Professional Documents
Culture Documents
OBSERVATORIO DE LA
Estudio sobre la seguridad y e-confianza SEGURIDAD
en las
Observatorio de la Seguridad de la Información
DE
pequeñas y microempresas LA INFORMACIÓN
españolas Página 1 de 143
Edición: Diciembre 2009
La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está bajo una
licencia Reconocimiento-No comercial 2.5 España de Creative Commons, y por ello esta permitido copiar, distribuir y
comunicar públicamente esta obra bajo las condiciones siguientes:
• Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su
procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no
podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra.
• Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos
mientras su uso no tenga fines comerciales.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas
condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta
licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/by-nc/2.5/es/
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se
trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y
orden de lectura adecuado.
Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la
sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 2 de 143
Observatorio de la Seguridad de la Información
ÍNDICE
ÍNDICE.................................................................................................................................3
III Efectos de las incidencias de seguridad y reacción ante las mismas ...................12
IV e-Confianza............................................................................................................13
VI Recomendaciones .................................................................................................14
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 3 de 143
Observatorio de la Seguridad de la Información
3 HERRAMIENTAS, BUENAS PRÁCTICAS Y POLÍTICAS DE SEGURIDAD EN LAS
PEQUEÑAS Y MICROEMPRESAS ..................................................................................30
3.1.2 Motivos declarados por las empresas para no utilizar las distintas
herramientas de seguridad en sus equipos................................................................36
4.1 Percepción de las incidencias de seguridad por parte de las empresas ...........66
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 4 de 143
Observatorio de la Seguridad de la Información
5 SEGURIDAD DE LAS COMUNICACIONES MÓVILES E INALÁMBRICAS EN LAS
PEQUEÑAS Y MICROEMPRESAS ..................................................................................82
9 CONCLUSIONES.....................................................................................................118
9.1.3 Oportunidades..............................................................................................125
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 5 de 143
Observatorio de la Seguridad de la Información
10 RECOMENDACIONES........................................................................................127
ÍNDICE DE GRÁFICOS...................................................................................................136
ÍNDICE DE TABLAS........................................................................................................141
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 6 de 143
Observatorio de la Seguridad de la Información
PUNTOS CLAVE
La ventaja que aporta la metodología utilizada es que permite contrastar un dato basado
en la percepción del empresario sobre la seguridad de la información en su empresa con
un dato real basado en el análisis en línea del nivel de seguridad efectivo de sus equipos.
Con este informe INTECO continúa la trayectoria iniciada en 2008 con la publicación del
Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas
empresas españolas y el Estudio sobre el grado de adaptación de las Pequeñas y
Medianas Empresas españolas a la Ley Orgánica de Protección de Datos (LOPD) y el
nuevo Reglamento de Desarrollo (RDLOPD).
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 7 de 143
Observatorio de la Seguridad de la Información
disponer de cortafuegos y un 66,8% que admite tener algún medio de control de acceso
al equipo.
En los tres casos, el nivel de utilización de las medidas por parte de las empresas
españolas es superior al mostrado a nivel internacional, donde las empresas se sitúan
17,8 puntos porcentuales por detrás de las españolas en el uso de antivirus, 8,3 respecto
a los cortafuegos y 22,9 en el caso del control de acceso al equipo.
Las soluciones de seguridad de carácter más específico instaladas en los equipos están
presentes en mayor medida en las empresas pequeñas (de 10 a 49 empleados) que en
las microempresas (aquéllas con menos de 10 trabajadores). Así, la utilización de
distintos privilegios en cada equipo en función del usuario es aplicada por un 51,3% de
las pequeñas empresas, frente a sólo un 30,2% en el caso de las microempresas, y el
uso de herramientas que permiten acceder a la red corporativa desde el hogar es
adoptado por un 36,2% de empresas de entre 10 y 49 trabajadores, frente a un 20,3% de
empresas de hasta 9 empleados.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 8 de 143
Observatorio de la Seguridad de la Información
Entre las empresas que sí tienen personal informático en plantilla, cerca de un 80%
contempla la existencia de una persona responsable de la seguridad informática, bien
sea una responsabilidad exclusiva, bien compartida con otras funciones de carácter
tecnológico.
Parece que, en general, las empresas se encuentran cómodas con el nivel de inversión
efectuado en TIC. Pero, ¿cuánto han invertido? A falta de datos absolutos sobre
inversión, que no es objeto del presente estudio, se les preguntó a los participantes sobre
el nivel de inversión del año en curso en relación con lo invertido el año precedente. Sólo
un 2,6% de las empresas ha invertido más que el año anterior, y un 7,8% adicional se ha
mantenido en un nivel constante de inversión. La mayoría, un 88,7% de las pequeñas y
microempresas españolas, reconoce haber destinado menos recursos que el año anterior
a material informático.
En este punto, es oportuno destacar la labor del Centro Demostrador de Seguridad para
la PYME de INTECO, orientado a fomentar y difundir entre las pymes españolas el uso
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 9 de 143
Observatorio de la Seguridad de la Información
de las tecnologías de seguridad de la información. El Centro Demostrador actúa como
facilitador de mecanismos de demanda temprana, acercándose a las necesidades de la
empresa a través de diversas líneas de trabajo. Así, trabaja elaborando un catálogo de
productos, soluciones y servicios de seguridad y llevando a cabo acciones de
concienciación sobre la necesidad de implantar entornos de trabajo seguros.
En el análisis del nivel declarado de actualización, el 88,9% de las empresas afirman que
el sistema operativo y las herramientas de seguridad con los que trabajan se encuentran
actualizados. La información aportada por la auditoría de seguridad iScan revela que, en
realidad, un 58,5% de los equipos analizados están efectivamente actualizados. Existe
una notoria discrepancia entre nivel de actualización del equipo percibido y real.
Los datos del estudio muestran una evolución realmente positiva de la empresa española
en el cumplimiento de las obligaciones previstas en la normativa sobre protección de
datos.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 10 de 143
Observatorio de la Seguridad de la Información
Un 60,2% de las empresas es consciente de que su actividad en lo que se refiere a
ficheros con datos personales está sujeta a la normativa sobre protección de datos, frente
a un 26,1% que piensa no estar afectada por la legislación y un 13,7% que lo desconoce.
1
INTECO (2008). Estudio sobre el grado de adaptación de las Pequeñas y Medianas Empresas españolas a la Ley
Orgánica de Protección de Datos (LOPD) y el nuevo Reglamento de Desarrollo RDLOPD. Disponible en
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_informes/Estudios_e_Informes_1/estudio_lopd_PYME
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 11 de 143
Observatorio de la Seguridad de la Información
Por último, el 22,8% de las entidades con más de diez empleados afirma que ha
realizado alguna vez una auditoría de seguridad, con objeto de evaluar y establecer las
acciones de mejora a efectuar.
Las categorías de malware más frecuentes son los troyanos (presentes en un 27,8% de
los equipos auditados) y el software publicitario no deseado (identificado en un 23,2% de
los ordenadores.) Se trata, precisamente, de las dos categorías de código malicioso que
más beneficios reportan a sus creadores: la primera, los troyanos, porque suelen estar
relacionados con el fraude; y la segunda, el adware publicitario, porque proporciona
ingresos por publicidad. Es lógico pensar que los ciberdelincuentes inviertan más
esfuerzos en crear y diseminar este tipo de malware. La primera característica del
malware detectado en los equipos es, por tanto, su finalidad lucrativa.
De hecho, de las tres variables consideradas, pérdida de tiempo, dinero e imagen, sólo la
pérdida de tiempo se considera que tiene cierto impacto ante una incidencia. Así, el
73,8% de las empresas afirma que una incidencia de seguridad no tiene ningún impacto
2
En rigor, los datos no son perfectamente comparables, ya que la pregunta de la encuesta se refiere a si ha sufrido virus
“en alguna ocasión” y los datos de la auditoria se aplican al momento de realización del escaneo, a cualquier tipo de
malware.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 12 de 143
Observatorio de la Seguridad de la Información
sobre la imagen de su empresa y un 69% opina que carece de impacto económico en el
negocio.
IV e-Confianza
El indicador más limpio del nivel de confianza que las empresas españolas muestran
hacia la Sociedad de la Información es el uso efectivo de los servicios telemáticos
existentes. En este sentido, los datos confirman que la e-confianza de las empresas
españolas de menos de 50 empleados goza de buena salud: un 84,2% de las entidades
estudiadas utiliza la banca electrónica; la comunicación vía e-mail o formulario web es
practicada por el 59,9% de las empresas; el 57,2% reconoce realizar gestiones con la
Administración Pública; un nada desdeñable 50,2% de organizaciones afirma utilizar la
firma electrónica; por detrás de ellas, transacciones en línea de componente económico
que implican compras a proveedores, ventas a clientes o realización de pagos son
llevadas a cabo, respectivamente, por el 41%, 40,6% y 41,5% de las empresas
participantes en el estudio.
El uso está más extendido entre las empresas de mayor tamaño (10 a 49 empleados)
que entre las microempresas. Las acciones de formación y concienciación que se lancen
desde las administraciones y sector privado deberían tener en cuenta esta circunstancia
para seleccionar colectivos de impacto a los que dirigirse.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 13 de 143
Observatorio de la Seguridad de la Información
Además, los niveles de confianza en cada servicio son muy elevados entre los usuarios,
en valores que se sitúan entre el 75 y el 90% en todos los casos. En este caso, el tamaño
de la empresa no afecta a la hora de determinar una mayor o menor confianza.
El análisis del presente estudio se completa con el cálculo de una serie de indicadores
que ofrecen, de manera sistemática y segmentada, una visión integral del estado de la
seguridad de las empresas españolas.
VI Recomendaciones
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 14 de 143
Observatorio de la Seguridad de la Información
• Implantar Sistemas de Gestión de la Seguridad de la Información (SGSI).
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 15 de 143
Observatorio de la Seguridad de la Información
1 INTRODUCCIÓN Y OBJETIVOS
1.1 Presentación
Su objetivo es doble: por una parte, contribuir a la convergencia de España con Europa
en la Sociedad de la Información y, por otra parte, promover el desarrollo regional,
enraizando en León un proyecto con vocación global.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 16 de 143
Observatorio de la Seguridad de la Información
Dentro de este plan de acción se realizan labores de investigación, análisis, estudio,
asesoramiento y divulgación que atenderán, entre otras, a las siguientes estrategias:
Resulta clave la necesidad de poner el foco en el fomento de las TIC y por ende, de la
seguridad de la información, ya que no se pueden entender unas sin la otra entre las
empresas españolas.
El estudio cuenta con dos peculiaridades que lo pueden convertir en material exclusivo de
referencia en seguridad de la información a nivel nacional e internacional:
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 17 de 143
Observatorio de la Seguridad de la Información
• En segundo lugar, los resultados del estudio proceden de dos fuentes
diferenciadas y comparables, permitiendo conocer el nivel de coincidencia y/o
discrepancia entre la percepción de las empresas (obtenida a través de las
encuestas) y la situación real de seguridad de sus equipos (extraída de los
análisis de seguridad practicados en línea). En el epígrafe 2 se profundiza en la
metodología seguida.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 18 de 143
Observatorio de la Seguridad de la Información
• Verificar el comportamiento de las pequeñas y microempresas españolas en
relación con la adopción de buenas prácticas de seguridad: realización de copias
de seguridad y actualización de los programas y sistemas operativos.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 19 de 143
Observatorio de la Seguridad de la Información
2 DISEÑO METODOLÓGICO
3
El software, propiedad de INTECO, es un programa sencillo e inocuo que permite realizar un análisis exhaustivo en
remoto tanto del sistema como de la seguridad de los ordenadores. Todo ello, con absoluta confidencialidad y
transparencia. En apartado 2.2.2. se explica de forma detallada el funcionamiento de iScan
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 20 de 143
Observatorio de la Seguridad de la Información
2.1 Caracterización del universo objeto de la investigación
El universo objeto del estudio está constituido por toda empresa española de hasta 50
empleados, diferenciando entre las microempresas (menos de 10 empleados) y las
pequeñas empresas (10-49 asalariados).
Empresa Empresa
Microempresa
pequeña mediana
Número de empleados Menos de 10 Menos de 50 Menos de 250
Facturación máxima (en millones de
2 10 50
euros)
Volumen de negocio anual o balance
2 10 43
general anual (en millones de euros)
Fuente: Recomendación C.E. (6 de mayo de 2003)
Por el escaso peso numérico que tienen las empresas de más de 50 empleados dentro
del panorama empresarial español (ver Gráfico 1), se excluyen del ámbito del estudio.
4
Comisión Europea (2003): Recomendación de 6 de mayo de 2003 sobre la definición de microempresa, pequeñas y
medianas empresas. Diario Oficial de la Unión Europea L 124, pp. 36-41, de 20 de mayo de 2003. Más información
disponible en http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:124:0036:0041:ES:PDF
5
Instituto Nacional de Estadística (2009): Directorio Central de Empresas. Disponible en
http://www.ine.es/jaxiBD/menu.do?type=db&divi=dir&his=0&L=0
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 21 de 143
Observatorio de la Seguridad de la Información
Gráfico 1: Distribución de empresas en España según número de empleados (%)
0,1%
0,6%
80,3%
4,4% 94,8%
14,5%
Todos los informes consultados en el presente estudio son propiedad de las siguientes
entidades:
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 22 de 143
Observatorio de la Seguridad de la Información
• Asociación Empresas de • International Organization for
Tecnologías de la Información y Standardization (ISO) e
Comunicaciones de España International Electrotechnical
(AETIC) Commission (IEC)
Para llevar a cabo los análisis en línea se ha utilizado el programa iScan, una
herramienta de análisis de seguridad propiedad de INTECO especializada en la detección
de medidas activas de seguridad y, sobre todo, de código malicioso (malware).
Por lo que respecta al análisis del malware, iScan detecta las incidencias de seguridad
con 46 antivirus distintos con el objetivo de asegurar una mayor tasa de detección
(especialmente ante las nuevas amenazas de carácter altamente indetectable). Como
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 23 de 143
Observatorio de la Seguridad de la Información
contrapunto, precisamente con el objeto de minimizar los falsos positivos 6 , se establecen
una serie de filtros y controles posteriores:
Para que un archivo sea marcado como malware, éste debe ser detectado por 5
productos de los 46 considerados, teniendo en cuenta que uno de los 5
necesariamente debe pertenecer al subconjunto de los 11 antivirus más
reputados.
6
Un “falso positivo” es la detección, errónea, de un fichero inocuo como malicioso.
7
National Institute of Standards and Technology: National Software Reference Library. Disponible en
http://www.nsrl.nist.gov
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 24 de 143
Observatorio de la Seguridad de la Información
los falsos positivos (una problemática inherente a la industria antivirus), ni la de los falsos
negativos.
