizadas en las empresas.
3.1 Herramientas de seguridad
En este epígrafe se examina el nivel de implantación de las herramientas, los motivos

declarados para no utilizarlas, el personal cuyas competencias son las TIC y finalmente la
inversión efectuada en seguridad.
Las empresas, conscientes de la importancia de sus datos y de la información que

albergan sus equipos, disponen de herramientas y/o soluciones de seguridad a nivel
equipo y a nivel organización. En la encuesta, por tanto, se analiza el nivel de adopción
de ambos tipos de medidas:
• Herramientas de seguridad en los equipos: se mide la penetración de soluciones

de seguridad instaladas en los ordenadores de la empresa, y se analiza si las
herramientas están disponibles en todos los equipos o sólo en algunos.
• Medidas de seguridad generales de la empresa: en este caso, se trata de

soluciones que se adoptan a nivel compañía, y que implican una estructura
organizacional determinada. Por ello, el nivel de adopción de estas medidas sólo
se analiza entre las empresas de mayor tamaño (de 10 a 49 empleados).
3.1.1 Nivel de implantación de las herramientas de seguridad en las pequeñas y
El análisis del nivel de implantación de las herramientas y/o soluciones que las
empresas tienen en sus ordenadores confirma cómo, en general, las pequeñas y
microempresas españolas cuentan con un amplio abanico de productos y soluciones de
seguridad. Éste es el caso del grado de instalación que tienen las herramientas
asociadas a la protección de la navegación en Internet (antivirus, cortafuegos personal,
anti-correo basura, herramientas de bloqueo de ventanas emergentes), con tasas de uso
declaradas superiores, en todos los casos, al 54%. En el caso de los programas antivirus
el uso es casi universal (97,8%).
Medidas menos utilizadas son los programas de limpieza de disco (43,6%), los privilegios
distintos en los equipos dependiendo del usuario (33,4%), las herramientas que permiten
el acceso a las redes de las empresas desde fuera de las oficinas (por ejemplo, las de
red privada virtual –VPN–), utilizadas por el 22,7% y las herramientas de cifrado de disco
(8,2%).
Gráfico 3: Nivel de implantación de las soluciones de seguridad en los ordenadores de la

entidad (%)
Programas de antivirus / anti-espia 97,8% 2,2%
Cortafuegos personal en los ordenadores 72,4% 27,6%
Medios de control de acceso 66,8% 33,2%
Programas de anti correo basura 61,0% 39,0%
Herramientas de bloqueo de ventanas emergentes 54,4% 45,6%
Programas de limpieza de disco 43,6% 56,4%

Privilegios distintos en los equipos dependiendo del
33,4% 66,6%
usuario
Herramientas que permitan acceso a su red desde
22,7% 77,3%
fuera de la oficina (VPN)
Herramientas de cifrado de disco 8,2% 91,8%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100
%
Si No
n=2.206 Fuente: INTECO
La Tabla 4 analiza, para cada medida, si se encuentra presente en todos los equipos de
la empresa o sólo en algunos. La tendencia es, en general, a instalar la herramienta en
todos los ordenadores. Parece que, una vez adoptada la decisión, ésta se implementa de
forma generalizada en los equipos de la empresa. Hay dos medidas (las herramientas
que permiten el acceso a la red desde fuera de la oficina y el uso de privilegios distintos
en los equipos dependiendo del usuario) donde el nivel de adopción parcial (es decir, sólo
en determinados equipos) es considerable.
Tabla 4: Implantación de las soluciones de seguridad según el número de equipos en los

que se encuentran instaladas (%)
En todos los Sólo en

Soluciones equipos de la determinados
empresa equipos
Programas antivirus / anti-espía 94,7 3,1
Cortafuegos personal en los ordenadores 67,7 4,8
Medios de control de acceso/autenticación 61,3 5,5
Programas anti correo basura 57,0 4,0
Herramientas de bloqueo de ventanas emergentes 50,1 4,3
Programas de limpieza de disco 39,4 4,2
Privilegios distintos en los equipos dependiendo del
26,5 6,8
usuario
Herramientas que permitan acceso a su red desde
14,3 8,4
fuera de la oficina
Herramientas de cifrado de disco 5,2 3,0
La importancia en la implantación de alguna de estas soluciones queda patente cuando

se comparan con la situación internacional 16 . Así, en España predomina la adopción de
medidas de seguridad consideradas básicas: antivirus, cortafuegos y contraseñas. En los
tres casos, el nivel de utilización de las medidas por parte de las empresas españolas es
superior al mostrado a nivel internacional, donde las empresas se sitúan 17,8 puntos
porcentuales por detrás de las españolas en el uso de antivirus, 8,3 respecto a los
cortafuegos y 22,9 puntos en el caso del control de acceso al equipo.
En el caso de herramientas de seguridad de carácter más específico la tendencia es la

opuesta: son más frecuentemente adoptadas a nivel internacional que en la empresa
española. Así, por ejemplo, los programas de bloqueo de ventanas emergentes están
presentes en 61,1% de las empresas internacionales frente al 54,4% de las españolas.
Lo mismo ocurre con las herramientas de cifrado de discos y con las herramientas que
permiten el acceso a red desde fuera de la oficina. En estos casos, la empresa española
tiene margen de crecimiento para igualarse a la empresa internacional.
16
Conviene recordar que los datos internacionales son, tal y como se hacía constar en el epígrafe sobre metodología,
aportados por el GSISS sobre una base muestral de 2.217 empresas de entre uno y cien trabajadores, 119 de las cuales
son españolas.
Gráfico 4: Comparativa internacional del nivel de implantación de las soluciones de
seguridad en los ordenadores de la empresa (%)
80,0%
Programas de Antivirus/Anti-espía
97,8%
64,1%
Cortafuegos personal
72,4%
43,9%
Medios de control de acceso (contraseñas)
66,8%
61,1%
Bloqueo de ventanas emergentes
54,4%
Herramientas que permitan acceso a su red desde 47,5%

fuera de la oficina (VPN) 22,7%
40,7%
Herramientas de cifrado de discos
8,2%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100
%
España Internacional
España n=2.206, Internacional n=2.217 Fuente: INTECO (2009) y GSISS PwC (2008)
El análisis longitudinal de la presencia de las herramientas y soluciones de seguridad

básicas (antivirus, cortafuegos, mecanismos de autenticación) según el tamaño de las
entidades (Gráfico 5) muestra un uso variable de las mismas:
• La presencia de programas antivirus entre las empresas se ha mantenido

constante a lo largo del periodo analizado de 2006 a 2009, situándose entre el
97% y el 97,7% en las microempresas y el 96,8% y el 98,5% entre las pequeñas
entidades.
• Los cortafuegos son una herramienta más utilizada entre las pequeñas empresas
(75,4%) que entre las de menor tamaño (71,9%). Aún así la evolución de estas
soluciones muestra cómo se han implantado más entre las microempresas que
entre las de 10 a 49 trabajadores. Así, entre las primeras, en 2006 estaban
presentes en 53,4% de las empresas de menos de 10 empleados y en 2009 el
porcentaje de entidades se sitúa en el 71,9%. La variación porcentual entre las
pequeñas empresas es de 9,1 puntos.
• Finalmente en el caso de los mecanismos de autenticación, mientras que en las

microempresas ha habido un incremento de 33,7 puntos porcentuales entre 2006
y 2009, entre las empresas de 10 a 49 empleados el incremento ha sido de 34,4
puntos (de un 42,2% de entidades que en 2006 lo tenían implantadas a un 76,6%
en el 2009).
Gráfico 5: Evolución anual en la implantación de algunas herramientas y soluciones de
seguridad en las empresas, según tamaño de la empresa (%)
97,0% 97,7% 96,8% 98,5%

100%
90% 76,6%
71,9% 75,4%
80% 66,3%
65,1%
70%
60% 53,4%
50% 42,2%
40% 31,4%
30%
20%
10%
0%
Mecanismos Cortafuegos Antivirus Mecanismos Cortafuegos Antivirus
de de
autenticación autenticación
Microempresas Pequeñas empresas
2006 2007 2008 2009
2009 n=2.206, 2006-2008 n= 23.762 Fuente: INTECO (2009) e INE (2006-2008)
Aunque, como se ha visto reflejado en el anterior gráfico, el uso de los programas

antivirus es la medida mas frecuentemente adoptada entre la empresa española, la
posibilidad de contrastar esta información con el nivel real de seguridad de los
ordenadores permite comprobar las diferencias existentes en los equipos de las
pequeñas y microempresas españolas participantes en el estudio.
Gráfico 6: Nivel de utilización de programas antivirus: datos declarados vs. datos reales (%)
100% 2,2% 6,9%

90%
80%
70%
60%
50% 97,8% 93,1%
40%
30%
20%
10%
0%
Declarado Presencia real
Dispone de antivirus No dispone
Declarado n=2.206, Presencia real n=622 Fuente: INTECO
Comparando los datos declarados por las empresas frente la presencia real de programa
antivirus (Gráfico 6), se obtiene que un 93,1% de las empresas efectivamente tienen
instalada la herramienta, frente al 97,8% que declaraban utilizar la medida.
Más aún, gracias a la información que aporta iScan es posible realizar una comparativa
entre instalación declarada e instalación real en los equipos analizados, es decir, entre lo
que declaran las empresas y lo que realmente tienen instalado en sus ordenadores. De
este modo, un 86,9% de las empresas tiene una percepción correcta ya que declaran que
disponen de antivirus y así es.
En sentido contrario, pues, es posible identificar el porcentaje de empresas que pueden

estar ante un riesgo potencial. En esta situación se encuentran tanto las que
efectivamente manifiestan no tenerlo y la auditoría de seguridad muestra que es así
(1,3%) así como las empresas que creen que su equipo dispone de antivirus pero en
realidad no lo tienen instalado (5,7%). Todas ellas son vulnerables ante cualquier ataque
de malware.
Las empresas con una mayor estructura organizacional, tienen la posibilidad de

configurar las herramientas y soluciones en el ámbito de las empresas, consiguiendo
de esta forma que su nivel de seguridad mejore. Además pueden dotar a sus sistemas de
una configuración extra a la implantada en los propios ordenadores. Se trata de
herramientas como los sistemas de copias de seguridad de los datos, los de prevención o
detección de intrusos o los cortafuegos en red 17 .
Un aspecto reseñable es el grado de implantación que tienen los sistemas de copia de

seguridad de los datos y los cortafuegos en red (Gráfico 7), con tasas de uso declaradas
del 82,4% y 72,9%, respectivamente.
Un segundo grupo de soluciones ampliamente adoptadas lo constituyen los sistemas de

prevención de intrusos (51,7%), la seguridad a través de Internet (44,4%), la gestión de
identidades (33,7%) y los sistemas de detección de intrusos (32,5%).
Finalmente las medidas menos utilizadas son el cifrado de documentos y otros sistemas
de detección, utilizadas por un 16,1% y 9,1% de las empresas, respectivamente.
Este gráfico además contrasta, para algunas de las herramientas analizadas, su uso a
nivel internacional. En este tipo de medidas, la realidad es que la empresa extranjera
muestra un mayor nivel de adopción que la española, quedando así un área de mejora en
este tipo de herramientas en el ámbito empresarial. Una posible explicación estaría en las
17
A diferencia del cortafuegos personal que se instala como software en un equipo, filtrando las comunicaciones entre éste
y el resto de la red, el cortafuegos en red funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de
paquetes IP.
bases muestrales, mientras que en España es para las empresas de 10 a 49
trabajadores, en el ámbito internacional es entre 1 y 100 empleados.
Gráfico 7: Comparativa internacional del nivel de implantación de herramientas y/o

soluciones de seguridad en las empresas (%)
Sistemas de copia de seguridad de los datos 82,4%
Cortafuegos en red 80,1%

72,9%
Sistemas de prevención de intrusos/filtros 51,7%
Seguridad a través Internet 82,8%
44,4%
Gestión de identidades 33,7%
Sistemas de detección de intrusos 53,3%
32,5%
Cifrado de documentos 44,4%

16,1%
Otros sistemas de detección 9,1%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
España n=329, Internacional n=2.217 Fuente: INTECO (2009) y GSISS PwC (2009)
3.1.2 Motivos declarados por las empresas para no utilizar las distintas
herramientas de seguridad en sus equipos
A las pequeñas y microempresas españolas que han declarado no emplear las

herramientas y/o soluciones en los equipos de sus empresas, se les ha preguntado por
qué no lo hacen (Tabla 5). Por tanto, la base de cálculo en cada caso está constituida por
el número de empresas que declaran no utilizar cada herramienta. Debe tenerse en
cuenta que en algunos casos las bases son reducidas y presentan errores muestrales
superiores; por tanto, los datos deben ser interpretados con cautela.
Para facilitar la lectura de la tabla se ha destacado en rojo el porcentaje de empresas que

menciona, en cada situación, la razón más ampliamente alegada. La creencia de no
necesitarlas y el desconocimiento son las causas que más influyen en su no utilización.
Consideraciones referentes al precio, la sensación de entorpecimiento en el
funcionamiento del equipo, la desconfianza y la sensación de ineficacia son tenidas en
cuenta en mucha menor medida y de forma desigual.
Sorprende el nivel de desconocimiento entre las empresas de soluciones más o menos

habituales, como cortafuegos, los programas de limpieza de disco o las herramientas de
cifrado de disco. Lo mismo ocurre con las herramientas de bloqueo de ventanas
emergentes o los programas de anti correo basura.
El precio, sin tratarse de un motivo prioritario en ninguna de las herramientas, sólo ejerce
cierta influencia para la no utilización de programas de antivirus / anti-espía. En este
caso, conviene recordar que la base de cálculo es muy pequeña y por tanto puede
desvirtuar la validez de los datos.
Tabla 5: Motivos declarados por las empresas para no utilizar las herramientas y soluciones
de seguridad en los equipos (%)
Motivos
No contesta
No necesita
Entorpecen
No conoce
Ineficaces
Desconfía
% Empresas
Soluciones
Precio
Otros
que no lo
utilizan
Programas de antivirus / anti-

2,2% 52,1 14,6 6,3 4,2 0,0 8,3 12,5 2,1
espía
Cortafuegos personal en los
27,6% 57,7 1,6 3,8 0,5 0,0 3,8 30,4 2,1
ordenadores
Herramientas de cifrado de
31,8% 66,2 0,9 1,1 0,3 0,6 1,5 28,1 1,2
disco
Medios de control de acceso/
33,2% 71,5 1,4 1,2 1,5 0,5 4,6 18,6 0,7
autenticación
Programas de anti correo
39,0% 62,0 1,4 1,3 0,6 4,0 5,9 24,2 0,7
basura
Herramientas de bloqueo de
45,6% 69,4 0,6 1,4 0,8 0,5 2,8 24,1 0,5
ventanas emergentes
Programas de limpieza de
56,4% 64,5 0,7 1,3 0,6 1,4 2,3 28,4 0,8
disco
Privilegios distintos en los
equipos dependiendo del 66,6% 75,4 0,5 1,1 0,7 0,7 2,6 18,0 1,1
usuario
Herramientas que permitan
acceso a su red desde fuera 77,3% 73,0 0,9 0,6 1,1 0,8 2,0 20,8 0,8
de la oficina
El análisis en detalle de los motivos para no implementar las soluciones de seguridad

muestra una gran disparidad de criterios. Así, el 30,7% de las empresas no lo ven como
una necesidad (Gráfico 8). Del resto de motivos declarados, destacan la falta de
presupuesto (30,1%) y la falta de tiempo (24,9%). En el lado opuesto están el 6,7% de
empresas que no lo consideran económicamente rentable y el 7,5% que manifiestan que
no es de interés para la dirección de la empresa.
Asimismo, un 24,8% de las empresas participantes en el estudio afirman que no perciben

ninguna barrera en la implantación de las medidas.
Gráfico 8: Barreras para la implementación de medidas de seguridad por parte de las
empresas (%)
No lo percibo como una necesidad 30,7%
Falta de presupuesto 30,1%
Falta de tiempo 24,9%
No percibe ninguna barrera 24,8%
Dificultades para encontrar las soluciones

9,3%
adecuadas para mi negocio
Falta de personal cualificado 8,7%
No es de interés para la dirección 7,5%
No lo considero económicamente rentable 6,7%
0% 10% 20% 30% 40% 50% 60% 70%
3.1.3 Personal dedicado a la seguridad de la información
El propio tamaño de las empresas participantes en este estudio es un condicionante a la

hora de determinar la conveniencia de necesitar personal dedicado en exclusiva a
aspectos informáticos y, más específicamente, profesionales que asuman las
competencias de un director de seguridad.
Las empresas no siempre disponen de personal adecuadamente formado en tecnologías

de la información para afrontar con garantías de éxito los principales riesgos de seguridad
informática.
De hecho, así se constata en la consulta realizada a las empresas, donde sólo el 17,8%
de las mismas afirma disponer de personal exclusivamente dedicado a los aspectos
informáticos de su empresa (Tabla 6).
Tabla 6: Distribución de empresas por tamaño según la tenencia de personal dedicado en

exclusividad a los aspectos informáticos (%)
Tamaño Sí No
Menos de 10 15,3 84,7
De 10 a 49 31,6 68,4
Total Muestra 17,8 82,2
Tomando como base el número de entidades que sí disponen de personal con este perfil
(n=392), el 28,1% de ellas cuentan entre su plantilla, además, con una persona
encargada en exclusiva de dirigir la seguridad informática y un 51% adicional lo hace sin
exclusividad (es decir, lo compagina con otras funciones).
Gráfico 9: Empresas que disponen de una persona encargada de dirigir la seguridad

informática (%)
2,0%
28,1%
51,0%
18,9%
Si, pero lo compagina con otras funciones

No
Si existe y tiene dedicación exclusiva
No contesta
n=392 Fuente: INTECO
Otras fuentes, como en el caso de Panda Security 18 señalan que el 52% de las empresas
en España disponen de un director de seguridad (Gráfico 10), mientras que a nivel
internacional, Alemania es el país con mayor porcentaje de entidades que disponen de
este perfil (87%). En el mismo nivel que España se sitúan Francia (52%), Italia (56%) y
Benelux (57%).
18
Op. cit. 14
Gráfico 10: Comparativa internacional de empresas que disponen de un director de
seguridad de la información (%)
Alemania 87,0%
China 76,0%
Reino Unido 67,0%
USA 65,0%
Benelux 57,0%
Italia 56,0%
Francia 52,0%
España 52,0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
España n=2.565, Internacional n=3.705 Fuente: Panda Security (2009)
La existencia de un responsable de seguridad informática incide en una mayor

implementación de herramientas de seguridad en los equipos de las empresas: el nivel
de adopción de medidas de seguridad es superior entre las empresas que tienen un
director de seguridad que entre aquéllas que no cuentan con esta figura.
El Gráfico 11 analiza la comparativa entre empresas con director y aquéllas sin director
de seguridad. Las herramientas en las que más notable es la diferencia son aquéllas que
permiten acceso a la red desde fuera de la oficina (un 44,2% de las empresas con
director de seguridad la utilizan, frente a sólo un 16,2% entre las organizaciones sin
director) y la utilización de diferentes privilegios (51,3% frente a 39,2%).
La única excepción es la utilización de herramientas de bloqueo de ventanas emergentes,

donde son más las empresas sin responsable de seguridad que han adoptado la medida.
Gráfico 11: Comparativa entre contar/no contar con un director de seguridad a la hora de
tener implementadas medidas de seguridad en los equipos (%)
Programas antivirus / anti-espía 97,3%

98,4%
Programas anti correo basura 67,6%
76,5%
Cortafuegos personal en los ordenadores 79,7%

82,3%
Medios de control de acceso/autenticación 73,0%
82,3%
Programas de limpieza de disco 52,7%
58,4%
Herramientas de bloqueo de ventanas emergentes 67,6%

62,5%
Privilegios distintos 39,2%
51,3%
Herramientas de cifrado de disco 12,2%
20,3%
Herramientas que permiten acceso a la red fuera 16,2%
de la oficina 44,2%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Disponen de director de seguridad No disponen de director de seguridad
Empresas con director n=310, Empresas que no disponen de director n=74 Fuente: INTECO
Por último, se analizan los motivos declarados por las empresas para no disponer de
personal informático y/o directores de seguridad.
El Gráfico 12 refleja que, en ambos casos, el principal motivo es el no existir interés (así
lo manifiestan el 37,3% y el 52,7% respectivamente). Ahora bien, hay que tener en
cuenta antes de poder realizar un análisis comparativo de estos motivos, que el número
de empresas que han contestado a cada una de las cuestiones es diferente. Mientras que
las pequeñas y microempresas españolas que afirmaban no disponer de personal en
exclusiva dedicado a los aspectos informáticos era el 82,2% (n=1814), en el caso del
director de seguridad era el 18,9% de las entidades (n=74).
La imposibilidad de encontrar personal cualificado que pueda ocupar ambos perfiles es el

segundo motivo indicado por las organizaciones. Así lo creen el 18,9% de las entidades,
en el caso de no disponer de personal dedicado en exclusiva a los aspectos informáticos
y, el 12,2% de los que no cuentan con un director de seguridad.
Por último, las empresas señalan otros motivos, como por ejemplo el disponer de un
proveedor externo que atiende los aspectos informáticos o el tamaño reducido de las
empresas, para no disponer de personal exclusivo (29,9%) o de director de seguridad
(20,3%).
Gráfico 12: Motivos por los que las empresas afirman no disponer de personal dedicado a
los aspectos informáticos y de director de seguridad informática
No dispone de director de
52,7% 20,3% 12,2% 14,9%
seguridad informática
No dispone de personal
exclusivo dedicado a los 37,3% 29,9% 18,9% 12,9% 1,0%
aspectos informáticos
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
No existe interés Otros

Descartado por no disponer de personal cualificado Descartado por ser demasiado caro
No contesta
Empresas que no disponen de personal exclusivo n=1.814, Empresas que no disponen de un director n=74
Fuente: INTECO
3.1.4 Evolución de la inversión en seguridad respecto al gasto en informática
La importancia que las pequeñas y microempresas otorgan a la seguridad de la

información reside no sólo en implantación de herramientas y soluciones de seguridad,
sino también en la cuantía y valoración de la inversión realizada en informática.
Respecto al análisis de la inversión, el 79,9% de las entidades considera adecuada la

inversión en seguridad efectuada por su empresa en relación con el gasto total en
informática. El 17,4% de las entidades consideran que han invertido poco, y sólo un 2,7%
de las empresas considera en 2009 que ha invertido más de lo esperado.
El análisis longitudinal 19 de la evolución de inversión muestra que la situación es

continuista con respecto a 2008 (Gráfico 13).
19
INTECO (2008): Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas empresas
españolas. Disponible en
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/estudio_seg_pymes_2
Gráfico 13: Evolución anual de la inversión en seguridad respecto al gasto en informática
(%)
Considero que he 79,9%

invertido lo justo 79,3%

invertido poco 15,5%

invertido más de lo
esperado 5,2%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008 2009
2008 n=265, 2009 n=2.206 Fuente: INTECO
Por otro lado y en relación con la adquisición de material informático (productos y/o
servicios), la Tabla 7 muestra que el 88,7% de las empresas declaran haber invertido
menos que el año anterior, frente a un 2,6% que afirman haber invertido más, y un 7,8%
que ha invertido lo mismo que el año pasado.
El análisis por tamaño de empresa refleja que existe una tendencia ligeramente más
acusada a invertir más o igual que el año pasado entre las empresas entre 10 y 49
empleados. Por el contrario, las microempresas tienden a invertir menos que el año
anterior en mayor medida que las de mayor tamaño.
Tabla 7: Distribución de empresas por tamaño según la valoración efectuada sobre la

adquisición de material informático (%)
Invertido menos Invertido Invertido lo mismo

Tamaño No sabe
que el anterior más que el año pasado
Menos de 10 89,1 2,3 7,6 1,0
De 10 a 49 86,0 4,3 9,1 0,6
Total Muestra 88,7 2,6 7,8 0,9
3.1.5 Necesidades de productos y servicios de seguridad en las pequeñas y
Las empresas tienen claro cuáles son los requisitos que debe tener un producto de
seguridad para valorarlo positivamente.
Parece existir, en general, una buena consideración de las empresas a la hora de valorar
un producto de seguridad (Gráfico 14). Son aspectos como calidad / efectividad, el
servicio postventa, la facilidad de mantenimiento y la facilidad de instalación lo que la
empresa valora en mayor medida. En el caso de los tres primeros, 6 de cada 10
empresas otorgan una valoración positiva. De todos ellos el aspecto más valorado es la
calidad / efectividad donde el 66,6% de las pequeñas y microempresas españolas
participantes en el estudio priman esta característica sobre el resto.
El soporte técnico y posventa es muy valorado por el 62,1% de las organizaciones. Esta
característica es especialmente relevante para una pequeña o microempresa que, como
se ha expuesto, carece, generalmente de personal exclusivamente dedicado a los
aspectos informáticos de su empresa o incluso de director de seguridad informática.
Gráfico 14: Valoraciones que las empresas realizan sobre los distintos aspectos de un
producto de seguridad informática (%)
Calidad / efectividad 66,6% 26,9% 2,3%