Asimismo, debe tenerse en cuenta que al comparar todos los ficheros de los equipos
inspeccionados con las bases de datos de malware conocido, no es posible detectar
ningún espécimen desconocido que no se encuentre en dichas librerías. Esto es
especialmente acusado en el caso de los gusanos y virus. Los gusanos suelen incluir un
motor polimórfico que da lugar a un fichero binariamente distinto en cada replicación del
mismo. En consecuencia, es muy difícil que un gusano polimórfico sea detectado, pues
muchos de ellos serán únicos para cada infección y por tanto no estarán presentes en la
base de datos de malware conocido. El caso de los virus es similar: muchos virus infectan
otros archivos, dando lugar a ficheros con nuevas huellas digitales que no están
presentes en la base de datos.
8
En informática, la ofuscación se refiere al acto deliberado de realizar un cambio no destructivo, ya sea en el código fuente
de un programa informático o código máquina cuando el programa está en forma compilada o binaria, con el fin de que no
sea fácil de entender o leer, es decir, se hace ininteligible específicamente para ocultar su funcionalidad.
9
Instituto Nacional de Estadística (2008): Encuesta de uso de TIC y Comercio electrónico (CE) en las empresas 2007 –
2008. Disponible en http://www.ine.es/jaxi/menu.do?type=pcaxis&path=%2Ft09/e02&file=inebase&L=0
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 25 de 143
Observatorio de la Seguridad de la Información
• Entrevista telefónica asistida por ordenador –sistema CATI– para la presentación
del estudio y la solicitud de colaboración y participación.
Muestra
6,1%
85,1% 14,9%
4,3%
2,2%
2,3%
Menos de 10 De 10 a 19 De 20 a 29 De 30 a 39 De 40 a 49
Fuente: INTECO
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 26 de 143
Observatorio de la Seguridad de la Información
Se trata de 527 empresas, y será la muestra que se considere cuando se analicen cruces
directos entre percepción y realidad.
Error muestral
El margen de error para este conjunto de empresas es del ± 2,1%, lo que le confiere la
suficiente representatividad para poder extraer conclusiones a nivel nacional y por
tamaño de la empresa (donde los errores muestrales son, para los mismos niveles de
significatividad y de confianza, de un ± 2,3% para una muestra de 1.877 entidades de
menos de 10 trabajadores y de un ± 5,5% sobre una muestra de 329 empresas de entre
10 y 49 empleados).
Tabla 2: Niveles de error muestral por tamaño de las empresas participantes en el estudio
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 27 de 143
Observatorio de la Seguridad de la Información
Tabla 3: Distribución de las empresas en la muestra según las distintas Comunidades
Autónomas
Fuente: INTECO
Para realizar los análisis comparativos a nivel europeo e internacional sobre el estado de
la seguridad de las pequeñas y microempresas españolas se han utilizado las siguientes
fuentes:
10
Eurostat (2008): ICT usage by enterprise 2008. Disponible en
http://epp.eurostat.eu/portal/page/portal/information_society/introduction
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 28 de 143
Observatorio de la Seguridad de la Información
este estudio son los correspondientes a la Europa de los 15 (UE 15 11 ) y de los 27
(UE 27 12 ).
Además, con el objeto de disponer de un único valor que permita conocer el nivel de
seguridad de la información de las pequeñas y microempresas españolas, se ha
diseñado un sistema de indicadores estadísticos específico que sintetiza la información y
resultados del estudio en una serie de medidas estadísticas sobre seguridad de la
información (ver epígrafe 8 SISTEMA DE INDICADORES).Para la construcción de este
sistema se ha tomado como referencia el Small Business Information Security: The
Fundamentals 15 elaborada por el NIST. En dicho documento se enumeran las acciones
que una pequeña empresa debe realizar para estar protegida.
11
Alemania, Austria, Bélgica, Dinamarca, España, Finlandia, Francia, Grecia, Italia, Irlanda, Luxemburgo, Países Bajos,
Portugal, Suecia y Reino Unido.
12
Alemania, Austria, Bélgica, Bulgaria, Chipre, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia,
Grecia, Holanda, Hungría, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Polonia, Portugal, Reino Unido, Republica
Checa, Rumania y Suecia.
13
PricewaterhouseCoopers (2008): The Global State of Information Security Survey (GSISS). Disponible en
http://www.pwc.com/extweb/insights.nsf/docid/0E50FD887E3DC70F852574DB005DE509/$File/PwCsurvey2008_cio_reprin
t.pdf
14
Panda Security (2009): Barómetro Internacional de Seguridad en PYMES. Disponible en
http://www.pandasecurity.com/NR/rdonlyres/9A6054F7-7C2F-4CFB-9A83-
315BA2072B35/0/01PF_Barometro_Seguridad_PYMEs_Ejemplo.pdf
15
National Institute of Standards and Technology (2009): Small Business Information Security: The Fundamentals.
Disponible en http://csrc.nist.gov/publications/drafts/ir-7621/draft-nistir-7621.pdf
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 29 de 143
Observatorio de la Seguridad de la Información
3 HERRAMIENTAS, BUENAS PRÁCTICAS Y
POLÍTICAS DE SEGURIDAD EN LAS PEQUEÑAS Y
MICROEMPRESAS
El análisis de las buenas prácticas de seguridad se realiza tomando como base la opinión
de los responsables de las empresas que han participado en el estudio, mediante las
declaraciones efectuadas por éstos en las encuestas de opinión.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 30 de 143
Observatorio de la Seguridad de la Información
3.1.1 Nivel de implantación de las herramientas de seguridad en las pequeñas y
microempresas españolas
El análisis del nivel de implantación de las herramientas y/o soluciones que las
empresas tienen en sus ordenadores confirma cómo, en general, las pequeñas y
microempresas españolas cuentan con un amplio abanico de productos y soluciones de
seguridad. Éste es el caso del grado de instalación que tienen las herramientas
asociadas a la protección de la navegación en Internet (antivirus, cortafuegos personal,
anti-correo basura, herramientas de bloqueo de ventanas emergentes), con tasas de uso
declaradas superiores, en todos los casos, al 54%. En el caso de los programas antivirus
el uso es casi universal (97,8%).
Medidas menos utilizadas son los programas de limpieza de disco (43,6%), los privilegios
distintos en los equipos dependiendo del usuario (33,4%), las herramientas que permiten
el acceso a las redes de las empresas desde fuera de las oficinas (por ejemplo, las de
red privada virtual –VPN–), utilizadas por el 22,7% y las herramientas de cifrado de disco
(8,2%).
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100
%
Si No
La Tabla 4 analiza, para cada medida, si se encuentra presente en todos los equipos de
la empresa o sólo en algunos. La tendencia es, en general, a instalar la herramienta en
todos los ordenadores. Parece que, una vez adoptada la decisión, ésta se implementa de
forma generalizada en los equipos de la empresa. Hay dos medidas (las herramientas
que permiten el acceso a la red desde fuera de la oficina y el uso de privilegios distintos
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 31 de 143
Observatorio de la Seguridad de la Información
en los equipos dependiendo del usuario) donde el nivel de adopción parcial (es decir, sólo
en determinados equipos) es considerable.
16
Conviene recordar que los datos internacionales son, tal y como se hacía constar en el epígrafe sobre metodología,
aportados por el GSISS sobre una base muestral de 2.217 empresas de entre uno y cien trabajadores, 119 de las cuales
son españolas.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 32 de 143
Observatorio de la Seguridad de la Información
Gráfico 4: Comparativa internacional del nivel de implantación de las soluciones de
seguridad en los ordenadores de la empresa (%)
80,0%
Programas de Antivirus/Anti-espía
97,8%
64,1%
Cortafuegos personal
72,4%
43,9%
Medios de control de acceso (contraseñas)
66,8%
61,1%
Bloqueo de ventanas emergentes
54,4%
40,7%
Herramientas de cifrado de discos
8,2%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100
%
España Internacional
España n=2.206, Internacional n=2.217 Fuente: INTECO (2009) y GSISS PwC (2008)
• Los cortafuegos son una herramienta más utilizada entre las pequeñas empresas
(75,4%) que entre las de menor tamaño (71,9%). Aún así la evolución de estas
soluciones muestra cómo se han implantado más entre las microempresas que
entre las de 10 a 49 trabajadores. Así, entre las primeras, en 2006 estaban
presentes en 53,4% de las empresas de menos de 10 empleados y en 2009 el
porcentaje de entidades se sitúa en el 71,9%. La variación porcentual entre las
pequeñas empresas es de 9,1 puntos.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 33 de 143
Observatorio de la Seguridad de la Información
Gráfico 5: Evolución anual en la implantación de algunas herramientas y soluciones de
seguridad en las empresas, según tamaño de la empresa (%)
Gráfico 6: Nivel de utilización de programas antivirus: datos declarados vs. datos reales (%)
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 34 de 143
Observatorio de la Seguridad de la Información
Comparando los datos declarados por las empresas frente la presencia real de programa
antivirus (Gráfico 6), se obtiene que un 93,1% de las empresas efectivamente tienen
instalada la herramienta, frente al 97,8% que declaraban utilizar la medida.
Más aún, gracias a la información que aporta iScan es posible realizar una comparativa
entre instalación declarada e instalación real en los equipos analizados, es decir, entre lo
que declaran las empresas y lo que realmente tienen instalado en sus ordenadores. De
este modo, un 86,9% de las empresas tiene una percepción correcta ya que declaran que
disponen de antivirus y así es.
Finalmente las medidas menos utilizadas son el cifrado de documentos y otros sistemas
de detección, utilizadas por un 16,1% y 9,1% de las empresas, respectivamente.
Este gráfico además contrasta, para algunas de las herramientas analizadas, su uso a
nivel internacional. En este tipo de medidas, la realidad es que la empresa extranjera
muestra un mayor nivel de adopción que la española, quedando así un área de mejora en
este tipo de herramientas en el ámbito empresarial. Una posible explicación estaría en las
17
A diferencia del cortafuegos personal que se instala como software en un equipo, filtrando las comunicaciones entre éste
y el resto de la red, el cortafuegos en red funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de
paquetes IP.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 35 de 143
Observatorio de la Seguridad de la Información
bases muestrales, mientras que en España es para las empresas de 10 a 49
trabajadores, en el ámbito internacional es entre 1 y 100 empleados.
España Internacional
España n=329, Internacional n=2.217 Fuente: INTECO (2009) y GSISS PwC (2009)
3.1.2 Motivos declarados por las empresas para no utilizar las distintas
herramientas de seguridad en sus equipos
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 36 de 143
Observatorio de la Seguridad de la Información
El precio, sin tratarse de un motivo prioritario en ninguna de las herramientas, sólo ejerce
cierta influencia para la no utilización de programas de antivirus / anti-espía. En este
caso, conviene recordar que la base de cálculo es muy pequeña y por tanto puede
desvirtuar la validez de los datos.
Tabla 5: Motivos declarados por las empresas para no utilizar las herramientas y soluciones
de seguridad en los equipos (%)
Motivos
No contesta
No necesita
Entorpecen
No conoce
Ineficaces
Desconfía
% Empresas
Soluciones
Precio
Otros
que no lo
utilizan
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 37 de 143
Observatorio de la Seguridad de la Información
Gráfico 8: Barreras para la implementación de medidas de seguridad por parte de las
empresas (%)
De hecho, así se constata en la consulta realizada a las empresas, donde sólo el 17,8%
de las mismas afirma disponer de personal exclusivamente dedicado a los aspectos
informáticos de su empresa (Tabla 6).
Tamaño Sí No
Menos de 10 15,3 84,7
De 10 a 49 31,6 68,4
Total Muestra 17,8 82,2
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 38 de 143
Observatorio de la Seguridad de la Información
Tomando como base el número de entidades que sí disponen de personal con este perfil
(n=392), el 28,1% de ellas cuentan entre su plantilla, además, con una persona
encargada en exclusiva de dirigir la seguridad informática y un 51% adicional lo hace sin
exclusividad (es decir, lo compagina con otras funciones).
2,0%
28,1%
51,0%
18,9%
Otras fuentes, como en el caso de Panda Security 18 señalan que el 52% de las empresas
en España disponen de un director de seguridad (Gráfico 10), mientras que a nivel
internacional, Alemania es el país con mayor porcentaje de entidades que disponen de
este perfil (87%). En el mismo nivel que España se sitúan Francia (52%), Italia (56%) y
Benelux (57%).
18
Op. cit. 14
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 39 de 143
Observatorio de la Seguridad de la Información
Gráfico 10: Comparativa internacional de empresas que disponen de un director de
seguridad de la información (%)
Alemania 87,0%
China 76,0%
USA 65,0%
Benelux 57,0%
Italia 56,0%
Francia 52,0%
España 52,0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
El Gráfico 11 analiza la comparativa entre empresas con director y aquéllas sin director
de seguridad. Las herramientas en las que más notable es la diferencia son aquéllas que
permiten acceso a la red desde fuera de la oficina (un 44,2% de las empresas con
director de seguridad la utilizan, frente a sólo un 16,2% entre las organizaciones sin
director) y la utilización de diferentes privilegios (51,3% frente a 39,2%).
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 40 de 143
Observatorio de la Seguridad de la Información
Gráfico 11: Comparativa entre contar/no contar con un director de seguridad a la hora de
tener implementadas medidas de seguridad en los equipos (%)
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Empresas con director n=310, Empresas que no disponen de director n=74 Fuente: INTECO
Por último, se analizan los motivos declarados por las empresas para no disponer de
personal informático y/o directores de seguridad.
El Gráfico 12 refleja que, en ambos casos, el principal motivo es el no existir interés (así
lo manifiestan el 37,3% y el 52,7% respectivamente). Ahora bien, hay que tener en
cuenta antes de poder realizar un análisis comparativo de estos motivos, que el número
de empresas que han contestado a cada una de las cuestiones es diferente. Mientras que
las pequeñas y microempresas españolas que afirmaban no disponer de personal en
exclusiva dedicado a los aspectos informáticos era el 82,2% (n=1814), en el caso del
director de seguridad era el 18,9% de las entidades (n=74).
Por último, las empresas señalan otros motivos, como por ejemplo el disponer de un
proveedor externo que atiende los aspectos informáticos o el tamaño reducido de las
empresas, para no disponer de personal exclusivo (29,9%) o de director de seguridad
(20,3%).
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 41 de 143
Observatorio de la Seguridad de la Información
Gráfico 12: Motivos por los que las empresas afirman no disponer de personal dedicado a
los aspectos informáticos y de director de seguridad informática
No dispone de director de
52,7% 20,3% 12,2% 14,9%
seguridad informática
No dispone de personal
exclusivo dedicado a los 37,3% 29,9% 18,9% 12,9% 1,0%
aspectos informáticos
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Empresas que no disponen de personal exclusivo n=1.814, Empresas que no disponen de un director n=74
Fuente: INTECO
19
INTECO (2008): Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas empresas
españolas. Disponible en
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/estudio_seg_pymes_2
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 42 de 143
Observatorio de la Seguridad de la Información
Gráfico 13: Evolución anual de la inversión en seguridad respecto al gasto en informática
(%)
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008 2009
Por otro lado y en relación con la adquisición de material informático (productos y/o
servicios), la Tabla 7 muestra que el 88,7% de las empresas declaran haber invertido
menos que el año anterior, frente a un 2,6% que afirman haber invertido más, y un 7,8%
que ha invertido lo mismo que el año pasado.
El análisis por tamaño de empresa refleja que existe una tendencia ligeramente más
acusada a invertir más o igual que el año pasado entre las empresas entre 10 y 49
empleados. Por el contrario, las microempresas tienden a invertir menos que el año
anterior en mayor medida que las de mayor tamaño.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 43 de 143
Observatorio de la Seguridad de la Información
3.1.5 Necesidades de productos y servicios de seguridad en las pequeñas y
microempresas españolas
Las empresas tienen claro cuáles son los requisitos que debe tener un producto de
seguridad para valorarlo positivamente.
Parece existir, en general, una buena consideración de las empresas a la hora de valorar
un producto de seguridad (Gráfico 14). Son aspectos como calidad / efectividad, el
servicio postventa, la facilidad de mantenimiento y la facilidad de instalación lo que la
empresa valora en mayor medida. En el caso de los tres primeros, 6 de cada 10
empresas otorgan una valoración positiva. De todos ellos el aspecto más valorado es la
calidad / efectividad donde el 66,6% de las pequeñas y microempresas españolas
participantes en el estudio priman esta característica sobre el resto.
El soporte técnico y posventa es muy valorado por el 62,1% de las organizaciones. Esta
característica es especialmente relevante para una pequeña o microempresa que, como
se ha expuesto, carece, generalmente de personal exclusivamente dedicado a los
aspectos informáticos de su empresa o incluso de director de seguridad informática.
Gráfico 14: Valoraciones que las empresas realizan sobre los distintos aspectos de un
producto de seguridad informática (%)
Servicio postventa,
soporte tecnico y 62,1% 27,2% 6,1% 4,5%
garantía
Facilidad de
59,7% 31,1% 5,3% 3,9%
mantenimiento
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 44 de 143
Observatorio de la Seguridad de la Información
necesario” o “necesario” por el 76,3% de las empresas encuestadas. Por detrás de las
revisiones de seguridad, el servicio de solución de incidentes de seguridad es
considerado necesario o muy necesario por un 73,2% de las empresas. El asesoramiento
legal para el cumplimiento de la LOPD es valorado por el 68,9% y finalmente la
formación/información especializada por el 66,5% de las pequeñas y microempresas
participantes en el estudio.
Asesorias para el
cumplimiento de la 28,7% 40,2% 21,0% 10,1%
LOPD
Servicio de solución de
23,5% 49,7% 21,0% 5,8%
incidentes de seguridad
Formación/información
especializada en 18,9% 47,6% 28,4% 5,1%
seguridad
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Tras el uso adecuado de las herramientas, desarrolladas en el epígrafe anterior, que las
empresas tienen a su disposición, se encuentra el desarrollo de unas buenas prácticas
que permitan garantizar y completar el estado de seguridad de las empresas.
En las pequeñas y microempresas españolas, al igual que en los hogares, son las
buenas prácticas lo que en el caso de una incidencia pueden definir la actitud que deben
tener para solventarla, sin causar un problema grave que pueda tener transcendencia en
su actividad diaria.
Este es el caso de la utilización por parte de las empresas de programas con licencia
original. Su importancia radica en que son los únicos que garantizan un correcto
funcionamiento sin anomalías en los procesos de instalación, haciendo de esta forma
más difícil la entrada en el sistema y/o los equipos de virus o software malintencionado.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 45 de 143
Observatorio de la Seguridad de la Información
Aunque a nivel de España según Business Software Alliance (BSA) 20 el índice de
software sin licencia se sitúa en 42%, en el presente estudio el 85,7% de las entidades
afirma disponer del mismo en formato original y un 7,3% lo desconoce.
Ante este panorama, las entidades deben no sólo recurrir a las soluciones de seguridad
tanto virtuales como físicas comentadas en el epígrafe anterior sino que además deben
realizar copias de seguridad.
Aunque a nivel global, el 94,2% de las empresas llevan a cabo esta práctica, el análisis
por tamaño de empresa refleja que es una práctica más realizada por las pequeñas
entidades (99,1%), que por las microempresas (93,3%).
20
IDC (2008): Sixth Annual Global Software Piracy Study: Spain Press Release. Disponible en:
http://global.bsa.org/globalpiracy2008/pr/pr_spain.pdf
21
INTECO (2009): Estudio sobre medidas de seguridad en plataformas educativas. Disponible en
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Estudio_plataformas_educativa
22
Magerit (2006): Metodología de análisis y gestión de riesgos de los sistemas de información. Ministerio de
Administraciones Públicas, versión 2.0. Disponible en http://www.csi.map.es/csi/pdf/magerit_v2/metodo_v11_final.pdf
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 46 de 143
Observatorio de la Seguridad de la Información
Gráfico 16: Empresas por tamaño que realizan copias de seguridad (%)
80%
70%
60%
50% 99,1%
94,2% 93,3%
40%
30%
20%
10%
0%
Total Menos de 10 De 10 a 49
Sí No No sabe
Una vez confirmado que las empresas realizan esta práctica, el siguiente paso es
conocer la frecuencia con la que se realiza (Gráfico 17). Para el cálculo de los
porcentajes se ha tenido en cuenta el total de entidades que sí realizan copias de
seguridad (n=2.077, un 94,2% del total de empresas analizadas en el estudio).
El 43,2% de las entidades realizan copias de seguridad de manera diaria, mientras que el
3,6% lo realiza una vez cada trimestre. Es interesante comprobar igualmente que el
30,4% efectúa esta práctica una vez a la semana y al menos un 13,8% una vez al mes.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 47 de 143
Observatorio de la Seguridad de la Información
Gráfico 17: Frecuencia con la que las empresas realizan las copias de seguridad (%)
2,2% 1,1%
5,7%
3,6%
13,8%
43,2%
30,4%
Diariamente Una vez a la semana Una vez al més Una vez cada trimestre
Otros No sabe No contesta
En relación con el sistema utilizado para realizar las copias (Tabla 8), entre las empresas
participantes no existe un método único y mayoritario. El 48,4% del total de empresas
que realizan copias de seguridad, las realiza mediante algún sistema automático frente a
un 48% que lo realiza de forma manual. Destaca el comportamiento de las pequeñas
empresas, ya que el 65,8% de las mismas apuestan de manera más clara por el método
automático frente a un 29,8% que confiesa realizarlo manualmente.
En cuanto al soporte empleado para almacenar las copias, se observa que predominan
ampliamente los soportes físicos (CD, DVD, cinta, disco duro externo), con un 77,9%. Un
6,4% utiliza un servidor centralizado de la propia empresa, mientras que un 4,6% emplea
un servidor situado en una ubicación remota, dividiéndose en un servidor externo a la
empresa en un 4,1% y un servidor remoto de la propia empresa en un 0,5%.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 48 de 143
Observatorio de la Seguridad de la Información
Tabla 9: Lugar donde las empresas almacenan las copias de seguridad, según tamaño de la
empresa (%)
Servidor
Servidor de
Soporte externo Servidor No
Empleados la empresa Otros
físico de la remoto contesta
centralizado
empresa
Menos de 10 78,6 6,2 3,7 0,5 2,1 0,9
De 10 a 49 74,2 7,7 6,4 0,9 1,2 2,1
Total Muestra 77,9 6,4 4,1 0,5 2,0 1,1
n=2.077 Fuente: INTECO
Para las empresas es tan importante contar con servidores como dotar de equipamiento
de seguridad a las salas donde éstos se alojan. La medida más implantada son los
sistemas de detección y extinción de incendios: el 40,5% de las empresas afirma
disponer de ellos. Sin embargo, en términos generales, y como se muestra en el Gráfico
18, las entidades no tienen en cuenta el equipamiento de las salas con sistemas de
seguridad.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 49 de 143
Observatorio de la Seguridad de la Información
Gráfico 18: Empresas que disponen de sistemas de seguridad en la sala donde se aloja el
servidor (%)
Sistemas de detección y
40,5% 52,1% 4,6% 2,8%
extinción de incendios
Aire acondicionado
33,4% 61,5% 2,5% 2,6%
independiente
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Si No No sabe No contesta
Otro mecanismo que tienen las empresas para garantizar la seguridad de sus equipos es
estar al día con las actualizaciones de sus programas. La importancia radica en que el no
contar con ellas puede suponer que se produzcan desde fallos (por ejemplo, en la
instalación de programas) hasta un mal funcionamiento del hardware añadido que
necesitan, o finalmente la posibilidad de estar amenazados los sistemas por
vulnerabilidades 23 .
De esta forma, las empresas deben tener conciencia y llevar control de las
actualizaciones de su sistema operativo y de sus soluciones de seguridad para que sus
equipos estén efectivamente protegidos. Así como las amenazas cambian
constantemente, también es preciso actualizar el software de seguridad en una base
periódica para contar con los parches que protegen los equipos de esas nuevas
amenazas.
23
Vulnerabilidad (ámbito de la Seguridad de la Información): debilidad o fallo de diseño, programación o configuración en
sistemas informáticos o de comunicaciones, que podría ser explotado para conseguir un acceso no autorizado, o un mal
funcionamiento. En particular se denominan así los fallos de diseño en programas que pueden ser utilizados por un tercero
para acceder o atacar el equipo de un usuario.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 50 de 143
Observatorio de la Seguridad de la Información
El dato real, basado en el análisis de seguridad de iScan, ofrece una realidad ligeramente
diferente. Es cierto que en la mayor parte de los equipos auditados estaba actualizado el
sistema operativo, pero el porcentaje no es del 88,9% (como afirman los empresarios en
la encuesta) sino de 58,5%.
60%
50%
88,9%
40%
30% 58,5%
20%
10%
0%
Real Declarado
Existe, por tanto, un porcentaje de empresas que cree que tiene sus equipos actualizados
cuando, en realidad, no es así.
Un 53,7% de las empresas tiene una percepción correcta ya que declaran que tienen el
sistema operativo y los programas actualizados y así es. En consecuencia, existe un
grupo de empresas que pueden estar ante un riesgo potencial, esto es, tanto aquellas
que creen que sus equipos están actualizados pero en realidad no lo están (31,1%),
como aquellas que creen que su equipo no está actualizado y realmente no lo está
(3,8%).
Entre aquellas empresas que lo realizan de forma manual, el 39,2% de las empresas
declara actualizar los programas de sus ordenadores al menos una vez al mes (Tabla 11)
y un 18,3% lo hace semanalmente. El 42,1% declara realizar dichas actualizaciones con
una periodicidad menor (trimestral o anual).
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 51 de 143
Observatorio de la Seguridad de la Información
En las pequeñas empresas la frecuencia de actualización más habitual es la de carácter
mensual (41,0%), presentando una clara diferencia si se compara tanto con realizarla
semanalmente (25,6%) o con una actualización menos periódica, es decir trimestral o
anual, (33,3%). En cambio para las microempresas la frecuencia más utilizada es la de
carácter superior al mes (43,9%), seguida por la mensual que es realizada por el 38,8%
de las entidades.
Tabla 11: Frecuencia de actualización de forma manual por parte de las empresas de sus
programas, según tamaño de la empresa (%)
Otros motivos alegados para no realizar actualizaciones son que han tenido malas
experiencias con ellas, ya que provocaron efectos no deseados (11,1%), y un 39,8%
desconoce cómo realizar las actualizaciones.
Por ello, es relevante analizar en qué medida las empresas conocen y cumplen con la
normativa española sobre protección de datos, constituida por la Ley Orgánica de
Protección de Datos (en adelante LOPD) y su Reglamento de Desarrollo (en adelante,
RDLOPD).
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 52 de 143
Observatorio de la Seguridad de la Información
A nivel global, el 60,2% de las empresas reconocen estar afectadas por la normativa de
protección de datos, frente a un 26,1% que piensa que no lo está. Un 13,7% adicional de
las entidades no saben si la normativa les es de aplicación.
Existen diferencias en función del tamaño de las empresas: así, las empresas de 10 a 49
empleados tienen una percepción más acertada de la realidad (el 75,6% se saben sujetas
a la normativa, frente al 17,1% que cree no estarlo y un 7,3% que lo desconoce),
mientras que las microempresas tienden a mostrar menor nivel de conocimiento (57,5%
se considera afectada por la normativa sobre protección de datos, 27,7% no se siente
afectada y un 14,9% no se manifiesta).
Tabla 12: Empresas que se consideran afectadas por la normativa de protección de datos
según el tamaño de la empresa (%)
Empleados Sí No No sabe
Menos de 10 57,5 27,7 14,9
De 10 a 49 75,6 17,1 7,3
Total Muestra 60,2 26,1 13,7
Si se limita el análisis a las empresas que efectivamente tienen ficheros con datos de
carácter personal, el nivel de conocimiento acertado es aún mayor: así, entre las
empresas que disponen de ficheros con datos personales casi un 80% se saben
afectadas por la normativa, tal y como muestra el Gráfico 20.
24
Son datos del Estudio sobre el grado de adaptación de las Pequeñas y Medianas Empresas españolas a la Ley Orgánica
de Protección de Datos (LOPD) y el nuevo Reglamento de Desarrollo (RDLOPD), publicado por INTECO en agosto de
2008. Disponible en:
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/estudio_lopd_pymes
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 53 de 143
Observatorio de la Seguridad de la Información
Gráfico 20: Empresas que disponen de ficheros que incluyen datos de carácter personal
sobre los que se consideran afectados por la LOPD (%)
100%
11,0% 8,3%
90%
80%
70% 33,3%
60%
50% 79,7%
40%
30% 55,7%
20%
10%
12,1%
0%
No dispone de ficheros Si dispone de ficheros
• Deber de información.