4,2%
Servicio postventa,
soporte tecnico y 62,1% 27,2% 6,1% 4,5%
garantía
Facilidad de
59,7% 31,1% 5,3% 3,9%
mantenimiento
Facilidad de instalación 44,4% 38,1% 12,8% 4,6%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Lo valoro mucho Lo valoro poco No lo valoro en absoluto No sabe
n= 2.206 Fuente: INTECO
Complementariamente las pequeñas y microempresas españolas deben, a la hora de

establecer la importancia que la seguridad de la información tiene para ellas, decidirse no
sólo por la inversión en productos, sino también por otros servicios y soluciones
especializados (Gráfico 15), destacando la auditoría y diagnóstico de seguridad
(revisiones de la seguridad de los ordenadores de la empresa), considerado “muy
necesario” o “necesario” por el 76,3% de las empresas encuestadas. Por detrás de las
revisiones de seguridad, el servicio de solución de incidentes de seguridad es
considerado necesario o muy necesario por un 73,2% de las empresas. El asesoramiento
legal para el cumplimiento de la LOPD es valorado por el 68,9% y finalmente la
formación/información especializada por el 66,5% de las pequeñas y microempresas
participantes en el estudio.
Gráfico 15: Valoraciones que realizan las empresas sobre la necesidad de

servicios/soluciones especializados de seguridad (%)
Revisiones de seguridad 28,9% 47,4% 18,1% 5,7%
Asesorias para el
cumplimiento de la 28,7% 40,2% 21,0% 10,1%
LOPD
Servicio de solución de
23,5% 49,7% 21,0% 5,8%
incidentes de seguridad
Formación/información
especializada en 18,9% 47,6% 28,4% 5,1%
seguridad
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Muy necesario Necesario Poco necesario No sabe
3.2 Buenas prácticas de seguridad
Tras el uso adecuado de las herramientas, desarrolladas en el epígrafe anterior, que las
empresas tienen a su disposición, se encuentra el desarrollo de unas buenas prácticas
que permitan garantizar y completar el estado de seguridad de las empresas.
En las pequeñas y microempresas españolas, al igual que en los hogares, son las
buenas prácticas lo que en el caso de una incidencia pueden definir la actitud que deben
tener para solventarla, sin causar un problema grave que pueda tener transcendencia en
su actividad diaria.
Este es el caso de la utilización por parte de las empresas de programas con licencia
original. Su importancia radica en que son los únicos que garantizan un correcto
funcionamiento sin anomalías en los procesos de instalación, haciendo de esta forma
más difícil la entrada en el sistema y/o los equipos de virus o software malintencionado.
Aunque a nivel de España según Business Software Alliance (BSA) 20 el índice de
software sin licencia se sitúa en 42%, en el presente estudio el 85,7% de las entidades
afirma disponer del mismo en formato original y un 7,3% lo desconoce.
En este epígrafe se realiza un análisis de un par de buenas prácticas de seguridad como

son las copias de seguridad y la actualización de los programas y sistemas. La
importancia de ambas radica en que están a disposición de las entidades y su puesta en
marcha permitiría dotarlas de un mayor nivel de seguridad.
3.2.1 Realización de copias de seguridad
La realización de copias de seguridad es una tarea habitual en parte de las empresas

ante el temor a la pérdida de información vital para el negocio, aunque todavía es
necesario instruir a los empleados sobre la necesidad de que ciertas copias de
información sensible se almacenen fuera de las instalaciones habituales de trabajo, con
el fin de evitar la pérdida completa de datos en caso de que se produzca una incidencia
de fuerza mayor.
La importancia de esta práctica reside en la diversidad de riesgos que le pueden afectar a

los sistemas y ordenadores de las empresas, como se puso de manifiesto en el Estudio
sobre medidas de seguridad en plataformas educativas 21 , realizado por INTECO en 2009.
En él se utilizaron como referencia las amenazas y las dimensiones, o aspectos de
seguridad, documentados en la metodología Magerit 22 , para identificar el mapa de
riesgos de las organizaciones. Este tipo de mapa diferencia entre los desastres naturales
e industriales (por ejemplo, fuego, degradación de los soportes de almacenamiento de la
información) y los errores o fallos humanos (por ejemplo, errores de monitorización o de
configuración).
Ante este panorama, las entidades deben no sólo recurrir a las soluciones de seguridad
tanto virtuales como físicas comentadas en el epígrafe anterior sino que además deben
realizar copias de seguridad.
Aunque a nivel global, el 94,2% de las empresas llevan a cabo esta práctica, el análisis
por tamaño de empresa refleja que es una práctica más realizada por las pequeñas
entidades (99,1%), que por las microempresas (93,3%).
20
IDC (2008): Sixth Annual Global Software Piracy Study: Spain Press Release. Disponible en:
http://global.bsa.org/globalpiracy2008/pr/pr_spain.pdf
21
INTECO (2009): Estudio sobre medidas de seguridad en plataformas educativas. Disponible en
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Estudio_plataformas_educativa
22
Magerit (2006): Metodología de análisis y gestión de riesgos de los sistemas de información. Ministerio de
Administraciones Públicas, versión 2.0. Disponible en http://www.csi.map.es/csi/pdf/magerit_v2/metodo_v11_final.pdf
Gráfico 16: Empresas por tamaño que realizan copias de seguridad (%)
1,0% 1,2% 0,3%

100% 0,6%
4,8% 5,5%
90%
80%
70%
60%
50% 99,1%
94,2% 93,3%
40%
30%
20%
10%
0%
Total Menos de 10 De 10 a 49
Sí No No sabe
Una vez confirmado que las empresas realizan esta práctica, el siguiente paso es
conocer la frecuencia con la que se realiza (Gráfico 17). Para el cálculo de los
porcentajes se ha tenido en cuenta el total de entidades que sí realizan copias de
seguridad (n=2.077, un 94,2% del total de empresas analizadas en el estudio).
El 43,2% de las entidades realizan copias de seguridad de manera diaria, mientras que el
3,6% lo realiza una vez cada trimestre. Es interesante comprobar igualmente que el
30,4% efectúa esta práctica una vez a la semana y al menos un 13,8% una vez al mes.
Gráfico 17: Frecuencia con la que las empresas realizan las copias de seguridad (%)
2,2% 1,1%
5,7%
3,6%
13,8%
43,2%
30,4%
Diariamente Una vez a la semana Una vez al més Una vez cada trimestre
Otros No sabe No contesta
En relación con el sistema utilizado para realizar las copias (Tabla 8), entre las empresas
participantes no existe un método único y mayoritario. El 48,4% del total de empresas
que realizan copias de seguridad, las realiza mediante algún sistema automático frente a
un 48% que lo realiza de forma manual. Destaca el comportamiento de las pequeñas
empresas, ya que el 65,8% de las mismas apuestan de manera más clara por el método
automático frente a un 29,8% que confiesa realizarlo manualmente.
Tabla 8: Tipo de configuración a la hora de realizar copias de seguridad, según el tamaño

de empresa (%)
Tamaño Automático Manual No sabe

Menos de 10 45,2 51,3 3,5
De 10 a 49 65,8 29,8 4,4
Total Muestra 48,4 48,0 3,6
En cuanto al soporte empleado para almacenar las copias, se observa que predominan
ampliamente los soportes físicos (CD, DVD, cinta, disco duro externo), con un 77,9%. Un
6,4% utiliza un servidor centralizado de la propia empresa, mientras que un 4,6% emplea
un servidor situado en una ubicación remota, dividiéndose en un servidor externo a la
empresa en un 4,1% y un servidor remoto de la propia empresa en un 0,5%.
Tabla 9: Lugar donde las empresas almacenan las copias de seguridad, según tamaño de la
empresa (%)
Servidor
Servidor de
Soporte externo Servidor No
Empleados la empresa Otros
físico de la remoto contesta
centralizado
empresa
Menos de 10 78,6 6,2 3,7 0,5 2,1 0,9
De 10 a 49 74,2 7,7 6,4 0,9 1,2 2,1
Total Muestra 77,9 6,4 4,1 0,5 2,0 1,1
Aunque un reducido porcentaje de empresas afirman utilizar los servidores de la empresa

para almacenar las copias de seguridad, esto no significa que mayoritariamente las
entidades no cuenten con dicho recurso. De este modo, el 29,4% de las empresas
afirman disponer de uno frente a un 68,5% que señala que no lo tiene. El análisis por
tamaño de la empresa muestra que más de la mitad de las pequeñas empresas, es decir
de entre diez y cuarenta y nueve empleados, disponen de servidores.
Tabla 10: Disponibilidad de servidores, según el tamaño de la empresa (%)
Empleados Sí No No sabe No contesta

Menos de 10 25,3 72,4 2,3 0,0
De 10 a 49 52,9 46,2 0,6 0,3
Total Muestra 29,4 68,5 2,0 0,1
Para las empresas es tan importante contar con servidores como dotar de equipamiento
de seguridad a las salas donde éstos se alojan. La medida más implantada son los
sistemas de detección y extinción de incendios: el 40,5% de las empresas afirma
disponer de ellos. Sin embargo, en términos generales, y como se muestra en el Gráfico
18, las entidades no tienen en cuenta el equipamiento de las salas con sistemas de
seguridad.
Gráfico 18: Empresas que disponen de sistemas de seguridad en la sala donde se aloja el
servidor (%)
Sistemas de detección y
40,5% 52,1% 4,6% 2,8%
extinción de incendios
Control de acceso físico 38,1% 57,2% 2,2% 2,6%
Falso suelo y falso techo 33,4% 58,9% 4,9% 2,8%
Aire acondicionado
33,4% 61,5% 2,5% 2,6%
independiente
Detectores de humedad 10,6% 82,0% 4,3% 3,1%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Si No No sabe No contesta
3.2.2 Actualización de los programas y sistemas operativos
Otro mecanismo que tienen las empresas para garantizar la seguridad de sus equipos es
estar al día con las actualizaciones de sus programas. La importancia radica en que el no
contar con ellas puede suponer que se produzcan desde fallos (por ejemplo, en la
instalación de programas) hasta un mal funcionamiento del hardware añadido que
necesitan, o finalmente la posibilidad de estar amenazados los sistemas por
vulnerabilidades 23 .
De esta forma, las empresas deben tener conciencia y llevar control de las
actualizaciones de su sistema operativo y de sus soluciones de seguridad para que sus
equipos estén efectivamente protegidos. Así como las amenazas cambian
constantemente, también es preciso actualizar el software de seguridad en una base
periódica para contar con los parches que protegen los equipos de esas nuevas
amenazas.
Las empresas participantes en el estudio son conscientes de esto ya que el 88,9% de

ellas dicen tener actualizado su sistema operativo y sus herramientas de seguridad frente
a un 6,7% de entidades que afirman no tenerlo actualizado (Gráfico 19).
23
Vulnerabilidad (ámbito de la Seguridad de la Información): debilidad o fallo de diseño, programación o configuración en
sistemas informáticos o de comunicaciones, que podría ser explotado para conseguir un acceso no autorizado, o un mal
funcionamiento. En particular se denominan así los fallos de diseño en programas que pueden ser utilizados por un tercero
para acceder o atacar el equipo de un usuario.
El dato real, basado en el análisis de seguridad de iScan, ofrece una realidad ligeramente
diferente. Es cierto que en la mayor parte de los equipos auditados estaba actualizado el
sistema operativo, pero el porcentaje no es del 88,9% (como afirman los empresarios en
la encuesta) sino de 58,5%.
Gráfico 19: Estado de actualización del sistema operativo y de las herramientas de

seguridad de las empresas: datos declarados vs. datos reales (%)
100% 4,8% 4,4%

6,7%
90%
80%
36,7%
70%
60%
50%
88,9%
40%
30% 58,5%
20%
10%
0%
Real Declarado
Actualizado No actualizado Ns/Nc
Declarado n=2.206, Real n=622 Fuente: INTECO
Existe, por tanto, un porcentaje de empresas que cree que tiene sus equipos actualizados
cuando, en realidad, no es así.
Un 53,7% de las empresas tiene una percepción correcta ya que declaran que tienen el
sistema operativo y los programas actualizados y así es. En consecuencia, existe un
grupo de empresas que pueden estar ante un riesgo potencial, esto es, tanto aquellas
que creen que sus equipos están actualizados pero en realidad no lo están (31,1%),
como aquellas que creen que su equipo no está actualizado y realmente no lo está
(3,8%).
El mecanismo utilizado para actualizar su sistema operativo es mediante la

automatización. El 83,9% recurre a esta forma, frente a un 12% que lo realiza
manualmente.
Entre aquellas empresas que lo realizan de forma manual, el 39,2% de las empresas
declara actualizar los programas de sus ordenadores al menos una vez al mes (Tabla 11)
y un 18,3% lo hace semanalmente. El 42,1% declara realizar dichas actualizaciones con
una periodicidad menor (trimestral o anual).
En las pequeñas empresas la frecuencia de actualización más habitual es la de carácter
mensual (41,0%), presentando una clara diferencia si se compara tanto con realizarla
semanalmente (25,6%) o con una actualización menos periódica, es decir trimestral o
anual, (33,3%). En cambio para las microempresas la frecuencia más utilizada es la de
carácter superior al mes (43,9%), seguida por la mensual que es realizada por el 38,8%
de las entidades.
Tabla 11: Frecuencia de actualización de forma manual por parte de las empresas de sus
programas, según tamaño de la empresa (%)
Empleados Con menos periodicidad Mensual Semanal Nunca

Menos de 10 43,9 38,8 16,8 0,5
De 10 a 49 33,3 41,0 25,6 0,0
Total Muestra 42,1 39,2 18,3 0,4
Entre aquellas entidades que señalan que no realizan actualizaciones (n=148), el

principal motivo declarado por el 48% de las mismas es que no les reporta ninguna
ventaja actualizarlos, seguido por el 39,8% que afirman desconocer cómo se realizan las
actualizaciones, un 11,1% que señala que tuvo una mala experiencia cuando en el
pasado realizó una actualización y ésta tuvo efectos contrarios a los deseados en sus
equipos y el resto, un 1,2% de las pequeñas y microempresas, no contesta.
Otros motivos alegados para no realizar actualizaciones son que han tenido malas
experiencias con ellas, ya que provocaron efectos no deseados (11,1%), y un 39,8%
desconoce cómo realizar las actualizaciones.
3.3 Conocimiento y adecuación a la normativa sobre protección de datos
Las empresas, en su calidad de agentes que manejan y tratan datos de carácter

personal, están obligadas a garantizar el derecho fundamental a la protección de los
datos personales de que disponen. La normativa no contempla excepciones por tamaño,
facturación o sector de actividad, de forma que cualquier empresa está incluida en el
ámbito de aplicación de la legislación, siempre que trabaje con ficheros con datos
personales.
Por ello, es relevante analizar en qué medida las empresas conocen y cumplen con la
normativa española sobre protección de datos, constituida por la Ley Orgánica de
Protección de Datos (en adelante LOPD) y su Reglamento de Desarrollo (en adelante,
RDLOPD).
El punto de partida al análisis lo constituye el nivel de conocimiento de la normativa entre

las pequeñas y microempresas españolas, y más concretamente, en qué medida las
organizaciones consideran que la legislación de protección de datos les afecta o no.
A nivel global, el 60,2% de las empresas reconocen estar afectadas por la normativa de
protección de datos, frente a un 26,1% que piensa que no lo está. Un 13,7% adicional de
las entidades no saben si la normativa les es de aplicación.
Existen diferencias en función del tamaño de las empresas: así, las empresas de 10 a 49
empleados tienen una percepción más acertada de la realidad (el 75,6% se saben sujetas
a la normativa, frente al 17,1% que cree no estarlo y un 7,3% que lo desconoce),
mientras que las microempresas tienden a mostrar menor nivel de conocimiento (57,5%
se considera afectada por la normativa sobre protección de datos, 27,7% no se siente
afectada y un 14,9% no se manifiesta).
Tabla 12: Empresas que se consideran afectadas por la normativa de protección de datos
según el tamaño de la empresa (%)
Empleados Sí No No sabe
Menos de 10 57,5 27,7 14,9
De 10 a 49 75,6 17,1 7,3
Total Muestra 60,2 26,1 13,7
El dato confirma una evolución positiva en el nivel de conocimiento de la normativa. En

2008, sólo el 34% de las empresas afirmaba conocer la LOPD y un reducido 14%
declaraba estar al tanto de la existencia del RDLOPD 24 . Parece que las acciones de
concienciación impulsadas por la Agencia Española de Protección de Datos e INTECO,
entre otros actores, están alcanzando sus objetivos.
Si se limita el análisis a las empresas que efectivamente tienen ficheros con datos de
carácter personal, el nivel de conocimiento acertado es aún mayor: así, entre las
empresas que disponen de ficheros con datos personales casi un 80% se saben
afectadas por la normativa, tal y como muestra el Gráfico 20.
24
Son datos del Estudio sobre el grado de adaptación de las Pequeñas y Medianas Empresas españolas a la Ley Orgánica
de Protección de Datos (LOPD) y el nuevo Reglamento de Desarrollo (RDLOPD), publicado por INTECO en agosto de
2008. Disponible en:
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/estudio_lopd_pymes
Gráfico 20: Empresas que disponen de ficheros que incluyen datos de carácter personal
sobre los que se consideran afectados por la LOPD (%)
100%
11,0% 8,3%
90%
80%
70% 33,3%
60%
50% 79,7%
40%
30% 55,7%
20%
10%
12,1%
0%
No dispone de ficheros Si dispone de ficheros
No se considera afectada Si se considera afectada No sabe
No disponen n= 706, Disponen n= 1.294 Fuente: INTECO
A continuación, se analiza el cumplimiento de algunas disposiciones recogidas en la

normativa sobre protección de datos. En concreto, se ofrecen datos sobre las siguientes
obligaciones:
• Notificación de ficheros ante el Registro General de la Agencia Española de

Protección de Datos.
• Deber de solicitud del consentimiento.
• Deber de información.
El 52,6% de empresas han notificado la existencia de sus ficheros con datos de

carácter personal ante el Registro General de la Agencia Española de Protección de
Datos. Un 33,7% admite que no lo han hecho y un 13,7% reconoce no saberlo.
También en este caso la evolución es positiva, si se compara con el porcentaje registrado

en 2008 25 . En sólo un año la proporción de empresas que cumplen e incumplen se ha
invertido: en la lectura actual, un mayoritario 52,6% cumplen la normativa; el año anterior,
la proporción de empresas que no habían declarado sus ficheros ante la AEPD superaba
a las que sí lo habían hecho (47,0% frente a 37,0%).
25
Op. cit. 1
Gráfico 21: Evolución anual de empresas que afirman tener declarados los ficheros con
datos de carácter personal en la Agencia de Protección de Datos (%)
52,6%
Sí
37,0%
33,7%
No
47,0%
13,7%
Ns/Nc
16,0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008 2009
2008 n=250, 2009 n=1.294 Fuente: INTECO
El Gráfico 22 confirma que el tamaño de la empresa influye en una mayor tasa de

cumplimiento de la obligación de notificar: el 60,9% de las empresas de 10 a 49
empleados lo hacen, frente a un 50,9% en el caso de las microempresas.
Gráfico 22: Empresas por tamaño que disponen de ficheros y han notificado la existencia
de los mismos ante el Registro General de la Agencia Española de Protección de Datos (%)
100%
13,7% 13,7% 13,5%
90%
80%
25,6%
70% 33,7% 35,4%
60%
50%
40%
30% 60,9%
52,6% 50,9%
20%
10%
0%
Total Menos de 10 De 10 a 49
Si No Ns/Nc
El artículo 6 de la LOPD recoge la obligación de solicitar el consentimiento del afectado
para proceder al tratamiento de los datos. El RDLOPD, en la sección 1ª del Capítulo II,
profundiza en la obligación, estableciendo que el responsable de tratamiento deberá
obtener el consentimiento del interesado para el tratamiento de sus datos de carácter
personal salvo en aquellos supuestos en que el mismo no sea exigible con arreglo a lo
dispuesto en las leyes.
El 62,3% de las empresas participantes en el estudio reconoce solicitar este tipo de

consentimiento a los titulares de los datos, frente a un 25,4% que no lo hace.
Una vez más, los datos reflejan una evolución positiva comparándolos con los obtenidos
en el estudio de 2008, donde el porcentaje de entidades que cumplían con el deber de
consentimiento del afectado era de tan sólo un 29%.
Gráfico 23: Evolución anual del nivel de cumplimiento de las empresas que disponen de
ficheros del deber de solicitud de consentimiento a los titulares de los datos (%)
100% 1,0% 1,5%

10,8%
90%
80%
25,4%
70%
70,0%
60%
50%
40%
30% 62,3%
20%
29,0%
10%
0%
2008 2009
2008 n = 250, 2009 n = 1.294 Fuente: INTECO
El artículo 5 de la LOPD reconoce el derecho de información en la recogida de los

datos, disponiendo que los interesados a los que se soliciten datos personales deberán
ser previamente informados de modo expreso, preciso e inequívoco de una serie de
circunstancias, que tienen que ver con la existencia del fichero y finalidad del mismo, de
la identidad del responsable del tratamiento, y de la posibilidad de ejercicio de sus
derechos de acceso, rectificación, cancelación y oposición (derechos ARCO).
Por su parte, la sección 2ª del capítulo II del RDLOPD desarrolla el precepto indicando
que el deber de información deberá llevarse a cabo a través de un medio que permita
acreditar su cumplimiento. Es decir, no es válido si se informa al interesado de forma
verbal sin que quede registrado de algún modo.
El 67,1% de las empresas afirman cumplir el deber de información a los titulares de los
derechos, lo que supone un aumento de 38,1 puntos porcentuales con respecto a la
lectura del año anterior.
Gráfico 24: Evolución anual del nivel de cumplimiento de las empresas con ficheros con
datos de carácter personal del deber de información a los titulares de los datos (%)
100% 2,0% 1,5%

9,2%
90%
80% 22,2%
70%
69,0%
60%
50%
40%
67,1%
30%
20%
29,0%
10%
0%
2008 2009
2008 n=250, 2009 n=1.294 Fuente: INTECO
El diagnóstico, a partir del análisis realizado hasta ahora, es muy positivo: la pequeña y
microempresa española es consciente de estar sujeta a la normativa sobre protección de
datos y cumple de forma mayoritaria la obligación de inscripción de ficheros ante el
registro de la AEPD, la obligación de solicitud de consentimiento y la obligación de
información a los titulares de los derechos. Además, en todos los casos, la evolución
experimentada desde 2008 es muy positiva, confirmando la efectividad de las actividades
de concienciación y formación puestas en marcha hasta la fecha.
Existe un área dentro de la protección de datos en la que la pequeña empresa española

todavía tiene margen de mejora: la revisión del cumplimiento de la Ley Orgánica de
Protección de Datos en las auditorías de seguridad llevadas a cabo por las empresas. Se
trata de una obligación bienal reconocida en el RDLOPD a todas las empresas que
dispongan de ficheros de nivel de seguridad alta, y obligatoria desde el año 2008 (ello
puede explicar el todavía reducido nivel de cumplimiento).
Del total de empresas con más de 10 empleados sólo el 15,8% revisó el cumplimiento de
la normativa sobre protección de datos en las auditorías de seguridad realizadas. El dato
está en línea con el cumplimiento a nivel internacional, donde un 13,5% lleva a cabo esta
práctica según datos del GSISS 26 (en este caso, se trata de empresas de entre 1 y 100
trabajadores).
A pesar del moderado nivel de realización de este tipo de auditorías en España en 2009,
la evolución marca una tendencia positiva: en 2008, sólo un 6% de las pequeñas
empresas españolas afirmaba llevar a cabo estas revisiones 27 .
Gráfico 25: Comparativa internacional de empresas que han revisado la normativa de

protección de datos en las auditorías de seguridad realizadas (%)
70%
60%
50%
40%
30%
20% 15,8%
12,8% 13,5%
10% 6,0%
0%
2008 2009
2008 (España n=250, Internacional n=161), 2009 (España n=329., Internacional n=197)
Fuente: INTECO (2008-2009) y GSISS-PwC (2008-2009)
En conclusión, el balance general es positivo: la pequeña empresa española cada vez va

adoptando más la normativa sobre protección de datos.
Además, existe una predisposición positiva por parte de las empresas para llevar a cabo
el cumplimiento de la legislación vigente: el 68,9% de las pequeñas y microempresas
españolas participantes en el estudio valoran como necesario o muy necesario recibir
asesoramiento para garantizar la adopción. Un 10,1% desconoce si esta asesoría sería
de valor. El resto, el 21% de las entidades, lo considera poco necesario (Gráfico 15).
A partir de estos datos, es necesario que las administraciones sigan realizando esfuerzos
para concienciar y facilitar pautas de ayuda al colectivo empresarial. En este sentido, se
enumeran a continuación algunas iniciativas destacadas:
26
Op. cit. 13
27
Op. cit. 13
• La Guía para empresas: cómo adaptarse a la normativa sobre protección de
datos 28 , elaborada por INTECO y publicada en febrero de 2009, ofrece pautas
básicas para la implementación de la normativa, estableciendo el marco general
definido en la LOPD y RDLOPD y detallando las disposiciones y obligaciones que
afectan a las empresas.
• La Agencia Española de Protección de Datos (AEPD) ha publicado en 2008 dos

interesantes guías, la Guía de protección de datos para el responsable de
ficheros 29 y la Guía de seguridad de datos 2008 30 . La primera aborda los aspectos
fundamentales de las obligaciones que afectan a los responsables de ficheros, y
la segunda tiene por objeto facilitar la adopción de las medidas incluidas en el
RDLOPD.
• En www.inteco.es está disponible un catálogo de consultores de negocio, que

incluye una relación de profesionales especializados en ofrecer soluciones de
seguridad y protección de datos a las pymes. Se trata de un listado no exhaustivo,
pero puede constituir un punto de referencia para las empresas que necesiten un
apoyo para adaptarse a la normativa sobre protección de datos.
3.4 Planes y políticas de seguridad
La disposición de planes y políticas de seguridad por parte de las pequeñas y

microempresas españolas es otra de las prácticas que les permiten disponer de una
estrategia para el aumento progresivo del nivel de seguridad.
La mejor forma que las empresas tienen para garantizar la implantación de dichos planes
y políticas es la utilización de un Sistema de Gestión de la Seguridad de Información
(SGSI). Construido sobre los principios de la norma ISO 27001, a través del SGSI las
entidades conocen los riesgos a los que está sometida su información y los gestionan
mediante una sistemática definida, documentada y conocida por todos los integrantes de
la organización, que se revisa y mejora constantemente.
Un 34,3% de las empresas disponen de plan de seguridad en el momento de realización

de la encuesta, o entra dentro de sus planteamientos futuros instaurar uno. A los efectos
del estudio, se entiende por plan de seguridad el establecimiento de una estrategia o
calendario para el aumento paulatino del nivel de seguridad de su empresa
(mediante la adquisición de soluciones de seguridad, etc.).
28
INTECO (2009): Guía para empresas: cómo adaptarse a la normativa sobre protección de datos. Disponible en:
http://www.inteco.es/Seguridad/Observatorio/manuales_es/GuiaManual_LOPD_pymes
29
Agencia Española de Protección de Datos (2008): Guía de protección de datos para el responsable de ficheros.
Disponible en:
https://www.agpd.es/portalweb/canaldocumentacion/publicaciones/common/pdfs/guia_responsable_ficheros.pdf
30
Agencia Española de Protección de Datos (2008): Guía de seguridad de datos. Disponible en:
https://www.agpd.es/portalweb/canaldocumentacion/publicaciones/common/pdfs/guia_seguridad_datos_2008.pdf
Gráfico 26: Disposición de una estrategia para el aumento del nivel de seguridad (%)
11,9%
1,5%
53,8%
15,2% 11,6%
2,1%
19,1%
Plan de seguridad de la información y de seguridad física