25
Op. cit. 1
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 54 de 143
Observatorio de la Seguridad de la Información
Gráfico 21: Evolución anual de empresas que afirman tener declarados los ficheros con
datos de carácter personal en la Agencia de Protección de Datos (%)
52,6%
Sí
37,0%
33,7%
No
47,0%
13,7%
Ns/Nc
16,0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008 2009
Gráfico 22: Empresas por tamaño que disponen de ficheros y han notificado la existencia
de los mismos ante el Registro General de la Agencia Española de Protección de Datos (%)
100%
13,7% 13,7% 13,5%
90%
80%
25,6%
70% 33,7% 35,4%
60%
50%
40%
30% 60,9%
52,6% 50,9%
20%
10%
0%
Total Menos de 10 De 10 a 49
Si No Ns/Nc
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 55 de 143
Observatorio de la Seguridad de la Información
El artículo 6 de la LOPD recoge la obligación de solicitar el consentimiento del afectado
para proceder al tratamiento de los datos. El RDLOPD, en la sección 1ª del Capítulo II,
profundiza en la obligación, estableciendo que el responsable de tratamiento deberá
obtener el consentimiento del interesado para el tratamiento de sus datos de carácter
personal salvo en aquellos supuestos en que el mismo no sea exigible con arreglo a lo
dispuesto en las leyes.
Una vez más, los datos reflejan una evolución positiva comparándolos con los obtenidos
en el estudio de 2008, donde el porcentaje de entidades que cumplían con el deber de
consentimiento del afectado era de tan sólo un 29%.
Gráfico 23: Evolución anual del nivel de cumplimiento de las empresas que disponen de
ficheros del deber de solicitud de consentimiento a los titulares de los datos (%)
80%
25,4%
70%
70,0%
60%
50%
40%
30% 62,3%
20%
29,0%
10%
0%
2008 2009
Si No No sabe No contesta
Por su parte, la sección 2ª del capítulo II del RDLOPD desarrolla el precepto indicando
que el deber de información deberá llevarse a cabo a través de un medio que permita
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 56 de 143
Observatorio de la Seguridad de la Información
acreditar su cumplimiento. Es decir, no es válido si se informa al interesado de forma
verbal sin que quede registrado de algún modo.
El 67,1% de las empresas afirman cumplir el deber de información a los titulares de los
derechos, lo que supone un aumento de 38,1 puntos porcentuales con respecto a la
lectura del año anterior.
Gráfico 24: Evolución anual del nivel de cumplimiento de las empresas con ficheros con
datos de carácter personal del deber de información a los titulares de los datos (%)
80% 22,2%
70%
69,0%
60%
50%
40%
67,1%
30%
20%
29,0%
10%
0%
2008 2009
Si No No sabe No contesta
El diagnóstico, a partir del análisis realizado hasta ahora, es muy positivo: la pequeña y
microempresa española es consciente de estar sujeta a la normativa sobre protección de
datos y cumple de forma mayoritaria la obligación de inscripción de ficheros ante el
registro de la AEPD, la obligación de solicitud de consentimiento y la obligación de
información a los titulares de los derechos. Además, en todos los casos, la evolución
experimentada desde 2008 es muy positiva, confirmando la efectividad de las actividades
de concienciación y formación puestas en marcha hasta la fecha.
Del total de empresas con más de 10 empleados sólo el 15,8% revisó el cumplimiento de
la normativa sobre protección de datos en las auditorías de seguridad realizadas. El dato
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 57 de 143
Observatorio de la Seguridad de la Información
está en línea con el cumplimiento a nivel internacional, donde un 13,5% lleva a cabo esta
práctica según datos del GSISS 26 (en este caso, se trata de empresas de entre 1 y 100
trabajadores).
A pesar del moderado nivel de realización de este tipo de auditorías en España en 2009,
la evolución marca una tendencia positiva: en 2008, sólo un 6% de las pequeñas
empresas españolas afirmaba llevar a cabo estas revisiones 27 .
70%
60%
50%
40%
30%
20% 15,8%
12,8% 13,5%
10% 6,0%
0%
España Internacional
2008 2009
2008 (España n=250, Internacional n=161), 2009 (España n=329., Internacional n=197)
Fuente: INTECO (2008-2009) y GSISS-PwC (2008-2009)
Además, existe una predisposición positiva por parte de las empresas para llevar a cabo
el cumplimiento de la legislación vigente: el 68,9% de las pequeñas y microempresas
españolas participantes en el estudio valoran como necesario o muy necesario recibir
asesoramiento para garantizar la adopción. Un 10,1% desconoce si esta asesoría sería
de valor. El resto, el 21% de las entidades, lo considera poco necesario (Gráfico 15).
A partir de estos datos, es necesario que las administraciones sigan realizando esfuerzos
para concienciar y facilitar pautas de ayuda al colectivo empresarial. En este sentido, se
enumeran a continuación algunas iniciativas destacadas:
26
Op. cit. 13
27
Op. cit. 13
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 58 de 143
Observatorio de la Seguridad de la Información
• La Guía para empresas: cómo adaptarse a la normativa sobre protección de
datos 28 , elaborada por INTECO y publicada en febrero de 2009, ofrece pautas
básicas para la implementación de la normativa, estableciendo el marco general
definido en la LOPD y RDLOPD y detallando las disposiciones y obligaciones que
afectan a las empresas.
La mejor forma que las empresas tienen para garantizar la implantación de dichos planes
y políticas es la utilización de un Sistema de Gestión de la Seguridad de Información
(SGSI). Construido sobre los principios de la norma ISO 27001, a través del SGSI las
entidades conocen los riesgos a los que está sometida su información y los gestionan
mediante una sistemática definida, documentada y conocida por todos los integrantes de
la organización, que se revisa y mejora constantemente.
28
INTECO (2009): Guía para empresas: cómo adaptarse a la normativa sobre protección de datos. Disponible en:
http://www.inteco.es/Seguridad/Observatorio/manuales_es/GuiaManual_LOPD_pymes
29
Agencia Española de Protección de Datos (2008): Guía de protección de datos para el responsable de ficheros.
Disponible en:
https://www.agpd.es/portalweb/canaldocumentacion/publicaciones/common/pdfs/guia_responsable_ficheros.pdf
30
Agencia Española de Protección de Datos (2008): Guía de seguridad de datos. Disponible en:
https://www.agpd.es/portalweb/canaldocumentacion/publicaciones/common/pdfs/guia_seguridad_datos_2008.pdf
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 59 de 143
Observatorio de la Seguridad de la Información
Gráfico 26: Disposición de una estrategia para el aumento del nivel de seguridad (%)
11,9%
1,5%
53,8%
15,2% 11,6%
2,1%
19,1%
Gráfico 27: Comparativa internacional sobre la existencia de una estrategia para el aumento
del nivel de seguridad de la información y planteamientos futuros (%)
100% 0,0%
11,9%
90%
80% 36,1%
70%
60% 53,8%
23,5%
50%
40%
30%
19,1%
20% 40,4%
10%
15,2%
0%
España Internacional
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 60 de 143
Observatorio de la Seguridad de la Información
Según un reciente estudio elaborado por McAfee 31 , las empresas tienden a externalizar
cada vez más las funciones TIC. El 19,2% de las organizaciones que consideran resuelta
su seguridad así lo hacen. Esto puede provocar una falsa sensación de seguridad como
consecuencia de pensar que los aspectos desarrollados y controlados en las políticas ya
están implementados en las empresas encargadas de gestionar su seguridad.
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Si, pero no dispongo del procedimiento por escrito Si, y lo tengo por escrito No No sabe No contesta
31
McAfee (2008): Does size matter? The security challenge of the SMB. Santa Clara, Estados Unidos. Disponible en
http://www.mcafee.com/us/local_content/reports/does_size_matter_en_v2.pdf
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 61 de 143
Observatorio de la Seguridad de la Información
Gráfico 29: Evolución anual del tipo de controles de seguridad (%)
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2008 2009
32
Estos porcentajes se deben tomar con precaución ya que las empresas analizadas en el ámbito internacional son de 1 a
100 trabajadores (con una muestra de 2.217 entidades), mientras que en España son analizadas las empresas de 10 a 49
empleados (con una muestra de 329 entidades).
33
Op. cit. 13
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 62 de 143
Observatorio de la Seguridad de la Información
Gráfico 30: Comparativa internacional de la existencia de planes y políticas de seguridad en
las empresas (%)
70%
60%
50%
39,2% 38,5%
40%
30% 24,6%
20% 17,6%
11,9%
10%
0%
Plan de concienciación Plan de continuidad de negocio Política de uso de correo
electrónico
España Internacional
La prioridad en los asuntos abordados por el plan de continuidad es, como se puede
observar en el Gráfico 31, la identificación y priorización de procesos de negocio críticos
con un 80,1%, la definición de tiempos de recuperación frente a incidencias (65,2%) y las
estrategias de comunicación del plan (58,2%).
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 63 de 143
Observatorio de la Seguridad de la Información
Gráfico 31: Distribución de los contenidos del plan de continuidad de las empresas (%)
Identificación y
priorización de procesos 80,1%
de negocio críticos
Definición de tiempos de
recuperación frente a 65,2%
incidencias
Estrategias de
comunicación del plan 58,2%
interna/externa
Finalmente, las empresas que han puesto en marcha planes, procedimientos y/o políticas
de seguridad, pueden comprobar de forma completa el estado de evolución y el grado de
consecución de todo ello, utilizando como mecanismo la auditoría de seguridad, donde
además pueden evaluar y establecer las acciones de mejora a efectuar.
En el estudio, el 22,8% de las entidades con más de diez empleados afirma que ha
realizado alguna vez una auditoría de seguridad (n=75). En las auditorías se revisaron
diferentes aspectos, entre los que se destacan los siguientes:
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 64 de 143
Observatorio de la Seguridad de la Información
Gráfico 32: Aspectos revisados en las auditorías de seguridad de las empresas de más de
diez empleados (%)
Otros 22,7%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100
%
Gráfico 33: Cambios efectuados por las empresas tras la realización de las auditorías de
seguridad (%)
Adquirido nuevas
32,0%
soluciones de seguridad
Ninguna 18,7%
Otros 14,7%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 65 de 143
Observatorio de la Seguridad de la Información
4 INCIDENCIAS DE SEGURIDAD: PERCEPCIÓN DE
LAS PEQUEÑAS Y MICROEMPRESAS Y SITUACIÓN
REAL DE SUS EQUIPOS
34
Se presenta más información detallada de iScan en el capítulo 2.2.2 Fase 2: Auditoría de seguridad.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 66 de 143
Observatorio de la Seguridad de la Información
Los incidentes que con mayor frecuencia tienen lugar son la recepción de correo
electrónico no deseado (spam), referido por un 63,2% de las entidades encuestadas, los
virus (49,2%), los fallos técnicos (22,8%) y los troyanos (21,7%).
Incidencias menos frecuentes son, en opinión de las empresas, los fraudes telemáticos
(4,7%), la pérdida o robo de datos o información (4,6%) y los ataques distribuidos de
denegación de servicio (DDoS) 35 , ocurridas al 1,5% de las entidades.
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Si No No Sabe
35
Se entiende como denegación de servicio, en términos de seguridad informática, a un conjunto de técnicas que tienen
por objetivo dejar un servidor inoperativo. El ataque consiste en saturar con peticiones de servicio al servidor, hasta que
éste no puede atenderlas, provocando su colapso. Un método mas sofisticado es el Ataque de Denegación de Servicio
Distribuido (DDoS), mediante el cual las peticiones son enviadas de forma coordinada entre varios equipos, que pueden
estar siendo utilizados para este fin sin el conocimiento de sus legítimos dueños. Esto puede ser así mediante el uso de
programas malware que permitan la toma de control del equipo de forma remota, como puede ser en los casos de ciertos
tipos de gusano o bien porque el atacante se ha encargado de entrar directamente en el equipo de la victima.
36
Este dato refleja la tendencia al abandono del desarrollo de virus a favor de troyanos, motivada porque estos últimos
suelen suministrar a sus creadores algún tipo de beneficio económico, en consecuencia se invierte más tiempo y esfuerzo
en programarlos y diseminar estos especímenes. Téngase en cuenta, en el caso de los virus, que la eficacia de iScan en
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 67 de 143
Observatorio de la Seguridad de la Información
cambio, si se amplía el término virus a cualquier manifestación de malware, en
este caso sí se aprecia sintonía entre la percepción del usuario y la situación real
de los equipos, ya que un 48,4% de los ordenadores auditados presentan alguna
manifestación de malware.
Tabla 13: Nivel de incidentes de seguridad en las empresas: datos declarados vs. datos
reales (%)
Este apartado está construido íntegramente a partir de los datos reales obtenidos del
escaneo de los equipos de las entidades gracias a la herramienta iScan desarrollada por
INTECO.
Los análisis en línea ofrecen, entre otros datos, información relativa al nivel de infección
del equipo auditado, así como a la tipología de código malicioso presente en el mismo.
su detección no es total, tal y como se explica en el Apunte metodológico del apartado 2.2.2. Dado que iScan sólo puede
detectar malware conocido, y que los virus (al igual que los gusanos) generan ficheros con nuevas huellas digitales que,
por tanto, no están presentes en las bases de datos de malware conocido, es posible que haya muestras de virus que no
están siendo detectadas.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 68 de 143
Observatorio de la Seguridad de la Información
• Troyano o caballo de Troya: es una pieza de software dañino disfrazado de
software legítimo que no es capaz de replicarse por sí mismo, que puede estar
adjuntado con cualquier tipo de software por un programador y contaminar a los
equipos por medio del engaño. Aunque no producen efectos realmente visibles o
apreciables en el momento de llegar al equipo, presentan un nivel de peligrosidad
alta. Dentro de los troyanos, a su vez, existen diferentes tipos, en función de los
efectos sobre el sistema entre los que caben destacar:
• Virus: son programas informáticos que necesitan alojarse en otro archivo y que
pueden infectar a otros ficheros/programas mediante la modificación del mismo,
con el propósito de incluir réplicas de sí mismo en el elemento infectado.
Erróneamente se engloba bajo este nombre a todo el software malicioso.
• Gusano o worm: programas con capacidad para propagarse a otras partes del
equipo afectado, a dispositivos extraíbles o a otros equipos. Dependiendo de su
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 69 de 143
Observatorio de la Seguridad de la Información
código, podría realizar distintas acciones dañinas en los sistemas. A diferencia de
los virus, los gusanos no necesitan otro archivo para replicarse. Pueden modificar
el sistema operativo con el fin de auto ejecutarse como parte del proceso de
inicialización del sistema. Para contaminar otros sistemas, explotan
vulnerabilidades del objetivo o utilizan algún tipo de ingeniería social para engañar
a los usuarios y poderse ejecutar.
• Jokes o bromas: alteran el normal funcionamiento del equipo con acciones que
molestan o distraen al usuario, si bien no causan daño alguno al sistema.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 70 de 143
Observatorio de la Seguridad de la Información
sistema afectado, o llevar a cabo otras acciones ilegales (cracking de
contraseñas, escáner de puertos, escalado de privilegios, etc.). La peligrosidad o
no de la herramienta dependerá de si ha sido instalada con el consentimiento del
usuario y se conoce su funcionalidad. Por ejemplo, una herramienta de
administración remota puede utilizarse para el mantenimiento del equipo o
conexión desde otro ordenador, pero también podría ser instalada por un atacante
para acceder sin el consentimiento del usuario, espiar, extraer información
sensible, etc.
Tal y como se adelantaba en la Tabla 13, en la fecha de realización del estudio, el 48,4%
de los equipos de las pequeñas y microempresas españolas están comprometidos, al
alojar al menos un archivo de código malicioso (Gráfico 35). Ello supone un incremento
en el nivel de infección de 8,4 puntos porcentuales desde el 2008.
El dato, además, confirma que las empresas no son ajenas a la proliferación de malware
que sufren también los equipos domésticos 37 , si bien es cierto que la presencia de código
malicioso en los hogares españoles supera al detectado en las empresas (en febrero de
2009, el 63,8% de los 6.347 equipos domésticos auditados en línea contenían alguna
manifestación de malware).
En el entorno actual, parece que los cibercriminales invierten sus recursos en ampliar su
parque de víctimas, con independencia de que el destinatario sea un hogar o una
empresa.
Es lógico que las empresas, dada la información potencialmente sensible y crítica para el
negocio que pueden almacenar, realicen los esfuerzos de protección necesarios para
evitar infectarse.
37
INTECO (2009): Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles. Disponible en
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Informe_1T_2009
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 71 de 143
Observatorio de la Seguridad de la Información
Gráfico 35: Evolución anual del nivel de incidencias en los equipos de las empresas tras
realizar la auditoría de seguridad (%)
100%
90%
80%
51,6%
70% 60,0%
60%
50%
40%
30%
48,4%
20% 40,0%
10%
0%
2008 2009
Alojan malware No alojan malware
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 72 de 143
Observatorio de la Seguridad de la Información
Gráfico 36: Percepción de las empresas acerca de la existencia de código malicioso en sus
equipos (%)
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Usuario cree infectado - Equipo infectado Usuario cree limpio - Equipo infectado
Usuario cree limpio - Equipo limpio Usuario cree infectado - Equipo limpio
Usuario desconoce estado - Equipo infectado Usuario desconoce estado - Equipo limpio
Los tipos de malware con mayor incidencia en los ordenadores auditados son los
troyanos (27,8%), el software publicitario no deseado (23,2%) y las herramientas (19,6%).
Este orden, troyanos en primer lugar, seguido de software publicitario no deseado
(adware) y herramientas, replica la tendencia que se repite mes tras mes al analizar en
remoto los más de 6.000 equipos integrantes del panel de hogares de INTECO 38 .
38
Op. cit. 37
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 73 de 143
Observatorio de la Seguridad de la Información
Gráfico 37: Equipos de las empresas que alojan malware según tipología de código
malicioso (%)
100%
90%
80%
70%
60%
50%
40%
27,8%
30% 23,2%
19,6%
20%
10% 5,3%
2,7% 2,4% 1,4% 0,0%
0%
Troyano Software Herramientas Archivos Gusanos Programas Virus Otros
publicitario no detectados espías
deseado heurísticamente
El número medio de archivos maliciosos por equipo (Tabla 14) asciende a 4,6, con
especial peso de las herramientas (1,6 archivos por ordenador infectado) y troyanos (1,4).
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 74 de 143
Observatorio de la Seguridad de la Información
Los datos se recogen en la Tabla 15. En las 622 auditorías de seguridad aplicadas sobre
otros tantos equipos, se han identificado 1.381 archivos maliciosos con 963 variantes
únicas (es decir, códigos diferentes de malware).
Los datos confirman el alto nivel de diversificación del código malicioso: de todos los
archivos detectados en el escaneo, cada variante única detectada se avistaría sólo
(hipotéticamente) en 1,4 archivos.
Tabla 15: Número total de archivos maliciosos, variantes únicas de malware e índice de
repetición
Fuente: INTECO
Del total de variantes únicas detectadas, la mayor parte corresponde a troyanos (35,1%)
y herramientas (32,6%) y algo más de una cuarta parte son manifestaciones de software
publicitario no deseado (26,9%). Es decir: los troyanos, no sólo son el tipo de malware
que en mayor medida está presente en los equipos escaneados, sino que además
representan la categoría que más variantes únicas acumula, lo que dificulta su detección.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 75 de 143
Observatorio de la Seguridad de la Información
Gráfico 38: Distribución de las categorías de código malicioso (%)
1,8% 2,9%
0,7%
35,1%
32,6%
26,9%
Troyano Software publicitario no deseado
Herramientas Programas espías
Gusanos Otros
De las variantes únicas detectadas, más de dos terceras partes aparecen en un solo
equipo: se trata de detecciones únicas de las variantes únicas.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 76 de 143
Observatorio de la Seguridad de la Información
Gráfico 39: Número de detecciones de cada variante única de malware
1000
900
800
678
700
600
500
400
300
231
200
100 36
7 5 2
0
1 detección 2 detecciones 3 detecciones 4 detecciones 5 detecciones 6 detecciones
El malware encontrado con mayor frecuencia en los equipos de las empresas españolas
participantes en el estudio se relaciona en la Tabla 16, según la clasificación de su
metanombre 39 . Las dos detecciones más frecuentes, Generic y Agent, tienen
denominaciones genéricas, fruto de la aplicación de métodos heurísticos.
39
Se entiende por metanombre el identificador semántico de una familia, por ejemplo Win32.Bagle.AE tendrá como
metanombre Bagle. Las detecciones heurísticas se excluyen de la clasificación, puesto que muchas variantes realmente
diferentes pueden ser catalogadas por heurística con el mismo nombre.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 77 de 143
Observatorio de la Seguridad de la Información
Tabla 16: TOP-5 de tipo de malware encontrado según metanombre por número de equipos
que lo alojan
Fuente: INTECO
Partiendo del número de variantes únicas detectadas se han definido cuatro categorías
de riesgo que permiten establecer un nivel de peligrosidad para los equipos de las
empresas participantes. Para su construcción se ha utilizado el siguiente criterio:
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 78 de 143
Observatorio de la Seguridad de la Información
• Riesgo bajo: aquí se engloban las manifestaciones que menor nivel de afección
tienen sobre los equipos. Se trata de útiles empleados para hacking (por ejemplo,
escaneo de puertos, modificadores de direcciones ethernet 40 , etc.). En la mayoría
de los casos son herramientas instaladas por el usuario de forma intencionada,
para listar y matar procesos, o conectarse remotamente a sus equipos, etc. Por
otra parte, también se consideran especímenes de riesgo bajo los típicos
programas broma (por ejemplo, aquellos que despliegan una ventana que se va
moviendo y resulta imposible cerrarla con el ratón) y los virus exclusivos para
plataformas móviles pues estos no son capaces de ejecutarse sobre los equipos
de los usuarios.
A los efectos del estudio, se consideran como malware de bajo nivel de riesgo las
herramientas 41 , las bromas y malware alojado en los ordenadores pero orientado
a otros dispositivos (móviles, PDA’s).
Esta es una clasificación genérica y, por tanto, sujeta a un margen de error 42 y con un
sesgo procedente no sólo por la generalización a categorías en base a los criterios
descritos, sino también por el propio equipamiento de los equipos de las empresas. Por
ejemplo, un marcador telefónico (dialer) será en realidad de riesgo nulo para un equipo
que no posee un modem no convencional para red telefónica básica ya que por regla
general los routers ADSL no tienen la posibilidad de hacer llamadas; sin embargo, en la
clasificación antes explicada, se está considerando a los dialers como de riesgo alto,
debido a su potencial impacto económico sobre la víctima.
Partiendo de esta categorización del riesgo, y según los datos procedentes del escaneo
de los equipos, el 31,4% de los equipos analizados aloja código malicioso considerado de
peligrosidad alta. El 11,9% contiene malware que implica un nivel de riesgo medio, y un
5,1% tiene código con riesgo bajo. El 51,6% restante son ordenadores no infectados y
por tanto sin riesgo.
40
Entiéndase por dirección Ethernet, aquella dirección que identifica a nuestro dispositivo de red en una red local.
41
El malware del tipo “herramienta” puede tener un riesgo variable dependiendo de si ha sido instalada conscientemente
por el usuario legítimo del equipo o por un tercero sin su conocimiento. Por ello, cuando se calcule el indicador
correspondiente se aplicará por defecto el nivel de riesgo bajo, aunque en algunas circunstancias un malware catalogado
como herramienta pueda ser de riesgo alto.
42
La determinación del riesgo de las muestras mediante análisis manual de las 963 variantes, si bien más rigurosa, sería
en exceso lenta y costosa. Considerando que las propiedades de las distintas categorías del malware estudiado siguen una
distribución gaussiana, la desviación global de la adopción de un enfoque genérico es despreciable en términos
estadísticos.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 79 de 143
Observatorio de la Seguridad de la Información
Gráfico 40: Distribución de los equipos en función del nivel de riesgo (%)
31,4%
51,6%
11,9%
5,1%
Esta clasificación es lógica, dada la alta presencia de troyanos, que son considerados en
su totalidad como malware de riesgo alto, entre los equipos. El análisis se efectúa sobre
los equipos, y no sobre el código malicioso en sí mismo. Es decir, un equipo infectado
con un archivo de riesgo alto y uno de riesgo medio o bajo, estará siempre incluido en el
grupo de riesgo alto.
En definitiva, los ordenadores analizados presentan patrones multi-infección con una gran
incidencia de troyanos. Esto hace que el valor de riesgo alto prepondere sobre los
demás, lo cual no quiere decir que las amenazas de riesgos medios y bajos no estén tan
extendidas, recuérdese, por ejemplo, que las herramientas, que son la tercera categoría
más detectada en los equipos, son catalogadas como malware de riesgo bajo.
En relación con el tipo de sistema operativo, actualmente existe una desigual penetración
del código malicioso en los sistemas operativos, con mayor presencia de malware en los
equipos Windows que en los ordenadores con otro sistema operativo. Ello es, en parte,
debido a que Windows es la plataforma con mayor número de usuarios. Es decir, el
hecho de que Linux y Mac presenten niveles de infección muy inferiores a los de
Windows no significa que sean absolutamente invulnerables. Simplemente, los
ciberdelincuentes, a la hora de desarrollar código malicioso, lo hacen para que sea
soportado por la plataforma más extendida en el mercado.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 80 de 143
Observatorio de la Seguridad de la Información
¿Qué ocurre con programas antivirus? ¿Disponer de antivirus garantiza la ausencia de
malware en los equipos? El Gráfico 41 muestra el análisis comparativo del nivel de riesgo
de los equipos en función de la existencia o no de antivirus. Se pueden extraer dos
conclusiones:
Gráfico 41: Nivel de riesgo de los equipos de las empresas según el uso de antivirus (%)
100%
90%
31,9%
80%
46,3%
70%
60% 12,9%
5,3%
50% 7,3%
7,3%
40%
30%
49,9%
20% 39,0%
10%
0%
Usa antivirus No usa antivirus
Los programas antivirus, que son totalmente necesarios, por sí solos no pueden prevenir
todas las infecciones, ya que la intensa producción de malware impide en algunos casos
a los laboratorios de antivirus identificar unívocamente todas las amenazas.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 81 de 143
Observatorio de la Seguridad de la Información
5 SEGURIDAD DE LAS COMUNICACIONES MÓVILES
E INALÁMBRICAS EN LAS PEQUEÑAS Y
MICROEMPRESAS
Los dispositivos móviles han pasado de ser simples terminales para la transmisión de
voz, a complejos dispositivos o smartphones que ejecutan aplicaciones, disponen de un
sistema operativo, transmiten datos y/o correos electrónicos y son capaces de almacenar
información. Algunos ejemplos de éstos en sus diferentes plataformas tecnológicas son:
Windows Mobile, BlackBerry, Symbian, Palm, Android o el propio iPhone.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 82 de 143
Observatorio de la Seguridad de la Información
Gráfico 42: Dispositivos móviles avanzados existentes en las empresas (PDA, Blackberry,
móviles con acceso a Internet (3G)) (%)
27,3%
66,5% 33,5%
5,2%
1,0%
No tiene teléfono móvil avanzado (PDA, Blackberry, móviles con acceso a Internet (3G))
Tiene teléfono móvil avanzado con Bluetooth o Wi-Fi
Tiene teléfono móvil avanzado pero no dispone de Bluetooth o Wi-Fi
Tiene teléfono móvil avanzado y no sabe si dispone de Bluetooth y/o Wi-Fi
Entre las entidades que disponen de un terminal con bluetooth o Wi-Fi, el hábito de uso
más frecuente es conectar el bluetooth sólo cuando se va a utilizar (37,8%). Otras
empresas afirman que lo mantienen siempre encendido y visible (30,1%), y un 13,6%
que, aun teniéndolo encendido, lo mantienen oculto (Gráfico 43).
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 83 de 143
Observatorio de la Seguridad de la Información
Gráfico 43: Hábitos de uso del bluetooth en los dispositivos móviles avanzados de las
empresas (%)
Lo enciendo cuando lo
37,8%
necesito y luego lo apago
Lo tengo siempre
30,1%
encendido
Lo tengo siempre
encendido pero con el 13,6%
dispositivo oculto
No lo utilizo y tengo el
10,8%
Bluetooth apagado
No lo utilizo y desconozco
si el Bluetooth está 7,7%
encendido o apagado
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
La medida de seguridad más adoptada por las empresas para estos dispositivos es la
utilización de un PIN o código de seguridad de cuatro dígitos como paso previo necesario
para poder encenderlo (91,2%), seguido de la contraseña para desbloquearlo tras un
periodo de inactividad (42%). La copia de seguridad de los contactos u otra información
almacenada en el dispositivo es una medida empleada por el 40% de las empresas que
disponen de móviles avanzados.
En definitiva, el empleo de alguna de las medidas es casi absoluto: sólo un 3,9% de las
entidades afirman no utilizar ninguna o no lo considera necesario.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 84 de 143
Observatorio de la Seguridad de la Información
Gráfico 44: Medidas de seguridad utilizadas/instaladas en los dispositivos móviles
avanzados de las empresas (%)
100%
91,2%
90%
80%
70%
60%
50%
42,0% 40,0%
40%
30%
20%
11,5%
10% 3,9%
0%
PIN Contraseña para Copia de seguridad Programas No lo utiliza, no lo
desbloquear antivirus considera
necesario
Finalmente, del total de empresas que cuentan con dispositivos móviles avanzados sólo
un 7% afirman haber sufrido algún tipo de incidente. De ellos, la mayoría tienen su origen
en su robo o pérdida (46,5% y 55,8%, respectivamente). Asimismo, un 17,3% de las
empresas señala que ha tenido problemas de seguridad por virus o malware y un 5,8%
ha sufrido algún tipo de fraude a través del teléfono móvil.