Plan seguridad de la información
Plan de seguridad física
Ninguno, pero entra dentro de mis planteamientos
Ninguno, y no entra dentro de mis planteamientos
Ns/Nc
Existen diferencias significativas cuando se comparan estos resultados con el análisis

internacional. Las empresas españolas se encuentran por debajo en cuanto a la
instauración de estas estrategias para aumentar el nivel de seguridad de la organización.
Gráfico 27: Comparativa internacional sobre la existencia de una estrategia para el aumento
del nivel de seguridad de la información y planteamientos futuros (%)
100% 0,0%
11,9%
90%
80% 36,1%
70%
60% 53,8%
23,5%
50%
40%
30%
19,1%
20% 40,4%
10%
15,2%
0%
Si Entra dentro de mis plateamientos No Ns/Nc
España n=329, Internacional n=2.217 Fuente: INTECO (2009) y GSISS-PwC (2009)
Según un reciente estudio elaborado por McAfee 31 , las empresas tienden a externalizar
cada vez más las funciones TIC. El 19,2% de las organizaciones que consideran resuelta
su seguridad así lo hacen. Esto puede provocar una falsa sensación de seguridad como
consecuencia de pensar que los aspectos desarrollados y controlados en las políticas ya
están implementados en las empresas encargadas de gestionar su seguridad.
Disponer de procedimientos que faciliten pautas de realización de controles de

seguridad es una buena práctica llevada a cabo por las empresas. El 48% de las
entidades de más de diez empleados poseen técnicas que procedimentan la realización
de copias de seguridad y un 30,7% tienen métodos de autorización de los envíos o
transferencias de datos. En el caso de disponer de ellos, es más frecuente no tener el
procedimiento por escrito.
Gráfico 28: Tipología de controles de seguridad existentes en las empresas (%)
Cómo realizar la copia

de seguridad de los 35,9% 12,1% 47,5% 4,4% 0,1%
datos
Cómo autorizar los

envios o transferencias 20,1% 10,6% 60,2% 7,0% 2,1%
de datos
Cómo dar de alta un

usuario en el sistema y 16,7% 12,4% 64,5% 6,2% 0,2%
que permisos asignale
Cómo proteger las

13,4% 7,3% 73,2% 5,9% 0,2%
comunicaciones
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Si, pero no dispongo del procedimiento por escrito Si, y lo tengo por escrito No No sabe No contesta
La evolución anual (2008/2009) muestra un cambio positivo en la mayoría de los

procedimientos, siendo la más significativa, con un incremento de 16,6 puntos
porcentuales, el caso de disponer de técnicas de realización de la copia de seguridad de
los datos.
31
McAfee (2008): Does size matter? The security challenge of the SMB. Santa Clara, Estados Unidos. Disponible en
http://www.mcafee.com/us/local_content/reports/does_size_matter_en_v2.pdf
Gráfico 29: Evolución anual del tipo de controles de seguridad (%)
Cómo realizar la copia de 48,0%

seguridad de los datos 31,4%
Cómo autorizar los envios 30,7%

o transferencias de datos 20,5%
Cómo dar de alta un

29,1%
usuario en el sistema y
24,9%
que permisos asignale
Cómo proteger las 20,7%

comunicaciones 42,7%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008 2009
n 2008=265, n 2009=2.206 Fuente: INTECO
El 46,5% de las entidades configuran los accesos de sus empleados a la información

estableciendo perfiles y/o grupos definidos. Asimismo el 43,5% de las entidades
participantes afirma que no todos los empleados tienen acceso a toda la información, a
pesar de no haber dispuesto el acceso mediante el uso de grupos definidos. Por último,
sólo un 7,6% de las empresas confirma que todos sus empleados tienen acceso a la
totalidad de la información.
Se ha analizado también la existencia de planes y políticas que afectan al nivel de

seguridad de las empresas de más de diez trabajadores. El más frecuente es el plan de
concienciación, implantado en el 24,6% de las empresas, seguido de la política de uso
de correo electrónico (17,6%) y el plan de continuidad de negocio (11,9%).
Los planes de continuidad de negocio y de concienciación tienen un nivel de

implementación mayor internacionalmente que en España. El 38,5% de las empresas
internacionales de 1 a 100 empleados disponen de un plan de continuidad de negocio y
un 39,2% de uno de concienciación 32 según los datos del estudio GSISS 33 (Gráfico 30).
32
Estos porcentajes se deben tomar con precaución ya que las empresas analizadas en el ámbito internacional son de 1 a
100 trabajadores (con una muestra de 2.217 entidades), mientras que en España son analizadas las empresas de 10 a 49
empleados (con una muestra de 329 entidades).
33
Op. cit. 13
Gráfico 30: Comparativa internacional de la existencia de planes y políticas de seguridad en
las empresas (%)
70%
60%
50%
39,2% 38,5%
40%
30% 24,6%
20% 17,6%
11,9%
10%
0%
Plan de concienciación Plan de continuidad de negocio Política de uso de correo
electrónico
España n=329, Internacional n=2.217 Fuente: INTECO (2009) y GSISS-PwC (2009)
Respecto al plan de continuidad, en él se han de prever las posibles contingencias que

pueden afectar a las funciones o procesos críticos para la organización y asegurar que la
respuesta a todos ellos se ejecuta de una manera organizada y consecuente.
La prioridad en los asuntos abordados por el plan de continuidad es, como se puede
observar en el Gráfico 31, la identificación y priorización de procesos de negocio críticos
con un 80,1%, la definición de tiempos de recuperación frente a incidencias (65,2%) y las
estrategias de comunicación del plan (58,2%).
Gráfico 31: Distribución de los contenidos del plan de continuidad de las empresas (%)
Identificación y
priorización de procesos 80,1%
de negocio críticos
Definición de tiempos de
recuperación frente a 65,2%
incidencias
Estrategias de
comunicación del plan 58,2%
interna/externa
Evaluación de riesgos TI 54,6%
Pruebas del plan de

50,4%
continuidad
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
Finalmente, las empresas que han puesto en marcha planes, procedimientos y/o políticas
de seguridad, pueden comprobar de forma completa el estado de evolución y el grado de
consecución de todo ello, utilizando como mecanismo la auditoría de seguridad, donde
además pueden evaluar y establecer las acciones de mejora a efectuar.
En el estudio, el 22,8% de las entidades con más de diez empleados afirma que ha
realizado alguna vez una auditoría de seguridad (n=75). En las auditorías se revisaron
diferentes aspectos, entre los que se destacan los siguientes:
• Las actividades relativas a su explotación o a la administración de la empresa,

realizadas en el 84% de los casos.
• La configuración de los servidores y los medios de control de acceso, ambas

realizadas por el 78,7% de las pequeñas y microempresas españolas que afirman
haber realizado auditorías.
• Los procedimientos y la organización de la empresa, en un 69,3% de los casos.
• El grado de cumplimiento de la normativa sobre protección de datos, también

evaluado por el 69,3% de las entidades que efectuaron una auditoría de
seguridad.
Gráfico 32: Aspectos revisados en las auditorías de seguridad de las empresas de más de
diez empleados (%)
Explotación (Copias de seguridad, administración…) 84,0%
Configuración de servidores 78,7%
Medios de contol de acceso 78,7%
Procedimientos y organización 69,3%
Cumplimiento LOPD 69,3%
Seguridad física 64,0%
Otros 22,7%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100
%
n=75 Fuente: INTECO
Como consecuencia de haber realizado una auditoría de seguridad, el 81,3% de las

empresas realizaron algún tipo de cambio (Gráfico 33), siendo las respuestas más
frecuentes el cambio en algún proceso (40%) y el desarrollo de políticas de seguridad
(36%).
Gráfico 33: Cambios efectuados por las empresas tras la realización de las auditorías de
seguridad (%)
Cambiado algún proceso 40,0%
Desarrollado politicas 36,0%
Adquirido nuevas
32,0%
soluciones de seguridad
Ninguna 18,7%
Otros 14,7%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
n=75 Fuente: INTECO
4 INCIDENCIAS DE SEGURIDAD: PERCEPCIÓN DE
LAS PEQUEÑAS Y MICROEMPRESAS Y SITUACIÓN
REAL DE SUS EQUIPOS
Descrito el estado de seguridad de las pequeñas y microempresas españolas, en el

siguiente capítulo se estudia cuáles son sus incidencias de seguridad y en qué medida
afectan a sus equipos.
Para realizar el análisis, se examinan datos derivados de la percepción del empresario

(basados en la información proporcionada en las encuestas) y datos reales procedentes
del análisis de los equipos de los panelistas mediante iScan, la herramienta de análisis de
seguridad propiedad de INTECO especializada en la detección de código malicioso
(malware) 34 .
En la posibilidad del cruce de ambas fuentes de información radica la fortaleza del

estudio, ya que la metodología empleada permite poner en contraste percepción y
realidad. Ello implica que en el análisis que se presentará en el actual epígrafe se
consideran 3 bases de cálculo diferentes:
• En el caso de la percepción general de las empresas sobre la constancia de

incidentes, se ha considerado el total de empresas participantes en la encuesta
(2.206).
• En el caso del análisis del código malicioso, se ha considerado el total de

empresas que han realizado auditorías de seguridad con el software de escaneo
iScan (622).
• En el caso de los cruces entre ambos, se ha realizado sobre la submuestras de

empresas que, habiendo participado en la encuesta, también han realizado
auditorías de seguridad con iScan (527).
En cada gráfico, se menciona la base de cálculo empleada.
4.1 Percepción de las incidencias de seguridad por parte de las empresas
El 22,7% de las empresas españolas de menos de 50 empleados y con, al menos, un

ordenador conectado a Internet, declara no haber sufrido ningún incidente de seguridad,
frente al 77,4% que dice haber registrado alguno.
34
Se presenta más información detallada de iScan en el capítulo 2.2.2 Fase 2: Auditoría de seguridad.
Los incidentes que con mayor frecuencia tienen lugar son la recepción de correo
electrónico no deseado (spam), referido por un 63,2% de las entidades encuestadas, los
virus (49,2%), los fallos técnicos (22,8%) y los troyanos (21,7%).
Incidencias menos frecuentes son, en opinión de las empresas, los fraudes telemáticos
(4,7%), la pérdida o robo de datos o información (4,6%) y los ataques distribuidos de
denegación de servicio (DDoS) 35 , ocurridas al 1,5% de las entidades.
Gráfico 34: Incidentes de seguridad declarados por las empresas (%)
Correo electrónico basura (spam) 63,2% 34,6% 2,2%
Virus 49,2% 48,8% 2,0%
Fallos técnicos 22,8% 70,9% 6,3%
Troyanos 21,7% 68,9% 9,4%
Software espía 15,1% 74,9% 10,0%
Phising o fraudes telemáticos 4,7% 83,5% 11,8%
Pérdida o robo de datos o información 4,6% 87,4% 8,0%

Ataques distribuidos de denegación de servicio 1,5%
81,9% 16,6%
(DDoS)
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Si No No Sabe
Al presentar este capítulo, se explicaba que la fortaleza de la metodología consistía

precisamente en permitir el contraste entre la percepción del empresario, basada en las
declaraciones realizadas en la encuesta, y la realidad del equipo, basada en la auditoría
en línea practicada. Se presenta a continuación una primera comparación (Tabla 13), de
donde se pueden adelantar conclusiones en las que se profundizará más adelante:
• En primer lugar, se confirma la confusión que el término virus sigue generando

entre los usuarios. Un 49,2% afirmaba alojar virus en sus equipos, cuando en los
análisis remotos practicados no se ha identificado ni una sola variante 36 . En
35
Se entiende como denegación de servicio, en términos de seguridad informática, a un conjunto de técnicas que tienen
por objetivo dejar un servidor inoperativo. El ataque consiste en saturar con peticiones de servicio al servidor, hasta que
éste no puede atenderlas, provocando su colapso. Un método mas sofisticado es el Ataque de Denegación de Servicio
Distribuido (DDoS), mediante el cual las peticiones son enviadas de forma coordinada entre varios equipos, que pueden
estar siendo utilizados para este fin sin el conocimiento de sus legítimos dueños. Esto puede ser así mediante el uso de
programas malware que permitan la toma de control del equipo de forma remota, como puede ser en los casos de ciertos
tipos de gusano o bien porque el atacante se ha encargado de entrar directamente en el equipo de la victima.
36
Este dato refleja la tendencia al abandono del desarrollo de virus a favor de troyanos, motivada porque estos últimos
suelen suministrar a sus creadores algún tipo de beneficio económico, en consecuencia se invierte más tiempo y esfuerzo
en programarlos y diseminar estos especímenes. Téngase en cuenta, en el caso de los virus, que la eficacia de iScan en
cambio, si se amplía el término virus a cualquier manifestación de malware, en
este caso sí se aprecia sintonía entre la percepción del usuario y la situación real
de los equipos, ya que un 48,4% de los ordenadores auditados presentan alguna
manifestación de malware.
• En segundo lugar, la presencia real de troyanos en los equipos (27,8%) supera el

nivel percibido por los empresarios (21,7%).
• Por último, el software espía se encuentra presente en los equipos en menor

medida (1,4%) de lo que opinan los encuestados (15,1%)
Tabla 13: Nivel de incidentes de seguridad en las empresas: datos declarados vs. datos
reales (%)
Incidencia Declarado Real

Total malware - 48,4
Virus 49,2 0,0
Troyanos 21,7 27,8
Software espía 15,1 1,4
Fuente: INTECO
4.2 Incidencias reales detectadas en los ordenadores de las microempresas y

pequeñas empresas españolas
Este apartado está construido íntegramente a partir de los datos reales obtenidos del
escaneo de los equipos de las entidades gracias a la herramienta iScan desarrollada por
INTECO.
Los análisis en línea ofrecen, entre otros datos, información relativa al nivel de infección
del equipo auditado, así como a la tipología de código malicioso presente en el mismo.
El término malware procede del inglés malicious software, y es cualquier programa

informático que tiene como objetivo infiltrarse o dañar un ordenador sin el conocimiento
de su dueño y con finalidades muy diversas. A los efectos de este estudio, se emplean
los términos malware y código o programa malicioso de forma indistinta. En el lenguaje
cotidiano se utiliza la expresión genérica "virus informático" para describir todos los tipos
de malware, si bien en realidad los virus son una de sus múltiples tipologías.
Se describe a continuación la categorización empleada para agrupar las manifestaciones

de código malicioso que se analizarán en este epígrafe:
su detección no es total, tal y como se explica en el Apunte metodológico del apartado 2.2.2. Dado que iScan sólo puede
detectar malware conocido, y que los virus (al igual que los gusanos) generan ficheros con nuevas huellas digitales que,
por tanto, no están presentes en las bases de datos de malware conocido, es posible que haya muestras de virus que no
están siendo detectadas.
• Troyano o caballo de Troya: es una pieza de software dañino disfrazado de
software legítimo que no es capaz de replicarse por sí mismo, que puede estar
adjuntado con cualquier tipo de software por un programador y contaminar a los
equipos por medio del engaño. Aunque no producen efectos realmente visibles o
apreciables en el momento de llegar al equipo, presentan un nivel de peligrosidad
alta. Dentro de los troyanos, a su vez, existen diferentes tipos, en función de los
efectos sobre el sistema entre los que caben destacar:
o Bankers o troyanos bancarios: realizan el robo de credenciales de

autenticación utilizadas por usuarios para realizar operaciones bancarias
online. La información robada depende de la implementación de seguridad
del sitio contra el que actúa y varía desde captadores de formularios de
validación hasta los que realizan capturas de vídeo de la actividad
realizada por el usuario para realizar dicha validación o los que roban
certificados digitales. Este tipo de malware está en alza, y su objetivo se
centra en el fraude.
o Backdoors o puertas traseras: permite al atacante tomar el control remoto

del sistema infectado, pudiendo llevar a cabo diversas acciones (espiar el
escritorio remoto, realizar capturas de pantalla o de la webcam, subir o
descargar archivos, alterar el funcionamiento normal del sistema, etc.).
o Keyloggers o capturadores de pulsaciones: tienen capacidad para capturar

y almacenar las pulsaciones efectuadas sobre el teclado. Posteriormente
esta información (que puede contener contraseñas, datos bancarios, etc.)
se envía a un atacante, que las puede utilizar en su propio provecho. En
definitiva, se trata de una variedad que también se centra en el fraude.
o Dialers o marcadores telefónicos: programas que, una vez instalados en el

equipo, desvían la conexión telefónica original hacia otro número de
tarificación especial (806, 807, etc.) con el consecuente perjuicio
económico para el afectado. Únicamente pueden afectar a los usuarios
que acceden a Internet a través de banda estrecha mediante RTB (Red
Telefónica Básica) o RDSI (Red Digital de Servicios Integrados), por eso
se trata de una categoría infrecuente.
• Virus: son programas informáticos que necesitan alojarse en otro archivo y que
pueden infectar a otros ficheros/programas mediante la modificación del mismo,
con el propósito de incluir réplicas de sí mismo en el elemento infectado.
Erróneamente se engloba bajo este nombre a todo el software malicioso.
• Gusano o worm: programas con capacidad para propagarse a otras partes del
equipo afectado, a dispositivos extraíbles o a otros equipos. Dependiendo de su
código, podría realizar distintas acciones dañinas en los sistemas. A diferencia de
los virus, los gusanos no necesitan otro archivo para replicarse. Pueden modificar
el sistema operativo con el fin de auto ejecutarse como parte del proceso de
inicialización del sistema. Para contaminar otros sistemas, explotan
vulnerabilidades del objetivo o utilizan algún tipo de ingeniería social para engañar
a los usuarios y poderse ejecutar.
• Adware o software publicitario no deseado: muestra anuncios publicitarios que

aparecen inesperadamente en el equipo cuando se está utilizando la conexión a
una página web o después de que se ha instalado en la memoria de la
computadora. En ocasiones, recopilan información sobre los hábitos de
navegación de los usuarios para luego redirigirles a la publicidad coincidente con
sus intereses.
• Spyware o programas espía: son programas que recopilan información sobre el

usuario sin su consentimiento. Por norma general, se instalan como plugins al
navegador sin el conocimiento del usuario y envían a un servidor en Internet los
hábitos de navegación (como por ejemplo, qué páginas visita el usuario). Además
de la invasión a la privacidad, estos programas transmiten información de forma
constante, por lo que consumen ancho de banda de la conexión del sistema a
Internet y afecta negativamente a la velocidad del resto de servicios que el usuario
esté utilizando.
• Jokes o bromas: alteran el normal funcionamiento del equipo con acciones que
molestan o distraen al usuario, si bien no causan daño alguno al sistema.
• Exploit: código malicioso creado con el fin de aprovechar algún fallo o

vulnerabilidad de los sistemas. Se suelen utilizar para ejecutar código arbitrario de
forma remota, entrar en los equipos vulnerables sin que el usuario legítimo se
perciba de ello y actuar con libertad dentro del sistema atacado.
• Rootkits: son programas insertados en una computadora después de que algún

atacante ha ganado el control de un sistema. Los rootkit generalmente incluyen
funciones para ocultar los rastros del ataque, como borrar los log de entradas o
encubrir los procesos del atacante
• Scripts: son códigos escritos en algún lenguaje de programación con el objetivo

de realizar acciones no deseadas en el sistema, normalmente a través del
navegador o correo electrónico en formato HTML. Los lenguajes más habituales
para este tipo de códigos son Visual Basic Script, JavaScript, etc.
• Herramientas: programas que, sin necesidad de ser malware, pueden ser

empleados por un atacante remoto para realizar análisis de seguridad, acceder al
sistema afectado, o llevar a cabo otras acciones ilegales (cracking de
contraseñas, escáner de puertos, escalado de privilegios, etc.). La peligrosidad o
no de la herramienta dependerá de si ha sido instalada con el consentimiento del
usuario y se conoce su funcionalidad. Por ejemplo, una herramienta de
administración remota puede utilizarse para el mantenimiento del equipo o
conexión desde otro ordenador, pero también podría ser instalada por un atacante
para acceder sin el consentimiento del usuario, espiar, extraer información
sensible, etc.
• Archivos sospechosos detectados heurísticamente: el método heurístico es

uno de los métodos utilizados por las aplicaciones antivirus para detectar códigos
maliciosos, basándose en la similitud de código, indicios y en comportamientos
‘extraños’ similares a los de otros virus ya conocidos. No obstante, no existe la
certeza de que los códigos detectados como virus por este método sean
realmente maliciosos, y puedan producir falsos positivos.
4.2.1 Evolución de la incidencia de malware
Tal y como se adelantaba en la Tabla 13, en la fecha de realización del estudio, el 48,4%
de los equipos de las pequeñas y microempresas españolas están comprometidos, al
alojar al menos un archivo de código malicioso (Gráfico 35). Ello supone un incremento
en el nivel de infección de 8,4 puntos porcentuales desde el 2008.
El dato, además, confirma que las empresas no son ajenas a la proliferación de malware
que sufren también los equipos domésticos 37 , si bien es cierto que la presencia de código
malicioso en los hogares españoles supera al detectado en las empresas (en febrero de
2009, el 63,8% de los 6.347 equipos domésticos auditados en línea contenían alguna
manifestación de malware).
En el entorno actual, parece que los cibercriminales invierten sus recursos en ampliar su
parque de víctimas, con independencia de que el destinatario sea un hogar o una
empresa.
Es lógico que las empresas, dada la información potencialmente sensible y crítica para el
negocio que pueden almacenar, realicen los esfuerzos de protección necesarios para
evitar infectarse.
37
INTECO (2009): Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles. Disponible en
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Informe_1T_2009
Gráfico 35: Evolución anual del nivel de incidencias en los equipos de las empresas tras
realizar la auditoría de seguridad (%)
100%
90%
80%
51,6%
70% 60,0%
60%
50%
40%
30%
48,4%
20% 40,0%
10%
0%
2008 2009
Alojan malware No alojan malware
2008 n=265, 2009 n= 622 Fuente: INTECO
El análisis pormenorizado de ambos valores –incidencias percibidas e incidencias

detectadas – permite identificar el porcentaje de empresas que tienen una percepción
errónea acerca de la existencia de código malicioso dentro de sus equipos. El Gráfico 36
muestra que las empresas que están ante un riesgo potencial son las que se encuentran
infectadas. En esta situación se encuentran tanto las que creen que su equipo está
infectado y realmente lo está (35,1%) y las que creen que están limpias pero están en
realidad infectadas (13,1%).
Además el gráfico también refleja a las pequeñas y microempresas que habiendo

participado en la encuesta y analizado su equipo, se encuentran limpias de cualquier tipo
de código malicioso (15,9%).
Gráfico 36: Percepción de las empresas acerca de la existencia de código malicioso en sus
equipos (%)
35,1% 13,1% 15,9% 31,3% 2,3% 2,3%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Usuario cree infectado - Equipo infectado Usuario cree limpio - Equipo infectado
Usuario cree limpio - Equipo limpio Usuario cree infectado - Equipo limpio
Usuario desconoce estado - Equipo infectado Usuario desconoce estado - Equipo limpio
4.2.2 Tipología del código malicioso detectado
Los tipos de malware con mayor incidencia en los ordenadores auditados son los
troyanos (27,8%), el software publicitario no deseado (23,2%) y las herramientas (19,6%).
Este orden, troyanos en primer lugar, seguido de software publicitario no deseado
(adware) y herramientas, replica la tendencia que se repite mes tras mes al analizar en
remoto los más de 6.000 equipos integrantes del panel de hogares de INTECO 38 .
La explicación a la relevancia de estos tipos concretos de código malicioso se encuentra

en la finalidad lucrativa que presenta la industria del malware en la actualidad. Troyanos y
adware son las categorías que ofrecen un mayor retorno sobre la inversión a sus
creadores: los primeros, porque están relacionados en muchas ocasiones con el fraude
electrónico y los segundos, porque proporcionan ingresos por publicidad a sus autores.
La alta presencia de herramientas (19,6%) podría responder a que algunas detecciones

de malware se deban a programas intencionalmente instalados por los propios
administradores de sistemas, o a los usuarios de los equipos para realizar labores
administrativas sobre ellos (del tipo útiles para apagar el ordenador de forma remota,
programas para ocultar ventanas, etc.).
38
Op. cit. 37
Gráfico 37: Equipos de las empresas que alojan malware según tipología de código
malicioso (%)
100%
90%
80%
70%
60%
50%
40%
27,8%
30% 23,2%
19,6%
20%
10% 5,3%
2,7% 2,4% 1,4% 0,0%
0%
Troyano Software Herramientas Archivos Gusanos Programas Virus Otros
publicitario no detectados espías
deseado heurísticamente
El número medio de archivos maliciosos por equipo (Tabla 14) asciende a 4,6, con
especial peso de las herramientas (1,6 archivos por ordenador infectado) y troyanos (1,4).
Tabla 14: Número medio de archivos infectados por categoría
Tipos de archivos maliciosos De febrero a julio de 2009