43
INTECO (2009): Guía para proteger la red inalámbrica Wi-Fi de su empresa. Disponible en
http://www.inteco.es/Seguridad/Observatorio/manuales_es/GuiaManual_wifi_pymes
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 85 de 143
Observatorio de la Seguridad de la Información
sistemas más comunes para asegurar el acceso a la red son el protocolo WEP
(Wired Equivalent Privacy) 44 y el protocolo WPA (Wi-Fi Protected Access) 45 .
• La ocultación del punto de red, que realiza el 19% de las entidades. Con esta
acción se consigue que no se difunda el nombre de la red. De esta manera, si
alguien quiere conectarse a ella, sólo podrá hacerlo si conoce el SSID (Service
Set IDentifier) o código (que está incluido en todos los paquetes de una red
inalámbrica para identificarlos como parte de esa red).
• Otras medidas son llevadas a cabo por el 0,7% de las entidades. Entre ellas
figuran las siguientes: cambiar la dirección IP para la red local del router,
autenticar a las personas que se conectan a la red o apagar el router o punto de
acceso cuando no se utilice la red inalámbrica.
Gráfico 45: Medidas de seguridad que disponen las redes inalámbricas de las empresas (%)
Filtrado de direcciones
14,9%
MAC
Otros 0,7%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
44
Fue el primer sistema de cifrado asociado al protocolo 802.11. Utiliza una clave simétrica. Se considera como el menos
seguro de todos por su facilidad para romperlo, siempre y cuando la persona que quiera hacerlo tenga los conocimientos
informáticos adecuados.
45
Este protocolo fue diseñado inicialmente como protocolo de autenticación para paliar las deficiencias del cifrado WEP.
Aunque su longitud de clave es menor que la de WEP, su método de cifrado es más robusto.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 86 de 143
Observatorio de la Seguridad de la Información
De las empresas que disponen de red inalámbrica, el 4,4% tiene constancia de haber
sufrido el robo de ancho de banda (ver Tabla 17), frente a un 89,7% que no lo ha sufrido.
Tabla 17: Constancia de haber sufrido robo de Wi-Fi, según tamaño de la empresa (%)
Sólo un 2,6% de las entidades afirma acceder a Internet mediante alguna red que detecta
desde la empresa. El principal riesgo de dicha práctica es la conexión a redes sin
autenticar o cifradas. En el caso de redes sin autenticar, el riesgo viene dado por la
imposibilidad de conocer el origen físico de una potencial acción fraudulenta de Internet;
mientras que en el caso de conectarse a redes cifradas, el riesgo de dicha práctica radica
en que la información que las empresas intercambian con el exterior pudiese quedar al
descubierto y, por tanto, al acceso libre de los ciberdelincuentes.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 87 de 143
Observatorio de la Seguridad de la Información
6 CONSECUENCIAS, REACCIONES Y RESPUESTAS
ANTE LAS INCIDENCIAS DE SEGURIDAD EN LAS
PEQUEÑAS Y MICROEMPRESAS
En opinión de las empresas que han declarado haber sufrido algún incidente de
seguridad, la mayor consecuencia a la que se enfrentan es la pérdida de tiempo de
trabajo (un 54,9%).
Otros 2,5%
No sabe 17,1%
Un análisis comparativo permite contrastar la realidad española con los datos a nivel
internacional. Es interesante comprobar cómo cada una de las consecuencias son
percibidas en mayor medida en el ámbito internacional que en la empresa española.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 88 de 143
Observatorio de la Seguridad de la Información
Gráfico 47: Comparativa internacional de empresas según las consecuencias que se
derivaron de los incidentes de seguridad sufridos (%)
65,5%
Problemas de conexión/redes
26,1%
52,9%
Pérdida de archivos y datos
20,1%
32,6%
Daños en mi equipo (hardware)
14,2%
22,7%
Daños en la imagen/reputación de su negocio
2,0%
11,9%
Multas o sanciones
1,1%
19,6%
Fraude con perjuicio económico
1,0%
España Internacional
En línea con lo que reflejaba el Gráfico 46, las empresas consideran que el tiempo
perdido es el efecto más relevante de cara al negocio. Así, cerca de un 70% de las
empresas consultadas considera que las incidencias de seguridad han tenido algún tipo
de impacto (alto, medio o bajo) en términos del tiempo empleado.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 89 de 143
Observatorio de la Seguridad de la Información
Gráfico 48: Nivel de impacto sufrido por las empresas en relación a diferentes puntos de
vista (%)
Punto de vista de la
73,8% 18,9% 5,3%2,0%
imagen de la empresa
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Los datos analizados hasta ahora permiten concluir que la empresa no está asociando la
incidencia de seguridad sufrida a posibles pérdidas económicas o efectos negativos
sobre la imagen empresarial. La única consecuencia valorada en cierto modo es el
impacto en tiempo. Sorprende la diferencia de consideración entre el impacto económico
y el impacto temporal ya que, en definitiva, una pérdida de tiempo comporta una pérdida
monetaria cuantificable.
El análisis internacional ofrece una realidad diferente a la española, tal y como muestra el
Gráfico 49. Las empresas de menos de 100 empleados, a nivel internacional, consideran
en mayor medida la repercusión económica derivada de la incidencia que la mera pérdida
de tiempo. Así, frente a un 69% de empresas españolas que afirman que no existe
ningún tipo de impacto monetario sobre el negocio, sólo un 7,6% de las organizaciones a
nivel internacional mantienen esta afirmación.
Se señalan aquí dos cuestiones de tipo metodológico que deben ser tenidas en cuenta a
la hora de interpretar los resultados:
• En España las empresas encuestadas describían como nulo, bajo, medio o alto el
impacto económico experimentado, sin asociar un importe objetivo a cada una de
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 90 de 143
Observatorio de la Seguridad de la Información
las cuatro opciones de respuesta. A nivel internacional, en cambio, se estimó
como impacto bajo cuando el perjuicio económico era inferior a diez mil dólares,
medio cuando el perjuicio estaba entre diez mil uno y novecientos noventa y
nueve mil novecientos noventa y nueve dólares, e impacto alto para cualquier
valor superior a un millón de dólares.
Gráfico 49: Comparativa internacional según el nivel de impacto sufrido por las empresas
como consecuencia de un incidente de seguridad (%)
Bajo 43,8%
33,5%
Medio 13,9%
24,6%
Alto 2,7%
10,1%
Términos económicos
Bajo 62,1%
22,5%
Medio 27,6%
6,8%
Alto 2,8%
1,7%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
España Internacional
También existe un 30,9% de las empresas que no realiza ningún cambio en sus hábitos
de seguridad después de experimentar una incidencia.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 91 de 143
Observatorio de la Seguridad de la Información
Gráfico 50: Cambios de hábitos en las empresas debido a un incidente de seguridad (%)
Otros 4,0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Así, se aprecia un mayor nivel de respuesta en las incidencias más graves. De cara a
poder extraer conclusiones del presente gráfico el lector debe tener en consideración que
las bases tomadas para cada uno de los incidentes de seguridad declarados por las
empresas es reducida.
Por ejemplo, en el caso de las empresas que han experimentado un DDoS (n=32) un
62,5% instalaron herramientas de seguridad (frente a un 42,9% a nivel global) y un
porcentaje inferior al 10% se mantuvo inactiva (frente a un 30,9% de las empresas que, a
nivel global, afirmaron no llevar a cabo ningún cambio en sus hábitos).
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 92 de 143
Observatorio de la Seguridad de la Información
Gráfico 51: Método empleado por las empresas para resolver incidentes en relación con el
tipo de incidente sufrido (%)
80%
70% 62,5%
60%
49,1% 48,6% 50,5%
50% 43,6% 43,8% 43,1% 45,1%
40%
30%
20% 15,6%
7,5% 9,7%
10% 5,6% 5,7% 5,4% 5,6% 5,9%
0%
Virus Spam SW espia Troyanos Fallos Robo datos Fraude DDoS (n=32)
(n=1085) (n=1394) (n=334) (n=479) técnicos (n=102) (n=103)
(n=502)
He instalado o actualizado un programa o herramienta de seguridad
Ningún cambio en mis hábitos por los problemas de seguridad
He comenzado a realizar copias de seguridad de los archivos
He cambiado mis contraseñas
He consultado con un experto y contratado una auditoria
He dejado de usar servicios de Internet
Fuente: INTECO
Para concluir este capítulo, se analiza el método que las empresas utilizan para resolver
los incidentes de seguridad.
El 29,1% reconoce que las incidencias se resuelven gracias a la intervención del personal
propio de las empresas, mientras que un 65,7% de los casos recurren a servicios
especializados externos, ya sea un experto en seguridad (25,5%), un servicio técnico
(23,3%) o el proveedor local de sistemas informáticos (16,9%).
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 93 de 143
Observatorio de la Seguridad de la Información
Gráfico 52: Método empleado por las empresas para resolver incidentes (%)
Otros 1,2%
Gráfico 53: Método empleado por las empresas para resolver incidentes en relación con el
tipo de incidente declarado (%)
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Fuente: INTECO
46
Sirva como aclaración que para la realización del Gráfico 61 se han tenido en cuenta sólo las respuestas efectuadas que
tienen relación con el uso de personal externo/interno (1.661), excluyéndose las contestaciones: no se hace nada (5), otros
(20) y no contesta (22). Así se han recalculado los porcentajes sobre las entidades que emplearon métodos llevados a
cabo por personal tanto de la propia empresa como ajeno a ella.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 94 de 143
Observatorio de la Seguridad de la Información
7 E-CONFIANZA DE LAS PEQUEÑAS Y
MICROEMPRESAS
• En segundo lugar se mide, entre las empresas que afirman utilizar cada uno de
los servicios, el nivel declarado de confianza que dicho servicio les ofrece.
• Por último, las empresas que afirman no confiar en los servicios analizados
identifican los motivos que justifican su desconfianza, que se traducen en frenos y
barreras a su adopción.
Los servicios de compra y venta a través de Internet son también empleados de forma
considerable por las pequeñas y microempresas (un 41% y un 40,6% respectivamente),
al igual que de los servicios de pago por Internet (como PayPal, Google Checkout,
Amazon Payments o similares), utilizados por un 41,5%.
Por último se sitúa la factura electrónica que, con una tasa de utilización del 8% a nivel
global, es el recurso con menor presencia entre las empresas participantes en el estudio.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 95 de 143
Observatorio de la Seguridad de la Información
Gráfico 54: Utilización de servicios electrónicos a través de Internet por parte de las
empresas (%)
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Si No
Los resultados son muy positivos: en cinco de los ocho servicios analizados el nivel de
uso por parte de las empresas españolas de entre 10 y 49 empleados supera al dato
europeo. Se trata, en concreto, del uso de banca electrónica, la realización de gestiones
con las Administraciones Públicas, la utilización de la firma electrónica, la realización de
compras y, por último, las ventas en línea. Estas situaciones son adoptadas en mayor
medida por la empresa española que por sus homólogas en Europa. Destaca muy
especialmente la adopción de la firma electrónica, donde la pequeña empresa española
aventaja en más de 40 puntos a la europea.
Entre los servicios adoptados en mayor grado por las empresas europeas se encuentran
la utilización de factura electrónica, la utilización de las webs de las empresas como canal
de venta y la posibilidad de permitir la realización de pagos por Internet.
47
Eurostat (2008): ICT usage by enterprises 2008. Disponible en http://www.eds-estatis.de/de/downloads/sif/qa_08_048.pdf
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 96 de 143
Observatorio de la Seguridad de la Información
Gráfico 55: Comparativa europea según la utilización de servicios a través de Internet por
93,3% parte de las empresas (%)
84,0%
83,4%
100%
73,9%
71,2%
70,9%
90%
62,3%
80%
70%
49,2%
43,2%
60%
31,9%
50%
28,0%
25,8%
25,7%
21,9%
21,6%
20,9%
40%
19,9%
16,9%
15,1%
11,6%
30%
9,8%
9,8%
9,4%
5,5%
20%
10%
0%
España UE 15 UE 27
Los siguientes epígrafes analizan el nivel de confianza que las empresas declaran tener
hacia el servicio en cuestión. Para facilitar la interpretación, se ha estructurado el análisis
en cuatro bloques, que se corresponden a cuatro tipos de servicios:
En los últimos años, Internet se ha convertido en una herramienta imprescindible para las
empresas, en tanto en cuanto agiliza muchas de sus gestiones. Uno de los servicios que
en mayor medida ha repercutido en la comodidad y facilidad de gestión es la posibilidad
creciente de realizar tramitaciones con la Administración Pública en línea: cada vez más
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 97 de 143
Observatorio de la Seguridad de la Información
gestiones habituales con la Seguridad Social, Agencia Tributaria, etc., pueden realizarse
a través de la Red.
Tabla 18: Grado de confianza de las empresas cuando realizan gestiones con la
Administración Pública a través de Internet, según el tamaño de la empresa (%)
% Confianza
empresas
Tamaño Ni poca ni
que Mucha Bastante Poca Ninguna
realizan mucha
Menos de 10 54,3 39,4 50,5 6,6 2,2 1,3
De 10 a 49 73,8 41,7 48,8 6,3 2,4 0,8
Total muestra 57,2 39,9 50,2 6,5 2,3 1,2
Las empresas que muestran poca o ninguna confianza hacia la realización de gestiones
con la Administración Pública a través de Internet siguen confiando más en mecanismos
tradicionales (65,1%) o no lo encuentran seguro (32,6%). Nótese, en cualquier caso, que
se trata de una base de cálculo tan reducida (n=43) que hace que las conclusiones deban
extraerse con cautela.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 98 de 143
Observatorio de la Seguridad de la Información
Gráfico 56: Motivos por los que las empresas confían poco o nada a la hora de realizar
gestiones con la Administración Pública través de Internet (%)
2,3%
32,6%
65,1%
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 99 de 143
Observatorio de la Seguridad de la Información
Tabla 19: Grado de confianza de las empresas cuando realizan compras a proveedores a
través de Internet, según el tamaño de la empresa (%)
% Confianza
empresas
Tamaño Ni poca ni
que Mucha Bastante Poca Ninguna
realizan mucha
Menos de 10 39,6 33,8 49,7 10,6 3,5 2,3
De 10 a 49 49,1 39,1 39,9 14,9 4,3 1,8
Total muestra 41,0 34,8 47,9 11,4 3,6 2,2
Entre el 5,8% de las empresas que confían poco o nada en la realización de estas
gestiones a través de Internet (n=53), se profundiza en los motivos para ello. Una mayor
confianza en los mecanismos tradicionales (66%) y la percepción de que no es seguro
(26,4%) son las razones que alegan en mayor medida.
Gráfico 57: Motivos por los que las empresas confían poco o nada al realizar compras a
proveedores a través de Internet (%)
7,5%
26,4%
66,0%
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 100 de 143
Observatorio de la Seguridad de la Información
Tabla 20: Grado de confianza de las empresas cuando realizan ventas a clientes a través de
Internet, según el tamaño de la empresa (%)
% Confianza
empresas
Tamaño Ni poca ni
que Mucha Bastante Poca Ninguna
realizan mucha
Menos de 10 40,2 55,5 29,4 6,6 4,4 4,1
De 10 a 49 43,0 51,1 34,8 7,8 3,5 2,8
Total muestra 40,6 54,8 30,2 6,8 4,2 3,9
n=896 Fuente: INTECO
En este caso, el 8,1% de empresarios que muestran poca o ninguna confianza (n=73), lo
hacen también porque confían más en mecanismos tradicionales (52%) y porque no lo
encuentran seguro (37%).
Gráfico 58: Motivos por los que las empresas confían poco o nada al realizar ventas a
clientes a través de Internet (%)
11,0%
52,0%
37,0%
Una de las posibles fórmulas empleadas por las empresas para vender en línea es,
precisamente, hacerlo a través de su página web corporativa.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 101 de 143
Observatorio de la Seguridad de la Información
2008: el estudio 48 de AETIC / Everis Las Tecnologías de la Información y las
Comunicaciones en la empresa española 2008 muestra que, en ese año, el porcentaje de
empresas que disponían de página web era de 47,1%.
Gráfico 59: Comparativa europea de empresas que disponen de página web (%)
100%
90%
80%
67,5%
70% 65,2%
60%
50,8%
50%
40%
30%
20%
10%
0%
España UE 15 UE 27
Del total de empresas que tienen página web, el 13,9% la utilizan como canal de venta.
No se aprecian diferencias relevantes en función del tamaño.
Tabla 21: Uso de la página web como canal de venta, según el tamaño de la empresa (%)
48
AETIC-Everis (2008): Las Tecnologías de la Información y las Comunicaciones en la empresa española 2008. Disponible
en: http://www.everis.es/Images/81871%20Las%20Tecnologias%20BAJA%20WEB_tcm31-46591.pdf
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 102 de 143
Observatorio de la Seguridad de la Información
por parte de las empresas de 10 a 49 empleados (49,4%) que por las empresas de
menos de 10 empleados (40,1%).
El grado de confianza depositada en este medio sigue tomando valores elevados, aunque
es ligeramente menor a la confianza en compra y venta en línea: el 75,1% de las
empresas que los realizan otorga mucha o bastante confianza, sin que se aprecien
diferencias significativas en función del tamaño de las empresas.
Tabla 22: Grado de confianza de las empresas cuando realizan pagos por Internet, según el
tamaño de la empresa (%)
% Confianza
empresas
Tamaño Ni poca ni
que lo Mucha Bastante Poca Ninguna
realizan mucha
Menos de 10 40,1 43,4 30,9 9,2 7,5 9,0
De 10 a 49 49,4 44,5 33,9 10,6 6,7 4,3
Total muestra 41,5 43,7 31,4 9,4 7,2 8,2
Gráfico 60: Motivos por los que las empresas confían poco o nada al realizar pagos a través
de Internet (%)
1,4%
12,0%
46,5%
40,1%
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 103 de 143
Observatorio de la Seguridad de la Información
7.1.3 e-Confianza en las operaciones bancarias electrónicas
También en este caso las valoraciones son muy positivas: el 90,3% de las empresas
muestra mucha o bastante confianza hacia la realización de operaciones de banca
electrónica.
Tabla 23: Grado de confianza de las empresas cuando utilizan servicios de banca
electrónica, según el tamaño de la empresa (%)
% Confianza
empresas
Tamaño Ni poca ni
que Mucha Bastante Poca Ninguna
realizan mucha
Menos de 10 82,6 38,3 52,0 5,9 2,5 1,2
De 10 a 49 93,0 39,9 50,0 6,2 2,9 1,0
Total muestra 84,2 38,6 51,7 5,9 2,6 1,2
Al igual que el resto de servicios analizados, el principal motivo para las empresas a las
que la banca online les ofrece poca o ninguna confianza (n=69), es que confían más en
los mecanismos tradicionales (53,6%).
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 104 de 143
Observatorio de la Seguridad de la Información
Gráfico 61: Motivos por los que las empresas confían poco o nada en los servicios de
banca electrónica (%)
4,3%
42,0%
53,6%
Tabla 24: Grado de confianza de las empresas cuando utilizan la firma electrónica, según el
tamaño de la empresa (%)
% Confianza
empresas
Tamaño Ni poca ni
que Mucha Bastante Poca Ninguna
realizan mucha
Menos de 10 48,1 42,3 48,5 6,3 2,1 0,8
De 10 a 49 62,1 43,3 48,4 5,4 1,5 1,5
Total muestra 50,2 42,4 48,4 6,2 2,0 1,0
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 105 de 143
Observatorio de la Seguridad de la Información
Entre el 3% de empresas a los que la utilización de la firma electrónica les ofrece poca o
ninguna confianza (n=33), la afinidad con los métodos tradicionales (60,6%), la falta de
sensación de seguridad (24,2%) y la percepción de que es algo extraño y desconocido
(15,2%) son los motivos que frenan su confianza.
Gráfico 62: Motivos por los que las empresas confían poco o nada en el uso de la firma
electrónica (%)
15,2%
24,2%
60,6%
Este servicio ofrece mucha y bastante confianza al 76,9% de ellas, sin que se aprecien
en este caso diferencias significativas en función del tamaño de empresa.
Tabla 25: Grado de confianza de las empresas cuando envían información por e-mail, según
el tamaño de la empresa (%)
% Confianza
empresas
Tamaño Ni poca ni
que Mucha Bastante Poca Ninguna
realizan mucha
Menos de 10 58,8 26,2 50,9 14,1 5,1 3,7
De 10 a 49 65,9 31,1 45,4 15,2 7,9 0,5
Total muestra 59,9 26,9 50,0 14,4 5,5 3,2
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 106 de 143
Observatorio de la Seguridad de la Información
El 49,6% de las empresas que muestran poca o ninguna confianza a la hora de enviar
información por Internet acerca de su empresa afirman que es porque no les parece
seguro el envío, mientras que para el 36,5% la desconfianza radica en que prefieren el
medio tradicional sobre el digital. Apréciese que se trata del único de los servicios
analizados en el que la respuesta mayoritaria para justificar la falta de confianza es la
percepción de inseguridad.
Gráfico 63: Motivos por los que las empresas confían poco o nada a la hora de enviar
información por correo electrónico (%)
2,6%
11,3%
49,6%
36,5%
• En primer lugar, el uso está más extendido entre las empresas de mayor tamaño
(10 a 49 empleados) que entre las microempresas. Las acciones de formación y
concienciación que se lancen desde las administraciones y sector privado
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 107 de 143
Observatorio de la Seguridad de la Información
deberían tener en cuenta esta circunstancia para seleccionar colectivos de
impacto adecuados.
• En segundo lugar, los niveles de confianza en cada servicio son muy elevados
entre los usuarios, en valores que se sitúan entre el 75 y el 90% en todos los
casos. En este caso, el tamaño de la empresa no afecta a la hora de determinar
una mayor o menor confianza.
Gráfico 64: Motivos por los que las empresas no realizan determinados servicios a través
de Internet (%)
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
No sé cómo hacerlo Falta de confianza No me interesa No sabia que se pudiese hacer Otro motivo
Fuente: INTECO
49
Es necesario recordar que el grado de no uso de cada uno de los servicios es distinto (gestiones n= 944, banca n=348 y
pagos n=1.290). Por este motivo las conclusiones que se extraigan de este análisis es conveniente ponerlas en contexto.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 108 de 143
Observatorio de la Seguridad de la Información
Las conclusiones del análisis son reveladoras.
• Las empresas que no realizan pagos por Internet (n=1.290) reconocen no hacerlo
porque no saben cómo (50,7%) o porque no les ofrece confianza el servicio
(26,6%), principalmente.
• Por último, las empresas que no realizan gestiones con las administraciones
públicas a través de Internet (n= 944) muestran falta de interés como motivo
mayoritario (26,2%), seguido de falta de confianza (6,8%). En este caso, la
proporción de organizaciones que no saben cómo llevar a cabo estas gestiones
es más reducida (5,1%) y, por el contrario, el volumen de encuestados que alega
“otro motivo” es muy elevado (58,5%).
El Gráfico 65 analiza los frenos a la utilización de la factura electrónica por parte de los no
usuarios. En este caso, la base de cálculo es elevada (n=1.995) ya que, recordando
datos presentados anteriormente, este servicio muestra una tasa de utilización
ciertamente reducida entre las empresas españolas (8%).
El 60,4% de las empresas que no utilizan factura electrónica no lo hace porque “no le
reporta ninguna ventaja”, lo que constituye un punto de partida muy interesante para
orientar acciones destinadas a impulsar el uso de la factura electrónica entre las
empresas españolas.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 109 de 143
Observatorio de la Seguridad de la Información
Gráfico 65: Motivos por los que las empresas no disponen de factura electrónica (%)
2,9% 1,3%
9,6%
11,7%
60,4%
14,1%
Por último, en el análisis de los motivos que llevan a las empresas a no utilizar la firma
electrónica destacan la falta de interés (48,6%) y el desconocimiento de su utilidad
(14,9%).
Gráfico 66: Motivos por los que las empresas no utilizan la firma electrónica (%)
0,5%
20,4%
1,6%
3,2% 48,6%
5,2%
5,5%
14,9%
No me interesa Desconozco su utilidad Falta de confianza
No sé como usarla No sabía que se pudiese tener No sé como obtenerla
Otros motivos No contesta
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 110 de 143
Observatorio de la Seguridad de la Información
8 SISTEMA DE INDICADORES DE SEGURIDAD DE
LAS PEQUEÑAS Y MICROEMPRESAS
Los indicadores adquieren valores que se encuentran entre 0 y 100 puntos. Así, por
ejemplo, si el indicador IS.5 adquiere un valor de 23,8, no implica que el 23,8% de los
ordenadores de las empresas tengan un riesgo de diseminación elevado, sino que el
resultado de los cálculos combinados para obtener su resultado arroja un valor de 23,8
puntos en una escala de 0 a 100.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 111 de 143
Observatorio de la Seguridad de la Información
El sistema de indicadores de INTECO permite, en el caso de realizar posteriores
estudios, hacer un seguimiento de la evolución y las tendencias de la seguridad en las
pequeñas y microempresas españolas, con las siguientes ventajas:
• Es operativo, pues permite de forma muy sencilla detectar las debilidades del
sistema, e inspirar medidas para reducirlas.
El resultado se compara con una situación óptima de seguridad, la cual se alcanzaría con
un equipamiento completo (100 puntos).
Este indicador mide las buenas prácticas que la empresa pone a disposición de los
trabajadores para garantizar la seguridad de los equipos: entre otras, el uso de
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 112 de 143
Observatorio de la Seguridad de la Información
contraseñas (acceso a equipos y documentos), la copia de seguridad de los archivos
importantes (backup), la limpieza de disco (eliminación de archivos temporales y/o
cookies) y los sistemas de prevención de intrusos mediante el uso de filtros.
Mide las prácticas que las empresas realizan para proteger y concienciar a los
trabajadores para que, en la realización de su actividad cotidiana, aumente
progresivamente el nivel de seguridad adaptándolo a sus necesidades organizativas.
Se compone de dos conceptos: por un lado, la disposición de los planes y políticas que
permitirían a la empresa poder continuar su actividad en el caso de una incidencia de
seguridad y por otro, los procedimientos que dan sentido a las políticas mediante la
descripción de las tareas, la ubicación, los requerimientos y los puestos responsables de
llevarlos a cabo.
En este caso, un valor bajo indicaría una situación óptima de seguridad, ya que este
indicador mide la existencia de malware en el equipo, es decir, cuanto más pequeño sea
su valor más baja será la incidencia de malware en el ordenador de la entidad.
Para el cálculo de este indicador sintético se consideran por un lado, aquellas conductas
y hábitos de la entidad de las que pudiera derivarse, en mayor o menor medida, que los
equipos de la empresa se encuentren en situación de riesgo y, por otro, la información
extraída de los equipos en los que en la auditoría remota se ha detectado al menos una
incidencia de malware con riesgo alto. Incluye, entre otros, los siguientes elementos:
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 113 de 143
Observatorio de la Seguridad de la Información
• Si el equipo se encuentra al corriente de las actualizaciones de seguridad del
sistema operativo (dato obtenido a través de la auditoría de los ordenadores).
El resultado final no debe ser alcanzar la máxima puntuación sino al contrario, cuanto
más reducido el nivel de riesgo, más óptimo será la situación de seguridad de los
ordenadores y del propio sistema de la entidad (0 puntos).
Indicador de e-confianza
El resultado se compara con una situación óptima de seguridad, la cual se alcanzaría con
un mayor uso y con el grado de confianza completo (100 puntos).
Finalmente con el objeto de disponer de un único valor que permita conocer el nivel de
seguridad de la información de las pequeñas y microempresas españolas se calcula un
indicador global agregado.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 114 de 143
Observatorio de la Seguridad de la Información
Para la construcción del indicador se ha tomado como referencia una guía del NIST 50 , en
la que se enumeran las acciones que una pequeña empresa debe llevar a cabo para
protegerse. Se distinguen tres tipos de comportamientos:
o Proteger la información, los sistemas o las redes del daño que puedan
causar virus, spyware y otro código malicioso.
50
Op. cit. 15
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 115 de 143
Observatorio de la Seguridad de la Información
También se consideran necesarias para este punto otras medidas que el NIST no
contempla, como la realización de auditorías de seguridad y los procedimientos para el
cumplimiento regulatorio español, en concreto la LOPD.
El resultado final se compara con una situación óptima de seguridad, la cual se alcanza
cuando las empresas disponen de las acciones y prácticas antes mencionadas (100
puntos).