Herramientas 1,6
Troyanos 1,4
Software publicitario no deseado (adware) 1,3
Archivos sospechosos detectados heurísticamente 0,1
Gusanos 0,1
Programas espías 0,0
Virus 0,0
Otros 0,1
Total Muestra 4,6
Número de equipos que alojan malware n=301 Fuente: INTECO
4.2.3 Diversificación del código malicioso detectado
Para determinar el grado de diversificación del malware se analiza el número de

detecciones de cada uno de los códigos maliciosos identificados, y en qué medida están
presentes en los equipos.
Los datos se recogen en la Tabla 15. En las 622 auditorías de seguridad aplicadas sobre
otros tantos equipos, se han identificado 1.381 archivos maliciosos con 963 variantes
únicas (es decir, códigos diferentes de malware).
Los datos confirman el alto nivel de diversificación del código malicioso: de todos los
archivos detectados en el escaneo, cada variante única detectada se avistaría sólo
(hipotéticamente) en 1,4 archivos.
Tabla 15: Número total de archivos maliciosos, variantes únicas de malware e índice de
repetición
Variable analizada Dato real

Número de archivos maliciosos 1.381
Variantes únicas de malware 963
Índice de repetición de cada variante única de malware 1,4
Fuente: INTECO
Se analiza a continuación a qué categorías de código malicioso pertenece este volumen

de variantes únicas.
Del total de variantes únicas detectadas, la mayor parte corresponde a troyanos (35,1%)
y herramientas (32,6%) y algo más de una cuarta parte son manifestaciones de software
publicitario no deseado (26,9%). Es decir: los troyanos, no sólo son el tipo de malware
que en mayor medida está presente en los equipos escaneados, sino que además
representan la categoría que más variantes únicas acumula, lo que dificulta su detección.
Gráfico 38: Distribución de las categorías de código malicioso (%)
1,8% 2,9%
0,7%
35,1%
32,6%
26,9%
Troyano Software publicitario no deseado
Herramientas Programas espías
Gusanos Otros
Número de variantes únicas de malware n=963 Fuente: INTECO
De las variantes únicas detectadas, más de dos terceras partes aparecen en un solo
equipo: se trata de detecciones únicas de las variantes únicas.
El análisis se muestra en el Gráfico 39, y confirma el alto nivel de diversificación y

heterogeneidad del malware: de las 963 variantes únicas de malware identificadas en los
equipos auditados, 678 se detectan en una sola ocasión, y 231 lo hacen en dos
ocasiones.
Gráfico 39: Número de detecciones de cada variante única de malware
1000
900
800
678
700
600
500
400
300
231
200
100 36
7 5 2
0
1 detección 2 detecciones 3 detecciones 4 detecciones 5 detecciones 6 detecciones
Número de variantes únicas de malware n=963 Fuente: INTECO
Los datos presentados en este capítulo constatan el importante volumen de variantes de

código malicioso que crean los cibercriminales, a través de la constante modificación de
sus códigos, con el objetivo de dificultar su detección. Esto se convierte en el principal
obstáculo para la efectividad de las soluciones antimalware basadas en el reconocimiento
de especímenes para aplicar la correspondiente vacuna.
Precisamente, la velocidad con que se crean nuevas variantes de malware cuestiona la

infalibilidad de las listas de malware cómo único método.
El malware encontrado con mayor frecuencia en los equipos de las empresas españolas
participantes en el estudio se relaciona en la Tabla 16, según la clasificación de su
metanombre 39 . Las dos detecciones más frecuentes, Generic y Agent, tienen
denominaciones genéricas, fruto de la aplicación de métodos heurísticos.
39
Se entiende por metanombre el identificador semántico de una familia, por ejemplo Win32.Bagle.AE tendrá como
metanombre Bagle. Las detecciones heurísticas se excluyen de la clasificación, puesto que muchas variantes realmente
diferentes pueden ser catalogadas por heurística con el mismo nombre.
Tabla 16: TOP-5 de tipo de malware encontrado según metanombre por número de equipos
que lo alojan
Tipo de malware encontrado Número de equipos

Generic 66
Agent 62
MyWebSearch 55
Small 26
Gator 16
Fuente: INTECO
4.2.4 Nivel de peligrosidad del código malicioso detectado en los equipos en

función del riesgo potencial que éste supone
Partiendo del número de variantes únicas detectadas se han definido cuatro categorías
de riesgo que permiten establecer un nivel de peligrosidad para los equipos de las
empresas participantes. Para su construcción se ha utilizado el siguiente criterio:
• Riesgo alto: se incluye en esta categoría los especímenes que, potencialmente,

permiten el acceso remoto por parte de un atacante al sistema víctima; pueden
suponer un perjuicio económico para el usuario; facilitan la captura de información
confidencial o sensible de la víctima; se emplean como pasarelas para atacar
otros equipos (pudiendo acarrear consecuencias legales para la víctima) o minan
el rendimiento y funcionalidad del sistema, ya sea borrando archivos, ralentizando
el equipo, cerrando ventanas, etc.
En base a este criterio, se asimilan a variantes de malware de riesgo alto los

troyanos, los marcadores telefónicos (dialers), los registradores de pulsaciones de
teclado (keyloggers), los virus, los gusanos, los rootkits, exploits y macros.
• Riesgo medio: se incluyen aquí ejemplares que, si bien tienen un impacto no

deseado sobre el sistema, no perjudican de forma notoria su rendimiento: abren
ventanas no deseadas al navegar; incrustan publicidad en páginas webs legítimas
que realmente no contienen publicidad; facilitan la captura de información no
sensible de la víctima (por ejemplo, los patrones de navegación para crear perfiles
de publicidad dirigida, etc.).
Las categorías consideradas en este tipo de riesgo son el software publicitario no

deseado (adware), los programas espías (spyware), las detecciones por heurística
y las secuencias de comandos maliciosos (scripts).
• Riesgo bajo: aquí se engloban las manifestaciones que menor nivel de afección
tienen sobre los equipos. Se trata de útiles empleados para hacking (por ejemplo,
escaneo de puertos, modificadores de direcciones ethernet 40 , etc.). En la mayoría
de los casos son herramientas instaladas por el usuario de forma intencionada,
para listar y matar procesos, o conectarse remotamente a sus equipos, etc. Por
otra parte, también se consideran especímenes de riesgo bajo los típicos
programas broma (por ejemplo, aquellos que despliegan una ventana que se va
moviendo y resulta imposible cerrarla con el ratón) y los virus exclusivos para
plataformas móviles pues estos no son capaces de ejecutarse sobre los equipos
de los usuarios.
A los efectos del estudio, se consideran como malware de bajo nivel de riesgo las
herramientas 41 , las bromas y malware alojado en los ordenadores pero orientado
a otros dispositivos (móviles, PDA’s).
• Sin riego: equipos donde no se detecta malware.
Esta es una clasificación genérica y, por tanto, sujeta a un margen de error 42 y con un
sesgo procedente no sólo por la generalización a categorías en base a los criterios
descritos, sino también por el propio equipamiento de los equipos de las empresas. Por
ejemplo, un marcador telefónico (dialer) será en realidad de riesgo nulo para un equipo
que no posee un modem no convencional para red telefónica básica ya que por regla
general los routers ADSL no tienen la posibilidad de hacer llamadas; sin embargo, en la
clasificación antes explicada, se está considerando a los dialers como de riesgo alto,
debido a su potencial impacto económico sobre la víctima.
Partiendo de esta categorización del riesgo, y según los datos procedentes del escaneo
de los equipos, el 31,4% de los equipos analizados aloja código malicioso considerado de
peligrosidad alta. El 11,9% contiene malware que implica un nivel de riesgo medio, y un
5,1% tiene código con riesgo bajo. El 51,6% restante son ordenadores no infectados y
por tanto sin riesgo.
40
Entiéndase por dirección Ethernet, aquella dirección que identifica a nuestro dispositivo de red en una red local.
41
El malware del tipo “herramienta” puede tener un riesgo variable dependiendo de si ha sido instalada conscientemente
por el usuario legítimo del equipo o por un tercero sin su conocimiento. Por ello, cuando se calcule el indicador
correspondiente se aplicará por defecto el nivel de riesgo bajo, aunque en algunas circunstancias un malware catalogado
como herramienta pueda ser de riesgo alto.
42
La determinación del riesgo de las muestras mediante análisis manual de las 963 variantes, si bien más rigurosa, sería
en exceso lenta y costosa. Considerando que las propiedades de las distintas categorías del malware estudiado siguen una
distribución gaussiana, la desviación global de la adopción de un enfoque genérico es despreciable en términos
estadísticos.
Gráfico 40: Distribución de los equipos en función del nivel de riesgo (%)
31,4%
51,6%
11,9%
5,1%
Sin Riesgo Bajo Medio Alto
Esta clasificación es lógica, dada la alta presencia de troyanos, que son considerados en
su totalidad como malware de riesgo alto, entre los equipos. El análisis se efectúa sobre
los equipos, y no sobre el código malicioso en sí mismo. Es decir, un equipo infectado
con un archivo de riesgo alto y uno de riesgo medio o bajo, estará siempre incluido en el
grupo de riesgo alto.
En definitiva, los ordenadores analizados presentan patrones multi-infección con una gran
incidencia de troyanos. Esto hace que el valor de riesgo alto prepondere sobre los
demás, lo cual no quiere decir que las amenazas de riesgos medios y bajos no estén tan
extendidas, recuérdese, por ejemplo, que las herramientas, que son la tercera categoría
más detectada en los equipos, son catalogadas como malware de riesgo bajo.
4.2.5 Factores de influencia sobre el estado de infección de los equipos
En este capítulo se analiza si factores como el sistema operativo del equipo o la

presencia de programas antivirus influye sobre la incidencia real del malware.
En relación con el tipo de sistema operativo, actualmente existe una desigual penetración
del código malicioso en los sistemas operativos, con mayor presencia de malware en los
equipos Windows que en los ordenadores con otro sistema operativo. Ello es, en parte,
debido a que Windows es la plataforma con mayor número de usuarios. Es decir, el
hecho de que Linux y Mac presenten niveles de infección muy inferiores a los de
Windows no significa que sean absolutamente invulnerables. Simplemente, los
ciberdelincuentes, a la hora de desarrollar código malicioso, lo hacen para que sea
soportado por la plataforma más extendida en el mercado.
¿Qué ocurre con programas antivirus? ¿Disponer de antivirus garantiza la ausencia de
malware en los equipos? El Gráfico 41 muestra el análisis comparativo del nivel de riesgo
de los equipos en función de la existencia o no de antivirus. Se pueden extraer dos
conclusiones:
• El hecho de disponer de antivirus contribuye a reducir el nivel de riesgo del

equipo: un 46,3% de equipos sin antivirus presenta un nivel de riesgo alto, frente
al 31,9% en el caso de ordenadores con esta herramienta.
• La instalación de antivirus no hace que el equipo sea invulnerable, ya que sigue

existiendo infección en los ordenadores con antivirus. Las soluciones de
seguridad tipo antivirus ayudan a la prevención, pero no garantizan la ausencia de
infecciones.
Gráfico 41: Nivel de riesgo de los equipos de las empresas según el uso de antivirus (%)
100%
90%
31,9%
80%
46,3%
70%
60% 12,9%
5,3%
50% 7,3%
7,3%
40%
30%
49,9%
20% 39,0%
10%
0%
Usa antivirus No usa antivirus
Sin riesgo Bajo Medio Alto
Equipos con antivirus n=551; Equipos sin antivirus=41 Fuente: INTECO
Además, si se realiza un análisis de la media de archivos maliciosos en función de si

existe o no antivirus, el resultado es el siguiente: los equipos sin antivirus albergan una
media de 4,5 archivos maliciosos, mientras que aquéllos con antivirus contienen 2,2
ficheros. En definitiva, las herramientas antivirus son sólo una capa más de seguridad
contra el código malicioso, pero no constituyen, por sí solas, la solución definitiva contra
el malware.
Los programas antivirus, que son totalmente necesarios, por sí solos no pueden prevenir
todas las infecciones, ya que la intensa producción de malware impide en algunos casos
a los laboratorios de antivirus identificar unívocamente todas las amenazas.
5 SEGURIDAD DE LAS COMUNICACIONES MÓVILES
E INALÁMBRICAS EN LAS PEQUEÑAS Y
MICROEMPRESAS
Una de las principales ventajas asociadas a las tecnologías inalámbricas es su

contribución a la movilización de las comunicaciones. Para ello es necesario contar con
dispositivos pequeños y de fácil transporte que permitan el aprovechamiento de las
ventajas de conexión que ofrecen estas tecnologías.
Ello ha implicado una mayor presencia de ordenadores portátiles en el seno de las

pequeñas y microempresas españolas. En el presente estudio el 51,4% de las entidades
encuestadas dispone de uno, con un 47,6% de implantación en las microempresas y un
72,9% en las pequeñas.
5.1 Seguridad en dispositivos móviles avanzados
Los dispositivos móviles han pasado de ser simples terminales para la transmisión de
voz, a complejos dispositivos o smartphones que ejecutan aplicaciones, disponen de un
sistema operativo, transmiten datos y/o correos electrónicos y son capaces de almacenar
información. Algunos ejemplos de éstos en sus diferentes plataformas tecnológicas son:
Windows Mobile, BlackBerry, Symbian, Palm, Android o el propio iPhone.
Todas estas nuevas funcionalidades los convierten en pequeños ordenadores

personales, por lo que también heredan los posibles riesgos asociados a ellos: malware,
pérdida de información, etc.
Por tanto, se ha incorporado en el estudio el análisis sobre el grado de inclusión de los

dispositivos móviles avanzados en las entidades españolas, los incidentes de seguridad
experimentados y las medidas de seguridad adoptadas sobre ellos.
El 33,5% de las microempresas y pequeñas empresas disponen de algún tipo de

dispositivo móvil avanzado (PDA, Blackberry, móviles 3G, etc.). De entre ellos, el 80,6%
incorpora bluetooth o Wi-Fi, frente a un 15,3% que no lo tiene y un 2,8% que desconoce
si dispone de esta tecnología su dispositivo.
Gráfico 42: Dispositivos móviles avanzados existentes en las empresas (PDA, Blackberry,
móviles con acceso a Internet (3G)) (%)
27,3%
66,5% 33,5%
5,2%
1,0%
No tiene teléfono móvil avanzado (PDA, Blackberry, móviles con acceso a Internet (3G))
Tiene teléfono móvil avanzado con Bluetooth o Wi-Fi
Tiene teléfono móvil avanzado pero no dispone de Bluetooth o Wi-Fi
Tiene teléfono móvil avanzado y no sabe si dispone de Bluetooth y/o Wi-Fi
Entre las entidades que disponen de un terminal con bluetooth o Wi-Fi, el hábito de uso
más frecuente es conectar el bluetooth sólo cuando se va a utilizar (37,8%). Otras
empresas afirman que lo mantienen siempre encendido y visible (30,1%), y un 13,6%
que, aun teniéndolo encendido, lo mantienen oculto (Gráfico 43).
También se identifican casos de no utilización de esta tecnología, como las empresas

que no lo utilizan y reconocen que no lo tienen activado (10,8%) y otras que desconocen
su estado o incluso si disponen de ella o no (7,7%).
Gráfico 43: Hábitos de uso del bluetooth en los dispositivos móviles avanzados de las
empresas (%)
Lo enciendo cuando lo
37,8%
necesito y luego lo apago
Lo tengo siempre
30,1%
encendido
Lo tengo siempre
encendido pero con el 13,6%
dispositivo oculto
No lo utilizo y tengo el
10,8%
Bluetooth apagado
No lo utilizo y desconozco
si el Bluetooth está 7,7%
encendido o apagado
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
La medida de seguridad más adoptada por las empresas para estos dispositivos es la
utilización de un PIN o código de seguridad de cuatro dígitos como paso previo necesario
para poder encenderlo (91,2%), seguido de la contraseña para desbloquearlo tras un
periodo de inactividad (42%). La copia de seguridad de los contactos u otra información
almacenada en el dispositivo es una medida empleada por el 40% de las empresas que
disponen de móviles avanzados.
En definitiva, el empleo de alguna de las medidas es casi absoluto: sólo un 3,9% de las
entidades afirman no utilizar ninguna o no lo considera necesario.
Gráfico 44: Medidas de seguridad utilizadas/instaladas en los dispositivos móviles
avanzados de las empresas (%)
100%
91,2%
90%
80%
70%
60%
50%
42,0% 40,0%
40%
30%
20%
11,5%
10% 3,9%
0%
PIN Contraseña para Copia de seguridad Programas No lo utiliza, no lo
desbloquear antivirus considera
necesario
Finalmente, del total de empresas que cuentan con dispositivos móviles avanzados sólo
un 7% afirman haber sufrido algún tipo de incidente. De ellos, la mayoría tienen su origen
en su robo o pérdida (46,5% y 55,8%, respectivamente). Asimismo, un 17,3% de las
empresas señala que ha tenido problemas de seguridad por virus o malware y un 5,8%
ha sufrido algún tipo de fraude a través del teléfono móvil.
5.2 Seguridad en las conexiones inalámbricas
Entre las pequeñas y microempresas españolas participantes en el estudio, el 38,1%

afirman disponer de una red inalámbrica (Wi-Fi).
Como INTECO recomienda en su Guía para proteger la red inalámbrica Wi-Fi de su

empresa 43 , éstas deben tomar en consideración ciertas medidas para reducir los riesgos
de un incidente de seguridad en su negocio, como paso previo a instalar una red
inalámbrica, y para dotar de seguridad los accesos inalámbricos a Internet. Son:
• El uso de protocolos de seguridad que permiten el cifrado en función de una

contraseña es realizado por el 81,8%. Esta medida garantiza que se proteja tanto
el acceso a la red como las comunicaciones entre los dispositivos. Los dos
43
INTECO (2009): Guía para proteger la red inalámbrica Wi-Fi de su empresa. Disponible en
http://www.inteco.es/Seguridad/Observatorio/manuales_es/GuiaManual_wifi_pymes
sistemas más comunes para asegurar el acceso a la red son el protocolo WEP
(Wired Equivalent Privacy) 44 y el protocolo WPA (Wi-Fi Protected Access) 45 .
• La ocultación del punto de red, que realiza el 19% de las entidades. Con esta
acción se consigue que no se difunda el nombre de la red. De esta manera, si
alguien quiere conectarse a ella, sólo podrá hacerlo si conoce el SSID (Service
Set IDentifier) o código (que está incluido en todos los paquetes de una red
inalámbrica para identificarlos como parte de esa red).
• El filtrado de las direcciones MAC, realizado por el 14,9% de las empresas

encuestadas. Es un identificador único de los dispositivos de red de sus equipos
(tarjeta de red, móviles, PDA, router).
• Otras medidas son llevadas a cabo por el 0,7% de las entidades. Entre ellas
figuran las siguientes: cambiar la dirección IP para la red local del router,
autenticar a las personas que se conectan a la red o apagar el router o punto de
acceso cuando no se utilice la red inalámbrica.
Gráfico 45: Medidas de seguridad que disponen las redes inalámbricas de las empresas (%)
Cifrado (WEP/WPA) 81,8%
Ocultación del punto de

19,0%
red
Filtrado de direcciones
14,9%
MAC
Otros 0,7%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
44
Fue el primer sistema de cifrado asociado al protocolo 802.11. Utiliza una clave simétrica. Se considera como el menos
seguro de todos por su facilidad para romperlo, siempre y cuando la persona que quiera hacerlo tenga los conocimientos
informáticos adecuados.
45
Este protocolo fue diseñado inicialmente como protocolo de autenticación para paliar las deficiencias del cifrado WEP.
Aunque su longitud de clave es menor que la de WEP, su método de cifrado es más robusto.
De las empresas que disponen de red inalámbrica, el 4,4% tiene constancia de haber
sufrido el robo de ancho de banda (ver Tabla 17), frente a un 89,7% que no lo ha sufrido.
Tabla 17: Constancia de haber sufrido robo de Wi-Fi, según tamaño de la empresa (%)
Empleados Sí No No sabe No contesta

Menos de 10 4,0 89,6 5,8 0,6
De 10 a 49 6,7 89,6 2,2 1,5
Total Muestra 4,4 89,7 5,2 0,7
Sólo un 2,6% de las entidades afirma acceder a Internet mediante alguna red que detecta
desde la empresa. El principal riesgo de dicha práctica es la conexión a redes sin
autenticar o cifradas. En el caso de redes sin autenticar, el riesgo viene dado por la
imposibilidad de conocer el origen físico de una potencial acción fraudulenta de Internet;
mientras que en el caso de conectarse a redes cifradas, el riesgo de dicha práctica radica
en que la información que las empresas intercambian con el exterior pudiese quedar al
descubierto y, por tanto, al acceso libre de los ciberdelincuentes.
6 CONSECUENCIAS, REACCIONES Y RESPUESTAS
ANTE LAS INCIDENCIAS DE SEGURIDAD EN LAS
PEQUEÑAS Y MICROEMPRESAS
6.1 Consecuencias de las incidencias de seguridad
En opinión de las empresas que han declarado haber sufrido algún incidente de
seguridad, la mayor consecuencia a la que se enfrentan es la pérdida de tiempo de
trabajo (un 54,9%).
Otras consecuencias significativas son los problemas de conexión/redes y la pérdida de

archivos y datos, opciones mencionadas por un 26,1% y un 20,1% de empresas,
respectivamente.
Existe un 20,6% de empresas que no ha experimentado ninguna consecuencia de

importancia, y un 17,1% que desconoce qué consecuencias ha tenido el incidente de
seguridad sufrido para su empresa.
Gráfico 46: Consecuencias derivadas de los incidentes de seguridad (%)
Pérdida de tiempo de trabajo (horas) 54,9%
Problemas de conexión/redes 26,1%
Pérdida de archivos y datos 20,1%
Daños en mi equipo (hardware) 14,2%
Pérdida de confianza en los medios electrónicos 8,8%
Daños en la imagen/reputación de su negocio 2,0%
Multas o sanciones 1,1%
Fraude con prejuicio económico 1,0%
Otros 2,5%
Ninguna situación de importancia 20,6%
No sabe 17,1%
0% 10% 20% 30% 40% 50% 60% 70% 80%
Entidades que han sufrido alguna incidencia n= 1.708 Fuente: INTECO
Un análisis comparativo permite contrastar la realidad española con los datos a nivel
internacional. Es interesante comprobar cómo cada una de las consecuencias son
percibidas en mayor medida en el ámbito internacional que en la empresa española.
Gráfico 47: Comparativa internacional de empresas según las consecuencias que se
derivaron de los incidentes de seguridad sufridos (%)
65,5%
Problemas de conexión/redes
26,1%
52,9%
Pérdida de archivos y datos
20,1%
32,6%
Daños en mi equipo (hardware)
14,2%
22,7%
Daños en la imagen/reputación de su negocio
2,0%
11,9%
Multas o sanciones
1,1%
19,6%
Fraude con perjuicio económico
1,0%
0% 10% 20% 30% 40% 50% 60% 70% 80%
España n=1.708, Internacional n= 2.217 Fuente: INTECO, GSISS-PwC
Se analiza a continuación el impacto que una incidencia de seguridad tiene desde el

punto de vista de tiempo, económico y de imagen.
En línea con lo que reflejaba el Gráfico 46, las empresas consideran que el tiempo
perdido es el efecto más relevante de cara al negocio. Así, cerca de un 70% de las
empresas consultadas considera que las incidencias de seguridad han tenido algún tipo
de impacto (alto, medio o bajo) en términos del tiempo empleado.
Otros tipos de efectos analizados son:
• Las pérdidas económicas, considerando como tales posibles multas,

pérdidas de clientes, etc. El 69% de las empresas afirma que las incidencias de
seguridad no han afectado en absoluto a nivel económico, frente a un 31% que
considera que sí ha existido impacto monetario.
• Los efectos negativos sobre la imagen de la empresa, que pueden comportar

una pérdida de confianza en el mercado. El 73,8% de las empresas consideran
que las incidencias tienen un impacto nulo sobre su imagen. Un 26,2% reconoce
que sí ha habido un efecto en este sentido, aunque la mayoría de ellas considera
que el nivel de impacto es bajo.
Gráfico 48: Nivel de impacto sufrido por las empresas en relación a diferentes puntos de
vista (%)
Punto de vista de la
73,8% 18,9% 5,3%2,0%
imagen de la empresa
Otros impactos 73,3% 18,4% 6,0% 2,3%
Punto de vista económico 69,0% 22,5% 6,8% 1,7%
Punto de vista del tiempo

31,9% 33,5% 24,6% 10,1%
invertido
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Sin impacto Impacto bajo Impacto medio Impacto alto
Los datos analizados hasta ahora permiten concluir que la empresa no está asociando la
incidencia de seguridad sufrida a posibles pérdidas económicas o efectos negativos
sobre la imagen empresarial. La única consecuencia valorada en cierto modo es el
impacto en tiempo. Sorprende la diferencia de consideración entre el impacto económico
y el impacto temporal ya que, en definitiva, una pérdida de tiempo comporta una pérdida
monetaria cuantificable.
El análisis internacional ofrece una realidad diferente a la española, tal y como muestra el
Gráfico 49. Las empresas de menos de 100 empleados, a nivel internacional, consideran
en mayor medida la repercusión económica derivada de la incidencia que la mera pérdida
de tiempo. Así, frente a un 69% de empresas españolas que afirman que no existe
ningún tipo de impacto monetario sobre el negocio, sólo un 7,6% de las organizaciones a
nivel internacional mantienen esta afirmación.
Se señalan aquí dos cuestiones de tipo metodológico que deben ser tenidas en cuenta a
la hora de interpretar los resultados:
• El diferente tamaño de empresas que constituyen la muestra en cada caso, hace

que no sean exactamente comparables (empresas de 1 a 49 empleados en el
caso de España, mientras que a nivel internacional se trata de organizaciones de
hasta 100 asalariados).
• En España las empresas encuestadas describían como nulo, bajo, medio o alto el
impacto económico experimentado, sin asociar un importe objetivo a cada una de
las cuatro opciones de respuesta. A nivel internacional, en cambio, se estimó
como impacto bajo cuando el perjuicio económico era inferior a diez mil dólares,
medio cuando el perjuicio estaba entre diez mil uno y novecientos noventa y
nueve mil novecientos noventa y nueve dólares, e impacto alto para cualquier
valor superior a un millón de dólares.
Gráfico 49: Comparativa internacional según el nivel de impacto sufrido por las empresas
como consecuencia de un incidente de seguridad (%)
Sin impacto 39,6%

31,9%
Tiempo perdido
Bajo 43,8%
33,5%
Medio 13,9%
24,6%
Alto 2,7%
10,1%
Términos económicos
Sin impacto 7,6%

69,0%
Bajo 62,1%
22,5%
Medio 27,6%
6,8%
Alto 2,8%
1,7%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
España n=1.708, Internacional n=2.217 Fuente: INTECO (2009) y GSISS-PwC (2009)
6.2 Reacciones de las empresas frente a las incidencias de seguridad
Ante un incidente de seguridad las empresas responden instalando o actualizando una

herramienta de seguridad (42,9%), realizando copias de seguridad de los archivos
(24,6%) o cambiando de contraseñas (20,7%). Se trata de las reacciones mencionadas
en mayor medida.
También existe un 30,9% de las empresas que no realiza ningún cambio en sus hábitos
de seguridad después de experimentar una incidencia.
Gráfico 50: Cambios de hábitos en las empresas debido a un incidente de seguridad (%)
Instalado/actualizado programas/herramientas 42,9%
Comenzado a realizar copias de seguridad 24,6%
Cambio de contraseñas 20,7%
Consultado con un experto y contratado una

14,1%
auditoria
Dejado de usar servicios de Internet 5,4%
Otros 4,0%
Ningún cambio en mis hábitos 30,9%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Se analiza a continuación si la reacción adoptada por el empresario es diferente en

función del tipo de incidencia sufrida. Para ello, se han cruzado las empresas que afirman
haber experimentado cada uno de los incidentes analizados en el capítulo 4 (esto es,
virus, spam, software espía, troyanos, fallos técnicos, robo de datos, fraude y DDoS) con
la acción emprendida en cada caso.
Así, se aprecia un mayor nivel de respuesta en las incidencias más graves. De cara a
poder extraer conclusiones del presente gráfico el lector debe tener en consideración que
las bases tomadas para cada uno de los incidentes de seguridad declarados por las
empresas es reducida.
Por ejemplo, en el caso de las empresas que han experimentado un DDoS (n=32) un
62,5% instalaron herramientas de seguridad (frente a un 42,9% a nivel global) y un
porcentaje inferior al 10% se mantuvo inactiva (frente a un 30,9% de las empresas que, a
nivel global, afirmaron no llevar a cabo ningún cambio en sus hábitos).
Gráfico 51: Método empleado por las empresas para resolver incidentes en relación con el
tipo de incidente sufrido (%)
80%
70% 62,5%
60%
49,1% 48,6% 50,5%
50% 43,6% 43,8% 43,1% 45,1%
40%
30%
20% 15,6%
7,5% 9,7%
10% 5,6% 5,7% 5,4% 5,6% 5,9%
0%
Virus Spam SW espia Troyanos Fallos Robo datos Fraude DDoS (n=32)
(n=1085) (n=1394) (n=334) (n=479) técnicos (n=102) (n=103)
(n=502)
He instalado o actualizado un programa o herramienta de seguridad
Ningún cambio en mis hábitos por los problemas de seguridad
He comenzado a realizar copias de seguridad de los archivos
He cambiado mis contraseñas
He consultado con un experto y contratado una auditoria
He dejado de usar servicios de Internet
Fuente: INTECO
6.3 Respuesta de las empresas frente a las incidencias de seguridad
Para concluir este capítulo, se analiza el método que las empresas utilizan para resolver
los incidentes de seguridad.
El 29,1% reconoce que las incidencias se resuelven gracias a la intervención del personal
propio de las empresas, mientras que un 65,7% de los casos recurren a servicios
especializados externos, ya sea un experto en seguridad (25,5%), un servicio técnico
(23,3%) o el proveedor local de sistemas informáticos (16,9%).
Gráfico 52: Método empleado por las empresas para resolver incidentes (%)
Se resuelven por el personal de la empresa 29,1%
Se localiza a un experto en seguridad externo 25,5%
Se contacta con un servicio técnico 23,3%
Se llama al proveedor local de sistemas

16,9%
informáticos
Se llama a un conocido con conocimientos 3,7%
Otros 1,2%
No se hace nada 0,3%
0% 10% 20% 30% 40% 50% 60% 70% 80%
También en este caso se ha creído conveniente analizar si el método de resolución

empleado guarda algún tipo de relación con el incidente sufrido 46 .
Gráfico 53: Método empleado por las empresas para resolver incidentes en relación con el
tipo de incidente declarado (%)
DDoS (n=32) 72,4% 10,3% 10,3% 3,4% 3,4%
Fraude (n=103) 44,9% 17,3% 15,3% 20,4% 2,0%
Robo datos (n=102) 33,7% 27,6% 24,5% 9,2% 5,1%
Fallos técnicos (n=502) 29,5% 27,9% 24,5% 13,5% 4,6%
Troyanos (n=479) 36,0% 26,2% 21,6% 11,1% 5,0%
SW espia (n=334) 38,3% 20,9% 19,9% 15,6% 5,3%
Spam (n=1394) 29,9% 24,1% 24,3% 18,2% 3,6%
Virus (n=1085) 30,0% 26,0% 22,7% 16,8% 3,9%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Se resuelven por el personal de la empresa

Se localiza a un experto en seguridad externo
Se contacta con un servicio técnico
Se llama al proveedor local de sistemas informáticos
Se llama a un conocido con conocimientos
Fuente: INTECO
46
Sirva como aclaración que para la realización del Gráfico 61 se han tenido en cuenta sólo las respuestas efectuadas que
tienen relación con el uso de personal externo/interno (1.661), excluyéndose las contestaciones: no se hace nada (5), otros
(20) y no contesta (22). Así se han recalculado los porcentajes sobre las entidades que emplearon métodos llevados a
cabo por personal tanto de la propia empresa como ajeno a ella.
7 E-CONFIANZA DE LAS PEQUEÑAS Y
MICROEMPRESAS
La e-confianza determina la aceptación, familiaridad y seguridad con que las empresas

abordan la adopción de servicios de la Sociedad de la Información.
Para medirla se utilizan tres variables:
• En primer lugar, se analiza el nivel de utilización de ciertos servicios en línea por

parte de las pequeñas y microempresas. En concreto, se han considerado
aquellos servicios habituales en el contexto empresarial: compras a proveedores,
ventas a través de Internet, realización de gestiones con la Administración
Pública, envío de información de la empresa vía Internet, servicios de banca
electrónica, realización de pagos vía PayPal y uso de firma electrónica.
• En segundo lugar se mide, entre las empresas que afirman utilizar cada uno de
los servicios, el nivel declarado de confianza que dicho servicio les ofrece.
• Por último, las empresas que afirman no confiar en los servicios analizados
identifican los motivos que justifican su desconfianza, que se traducen en frenos y
barreras a su adopción.
Del análisis conjunto de la información se extrae un diagnóstico de la situación actual y se

perfilan conclusiones que pueden orientar futuras líneas de actuación.
El Gráfico 54 muestra el porcentaje de empresas que utilizan los servicios. Destaca la

banca electrónica, empleada por el 84,2% de las entidades estudiadas. También son
utilizados de forma considerable el envío de información acerca de la empresa a través
de Internet mediante el correo electrónico o formularios web (59,9%), la realización de
gestiones con la Administración Pública (57,2%) y el uso de la firma electrónica (50,2%).
Los servicios de compra y venta a través de Internet son también empleados de forma
considerable por las pequeñas y microempresas (un 41% y un 40,6% respectivamente),
al igual que de los servicios de pago por Internet (como PayPal, Google Checkout,
Amazon Payments o similares), utilizados por un 41,5%.
Por último se sitúa la factura electrónica que, con una tasa de utilización del 8% a nivel
global, es el recurso con menor presencia entre las empresas participantes en el estudio.
Gráfico 54: Utilización de servicios electrónicos a través de Internet por parte de las
empresas (%)
Uso banca electrónica 84,2% 15,8%
Envia por e-mail formularios Web 59,9% 40,1%
Gestiones con la Administración 57,2% 42,8%
Uso de la firma electrónica 50,2% 49,8%
Pagos a través de Internet 41,5% 58,5%
Compras a proveedores 41,0% 59,0%
Ventas a clientes 40,6% 59,4%
Uso factura electrónica 8,0% 92,0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Si No
El Gráfico 55 ofrece un análisis comparado de la realidad española con la realidad

europea 47 , y distingue a su vez entre UE 15 y UE 27. Nótese que, para facilitar la
comparabilidad con los datos europeos, sólo se ha tenido en cuenta la submuestra de
pequeñas empresas (aquéllas que tienen entre 10 y 49 asalariados). Ello explica que los
datos no coincidan con los mostrados en el gráfico anterior al mostrar el nivel global de
uso.
Los resultados son muy positivos: en cinco de los ocho servicios analizados el nivel de
uso por parte de las empresas españolas de entre 10 y 49 empleados supera al dato
europeo. Se trata, en concreto, del uso de banca electrónica, la realización de gestiones
con las Administraciones Públicas, la utilización de la firma electrónica, la realización de
compras y, por último, las ventas en línea. Estas situaciones son adoptadas en mayor
medida por la empresa española que por sus homólogas en Europa. Destaca muy
especialmente la adopción de la firma electrónica, donde la pequeña empresa española
aventaja en más de 40 puntos a la europea.
Entre los servicios adoptados en mayor grado por las empresas europeas se encuentran
la utilización de factura electrónica, la utilización de las webs de las empresas como canal
de venta y la posibilidad de permitir la realización de pagos por Internet.
47
Eurostat (2008): ICT usage by enterprises 2008. Disponible en http://www.eds-estatis.de/de/downloads/sif/qa_08_048.pdf
Gráfico 55: Comparativa europea según la utilización de servicios a través de Internet por
93,3% parte de las empresas (%)
84,0%
83,4%
100%
73,9%
71,2%
70,9%
90%
62,3%
80%
70%
49,2%
43,2%
60%
31,9%
50%
28,0%
25,8%
25,7%
21,9%
21,6%
20,9%
40%
19,9%
16,9%
15,1%
11,6%
30%
9,8%
9,8%
9,4%
5,5%
20%
10%
0%
España UE 15 UE 27
Utilización banca electrónica Realización gestiones con las AAPP

Utilización firma electrónica Realización compras
Realización ventas Utilización factura electrónica
Utilización de la web como canal de venta Permiten el pago por Internet
España n=329, Europa n=67.303 Fuente: INTECO (2009), Eurostat (2008)
En general, la lectura es positiva: considerando el nivel de uso como el indicador más

claro de la confianza que la empresa muestra en un servicio en línea, se puede concluir
que la e-confianza se encuentra en niveles saludables.
7.1 e-Confianza en la Sociedad de la Información
Los siguientes epígrafes analizan el nivel de confianza que las empresas declaran tener
hacia el servicio en cuestión. Para facilitar la interpretación, se ha estructurado el análisis
en cuatro bloques, que se corresponden a cuatro tipos de servicios:
• Gestiones con las Administraciones Públicas.
• Actividades propias del comercio electrónico.
• Operaciones bancarias electrónicas.
• Envío de datos personales y firma electrónica.
7.1.1 e-Confianza en las gestiones con las Administraciones Públicas
En los últimos años, Internet se ha convertido en una herramienta imprescindible para las
empresas, en tanto en cuanto agiliza muchas de sus gestiones. Uno de los servicios que
en mayor medida ha repercutido en la comodidad y facilidad de gestión es la posibilidad
creciente de realizar tramitaciones con la Administración Pública en línea: cada vez más
gestiones habituales con la Seguridad Social, Agencia Tributaria, etc., pueden realizarse
a través de la Red.
En términos globales, un 57,2% de las empresas realizan estos trámites, y el tamaño

favorece su adopción: un 73,8% de las empresas de 10 a 49 empleados reconoce utilizar
este servicio, frente al 54,3% en el caso de las microempresas.
En el análisis de la confianza, es muy relevante que el 90% de las empresas muestran

mucha o bastante confianza hacia estas operaciones. No se aprecian diferencias
significativas en función del tamaño: sean pequeñas o microempresas, lo cierto es que
las empresas españolas confían en la realización de gestiones con la Administración
Pública a través de Internet.
Tabla 18: Grado de confianza de las empresas cuando realizan gestiones con la
Administración Pública a través de Internet, según el tamaño de la empresa (%)
% Confianza
empresas
Tamaño Ni poca ni
que Mucha Bastante Poca Ninguna
realizan mucha
Menos de 10 54,3 39,4 50,5 6,6 2,2 1,3
De 10 a 49 73,8 41,7 48,8 6,3 2,4 0,8
Total muestra 57,2 39,9 50,2 6,5 2,3 1,2
Las empresas que muestran poca o ninguna confianza hacia la realización de gestiones
con la Administración Pública a través de Internet siguen confiando más en mecanismos
tradicionales (65,1%) o no lo encuentran seguro (32,6%). Nótese, en cualquier caso, que
se trata de una base de cálculo tan reducida (n=43) que hace que las conclusiones deban
extraerse con cautela.
Gráfico 56: Motivos por los que las empresas confían poco o nada a la hora de realizar
gestiones con la Administración Pública través de Internet (%)
2,3%
32,6%
65,1%
Confio más en mecanismos tradicionales No me parece seguro Me resulta extraño y desconocido
n=43 Fuente: INTECO
7.1.2 e-Confianza en el comercio electrónico
Más allá de la realización de gestiones con la Administración, la empresa está utilizando

el canal que le abre Internet para la realización de actividades propias de su negocio. En
este sentido, el comercio en línea constituye un claro punto de partida. Dado que las
empresas, independientemente de su tamaño, compran a proveedores, y venden a
clientes, ¿en qué medida realizan estas operaciones a través de Internet?
El 41,0% de las empresas compran a proveedores a través de Internet y, también en

este caso, se aprecian diferencias de uso en función del tamaño: un 49,1% de las
empresas de 10 a 49 empleados reconoce comprar a sus proveedores en línea, frente a
un 39,6% en el caso de las microempresas.
En ambos casos, el nivel de confianza se muestra elevado: un 82,7% de las empresas

muestran mucha o bastante confianza en la realización de estas operaciones. En este
caso, el factor tamaño no es decisivo a la hora de determinar una mayor o menor
confianza: el 83,5% de las microempresas se muestran muy confiadas en la compra en
línea a sus proveedores, frente a 79% en el caso de las pequeñas empresas.
Tabla 19: Grado de confianza de las empresas cuando realizan compras a proveedores a
través de Internet, según el tamaño de la empresa (%)
% Confianza
empresas
Tamaño Ni poca ni
realizan mucha
Menos de 10 39,6 33,8 49,7 10,6 3,5 2,3
De 10 a 49 49,1 39,1 39,9 14,9 4,3 1,8
Total muestra 41,0 34,8 47,9 11,4 3,6 2,2
Entre el 5,8% de las empresas que confían poco o nada en la realización de estas
gestiones a través de Internet (n=53), se profundiza en los motivos para ello. Una mayor
confianza en los mecanismos tradicionales (66%) y la percepción de que no es seguro
(26,4%) son las razones que alegan en mayor medida.
Gráfico 57: Motivos por los que las empresas confían poco o nada al realizar compras a
proveedores a través de Internet (%)
7,5%
26,4%
66,0%
n=53 Fuente: INTECO
La venta a clientes utilizando la Red es realizada por el 40,6% de las empresas

encuestadas. En este caso, no se aprecian diferencias considerables entre las empresas
de menos de 10 empleados (40,2% de utilización) y de 10 a 49 empleados (43%).
En el análisis de la confianza declarada se aprecian, una vez más, valoraciones muy

positivas por parte de las empresas: un 85% confía mucho o bastante en la realización de
ventas a clientes a través de Internet.
Tabla 20: Grado de confianza de las empresas cuando realizan ventas a clientes a través de
Internet, según el tamaño de la empresa (%)
% Confianza
empresas
Tamaño Ni poca ni
realizan mucha
Menos de 10 40,2 55,5 29,4 6,6 4,4 4,1
De 10 a 49 43,0 51,1 34,8 7,8 3,5 2,8
Total muestra 40,6 54,8 30,2 6,8 4,2 3,9
En este caso, el 8,1% de empresarios que muestran poca o ninguna confianza (n=73), lo
hacen también porque confían más en mecanismos tradicionales (52%) y porque no lo
encuentran seguro (37%).
Gráfico 58: Motivos por los que las empresas confían poco o nada al realizar ventas a
clientes a través de Internet (%)
11,0%
52,0%
37,0%
n=73 Fuente: INTECO
Una de las posibles fórmulas empleadas por las empresas para vender en línea es,
precisamente, hacerlo a través de su página web corporativa.
El 50,8% de las entidades españolas dispone de página web en el momento de

celebración de la encuesta, lo cual supone una evolución positiva con respecto al año
2008: el estudio 48 de AETIC / Everis Las Tecnologías de la Información y las
Comunicaciones en la empresa española 2008 muestra que, en ese año, el porcentaje de
empresas que disponían de página web era de 47,1%.
El nivel se encuentra ligeramente por detrás de la situación europea: en UE 27 un 65,2%

de las empresas tienen página web corporativa, y en UE 15 el porcentaje asciende hasta
el 67,5%.
Gráfico 59: Comparativa europea de empresas que disponen de página web (%)
100%
90%
80%
67,5%
70% 65,2%
60%
50,8%
50%
40%
30%
20%
10%
0%
España UE 15 UE 27
España n= 2.206, Europa n= 67.303 Fuente: INTECO, Eurostat
Del total de empresas que tienen página web, el 13,9% la utilizan como canal de venta.
No se aprecian diferencias relevantes en función del tamaño.
Tabla 21: Uso de la página web como canal de venta, según el tamaño de la empresa (%)
Tamaño Sí No No sabe No contestan

Menos de 10 14,1 83,7 1,1 1,0
De 10 a 49 13,1 84,3 0,0 2,5
Total Muestra 13,9 83,9 0,9 1,3
Se analiza a continuación la realización de pagos a través de Internet. El nivel de uso

general asciende al 41,5% y, también en este caso, se aprecia una utilización superior
48
AETIC-Everis (2008): Las Tecnologías de la Información y las Comunicaciones en la empresa española 2008. Disponible
en: http://www.everis.es/Images/81871%20Las%20Tecnologias%20BAJA%20WEB_tcm31-46591.pdf
por parte de las empresas de 10 a 49 empleados (49,4%) que por las empresas de
menos de 10 empleados (40,1%).
El grado de confianza depositada en este medio sigue tomando valores elevados, aunque
es ligeramente menor a la confianza en compra y venta en línea: el 75,1% de las
empresas que los realizan otorga mucha o bastante confianza, sin que se aprecien
diferencias significativas en función del tamaño de las empresas.
Tabla 22: Grado de confianza de las empresas cuando realizan pagos por Internet, según el
tamaño de la empresa (%)
% Confianza
empresas
Tamaño Ni poca ni
que lo Mucha Bastante Poca Ninguna
realizan mucha
Menos de 10 40,1 43,4 30,9 9,2 7,5 9,0
De 10 a 49 49,4 44,5 33,9 10,6 6,7 4,3
Total muestra 41,5 43,7 31,4 9,4 7,2 8,2
También en este caso la explicación de la falta de confianza (n=142) se encuentra en el

hecho de que confían más en mecanismos tradicionales (46,5%) y en la percepción de
inseguridad (40,1%).
Gráfico 60: Motivos por los que las empresas confían poco o nada al realizar pagos a través
de Internet (%)
1,4%
12,0%
46,5%
40,1%
Confio más en mecanismos tradicionales No me parece seguro

Me resulta extraño y desconocido No contesta
7.1.3 e-Confianza en las operaciones bancarias electrónicas
Al analizar la extensión en el uso de ciertos servicios entre las empresas españolas, se

ve que la realización de operaciones bancarias a través de Internet es la práctica online
más ampliamente utilizada entre el colectivo objeto de estudio. Un 84,2% de las
empresas realizan gestiones bancarias en línea, con mayor intensidad por parte de las
empresas de 10 a 49 empleados (93%) que por las microempresas (82,6%).
También en este caso las valoraciones son muy positivas: el 90,3% de las empresas
muestra mucha o bastante confianza hacia la realización de operaciones de banca
electrónica.
Tabla 23: Grado de confianza de las empresas cuando utilizan servicios de banca
electrónica, según el tamaño de la empresa (%)
% Confianza
empresas
Tamaño Ni poca ni
realizan mucha
Menos de 10 82,6 38,3 52,0 5,9 2,5 1,2
De 10 a 49 93,0 39,9 50,0 6,2 2,9 1,0
Total muestra 84,2 38,6 51,7 5,9 2,6 1,2
Al igual que el resto de servicios analizados, el principal motivo para las empresas a las
que la banca online les ofrece poca o ninguna confianza (n=69), es que confían más en
los mecanismos tradicionales (53,6%).
Gráfico 61: Motivos por los que las empresas confían poco o nada en los servicios de
banca electrónica (%)
4,3%
42,0%
53,6%
n=69 Fuente: INTECO
7.1.4 e-Confianza en la firma electrónica y el envío de datos personales
El objetivo de la firma electrónica es trasladar al entorno de los documentos electrónicos

la misma funcionalidad que aporta la firma manuscrita a un documento impreso, es decir,
identificar al autor y, en el caso de documentos compartidos, fijar el contenido del
documento mediante el cruce de copias firmadas por todas las partes implicadas.
A nivel práctico, el empleo de la firma electrónica requiere el uso de la tecnología para

asignar a los datos identificativos del titular del certificado una serie de claves vinculadas
a él. El 50,2% del total de las empresas encuestadas usan la firma electrónica, siendo la
utilización entre las empresas de 10 a 49 empleados superior a la que muestran las
pequeñas y microempresas (62,1% frente a 48,1%). Al 90,8% esta operativa les genera
mucha o bastante confianza.
Tabla 24: Grado de confianza de las empresas cuando utilizan la firma electrónica, según el
tamaño de la empresa (%)
% Confianza
empresas
Tamaño Ni poca ni
realizan mucha
Menos de 10 48,1 42,3 48,5 6,3 2,1 0,8
De 10 a 49 62,1 43,3 48,4 5,4 1,5 1,5
Total muestra 50,2 42,4 48,4 6,2 2,0 1,0
Entre el 3% de empresas a los que la utilización de la firma electrónica les ofrece poca o
ninguna confianza (n=33), la afinidad con los métodos tradicionales (60,6%), la falta de
sensación de seguridad (24,2%) y la percepción de que es algo extraño y desconocido
(15,2%) son los motivos que frenan su confianza.
Gráfico 62: Motivos por los que las empresas confían poco o nada en el uso de la firma
electrónica (%)
15,2%
24,2%
60,6%
n=33 Fuente: INTECO
Por último, el envío de información por correo electrónico acerca de su empresa es

realizado por un 59,9% del total de entidades encuestadas, con una intensidad
considerablemente superior entre las empresas de 10 a 49 empleados (65,9%) que entre
las empresas de menor tamaño (58,8%).
Este servicio ofrece mucha y bastante confianza al 76,9% de ellas, sin que se aprecien
en este caso diferencias significativas en función del tamaño de empresa.
Tabla 25: Grado de confianza de las empresas cuando envían información por e-mail, según
el tamaño de la empresa (%)
% Confianza
empresas
Tamaño Ni poca ni
realizan mucha
Menos de 10 58,8 26,2 50,9 14,1 5,1 3,7
De 10 a 49 65,9 31,1 45,4 15,2 7,9 0,5
Total muestra 59,9 26,9 50,0 14,4 5,5 3,2
El 49,6% de las empresas que muestran poca o ninguna confianza a la hora de enviar
información por Internet acerca de su empresa afirman que es porque no les parece
seguro el envío, mientras que para el 36,5% la desconfianza radica en que prefieren el
medio tradicional sobre el digital. Apréciese que se trata del único de los servicios
analizados en el que la respuesta mayoritaria para justificar la falta de confianza es la
percepción de inseguridad.
Gráfico 63: Motivos por los que las empresas confían poco o nada a la hora de enviar
información por correo electrónico (%)
2,6%
11,3%
49,6%
36,5%
No me parece seguro Confio más en mecanismos tradicionales

Me resulta extraño y desconocido No contesta
En definitiva, las empresas españolas presentan un nivel de adopción de servicios de la

Sociedad de la Información más que aceptable, en muchos casos superiores a los
mostrados por las empresas europeas: tal es el caso del uso de banca electrónica, la
realización de gestiones con las Administraciones Públicas, la utilización de la firma
electrónica, la realización de compras y, por último, las ventas en línea. Existen otros
servicios en los que las empresas españolas deben seguir invirtiendo esfuerzos para
equipararse a la media europea. Son la factura electrónica, la utilización de las webs de
las empresas como canal de venta y la posibilidad de permitir la realización de pagos por
Internet.
Se pueden extraer dos patrones de comportamiento comunes en el análisis

individualizado de cada uno de los servicios:
• En primer lugar, el uso está más extendido entre las empresas de mayor tamaño
(10 a 49 empleados) que entre las microempresas. Las acciones de formación y
concienciación que se lancen desde las administraciones y sector privado
deberían tener en cuenta esta circunstancia para seleccionar colectivos de
impacto adecuados.
• En segundo lugar, los niveles de confianza en cada servicio son muy elevados
entre los usuarios, en valores que se sitúan entre el 75 y el 90% en todos los
casos. En este caso, el tamaño de la empresa no afecta a la hora de determinar
una mayor o menor confianza.
7.2 Frenos al desarrollo de la Sociedad de la Información
Si las empresas están utilizando suficientemente los servicios de la Sociedad de la

Información, en línea con el nivel europeo, y además afirman confiar en ellos, ¿existe
algún freno a la expansión de estos servicios? Se analiza en este epígrafe las
motivaciones que las empresas no usuarias de cada servicio muestran para,
precisamente, no utilizar tal servicio.
Obviamente, las razones difieren en función del servicio analizado. En el Gráfico 64 se ha

intentado homogeneizar las respuestas facilitadas por las empresas, de cara a facilitar su
lectura y análisis 49 .
Gráfico 64: Motivos por los que las empresas no realizan determinados servicios a través
de Internet (%)
Pagos por Internet

50,7% 26,6% 10,7% 2,5% 9,5%
(n=1.290)
Uso banca electrónica

27,4% 27,7% 15,6% 3,7% 25,6%
(n=348)
Gestiones con la AA.PP

5,1% 6,8% 26,2% 3,3% 58,5%
(n=944)
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
No sé cómo hacerlo Falta de confianza No me interesa No sabia que se pudiese hacer Otro motivo
Fuente: INTECO
49
Es necesario recordar que el grado de no uso de cada uno de los servicios es distinto (gestiones n= 944, banca n=348 y
pagos n=1.290). Por este motivo las conclusiones que se extraigan de este análisis es conveniente ponerlas en contexto.
Las conclusiones del análisis son reveladoras.
• Las empresas que no realizan pagos por Internet (n=1.290) reconocen no hacerlo
porque no saben cómo (50,7%) o porque no les ofrece confianza el servicio
(26,6%), principalmente.
• Las organizaciones que no utilizan banca electrónica (n=348) alegan en primer

lugar la falta de confianza (27,7%) y en segundo lugar manifiestan no saber cómo
se hace (27,4%). A un porcentaje considerable (15,6%) no le interesa la banca en
línea, y un 25,6% adicional muestra otros motivos.
• Por último, las empresas que no realizan gestiones con las administraciones
públicas a través de Internet (n= 944) muestran falta de interés como motivo
mayoritario (26,2%), seguido de falta de confianza (6,8%). En este caso, la
proporción de organizaciones que no saben cómo llevar a cabo estas gestiones
es más reducida (5,1%) y, por el contrario, el volumen de encuestados que alega
“otro motivo” es muy elevado (58,5%).
El Gráfico 65 analiza los frenos a la utilización de la factura electrónica por parte de los no
usuarios. En este caso, la base de cálculo es elevada (n=1.995) ya que, recordando
datos presentados anteriormente, este servicio muestra una tasa de utilización
ciertamente reducida entre las empresas españolas (8%).
El 60,4% de las empresas que no utilizan factura electrónica no lo hace porque “no le
reporta ninguna ventaja”, lo que constituye un punto de partida muy interesante para
orientar acciones destinadas a impulsar el uso de la factura electrónica entre las
Gráfico 65: Motivos por los que las empresas no disponen de factura electrónica (%)
2,9% 1,3%
9,6%
11,7%
60,4%
14,1%
Considera que no le reporta ninguna ventaja

Otros
Desconoce que es la factura electrónica
Interesado, pero no dispone de tiempo o recursos para realizarlo
No lo considera seguro
No contesta
Empresas que no disponen de factura electrónica n=1.995 Fuente: INTECO
Por último, en el análisis de los motivos que llevan a las empresas a no utilizar la firma
electrónica destacan la falta de interés (48,6%) y el desconocimiento de su utilidad
(14,9%).
Gráfico 66: Motivos por los que las empresas no utilizan la firma electrónica (%)
0,5%
20,4%
1,6%
3,2% 48,6%
5,2%
5,5%
14,9%
No me interesa Desconozco su utilidad Falta de confianza
No sé como usarla No sabía que se pudiese tener No sé como obtenerla
Otros motivos No contesta
8 SISTEMA DE INDICADORES DE SEGURIDAD DE
LAS PEQUEÑAS Y MICROEMPRESAS
Todo el análisis mostrado en el presente estudio se puede resumir en el cálculo de una

serie de indicadores que sintetizan la información resultante de la investigación de
manera sistemática y segmentada. De esta forma se puede obtener una visión global del
estado de seguridad de las pequeñas y microempresas españolas.
El sistema se compone de siete indicadores, y abarca desde las buenas prácticas o el

equipamiento de seguridad a las incidencias reales de malware. El sistema incluye los
siguientes indicadores:
• IS.1: Indicador de herramientas.
• IS.2: Indicador de buenas prácticas.
• IS.3: Indicador de políticas.
• IS.4: Indicador de incidencias de malware.
• IS.5: Indicador de equipos es situación de riesgo.
• IS.6: Indicador agregado de seguridad.
• IS.7: Indicador de e-confianza.
Los siete indicadores se clasifican en tres grupos: indicadores relacionados con la

protección (IS.1, IS.2, IS.3), indicadores relacionados con el riesgo y el nivel de
incidencias (IS.4, IS.5) e indicadores generales de seguridad y e-confianza (IS.6, IS.7).
En el primer grupo se sitúan aquéllos que miden y señalan la protección existente en la
empresa; en el segundo, aquéllos que miden los riesgos; y en el tercero figuran el IS.6,
que se calcula tomando como referencia al NIST para construir un indicador basado en
las acciones que una pequeña empresa debe llevar a cabo para protegerse, y el IS.7, que
presenta la percepción de seguridad general de las empresas en su uso de Internet.
Los indicadores adquieren valores que se encuentran entre 0 y 100 puntos. Así, por
ejemplo, si el indicador IS.5 adquiere un valor de 23,8, no implica que el 23,8% de los
ordenadores de las empresas tengan un riesgo de diseminación elevado, sino que el
resultado de los cálculos combinados para obtener su resultado arroja un valor de 23,8
puntos en una escala de 0 a 100.
El sistema de indicadores de INTECO permite, en el caso de realizar posteriores
estudios, hacer un seguimiento de la evolución y las tendencias de la seguridad en las
pequeñas y microempresas españolas, con las siguientes ventajas:
• Es integral, pues abarca tanto los hábitos de uso como el equipamiento en

seguridad o las incidencias reales de malware.
• Es sintético, pues condensa en un conjunto de siete indicadores todos los

aspectos relevantes de la seguridad. Por separado, cada uno de ellos refleja un
determinado ámbito de la seguridad mediante un cálculo combinado las diversas
variables y parámetros que componen cada uno de estos índices.
• Es estable, pues permite tener una visión de conjunto de la situación de seguridad

de cualquier mercado, segmento o sub-segmento referidos a puntuaciones cuya
referencia es siempre el 100 de la escala. Incluso en el caso de que se variasen el
número de preguntas que componen un indicador, el sistema de indicadores
conservaría su estabilidad y su comparabilidad histórica.
• Es operativo, pues permite de forma muy sencilla detectar las debilidades del
sistema, e inspirar medidas para reducirlas.
• Es estratégico, pues ayuda a entender las consecuencias para el conjunto del

sistema de las situaciones individuales de falta de protección, al tiempo que
permite introducir la conexión entre las políticas de seguridad de la Administración
y comportamiento individual de las pequeñas y microempresas españolas.
A continuación se describen individualmente cada uno de los indicadores:
Indicador de medidas y herramientas
Este indicador mide el equipamiento y la adopción de las medidas de seguridad que

están implantadas en la actualidad entre las microempresas y pequeñas empresas
españolas. Su cálculo por tanto se centra en la propia seguridad del sistema.
Analiza la existencia en las entidades de programas antivirus, cortafuegos o firewall

personal y programas anti-correo basura o anti-spam.
El resultado se compara con una situación óptima de seguridad, la cual se alcanzaría con
un equipamiento completo (100 puntos).
Indicador de buenas prácticas de seguridad
Este indicador mide las buenas prácticas que la empresa pone a disposición de los
trabajadores para garantizar la seguridad de los equipos: entre otras, el uso de
contraseñas (acceso a equipos y documentos), la copia de seguridad de los archivos
importantes (backup), la limpieza de disco (eliminación de archivos temporales y/o
cookies) y los sistemas de prevención de intrusos mediante el uso de filtros.
El resultado se compara con una situación óptima de seguridad, es decir, aquella en la

que los empleados cumplirían con la totalidad de las buenas prácticas de seguridad
estipuladas por la entidad (equivalente a 100 puntos).
Indicador de políticas y planes de seguridad
Mide las prácticas que las empresas realizan para proteger y concienciar a los
trabajadores para que, en la realización de su actividad cotidiana, aumente
progresivamente el nivel de seguridad adaptándolo a sus necesidades organizativas.
Se compone de dos conceptos: por un lado, la disposición de los planes y políticas que
permitirían a la empresa poder continuar su actividad en el caso de una incidencia de
seguridad y por otro, los procedimientos que dan sentido a las políticas mediante la
descripción de las tareas, la ubicación, los requerimientos y los puestos responsables de
llevarlos a cabo.
Todos estos aspectos se miden para el conjunto de empresas en función de la

disposición que hacen de ellos y de la importancia asignada a cada apartado. El
resultado se compara con una situación óptima de seguridad, la cual se alcanzaría
cuando las empresas disponen de las políticas, procedimientos y planes (100 puntos).
Indicador de incidencias de malware
Indica el porcentaje de ordenadores con alguna incidencia de malware detectada en el

escaneo del equipo que la empresa ha establecido. Por consiguiente este indicador
refleja la realidad de, al menos, un ordenador de cada una de las empresas que han
realizado la auditoría de seguridad.
En este caso, un valor bajo indicaría una situación óptima de seguridad, ya que este
indicador mide la existencia de malware en el equipo, es decir, cuanto más pequeño sea
su valor más baja será la incidencia de malware en el ordenador de la entidad.
Indicador de equipos en situación de riesgo
Para el cálculo de este indicador sintético se consideran por un lado, aquellas conductas
y hábitos de la entidad de las que pudiera derivarse, en mayor o menor medida, que los
equipos de la empresa se encuentren en situación de riesgo y, por otro, la información
extraída de los equipos en los que en la auditoría remota se ha detectado al menos una
incidencia de malware con riesgo alto. Incluye, entre otros, los siguientes elementos:
• Si el equipo se encuentra al corriente de las actualizaciones de seguridad del
sistema operativo (dato obtenido a través de la auditoría de los ordenadores).
• Si en el equipo se ha detectado alguna pieza de malware de riesgo alto. En dicho

código malicioso hay que contemplar malware de las siguientes familias: troyanos
–de puerta trasera (backdoors), bancarios (bankers), registradores de pulsaciones
(keyloggers), marcadores telefónicos (dialers)– virus, gusanos, rootkits, exploits y
macros-
• Si tiene programa antivirus y si éste se encuentra activo.
El resultado final no debe ser alcanzar la máxima puntuación sino al contrario, cuanto
más reducido el nivel de riesgo, más óptimo será la situación de seguridad de los
ordenadores y del propio sistema de la entidad (0 puntos).
Indicador de e-confianza
Mide la percepción subjetiva respecto al grado de confianza de seguridad de las

empresas cuando usan Internet y en el caso de generar desconfianza sobre la seguridad
que les ocasiona (“no me parece seguro”).
El grado de confianza se mide sobre los siguientes elementos: las compras a

proveedores, ventas a clientes, gestiones con la Administración Pública, banca
electrónica, el envío de información de la empresa a través de Internet y los pagos por
Internet.
El resultado se compara con una situación óptima de seguridad, la cual se alcanzaría con
un mayor uso y con el grado de confianza completo (100 puntos).
Indicador global de seguridad
Finalmente con el objeto de disponer de un único valor que permita conocer el nivel de
seguridad de la información de las pequeñas y microempresas españolas se calcula un
indicador global agregado.
El cálculo de este indicador se hace en base a los resultados obtenidos a lo largo de

estudio sobre las incidencias y necesidades de seguridad de las pequeñas y
microempresas españolas. Por lo que sus parámetros ya están presentes de alguna
forma en el resto de los indicadores.
Para la construcción del indicador se ha tomado como referencia una guía del NIST 50 , en
la que se enumeran las acciones que una pequeña empresa debe llevar a cabo para
protegerse. Se distinguen tres tipos de comportamientos:
• Acciones absolutamente necesarias, que las empresas deben realizar para

proteger su información, sistemas y redes. Entre ellas se encuentran las
siguientes:
o Proteger la información, los sistemas o las redes del daño que puedan
causar virus, spyware y otro código malicioso.
o Proporcionar seguridad para la conexión a Internet.
o Instalar cortafuegos personales en todos los equipos conectados a

Internet.
o Actualizar el sistema operativo y las aplicaciones.
o Hacer copias de seguridad de la información importante de la empresa.
o Control físico de acceso a los ordenadores y componentes de red.
o Seguridad de redes y puntos de acceso Wi-Fi.
o Formación en materia de seguridad para empleados.
o Cuentas de usuario individuales para cada empleado.
o Limitar a los empleados el acceso a la información y la posibilidad de

instalar software.
• Prácticas altamente recomendadas y relacionadas con diversos aspectos:
o Disponer de políticas de uso de correo electrónico.
o Bloqueo de ventanas emergentes.
o Buenas prácticas en el uso del comercio y la banca electrónica.
o Buenas prácticas en la contratación de empleados.
o Conseguir ayuda especializada cuando sea necesaria.
50
Op. cit. 15
También se consideran necesarias para este punto otras medidas que el NIST no
contempla, como la realización de auditorías de seguridad y los procedimientos para el
cumplimiento regulatorio español, en concreto la LOPD.
• Otras consideraciones, como son:
o Planes de contingencia y recuperación de desastres.
o Consideraciones en la prevención de la seguridad de la información.
o Políticas relacionadas con la seguridad de la información.
El resultado final se compara con una situación óptima de seguridad, la cual se alcanza
cuando las empresas disponen de las acciones y prácticas antes mencionadas (100
puntos).
8.1 Análisis de los indicadores de la seguridad de la información
El análisis global de los indicadores de la seguridad de la información ofrece una lectura

positiva, dado el reducido valor que adoptan los indicadores del riesgo y los elevados
valores de aquellos relacionados con la protección.
El Gráfico 79 representa en rojo los principales valores, es decir, el de e-confianza y el

global de seguridad. A la derecha de éstos aparecen los indicadores relacionados con la
incidencias/riesgos: el indicador de incidencias de malware y el de equipos en situación
de riesgo. Finalmente, a la izquierda se sitúan el grupo de indicadores de protección, el
indicador de herramientas, el de buenas prácticas y el de planes y políticas.
En general, la situación global se mantiene con un equipamiento en herramientas

considerable (76,1), una realización de buenas prácticas moderado (51,1) y otro de
planes y políticas bajo (21,0). Se obtiene una moderada incidencia en ordenadores con
códigos maliciosos (48,4) y, de forma muy especial, una cifra relativamente baja de
ordenadores en situación de riesgo (23,8).
Respecto a los generales de seguridad y e-confianza, los valores tomados son 54,4 y
73,2 respectivamente, deduciéndose que la situación de seguridad ofrecida por el
indicador agregado global se encuentra en unos niveles correctos, y la percepción
subjetiva respecto al grado de confianza de seguridad de las empresas cuando usan
Internet es bastante elevado.
Gráfico 67: Sistema de indicadores de la seguridad de la información (0-100 puntos)
100
90
80 76,1 73,2
70
60 54,4
51,1 48,4
50
40
30 21,0 23,8
20
10
0
Indicador de Indicador Indicador de Indicador Indicador e- Indicador de Indicador de
herramientas buenas políticas y global de confianza incidencias equipos en
practicas planes seguridad de malware situación de
riesgo
Indicadores Protección Indicadores

Incidencias/Riesgo
Fuente: INTECO
Se trata de un comportamiento lógico y esperable, y demuestra la adopción creciente

entre las pequeñas y microempresas, como usuarios de Internet, de una cultura de
seguridad de la información, así como la relación inversa existente entre seguridad y los
riesgos: mientras más herramientas, buenas prácticas y políticas de seguridad empleen
las empresas, menor número de incidencias y menor nivel de riesgo presentarán sus
equipos. Esto se refleja en la aceptable valoración del indicador global de seguridad.
9 CONCLUSIONES
Si existe una característica común a todas las pequeñas y microempresas españolas,

ésta es precisamente su heterogeneidad. Una diferencia que implica – como se ha visto a
lo largo del informe – unas herramientas, buenas prácticas, procedimientos y políticas en
materia de seguridad acordes con sus necesidades específicas.
Esta diversidad también existe a la hora de aplicar todas ellas, consecuencia de su

distinto tamaño, grado de madurez y conocimiento sobre sus requerimientos y
necesidades en materia de seguridad de la información.
En relación con el primero de ellos, el tamaño de la empresa, este estudio permite

vislumbrar las diferencias existentes en la implementación de las medidas antes
comentadas. La realidad es que el tamaño influye: las empresas con mayor número de
trabajadores disponen, cómo es lógico, de más recursos humanos y económicos para
poder dedicarlos a los sistemas de información. Así por ejemplo, en el caso del nivel de
implantación de las medidas y soluciones de seguridad, las pequeñas empresas (entre 10
y 49 empleados) frente a las microempresas (menos de 10 trabajadores) presentan un
porcentaje más elevado de instalación de herramientas y/o soluciones tanto en todos los
ordenadores como en determinados equipos informáticos comunes de la entidad.
Sólo existe una excepción: los programas antivirus, que como se ve lo largo del estudio
son una herramienta mayoritariamente extendida entre las empresas, ya que casi la
totalidad de las entidades dispone de ellos. No obstante, se ha podido constatar en el
apartado de incidencias del informe, que en la seguridad de una empresa no sólo basta
con tener instalada ciertas herramientas, sino que se requiere de otras medidas
complementarias, como buenas prácticas y procedimientos, que configuren un sistema
global de protección en el seno de la organización.
En línea con el alto grado de dependencia de las pequeñas y microempresas españolas

de los sistemas de información, los empresarios han demostrado especial preocupación
por la disponibilidad de su infraestructura tecnológica y la información que ésta soporta,
para lo cual la gran mayoría realiza copias de seguridad e instalan sistemas de antivirus.
En contraste, la confidencialidad de los datos informatizados no parece ser de los
aspectos que más preocupe a las pequeñas organizaciones españolas, ya que la
mayoría no dispone de herramientas de cifrado, aunque un número significativo cuenta
con sistemas de cortafuegos y otros elementos de seguridad perimetral.
Con respecto al lugar que ocupa España en el mundo en materia de seguridad de la

información en las PYME, se puede concluir que las empresas españolas con menos de
cincuenta empleados y conexión a Internet son claramente punteras en el uso de los
mecanismos netamente tecnológicos y más extendidos socialmente (antivirus,
cortafuegos personales o mecanismos de autenticación). La situación es completamente
distinta cuando comparamos el uso de controles tecnológicos mas avanzados (por
ejemplo: mecanismos de cifrado o herramientas de detección de intrusos) o aspectos de
seguridad estratégica, procedimental y organizativa, donde las pequeñas empresas del
resto de Europa y del mundo nos llevan una clara ventaja. Esto indica que las entidades
españolas tienen la percepción de que la seguridad es un aspecto meramente
tecnológico, enfoque que debe hacerse un esfuerzo por cambiar de cara a alcanzar un
nivel de madurez que permita incrementar los niveles de seguridad y la e-confianza.
Precisamente, respecto al grado de madurez, se vislumbran comportamientos entre las

entidades que ponen de manifiesto que este factor es determinante, tanto a la hora de
actuar ante una incidencia, como a la hora de poner en marcha acciones y/o prácticas de
seguridad. Y no sólo en los equipos, sino también en el global de la empresa.
No obstante, considerando esta variable también se aprecia la importancia que tiene para
las entidades tomar conciencia de los riesgos, ya que un alto porcentaje de éstas creen
que no son susceptibles de sufrir un incidente de seguridad al considerarse “poco
interesantes” para los posibles atacantes.
Finalmente, en relación con el conocimiento de sus necesidades, se puede comprobar

en diversos apartados del estudio, que los empresarios entrevistados consideran tener un
alto grado de información sobre lo que precisan sus pequeñas organizaciones. Un indicio
de ello es que en la mayoría de las ocasiones afirman no necesitar las soluciones como
principal excusa para no utilizarlas.
Ahora bien, es justo decir que si bien los responsables de las pequeñas y microempresas
no reconocen su falta de conocimiento, sin embargo la gran mayoría de ellos afirman
externalizar sus servicios de informática, principalmente porque no existe un interés real
en tener personal dedicado a la seguridad de la información. Otros motivos alegados son
el alto coste económico que supone el tener en plantilla este perfil de puesto o el no
disponer de trabajadores cualificados para cubrir las necesidades.
Entre las pequeñas y microempresas que sí cuentan con este personal, ocho de cada
diez tienen además un director de seguridad. La existencia del mismo, es garantía de una
mayor implementación de herramientas y/o soluciones de seguridad en las entidades. Ya
que con él se aumentan la efectividad a la hora de resolver los incidentes de seguridad
que se originan y se reducen los posibles impactos que se crean en términos globales.
También las empresas reconocen que su inversión en seguridad es menor que en el

ejercicio económico anterior, justificándolo en que no existe interés, no hay presupuesto,
o no existe tiempo para buscarlas y adquirirlas. Además, más del 20% de las empresas
reconocen que no invertir en seguridad no supone para ellas una barrera a la hora de
implementar herramientas y/o soluciones de seguridad.
A pesar de estos motivos, las pequeñas y microempresas saben reconocer cuáles son
los requisitos que los productos y/o soluciones de seguridad deben tener. De esta
forma, respecto a los productos, más de seis de cada diez empresas valoran mucho que
éstos tengan una relación equilibrada de calidad y efectividad, así como el servicio
postventa, soporte técnico y garantía en el producto. En relación con las soluciones, el
mismo porcentaje de entidades consideran necesaria o muy necesaria las revisiones de
seguridad, los servicios de resolución de incidentes y la formación/información
especializada en seguridad.
Ahora bien, los productos y soluciones no son sólo los mecanismos que las entidades
tienen para implementar la seguridad en sus equipos y en sus sistemas. Son necesarios
pero no suficientes. Necesitan también mantener buenas prácticas que garanticen su
estado de seguridad. El principal artífice de que las entidades pueden estar y sentirse
protegidas es la conjunción de ambos elementos. Éstas se materializan en la realización
de copias de seguridad y, la actualización y utilización de un software original y de sus
sistemas operativos, programas y/o herramientas de seguridad, que en el presente
estudio se plasman en más de ocho de cada diez entidades que afirman cumplir con
estos requisitos. Así, a nivel global, la práctica totalidad de las empresas (94,2%) realizan
copias de seguridad, de las cuales casi la mitad, mediante algún sistema automático y de
manera diaria. Más 85% afirma disponer de software bajo licencia y el 88,9% cree tener
actualizado su sistema operativo y sus herramientas de seguridad.
Otro de los puntos analizados en el ámbito de la seguridad de la información es el

conocimiento de las empresas sobre el nivel de adecuación en materia de protección
de datos. Poniéndose se manifiesto que a nivel global un elevado porcentaje de las
mismas cree que esta norma le es vinculante.
Contrastando los resultados de 2009 con el estudio sobre LOPD en empresas realizado
por INTECO en el año 2008, se puede observar la evolución que la LOPD ha tenido entre
las entidades. Por ejemplo, se ha producido un aumento de más de 15 puntos
porcentuales del número de empresas que afirman tener declarados los ficheros con
datos de carácter personal en la Agencia Española de Protección de Datos; o un
aumento del número de empresas que cumplen con las obligaciones relativas a la
solicitud de consentimiento del interesado para el tratamiento de los datos (más de 33
puntos porcentuales de incremento) y el deber de información al interesado sobre la
recogida de los datos (más de 38 puntos porcentuales también de aumento).
No obstante, llama la atención que aún la mitad de las pequeñas empresas que
consideran que disponen de datos de carácter personal no hayan declarado sus ficheros
ante el Registro General de la Agencia Española de Protección de Datos.
Queda claro que las acciones de difusión, formación y sensibilización de la normativa

vigente, llevada a cabo por entidades públicas y privadas han surtido efecto, aunque se
hace evidente, que existen otros aspectos establecidos en los que las entidades deben
seguir mejorando.
Un segundo elemento clave en el incremento progresivo del nivel de seguridad sobre el

que las pequeñas y microempresas españolas ha sido la puesta en marcha de planes y
políticas de seguridad. Para poder plasmar dichas acciones, las empresas cuentan con
una herramienta de gran utilidad y de importante ayuda para la gestión de las
organizaciones, el Sistema de Gestión de la Seguridad de la Información (SGSI).
Actualmente, el porcentaje de pequeñas empresas que disponen de algún tipo de plan o

política (plan de seguridad y de continuidad del negocio), se sitúa, según el tipo de plan,
entre el 11,9% y el 24,6%. Aunque en el caso del plan de seguridad, un 21,7% de las
organizaciones tiene previsto desarrollarlo en un futuro.
En lo que se refiere a auditorías de seguridad, el 22,8% de las pequeñas empresas

afirma que ha realizado alguna. En ellas, dichas entidades revisaron multitud de
aspectos, entre los que cabe destacar que más de ocho de cada diez empresas se
centraron en las actividades relacionadas con su explotación. Y como consecuencia de
los aspectos revisados en dichas auditorías el 81,3% de las pequeñas empresas optaron
por realizar algún tipo de cambio en sus medidas, prácticas o comportamientos seguros.
Así pues, a pesar del interés demostrado por las pequeñas y microempresas en ciertas
herramientas de seguridad (antivirus, copias de seguridad y cortafuegos) estas medidas
no suelen venir de la mano de planes de seguridad, continuidad o concienciación lo que
se traduce en un gasto no optimizado en tecnologías de la información, el
desconocimiento de las amenazas a las que la empresa está expuesta y la deficiencia en
la implementación de las medidas de seguridad recomendadas. Adicionalmente, los
mecanismos implantados ganarían efectividad si se acompañasen de políticas y
procedimientos formales para su uso y gestión.
En cualquier caso, la implementación de herramientas, buenas prácticas y planes y

políticas de seguridad es una decisión que corresponde a las propias empresas las
cuales, en función de su actividad y volumen de negocio, han de establecer su calendario
y sus prioridades en materia de seguridad de la información, para reducir el número de
incidencias que se presentan.
Respecto a las incidencias de seguridad, el 35,1% de pequeñas y microempresas

españolas tienen una percepción correcta de haber sufrido un incidente, mientras que
para un 13,1% es errónea, al considerar que están no infectadas cuando lo están. Estas
empresas corren un grave riesgo potencial, ya que consideran que sus equipos están
seguros pero realmente han sido afectados por algún tipo de código malicioso (malware).
Entre la tipología de código malicioso más detectado en los equipos, cabe destacar el de
la familia de los troyanos y el software publicitario no deseado (con niveles de infección
presentes en el 27,8% y el 23,2% de los equipos respectivamente). Ambos pertenecen a
las categorías que dan mayor retorno sobre la inversión a sus creadores. Esto es, los
ciberdelincuentes las crean porque les supone un beneficio económico mayor que otros
tipos de malware, al poder explotar dicho código malicioso para cometer fraudes,
espionaje industrial, chantajes, envío masivo de correo no deseado, etc.
Muy pocas pequeñas y microempresas españolas cuentan con los conocimientos

necesarios en su propio personal para solucionar sus incidentes. Salvo en los casos en
que recurran a conocidos con conocimientos, queda patente que los servicios
especializados son una pieza clave que pueden representar un papel fundamental y a los
que se deben dirigir gran parte de los esfuerzos, formación y preparación necesarios, que
son los más indicados para poder elevar el nivel de seguridad de estas empresas. Entre
las ventajas de designar un responsable de seguridad destaca el aumento considerable
de la efectividad a la hora de resolver los incidentes de seguridad, lo que se traduce en la
reducción de impacto para estas empresas en términos globales.
La principal consecuencia derivada de los incidentes de seguridad son las pérdidas del
tiempo invertido, que influyen en el 68,1% de las empresas. Otras, como las pérdidas
económicas o el daño en la imagen de la empresa apenas son percibidas por las
entidades participantes en el estudio. Las incidencias implicaron cambios de hábitos en el
69,1% de las organizaciones. Más de cuatro de cada diez empresas instalaron o
actualizaron un programa o herramienta de seguridad, mientras que una cuarta parte de
ellas comenzó a realizar copias de seguridad de los archivos. Esto demuestra que, a
pesar del nivel de incidencias que las pequeñas y microempresas afirman tener, su
propio conocimiento sobre medidas y buenas prácticas, o el del personal en quien tienen
delegada la resolución de incidentes de seguridad (el 65,7% de las empresas recurre a
servicios especializados externos), les posibilita para realizar cambios en las conductas.
La propia evolución de los incidentes y la diversificación del malware entre las

organizaciones, hace que comiencen a llegar también amenazas a los dispositivos
móviles e inalámbricos. Así, a nivel global, el 4,4% reconoce haber sufrido robo de
Wi-Fi y el 7% haber tenido un incidente en sus dispositivos móviles avanzados. El
incremento del número de dichos dispositivos implicará que las empresas deben realizar
esfuerzos adicionales para dar cobertura a las necesidades de seguridad que presentan
estos terminales.
Finalmente, puede afirmarse que su e-confianza es alta. Así, la confianza en la

Sociedad de la Información de las pequeñas y microempresas españolas se refleja en el
hecho de que más de la mitad de las mismas utilizan recursos como la banca electrónica,
la realización de gestiones con la Administración Pública, el envío por e-mail o a través
de formularios web de información de la entidad o la firma electrónica. Y cuatro de cada
diez empresas utilizan los servicios de pagos por Internet, compras a proveedores y
ventas a clientes. Más concretamente y a modo de ejemplo, el 90,3% de las pequeñas
empresas afirman que realizar operaciones banca online les da confianza.
Además de utilizar estos servicios como sujeto activo, las pequeñas organizaciones
depositan mucha o bastante confianza en la prestación y/o comercialización de sus
productos y servicios a través de Internet.
9.1 Análisis DAFO
A modo de síntesis de estas reflexiones finales sobre los resultados del estudio y como
paso previo al siguiente apartado de recomendaciones, se presenta un análisis DAFO.
Con ello se pretende aplicar esta metodología al estudio del estado de la seguridad del
sector de la española a partir de la situación de su entorno – factores externos
(oportunidades y amenazas) – y de la situación interna – factores internos (debilidades y
fortalezas).
9.1.1 Fortalezas
• Buena capacidad tecnológica
Las pequeñas y microempresas españolas disponen de una situación tecnológica

parecida, o incluso mejor, que las de su entorno europeo. Es especialmente
destacable que prácticamente la totalidad de las pequeñas y microempresas
españolas conectadas a Internet disponen de conexiones de banda ancha ADSL.
• Alto nivel de implantación de determinadas herramientas de seguridad
La difusión de determinadas herramientas de seguridad en estas empresas es

superior a la de sus homólogas europeas, especialmente en el caso de los antivirus,
cortafuegos y mecanismos de autenticación (ver apartado 3.1 Herramientas de
seguridad). La alta utilización de estas herramientas puede suponer un importante
punto de partida para la mejora progresiva de la seguridad en las pequeñas y
microempresas españolas.
• Alto nivel de uso de la firma electrónica y otros servicios de Internet
Tal y como se indicó en el apartado 7.1, las pequeñas y microempresas españolas

tienen unos niveles de utilización de firma electrónica y de realización de gestiones
con las Administraciones Públicas superiores a las empresas del entorno europeo.
Este factor diferencial puede emplearse como palanca para dotar de mayor seguridad
a estas organizaciones.
• Creciente nivel de concienciación y adaptación en materia de protección de
datos
Si bien aún se está lejos de considerar que la mayoría de las pequeñas y

microempresas están adaptadas a las exigencias de la normativa española de
protección de datos, se constata una importantísima mejora en su grado de
adaptación a las obligaciones derivadas de la LOPD y el RDLOPD, así como un
creciente número de empresas están interesadas en cumplir con la misma (ver
apartado 3.3).
• Alto nivel de e-confianza
En líneas generales se puede concluir que las pequeñas y microempresas españolas

con conexión a Internet tienden al uso de los servicios disponibles en las redes
públicas y manifiestan que lo hacen confiados en los niveles de seguridad ofrecidos,
especialmente en los casos de la banca electrónica y la e-Administración.
9.1.2 Debilidades
• Existencia de vulnerabilidades, riesgos e impactos significativos
Ha quedado en evidencia en este estudio que el 48,4% de las pequeñas españolas

tienen algún tipo de vulnerabilidad en sus sistemas, lo que indica el riesgo al que
están expuestas.
• Falsa sensación de seguridad
El uso de las tecnologías y de los servicios en las redes públicas por parte de las
pequeñas y microempresas, se hace bajo una falsa sensación de seguridad como
consecuencia de considerar como una protección suficiente la instalación de ciertas
herramientas en sus equipos o bien creer poco probable ser víctimas de un incidente
de seguridad (ver apartado 3.1.2).
Esta cierta inconsciencia se manifiesta en un notable nivel de infección por código

malicioso en muchos casos sin ni siquiera saberlo, y peor aún, manifestando creer
que disponen de un nivel de seguridad adecuado. Asimismo, muchas empresas creen
que tiene instalados herramientas de seguridad cuando en realidad no las tienen (ver
Gráfico 6), o que sus sistemas y programas están actualizados, cuando en realidad
presentan vulnerabilidades (ver Gráfico 19).
Todo ello impide profundizar en la búsqueda de soluciones de seguridad adecuadas y

necesarias para su negocio y les lleva a minimizar los riesgos e incurrir en
comportamientos poco prudentes.
• Centradas en la dimensión tecnológica
Muchas empresas aún consideran la seguridad de la información como algo

puramente tecnológico. Esta percepción les impide alcanzar un mayor nivel de
madurez con el tratamiento de los aspectos procedimentales, de personal,
organizacionales, etc.
• Lento progreso en algunos aspectos
Se ha observado que la mejora en algunos aspectos analizados es lenta. Es

especialmente relevante el caso de la factura electrónica (ver capítulo 7) donde, a
pesar del esfuerzo realizado, el crecimiento en el último año ha sido escaso. Existe el
riesgo de que este lento crecimiento, haga evolucionar más lentamente aspectos
relacionados con la e-confianza o la seguridad de la información.
9.1.3 Oportunidades
• Alto nivel de compromiso de las Administraciones Públicas y de las

asociaciones de empresarios
Uno de los ejes de actuación del Plan Avanza se centra en reforzar la confianza en
las TIC de las empresas mediante políticas públicas de seguridad de la información,
entre otras medidas 51 . Este eje de actuación ha dado como resultado iniciativas como
por ejemplo el programa de “Impulso a la implantación y Certificación de SGSI en la
PYME” promovido por INTECO 52 , la “Guía para empresas: cómo adaptarse a la
normativa sobre protección de datos” 53 publicada por INTECO o iniciativas
autonómicas como por ejemplo “Seguridad y legislación en e-pyme” del Gobierno del
Principado de Asturias, entre otros. Por otro lado, diferentes cámaras de comercio y
las asociaciones ponen a disposición de las PYME cursos de seguridad de la
información 54 o guías de seguridad 55 .
Del mismo modo, el presente estudio puede considerarse enmarcado en esta misma
línea, ya que permite conocer y poder realizar la mejor aproximación para resolver los
problemas de seguridad de las empresas españolas.
51
http://www.planavanza.es/LineasEstrategicas/AreasDeActuacion/EjeConfianzaYSeguridad/SeguridadInfo/
52
http://cert.inteco.es/Formacion/SGSI
53
INTECO (2009): Guía para empresas: cómo adaptarse a la normativa sobre protección de datos. Disponible en
https://www.inteco.es/Seguridad/Observatorio/manuales_es/GuiaManual_LOPD_pymes
54
Valgan como ejemplos el Curso de la Cámara de Comercio de Huesca “Jornada sobre gestión de la seguridad en los
sistemas de información de la pyme” (http://www.camarahuesca.com) o el Curso de redes y seguridad impartido por la
Confederación Española de Organizaciones Empresariales (CEOE)
(http://www.ceoe.es/ceoe/contenidos.item.action?id=4284803&type=4284803&menuId=4284803)
55
Por ejemplo la “Guía de Seguridad de la Información para PYMES” promovida por la Asociación Murciana de Empresas
de Tecnologías de la Información y las Telecomunicaciones. http://www.vdigitalrm.com/archivos/guia_seguridad_pymes.pdf
• Enfoque de los fabricantes de productos de seguridad al mercado de seguridad
de la información en las empresas
Las empresas fabricantes de productos de seguridad se centran cada vez más en el

mercado de las pequeñas y microempresas españolas, ofreciendo soluciones más
adaptadas a sus necesidades 56 .
• Nivel de externalización de las funciones de TI
Un porcentaje elevado de pequeñas y microempresas, un 65,7%, recurren a

especialistas en sistemas en caso de sufrir incidentes.
La formación en materia de seguridad dirigida a estas empresas subcontratadas

podría redundar en la mejora de la seguridad en un conjunto significativo de las
pequeñas y microempresas españolas. Asimismo, se debería facilitarles información
sobre cómo externalizar sus procesos de forma eficiente.
Es importante hacer notar, sin embargo, que, aunque estas empresas externalizan
sus sistemas informáticos, no deberían perder el control de la seguridad de
información, puesto que podría redundar en problemas para la misma a largo plazo.
9.1.4 Amenazas
• Lento progreso en seguridad puede provocar una pérdida de competitividad
El retraso, en general, de las pequeñas y microempresas españolas en materia de

seguridad y e-confianza con respecto a las entidades de nuestro entorno más cercano
(el europeo, aunque a nivel mundial está también por debajo de la media), junto con
un progreso lento puede provocar una pérdida de competitividad.
Deberían tomarse medidas para que el nivel de seguridad en las pequeñas y

microempresas mejore a buen ritmo e ir realizando mediciones para verificar que el
avance sea sostenido, variar o incrementar las actuaciones, en caso contrario.
• Los dispositivos móviles e inalámbricos como potenciales brechas de

seguridad para las empresas
Se observa una tendencia a la incorporación de dispositivos móviles avanzados en

las pequeñas empresas sin que éstas realicen suficientes esfuerzos adicionales para
su cobertura, lo que implica un aumento del riesgo al que están expuestas estas
empresas.
56
Un ejemplo de esa orientación puede consultarse en el articulo “Symantec se orienta a la PYME y especializa su canal”
http://www.idg.es/dealerworld/Symantec-se-orienta-a-la-PYME-y-especializa-a-su-canal/seccion-producto/noticia-80854
10 RECOMENDACIONES
A continuación, tras analizar los datos del presente estudio, se formulan una serie de
recomendaciones de actuación diferenciando entre las dirigidas a las empresas
españolas, a la industria de seguridad de la información y a las Administraciones
Públicas.
10.1 Recomendaciones a las pequeñas y microempresas
Recomendación 1: Usar adecuadamente las medidas y herramientas de seguridad
El hecho de que las empresas españolas participantes en el estudio lleven a cabo la

implantación de herramientas de modo diferente en función de su tamaño, grado de
madurez, nivel de conocimiento de las mismas e incidencias que sufren, no debe ser
obstáculo para que desarrollen buenas prácticas de seguridad que aseguren su trabajo.
Además, es necesario que afronten la seguridad de la información como algo global,
donde la utilización y actualización de las herramientas y/o programas sea parte
integrante de su cotidianeidad.
Este enfoque implica que las entidades sean capaces de:
• Entender mejor los riegos a los que se enfrentan, alineándolos con sus objetivos
de negocio y activos de información.
• Ser conscientes de las consecuencias de no abordarlos adecuadamente.
• Conocer qué activos de información son los más importantes para su negocio.
• Aplicar un presupuesto limitado de seguridad allí donde más se necesite.
• Estar preparados ante las incidencias que impidan el normal funcionamiento.
Recomendación 2: Instalar software bajo licencia y actualizar los

programas/sistemas operativos
Las empresas han de concienciarse de la importancia que supone la utilización de este

tipo de software que cumple con las garantías de legalidad y originalidad. De esta forma,
en el caso de que los programas tuvieran vulnerabilidades, se puede acceder a parches
de seguridad de forma rápida y segura.
De igual modo es recomendable tener actualizados los programas y/o sistemas

operativos para de este modo evitar las posibles vulnerabilidades o fallos ocasionados en
la instalación.
Recomendación 3: Establecer procedimientos, planes y políticas de seguridad
Como se ha visto reflejado, son pocas las entidades que disponen de una política de
concienciación que indique cuál es el uso adecuado que se debe dar a los sistemas de
información de la empresa. Es una medida que permite evitar incidentes de seguridad (o
estar protegidos en caso de producirse).
El objetivo principal es que los empleados de la empresa utilicen los recursos de

información de manera constructiva. Es igualmente necesario conseguir que los
empleados sean conscientes de la política y la respeten.
Una práctica recomendable es realizar auditorías de seguridad que permitan analizar,

revisar o implantar un buen estado de seguridad en la organización.
En el caso de que las entidades que, bien sea por su tamaño o por sus necesidades de
producción, no puedan disponer de una persona encargada de dirigir la seguridad de la
información en la empresa, deben recurrir a personal especializado que garantice la
resolución de incidencias y el diseño de planes y procedimientos.
Recomendación 4: Erradicar la falsa percepción de seguridad de las empresas

españolas a través de la información y la sensibilización
El principal inhibidor que impide el desarrollo de la seguridad de la información en las

entidades es la falsa sensación de seguridad que tienen. Esta sensación facilita el hecho
de que las empresas sean objeto de la explotación de algún tipo de vulnerabilidad.
Las pequeñas y microempresas declaran que el principal motivo para no implementar

medidas de seguridad es la falta de necesidad de éstas. Es la falta de conocimiento de
los incidentes a los que están expuestas el factor principal para que ocurran los
problemas de seguridad.
Es necesario romper la falsa impresión de seguridad por un doble motivo: avanzar en el

desarrollo de la seguridad de la información y eliminar las amenazas que impactan de
forma negativa en las empresas españolas.
Recomendación 5: Implantar Sistemas de Gestión de la Seguridad de la

Información (SGSI)
La gestión de la seguridad de la información debe realizarse mediante un proceso

sistemático, documentado y conocido por toda la organización. La utilización de un SGSI
permite dotar a la entidad de las herramientas o mecanismos necesarios para poder
afrontar los riesgos presentes en las empresas.
Recomendación 6: Proporcionar a los empleados formación en materia de
seguridad de la información
La actualización de los conceptos que sustentan la seguridad de la información hace

necesario que las empresas sigan las recomendaciones procedentes de los distintos
organismos y entidades públicas o privadas, así como que las trasladen a los empleados.
10.2 Recomendaciones a los fabricantes
Recomendación 1: Adaptar los productos y soluciones de seguridad dirigidos a las

pequeñas empresas a sus necesidades concretas
La clave para hacer llegar un producto de seguridad a la pequeña y mediana empresa de

manera satisfactoria es una combinación adecuada de estrategias de canal y producto.
Ello implica que se debería:
• Simplificar y rediseñar el producto para ajustarlo a lo que la empresa necesita.
• Favorecer la labor de homogenización, integración y simplificación de las

soluciones existentes de manera que puedan ser útiles para la entidad, ante la
ausencia de especialización de las herramientas de seguridad.
• Cubrir de manera global todas las necesidades TIC de seguridad a todos los
niveles: datos, aplicación, conexión, etc.
• Simplificar los procesos de adquisición e instalación de soluciones.
• Mejorar los modelos de compensación a empresas del canal de distribución por

su esfuerzo en la penetración en el mercado empresarial.
• Valorar el uso de las tiendas minoristas ya existentes para promocionar los

servicios de seguridad a través de elementos como paneles informativos,
demostraciones, etc.
Recomendación 2: Hacer atractivos los precios finales y márgenes de los

intermediarios
A través de la creación de unos contratos dinámicos para los servicios de seguridad que
favorezcan la implantación de medidas en las empresas. Estos contratos podrían incluir
una escala de precios atractiva y la posibilidad de ser modificados (duración, ámbito de
actuación, recursos destinados…) si las condiciones de las organizaciones contratantes
varían.
Recomendación 3: Fomentar mecanismos que favorezcan las relaciones con las
AA.PP.
Una mayor relación entre los fabricantes/proveedores de seguridad y las AA.PP. podría
ayudar a orientar y acercar mediante campañas de difusión, la actual oferta de servicios y
soluciones de seguridad existentes en el mercado a las microempresas y pequeñas
Recomendación 4: Ampliar y mejorar los servicios pre-venta y post-venta
Mediante estos servicios los proveedores de seguridad ofrecerían a las organizaciones:
• Un servicio de asesoramiento previo a la venta, que permita orientar al

consumidor hacia las soluciones que mejor se adapten a sus necesidades.
• Garantizar un servicio posterior a la venta, el cual permitiría reconfigurar o

mantener los servicios según los requerimientos cambiantes del cliente.
10.3 Recomendación a las Administraciones Públicas
Recomendación 1: Promover y asesorar en la implantación de Sistemas de Gestión

de la Seguridad de la Información (SGSI)
INTECO, dentro del marco del Plan Avanza, ha recibido, por parte de la Secretaría de
Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), una
encomienda de Gestión para poner en marcha el proyecto destinado a fomentar y
promover tanto la implantación como la certificación de Sistemas de Gestión de la
Seguridad de la Información (SGSI), en las empresas españolas 57 .
Este proyecto tiene como objetivos principales:
• Concienciar y sensibilizar a las empresas en los Sistemas de Gestión de la

Seguridad de la Información.
• Implantar un SGSI y una Certificación del sistema según la normativa ISO 27001.
• Aumentar la productividad y competitividad de las empresas beneficiarias del

programa.
57
Impulso a la implantación y certificación de un SGSI. Disponible en:https://sgsi.inteco.es/
Recomendación 2: Sensibilizar a las empresas a través de un enfoque de la
seguridad proactivo basado en el riesgo
Las Administraciones Públicas deben liderar el proceso para romper la falsa sensación de
seguridad existente en las entidades a la vez que cambian el enfoque de éstas hacia la e-
confianza. El objetivo es que las organizaciones tengan un enfoque basado en el riesgo.
Ambos objetivos están estrechamente entrelazados, ya que mediante el cambio de

enfoque se puede conseguir una mayor sensibilización. Para lograr estas metas, se
puede trabajar en dos sentidos:
• Mediante el establecimiento de canales informativos orientados a concienciar a

los empresarios en materia de seguridad de la información. El objetivo de los
canales informativos debe ser doble: concienciar en materia de seguridad y dar a
conocer las soluciones que se les pueden aportar, ya sea en forma de guías,
programas de formación o subvenciones estatales.
• A través de la generación de guías de seguridad dirigidas a las empresas y

basadas en el riesgo. En este sentido, la Agencia de Seguridad de la Información
Europea (ENISA) ha preparado un manual práctico para ayudar a las entidades a
mejorar su seguridad aplicando un enfoque basado en el riesgo 58 .
Recomendación 3: Orientar acciones en las empresas subcontratadas de

prestación de servicios de tecnologías de la información (TI)
Los datos del estudio muestran que ocho de cada diez empresas tienen subcontratados
los servicios de telecomunicaciones e informática. Por lo tanto, la Administración Pública
y otros organismos, especialmente las asociaciones de empresas de TI, deben formar en
materia de seguridad a este subsector de empresas proveedoras. Son precisamente
estas organizaciones externas las más indicadas para elevar el nivel de seguridad de las
pequeñas y microempresas españolas.
Recomendación 4: Ofrecer información y asesoramiento a las empresas en sus

planes de formación a los empleados
Con el objeto de ayudar a las microempresas y pequeñas empresas españolas a

preparar las políticas de uso de los sistemas de información y los planes de
concienciación a los empleados.
58
ENISA (2007): Information package for SMEs. Disponible en http://www.enisa.europa.eu/act/rm/cr/risk-management-
inventory/files/deliverables/information-package-for-smes-es/?searchterm=Information%20package%20for%20SMEs
Recomendación 5: Seguir fomentando la e-confianza entre las empresas
Las Administraciones deben seguir realizando esfuerzos para fomentar el uso de

servicios especializados de Internet que impliquen un avance de la Sociedad de la
Información y una consolidación del nivel de e-confianza de las empresas. Ejemplos de
ello son la firma electrónica a través de aplicaciones como el eDNI o los sellos de
confianza asociados a códigos de conducta de los sitios web.
Recomendación 6: Realizar una labor recurrente de diagnóstico y métrica del

estado de la seguridad de la información en las empresas
Esta información permitirá: difundir entre las empresas una cultura de seguridad basada
en las herramientas, buenas practicas, políticas de seguridad y les permitirá conocer su
posición respecto al resto del mercado; a la industria adecuar su oferta a las necesidades
y nichos identificados; a las propias AAPP diseñar adecuadas políticas públicas tanto
reactivas como preventivas, así como realizar un seguimiento del impacto de sus
acciones.
De este modo, se pueden obtener con ello indicadores de la evolución de la implantación

de las medidas y buenas prácticas de seguridad en las empresas y permite, a su vez,
determinar el grado de efectividad de las diferentes acciones puestas en marcha por las
Administraciones Públicas.
Recomendación 7: Elaborar y difundir información adaptada a las necesidades de

las empresas
A través de campañas de concienciación, guías y manuales, indicadores, etc. Entre las

materias prioritarias identificadas para la elaboración de estas guías se encuentran: el
análisis de riesgos para las entidades, las buenas prácticas en seguridad de la
información, la generación de planes de continuidad de negocio y la gestión de incidentes
de seguridad, entre otras.
10.4 Asignación de prioridad de las recomendaciones
A modo de resumen se presenta una matriz de utilidad para las distintas acciones
presentadas en las recomendaciones anteriores. Así, el Gráfico 68 ofrece una visión
global de todas las medidas propuestas, a partir del análisis combinado del impacto de la
recomendación y el coste necesario para abordarla diferenciando entre las
recomendaciones a las empresas, a los fabricantes y proveedores de seguridad y a las
AA.PP.
El impacto de la acción se ha definido en base a la media de dos factores:
• La estimación de la influencia que tienen las medidas sobre el conjunto del nivel
de seguridad de la información de las pequeñas y microempresas españolas.
• La extensión en el tiempo de los efectos de la acción realizadas.
Para calcular el coste de cada una de ellas se han tenido en cuenta:
• Complejidad alta: cambio total de las percepciones, hábitos, herramientas de

seguridad u otros aspectos.
• Complejidad media: cambio parcial de las percepciones, hábitos, herramientas de

seguridad u otros aspectos.
• Complejidad intrínseca baja: ajuste parcial de percepciones, hábitos, herramientas

de seguridad u otros aspectos.
Gráfico 68: Matriz de utilidad de las recomendaciones (Coste/Impacto)
Alto
R2 R5 R2 R1
R6 R4 R5
R7 R4 R3
IMPACTO
R1 R2
Medio R6
R3 R3 R1
R4
Bajo
Bajo Medio Alto
COSTE
A las empresas A los fabricantes A las AA.PP.
Fuente: INTECO
Mediante las recomendaciones expuestas y el análisis de la relación coste/impacto de

cada una de ellas se pretende dar una pautas que orienten a los distintos agentes en su
propósito de alcanzar el nivel óptimo de protección y e-confianza y la cultura de seguridad
de la información en las pequeñas y microempresas españolas, a la vez que se pretende
reforzar la interacción entre todos ellos: pequeñas organizaciones, proveedores de
servicios y soluciones de seguridad y Administraciones Públicas.
ANEXO I: BIBLIOGRAFIA
• Eurostat (2008). ICT usage by enterprise 2008. Bruselas. En línea. Disponible en:
http://epp.eurostat.eu/portal/page/portal/information_society/introduction
• Everis, AETIC (2008). Las Tecnologías de la información y las Comunicaciones en

la empresa española 2008. Madrid. En línea. Disponible en: http://www.aetic.es/
• Forrester Research (2008). The State of Enterprise IT Security: 2008 To 2009.

Cambrigde, Estados Unidos. No disponible en línea.
• Fundetec - Panda security (2007). Seguridad en la PYME española y europea.

Madrid. En línea. Disponible en:
http://www.fundetec.es/publicaciones/Informe%20Seguridad%20Panda.pdf
• Gartner (2009).SMB IT Security Spending Habits. Stamford, Estados Unidos. No

disponible en línea.
• IDC, MessageLabs y McAfee (2007). SMBs in a connected World: business

success jeans facing new IT security risks. Gloucester, Reino Unido. En línea.
Disponible en:
http://de.messagelabs.com/files/all/smb/IDC_SMB_Research_20Feb07.pdf
• INE (2008). Encuesta de uso de TIC y Comercio electrónico en las empresas

2007- 2008. Madrid. Disponible en:
http://www.ine.es/jaxi/medu.do?type=pcaxis&path=%2Ft09%2Fe02&file=inebase&
L
• INE (2008). Directorio Central de Empresas (DIRCE). Madrid. En línea. Disponible

en: http://www.ine.es/inebmenu/mnu_empresas.htm
• Red.es y Ministerio de Industria, Turismo y Comercio (2007). Tecnologías de la

Información y las Comunicaciones en la microempresa española. Análisis por
sector de actividad y Comunidad Autónoma. Madrid. No disponible en línea.
• Red.es y Ministerio de Industria, Turismo y Comercio (2008). Las Tecnologías de

movilidad en la empresa españolas. Madrid. En línea. Disponible en:
http://observatorio.red.es/empresas/articles/id/2080/las-tecnologias-movilidad-la-
pyme-espanola.html
• INTECO (2007). Estudio sobre la Seguridad de la Información y e-Confianza en el

ámbito de las Entidades Locales. León. En línea. Disponible en:
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Inf
ormes_1/Estudio_sobre_entidades_locales_48
• INTECO (2007). Estudio sobre la seguridad de la información y e-Confianza de los

hogares españoles. León. En línea. Disponible en:
ormes_1/Estudio_sobre_la_seguridad_de_la_informacion_y__49
• INTECO (2008). Estudio sobre el grado de adaptación de las Pequeñas y

Medianas Empresas españolas a la Ley Orgánica de Protección de Datos (LOPD)
y el nuevo Reglamento de Desarrollo (RDLOPD). León. En línea. Disponible en:
ormes_1/estudio_lopd_PYME
• INTECO (2008). Estudio sobre incidencias y necesidades de seguridad en las

pequeñas y medianas empresas españolas. León. En línea. Disponible en:
ormes_1/estudio_seg_PYME_2
• INTECO (2008). Estudio sobre la situación de seguridad y buenas prácticas en

dispositivos móviles y redes inalámbricas. León. En línea. Disponible en:
ormes_1/estudio_redes
• International Organization for Standardization (ISO), International Electrotechnical

Commission (IEC) (2007). ISO/IEC 27002:2005. Ginebra. No disponible en línea.
• McAfee (2008). Does size matter? The security challenge of the SMB. Santa
Clara, Estados Unidos. En línea. Disponible en:
http://www.mcafee.com/us/local_content/reports/does_size_matter_en_v2.pdf
• PricewaterhouseCoopers (2008). GSISS (Global State of Information Security

Survey). Londres, Reino Unido. En línea. Disponible en:
http://www.pwc.com/extweb/insights.nsf/docid/0E50FD887E3DC70F852574DB00
5DE509/$File/PwCsurvey2008_cio_reprint.pdf
ÍNDICE DE GRÁFICOS
Gráfico 1: Distribución de empresas en España según número de empleados (%) .........22
Gráfico 2: Distribución porcentual del número de empresas participantes en función del

número de empleados .......................................................................................................26
Gráfico 3: Nivel de implantación de las soluciones de seguridad en los ordenadores de la

entidad (%) ........................................................................................................................31
Gráfico 4: Comparativa internacional del nivel de implantación de las soluciones de

seguridad en los ordenadores de la empresa (%).............................................................33
Gráfico 5: Evolución anual en la implantación de algunas herramientas y soluciones de

seguridad en las empresas, según tamaño de la empresa (%) ........................................34
Gráfico 6: Nivel de utilización de programas antivirus: datos declarados vs. datos reales
(%) .....................................................................................................................................34
Gráfico 7: Comparativa internacional del nivel de implantación de herramientas y/o

soluciones de seguridad en las empresas (%) ..................................................................36
Gráfico 8: Barreras para la implementación de medidas de seguridad por parte de las

empresas (%) ....................................................................................................................38
Gráfico 9: Empresas que disponen de una persona encargada de dirigir la seguridad

informática (%)...................................................................................................................39
Gráfico 10: Comparativa internacional de empresas que disponen de un director de

seguridad de la información (%) ........................................................................................40
Gráfico 11: Comparativa entre contar/no contar con un director de seguridad a la hora de
tener implementadas medidas de seguridad en los equipos (%) ......................................41
Gráfico 12: Motivos por los que las empresas afirman no disponer de personal dedicado a
los aspectos informáticos y de director de seguridad informática .....................................42
Gráfico 13: Evolución anual de la inversión en seguridad respecto al gasto en informática

(%) .....................................................................................................................................43
Gráfico 14: Valoraciones que las empresas realizan sobre los distintos aspectos de un
producto de seguridad informática (%)..............................................................................44
Gráfico 15: Valoraciones que realizan las empresas sobre la necesidad de

servicios/soluciones especializados de seguridad (%)......................................................45
Gráfico 16: Empresas por tamaño que realizan copias de seguridad (%) ........................47
Gráfico 17: Frecuencia con la que las empresas realizan las copias de seguridad (%) ...48
Gráfico 18: Empresas que disponen de sistemas de seguridad en la sala donde se aloja
el servidor (%)....................................................................................................................50
Gráfico 19: Estado de actualización del sistema operativo y de las herramientas de

seguridad de las empresas: datos declarados vs. datos reales (%) .................................51
Gráfico 20: Empresas que disponen de ficheros que incluyen datos de carácter personal
sobre los que se consideran afectados por la LOPD (%)..................................................54
Gráfico 21: Evolución anual de empresas que afirman tener declarados los ficheros con
datos de carácter personal en la Agencia de Protección de Datos (%) ............................55
Gráfico 22: Empresas por tamaño que disponen de ficheros y han notificado la existencia
de los mismos ante el Registro General de la Agencia Española de Protección de Datos
(%) .....................................................................................................................................55
Gráfico 23: Evolución anual del nivel de cumplimiento de las empresas que disponen de
ficheros del deber de solicitud de consentimiento a los titulares de los datos (%)............56
Gráfico 24: Evolución anual del nivel de cumplimiento de las empresas con ficheros con
datos de carácter personal del deber de información a los titulares de los datos (%) ......57
Gráfico 25: Comparativa internacional de empresas que han revisado la normativa de

protección de datos en las auditorías de seguridad realizadas (%) ..................................58
Gráfico 26: Disposición de una estrategia para el aumento del nivel de seguridad (%) ...60
Gráfico 27: Comparativa internacional sobre la existencia de una estrategia para el

aumento del nivel de seguridad de la información y planteamientos futuros (%)..............60
Gráfico 28: Tipología de controles de seguridad existentes en las empresas (%)............61
Gráfico 29: Evolución anual del tipo de controles de seguridad (%) .................................62
Gráfico 30: Comparativa internacional de la existencia de planes y políticas de seguridad

en las empresas (%)..........................................................................................................63
Gráfico 31: Distribución de los contenidos del plan de continuidad de las empresas (%) 64
Gráfico 32: Aspectos revisados en las auditorías de seguridad de las empresas de más
de diez empleados (%) ......................................................................................................65
Gráfico 33: Cambios efectuados por las empresas tras la realización de las auditorías de
seguridad (%) ....................................................................................................................65
Gráfico 34: Incidentes de seguridad declarados por las empresas (%) ............................67
Gráfico 35: Evolución anual del nivel de incidencias en los equipos de las empresas tras
realizar la auditoría de seguridad (%)................................................................................72
Gráfico 36: Percepción de las empresas acerca de la existencia de código malicioso en

sus equipos (%) .................................................................................................................73
Gráfico 37: Equipos de las empresas que alojan malware según tipología de código
malicioso (%) .....................................................................................................................74
Gráfico 38: Distribución de las categorías de código malicioso (%)..................................76
Gráfico 39: Número de detecciones de cada variante única de malware .........................77
Gráfico 40: Distribución de los equipos en función del nivel de riesgo (%) .......................80
Gráfico 41: Nivel de riesgo de los equipos de las empresas según el uso de antivirus (%)
...........................................................................................................................................81
Gráfico 42: Dispositivos móviles avanzados existentes en las empresas (PDA, Blackberry,
móviles con acceso a Internet (3G)) (%) ...........................................................................83
Gráfico 43: Hábitos de uso del bluetooth en los dispositivos móviles avanzados de las
empresas (%) ....................................................................................................................84
Gráfico 44: Medidas de seguridad utilizadas/instaladas en los dispositivos móviles

avanzados de las empresas (%) .......................................................................................85
Gráfico 45: Medidas de seguridad que disponen las redes inalámbricas de las empresas
(%) .....................................................................................................................................86
Gráfico 46: Consecuencias derivadas de los incidentes de seguridad (%).......................88
Gráfico 47: Comparativa internacional de empresas según las consecuencias que se

derivaron de los incidentes de seguridad sufridos (%) ......................................................89
Gráfico 48: Nivel de impacto sufrido por las empresas en relación a diferentes puntos de
vista (%).............................................................................................................................90
Gráfico 49: Comparativa internacional según el nivel de impacto sufrido por las empresas
como consecuencia de un incidente de seguridad (%) .....................................................91
Gráfico 50: Cambios de hábitos en las empresas debido a un incidente de seguridad (%)
...........................................................................................................................................92
Gráfico 51: Método empleado por las empresas para resolver incidentes en relación con
el tipo de incidente sufrido (%) ..........................................................................................93
Gráfico 52: Método empleado por las empresas para resolver incidentes (%) .................94
Gráfico 53: Método empleado por las empresas para resolver incidentes en relación con
el tipo de incidente declarado (%) .....................................................................................94
Gráfico 54: Utilización de servicios electrónicos a través de Internet por parte de las
empresas (%) ....................................................................................................................96
Gráfico 55: Comparativa europea según la utilización de servicios a través de Internet por
parte de las empresas (%).................................................................................................97
Gráfico 56: Motivos por los que las empresas confían poco o nada a la hora de realizar
gestiones con la Administración Pública través de Internet (%)........................................99
Gráfico 57: Motivos por los que las empresas confían poco o nada al realizar compras a
proveedores a través de Internet (%) ..............................................................................100
Gráfico 58: Motivos por los que las empresas confían poco o nada al realizar ventas a
clientes a través de Internet (%) ......................................................................................101
Gráfico 59: Comparativa europea de empresas que disponen de página web (%) ........102
Gráfico 60: Motivos por los que las empresas confían poco o nada al realizar pagos a
través de Internet (%) ......................................................................................................103
Gráfico 61: Motivos por los que las empresas confían poco o nada en los servicios de
banca electrónica (%) ......................................................................................................105
Gráfico 62: Motivos por los que las empresas confían poco o nada en el uso de la firma
electrónica (%).................................................................................................................106
Gráfico 63: Motivos por los que las empresas confían poco o nada a la hora de enviar
información por correo electrónico (%)............................................................................107
Gráfico 64: Motivos por los que las empresas no realizan determinados servicios a través
de Internet (%) .................................................................................................................108
Gráfico 65: Motivos por los que las empresas no disponen de factura electrónica (%) ..110
Gráfico 66: Motivos por los que las empresas no utilizan la firma electrónica (%)..........110
Gráfico 67: Sistema de indicadores de la seguridad de la información (0-100 puntos) ..117
Gráfico 68: Matriz de utilidad de las recomendaciones (Coste/Impacto) ........................133
ÍNDICE DE TABLAS
Tabla 1: Clasificación de las empresas según la normativa de la Comunidad Europea (en

vigor desde el 1 de enero de 2005) ...................................................................................21
Tabla 2: Niveles de error muestral por tamaño de las empresas participantes en el estudio
...........................................................................................................................................27
Tabla 3: Distribución de las empresas en la muestra según las distintas Comunidades

Autónomas.........................................................................................................................28
Tabla 4: Implantación de las soluciones de seguridad según el número de equipos en los

que se encuentran instaladas (%) .....................................................................................32
Tabla 5: Motivos declarados por las empresas para no utilizar las herramientas y
soluciones de seguridad en los equipos (%) .....................................................................37
Tabla 6: Distribución de empresas por tamaño según la tenencia de personal dedicado en

exclusividad a los aspectos informáticos (%) ....................................................................38
Tabla 7: Distribución de empresas por tamaño según la valoración efectuada sobre la

adquisición de material informático (%).............................................................................43
Tabla 8: Tipo de configuración a la hora de realizar copias de seguridad, según el tamaño

de empresa (%) .................................................................................................................48
Tabla 9: Lugar donde las empresas almacenan las copias de seguridad, según tamaño
de la empresa (%) .............................................................................................................49
Tabla 10: Disponibilidad de servidores, según el tamaño de la empresa (%)...................49
Tabla 11: Frecuencia de actualización de forma manual por parte de las empresas de sus
programas, según tamaño de la empresa (%) ..................................................................52
Tabla 12: Empresas que se consideran afectadas por la normativa de protección de datos
según el tamaño de la empresa (%)..................................................................................53
Tabla 13: Nivel de incidentes de seguridad en las empresas: datos declarados vs. datos
reales (%) ..........................................................................................................................68
Tabla 14: Número medio de archivos infectados por categoría ........................................74
Tabla 15: Número total de archivos maliciosos, variantes únicas de malware e índice de
repetición ...........................................................................................................................75
Tabla 16: TOP-5 de tipo de malware encontrado según metanombre por número de
equipos que lo alojan.........................................................................................................78
Tabla 17: Constancia de haber sufrido robo de Wi-Fi, según tamaño de la empresa (%) 87
Tabla 18: Grado de confianza de las empresas cuando realizan gestiones con la
Administración Pública a través de Internet, según el tamaño de la empresa (%) ...........98
Tabla 19: Grado de confianza de las empresas cuando realizan compras a proveedores a
través de Internet, según el tamaño de la empresa (%)..................................................100
Tabla 20: Grado de confianza de las empresas cuando realizan ventas a clientes a través
de Internet, según el tamaño de la empresa (%).............................................................101
Tabla 21: Uso de la página web como canal de venta, según el tamaño de la empresa
(%) ...................................................................................................................................102
Tabla 22: Grado de confianza de las empresas cuando realizan pagos por Internet, según
el tamaño de la empresa (%)...........................................................................................103
Tabla 23: Grado de confianza de las empresas cuando utilizan servicios de banca
electrónica, según el tamaño de la empresa (%) ............................................................104
Tabla 24: Grado de confianza de las empresas cuando utilizan la firma electrónica, según
el tamaño de la empresa (%)...........................................................................................105
Tabla 25: Grado de confianza de las empresas cuando envían información por e-mail,
según el tamaño de la empresa (%)................................................................................106
Instituto Nacional
de Tecnologías
de la Comunicación
http://www.inteco.es
http://observatorio.inteco.es

Estudio Sobre La Seguridad y La E-Confianza en Las Pequenas y Micro-Empresas Españolas - INTECO

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Estudio Sobre La Seguridad y La E-Confianza en Las Pequenas y Micro-Empresas Españolas - INTECO

Uploaded by

Copyright:

Available Formats

Estudio sobre la seguridad y la

e-confianza en las pequeñas y

El “Estudio sobre la seguridad y la e-confianza en las pequeñas y microempresas españolas” ha

Pablo Pérez San-José (Coordinador)

Susana de la Fuente Rodríguez

Laura García Pérez

Javier Rey Perille

Héctor René Suárez Suárez

INTECO quiere mencionar la participación en la realización del trabajo de campo e investigación

PUNTOS CLAVE .................................................................................................................7

I Herramientas, buenas prácticas y políticas de seguridad .......................................7

II Incidencias de seguridad: percepción y situación real...........................................12

V Sistema de Indicadores de Seguridad ...................................................................14

1 INTRODUCCIÓN Y OBJETIVOS ...............................................................................16

1.1 Presentación ......................................................................................................16

1.1.1 Instituto Nacional de Tecnologías de la Comunicación. ................................16

1.1.2 Observatorio de la Seguridad de la Información............................................16

1.2 Estudio sobre la seguridad y la e-confianza en las pequeñas y microempresas

1.2.1 Objetivo general .............................................................................................18

1.2.2 Objetivos específicos .....................................................................................18

2 DISEÑO METODOLÓGICO .......................................................................................20

2.1 Caracterización del universo objeto de la investigación ....................................21

2.2 Fases del proyecto de investigación..................................................................22

2.2.1 Fase 1: Recopilación y estudio de informes ..................................................22

2.2.2 Fase 2: Auditoría de seguridad ......................................................................23

2.2.3 Fase 3: Encuestas a empresas......................................................................25

2.2.4 Fase 4: Elaboración del informe ....................................................................28

3.1 Herramientas de seguridad................................................................................30

3.1.1 Nivel de implantación de las herramientas de seguridad en las pequeñas y

3.1.3 Personal dedicado a la seguridad de la información .....................................38

3.1.4 Evolución de la inversión en seguridad respecto al gasto en informática......42

3.1.5 Necesidades de productos y servicios de seguridad en las pequeñas y

3.2 Buenas prácticas de seguridad..........................................................................45

3.2.1 Realización de copias de seguridad ..............................................................46

3.2.2 Actualización de los programas y sistemas operativos..................................50

3.3 Conocimiento y adecuación a la normativa sobre protección de datos .............52

3.4 Planes y políticas de seguridad .........................................................................59

4 INCIDENCIAS DE SEGURIDAD: PERCEPCIÓN DE LAS PEQUEÑAS Y

4.2 Incidencias reales detectadas en los ordenadores de las microempresas y

4.2.1 Evolución de la incidencia de malware ..........................................................71

4.2.2 Tipología del código malicioso detectado ......................................................73

4.2.3 Diversificación del código malicioso detectado..............................................74

4.2.4 Nivel de peligrosidad del código malicioso detectado en los equipos en

4.2.5 Factores de influencia sobre el estado de infección de los equipos ..............80

5.1 Seguridad en dispositivos móviles avanzados ..................................................82

5.2 Seguridad en las conexiones inalámbricas........................................................85

6 CONSECUENCIAS, REACCIONES Y RESPUESTAS ANTE LAS INCIDENCIAS DE

6.1 Consecuencias de las incidencias de seguridad ...............................................88

6.2 Reacciones de las empresas frente a las incidencias de seguridad..................91

6.3 Respuesta de las empresas frente a las incidencias de seguridad ...................93

7 E-CONFIANZA DE LAS PEQUEÑAS Y MICROEMPRESAS ....................................95

7.1 e-Confianza en la Sociedad de la Información ..................................................97

7.1.1 e-Confianza en las gestiones con las Administraciones Públicas .................97

7.1.2 e-Confianza en el comercio electrónico .........................................................99

7.1.3 e-Confianza en las operaciones bancarias electrónicas..............................104

7.1.4 e-Confianza en la firma electrónica y el envío de datos personales............105

7.2 Frenos al desarrollo de la Sociedad de la Información ....................................108

8 SISTEMA DE INDICADORES DE SEGURIDAD DE LAS PEQUEÑAS Y

8.1 Análisis de los indicadores de la seguridad de la información.........................116

9.1 Análisis DAFO..................................................................................................123

9.1.1 Fortalezas ....................................................................................................123

9.1.2 Debilidades ..................................................................................................124

9.1.4 Amenazas ....................................................................................................126