Respecto a los generales de seguridad y e-confianza, los valores tomados son 54,4 y
73,2 respectivamente, deduciéndose que la situación de seguridad ofrecida por el
indicador agregado global se encuentra en unos niveles correctos, y la percepción
subjetiva respecto al grado de confianza de seguridad de las empresas cuando usan
Internet es bastante elevado.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 116 de 143
Observatorio de la Seguridad de la Información
Gráfico 67: Sistema de indicadores de la seguridad de la información (0-100 puntos)
100
90
80 76,1 73,2
70
60 54,4
51,1 48,4
50
40
30 21,0 23,8
20
10
0
Indicador de Indicador Indicador de Indicador Indicador e- Indicador de Indicador de
herramientas buenas políticas y global de confianza incidencias equipos en
practicas planes seguridad de malware situación de
riesgo
Fuente: INTECO
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 117 de 143
Observatorio de la Seguridad de la Información
9 CONCLUSIONES
Sólo existe una excepción: los programas antivirus, que como se ve lo largo del estudio
son una herramienta mayoritariamente extendida entre las empresas, ya que casi la
totalidad de las entidades dispone de ellos. No obstante, se ha podido constatar en el
apartado de incidencias del informe, que en la seguridad de una empresa no sólo basta
con tener instalada ciertas herramientas, sino que se requiere de otras medidas
complementarias, como buenas prácticas y procedimientos, que configuren un sistema
global de protección en el seno de la organización.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 118 de 143
Observatorio de la Seguridad de la Información
distinta cuando comparamos el uso de controles tecnológicos mas avanzados (por
ejemplo: mecanismos de cifrado o herramientas de detección de intrusos) o aspectos de
seguridad estratégica, procedimental y organizativa, donde las pequeñas empresas del
resto de Europa y del mundo nos llevan una clara ventaja. Esto indica que las entidades
españolas tienen la percepción de que la seguridad es un aspecto meramente
tecnológico, enfoque que debe hacerse un esfuerzo por cambiar de cara a alcanzar un
nivel de madurez que permita incrementar los niveles de seguridad y la e-confianza.
No obstante, considerando esta variable también se aprecia la importancia que tiene para
las entidades tomar conciencia de los riesgos, ya que un alto porcentaje de éstas creen
que no son susceptibles de sufrir un incidente de seguridad al considerarse “poco
interesantes” para los posibles atacantes.
Ahora bien, es justo decir que si bien los responsables de las pequeñas y microempresas
no reconocen su falta de conocimiento, sin embargo la gran mayoría de ellos afirman
externalizar sus servicios de informática, principalmente porque no existe un interés real
en tener personal dedicado a la seguridad de la información. Otros motivos alegados son
el alto coste económico que supone el tener en plantilla este perfil de puesto o el no
disponer de trabajadores cualificados para cubrir las necesidades.
Entre las pequeñas y microempresas que sí cuentan con este personal, ocho de cada
diez tienen además un director de seguridad. La existencia del mismo, es garantía de una
mayor implementación de herramientas y/o soluciones de seguridad en las entidades. Ya
que con él se aumentan la efectividad a la hora de resolver los incidentes de seguridad
que se originan y se reducen los posibles impactos que se crean en términos globales.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 119 de 143
Observatorio de la Seguridad de la Información
A pesar de estos motivos, las pequeñas y microempresas saben reconocer cuáles son
los requisitos que los productos y/o soluciones de seguridad deben tener. De esta
forma, respecto a los productos, más de seis de cada diez empresas valoran mucho que
éstos tengan una relación equilibrada de calidad y efectividad, así como el servicio
postventa, soporte técnico y garantía en el producto. En relación con las soluciones, el
mismo porcentaje de entidades consideran necesaria o muy necesaria las revisiones de
seguridad, los servicios de resolución de incidentes y la formación/información
especializada en seguridad.
Ahora bien, los productos y soluciones no son sólo los mecanismos que las entidades
tienen para implementar la seguridad en sus equipos y en sus sistemas. Son necesarios
pero no suficientes. Necesitan también mantener buenas prácticas que garanticen su
estado de seguridad. El principal artífice de que las entidades pueden estar y sentirse
protegidas es la conjunción de ambos elementos. Éstas se materializan en la realización
de copias de seguridad y, la actualización y utilización de un software original y de sus
sistemas operativos, programas y/o herramientas de seguridad, que en el presente
estudio se plasman en más de ocho de cada diez entidades que afirman cumplir con
estos requisitos. Así, a nivel global, la práctica totalidad de las empresas (94,2%) realizan
copias de seguridad, de las cuales casi la mitad, mediante algún sistema automático y de
manera diaria. Más 85% afirma disponer de software bajo licencia y el 88,9% cree tener
actualizado su sistema operativo y sus herramientas de seguridad.
Contrastando los resultados de 2009 con el estudio sobre LOPD en empresas realizado
por INTECO en el año 2008, se puede observar la evolución que la LOPD ha tenido entre
las entidades. Por ejemplo, se ha producido un aumento de más de 15 puntos
porcentuales del número de empresas que afirman tener declarados los ficheros con
datos de carácter personal en la Agencia Española de Protección de Datos; o un
aumento del número de empresas que cumplen con las obligaciones relativas a la
solicitud de consentimiento del interesado para el tratamiento de los datos (más de 33
puntos porcentuales de incremento) y el deber de información al interesado sobre la
recogida de los datos (más de 38 puntos porcentuales también de aumento).
No obstante, llama la atención que aún la mitad de las pequeñas empresas que
consideran que disponen de datos de carácter personal no hayan declarado sus ficheros
ante el Registro General de la Agencia Española de Protección de Datos.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 120 de 143
Observatorio de la Seguridad de la Información
hace evidente, que existen otros aspectos establecidos en los que las entidades deben
seguir mejorando.
Así pues, a pesar del interés demostrado por las pequeñas y microempresas en ciertas
herramientas de seguridad (antivirus, copias de seguridad y cortafuegos) estas medidas
no suelen venir de la mano de planes de seguridad, continuidad o concienciación lo que
se traduce en un gasto no optimizado en tecnologías de la información, el
desconocimiento de las amenazas a las que la empresa está expuesta y la deficiencia en
la implementación de las medidas de seguridad recomendadas. Adicionalmente, los
mecanismos implantados ganarían efectividad si se acompañasen de políticas y
procedimientos formales para su uso y gestión.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 121 de 143
Observatorio de la Seguridad de la Información
Entre la tipología de código malicioso más detectado en los equipos, cabe destacar el de
la familia de los troyanos y el software publicitario no deseado (con niveles de infección
presentes en el 27,8% y el 23,2% de los equipos respectivamente). Ambos pertenecen a
las categorías que dan mayor retorno sobre la inversión a sus creadores. Esto es, los
ciberdelincuentes las crean porque les supone un beneficio económico mayor que otros
tipos de malware, al poder explotar dicho código malicioso para cometer fraudes,
espionaje industrial, chantajes, envío masivo de correo no deseado, etc.
La principal consecuencia derivada de los incidentes de seguridad son las pérdidas del
tiempo invertido, que influyen en el 68,1% de las empresas. Otras, como las pérdidas
económicas o el daño en la imagen de la empresa apenas son percibidas por las
entidades participantes en el estudio. Las incidencias implicaron cambios de hábitos en el
69,1% de las organizaciones. Más de cuatro de cada diez empresas instalaron o
actualizaron un programa o herramienta de seguridad, mientras que una cuarta parte de
ellas comenzó a realizar copias de seguridad de los archivos. Esto demuestra que, a
pesar del nivel de incidencias que las pequeñas y microempresas afirman tener, su
propio conocimiento sobre medidas y buenas prácticas, o el del personal en quien tienen
delegada la resolución de incidentes de seguridad (el 65,7% de las empresas recurre a
servicios especializados externos), les posibilita para realizar cambios en las conductas.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 122 de 143
Observatorio de la Seguridad de la Información
diez empresas utilizan los servicios de pagos por Internet, compras a proveedores y
ventas a clientes. Más concretamente y a modo de ejemplo, el 90,3% de las pequeñas
empresas afirman que realizar operaciones banca online les da confianza.
Además de utilizar estos servicios como sujeto activo, las pequeñas organizaciones
depositan mucha o bastante confianza en la prestación y/o comercialización de sus
productos y servicios a través de Internet.
A modo de síntesis de estas reflexiones finales sobre los resultados del estudio y como
paso previo al siguiente apartado de recomendaciones, se presenta un análisis DAFO.
Con ello se pretende aplicar esta metodología al estudio del estado de la seguridad del
sector de la española a partir de la situación de su entorno – factores externos
(oportunidades y amenazas) – y de la situación interna – factores internos (debilidades y
fortalezas).
9.1.1 Fortalezas
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 123 de 143
Observatorio de la Seguridad de la Información
• Creciente nivel de concienciación y adaptación en materia de protección de
datos
9.1.2 Debilidades
El uso de las tecnologías y de los servicios en las redes públicas por parte de las
pequeñas y microempresas, se hace bajo una falsa sensación de seguridad como
consecuencia de considerar como una protección suficiente la instalación de ciertas
herramientas en sus equipos o bien creer poco probable ser víctimas de un incidente
de seguridad (ver apartado 3.1.2).
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 124 de 143
Observatorio de la Seguridad de la Información
• Centradas en la dimensión tecnológica
9.1.3 Oportunidades
Uno de los ejes de actuación del Plan Avanza se centra en reforzar la confianza en
las TIC de las empresas mediante políticas públicas de seguridad de la información,
entre otras medidas 51 . Este eje de actuación ha dado como resultado iniciativas como
por ejemplo el programa de “Impulso a la implantación y Certificación de SGSI en la
PYME” promovido por INTECO 52 , la “Guía para empresas: cómo adaptarse a la
normativa sobre protección de datos” 53 publicada por INTECO o iniciativas
autonómicas como por ejemplo “Seguridad y legislación en e-pyme” del Gobierno del
Principado de Asturias, entre otros. Por otro lado, diferentes cámaras de comercio y
las asociaciones ponen a disposición de las PYME cursos de seguridad de la
información 54 o guías de seguridad 55 .
Del mismo modo, el presente estudio puede considerarse enmarcado en esta misma
línea, ya que permite conocer y poder realizar la mejor aproximación para resolver los
problemas de seguridad de las empresas españolas.
51
http://www.planavanza.es/LineasEstrategicas/AreasDeActuacion/EjeConfianzaYSeguridad/SeguridadInfo/
52
http://cert.inteco.es/Formacion/SGSI
53
INTECO (2009): Guía para empresas: cómo adaptarse a la normativa sobre protección de datos. Disponible en
https://www.inteco.es/Seguridad/Observatorio/manuales_es/GuiaManual_LOPD_pymes
54
Valgan como ejemplos el Curso de la Cámara de Comercio de Huesca “Jornada sobre gestión de la seguridad en los
sistemas de información de la pyme” (http://www.camarahuesca.com) o el Curso de redes y seguridad impartido por la
Confederación Española de Organizaciones Empresariales (CEOE)
(http://www.ceoe.es/ceoe/contenidos.item.action?id=4284803&type=4284803&menuId=4284803)
55
Por ejemplo la “Guía de Seguridad de la Información para PYMES” promovida por la Asociación Murciana de Empresas
de Tecnologías de la Información y las Telecomunicaciones. http://www.vdigitalrm.com/archivos/guia_seguridad_pymes.pdf
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 125 de 143
Observatorio de la Seguridad de la Información
• Enfoque de los fabricantes de productos de seguridad al mercado de seguridad
de la información en las empresas
Es importante hacer notar, sin embargo, que, aunque estas empresas externalizan
sus sistemas informáticos, no deberían perder el control de la seguridad de
información, puesto que podría redundar en problemas para la misma a largo plazo.
9.1.4 Amenazas
56
Un ejemplo de esa orientación puede consultarse en el articulo “Symantec se orienta a la PYME y especializa su canal”
http://www.idg.es/dealerworld/Symantec-se-orienta-a-la-PYME-y-especializa-a-su-canal/seccion-producto/noticia-80854
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 126 de 143
Observatorio de la Seguridad de la Información
10 RECOMENDACIONES
A continuación, tras analizar los datos del presente estudio, se formulan una serie de
recomendaciones de actuación diferenciando entre las dirigidas a las empresas
españolas, a la industria de seguridad de la información y a las Administraciones
Públicas.
• Entender mejor los riegos a los que se enfrentan, alineándolos con sus objetivos
de negocio y activos de información.
• Conocer qué activos de información son los más importantes para su negocio.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 127 de 143
Observatorio de la Seguridad de la Información
Recomendación 3: Establecer procedimientos, planes y políticas de seguridad
Como se ha visto reflejado, son pocas las entidades que disponen de una política de
concienciación que indique cuál es el uso adecuado que se debe dar a los sistemas de
información de la empresa. Es una medida que permite evitar incidentes de seguridad (o
estar protegidos en caso de producirse).
En el caso de que las entidades que, bien sea por su tamaño o por sus necesidades de
producción, no puedan disponer de una persona encargada de dirigir la seguridad de la
información en la empresa, deben recurrir a personal especializado que garantice la
resolución de incidencias y el diseño de planes y procedimientos.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 128 de 143
Observatorio de la Seguridad de la Información
Recomendación 6: Proporcionar a los empleados formación en materia de
seguridad de la información
• Cubrir de manera global todas las necesidades TIC de seguridad a todos los
niveles: datos, aplicación, conexión, etc.
A través de la creación de unos contratos dinámicos para los servicios de seguridad que
favorezcan la implantación de medidas en las empresas. Estos contratos podrían incluir
una escala de precios atractiva y la posibilidad de ser modificados (duración, ámbito de
actuación, recursos destinados…) si las condiciones de las organizaciones contratantes
varían.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 129 de 143
Observatorio de la Seguridad de la Información
Recomendación 3: Fomentar mecanismos que favorezcan las relaciones con las
AA.PP.
Una mayor relación entre los fabricantes/proveedores de seguridad y las AA.PP. podría
ayudar a orientar y acercar mediante campañas de difusión, la actual oferta de servicios y
soluciones de seguridad existentes en el mercado a las microempresas y pequeñas
empresas españolas.
INTECO, dentro del marco del Plan Avanza, ha recibido, por parte de la Secretaría de
Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), una
encomienda de Gestión para poner en marcha el proyecto destinado a fomentar y
promover tanto la implantación como la certificación de Sistemas de Gestión de la
Seguridad de la Información (SGSI), en las empresas españolas 57 .
• Implantar un SGSI y una Certificación del sistema según la normativa ISO 27001.
57
Impulso a la implantación y certificación de un SGSI. Disponible en:https://sgsi.inteco.es/
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 130 de 143
Observatorio de la Seguridad de la Información
Recomendación 2: Sensibilizar a las empresas a través de un enfoque de la
seguridad proactivo basado en el riesgo
Las Administraciones Públicas deben liderar el proceso para romper la falsa sensación de
seguridad existente en las entidades a la vez que cambian el enfoque de éstas hacia la e-
confianza. El objetivo es que las organizaciones tengan un enfoque basado en el riesgo.
Los datos del estudio muestran que ocho de cada diez empresas tienen subcontratados
los servicios de telecomunicaciones e informática. Por lo tanto, la Administración Pública
y otros organismos, especialmente las asociaciones de empresas de TI, deben formar en
materia de seguridad a este subsector de empresas proveedoras. Son precisamente
estas organizaciones externas las más indicadas para elevar el nivel de seguridad de las
pequeñas y microempresas españolas.
58
ENISA (2007): Information package for SMEs. Disponible en http://www.enisa.europa.eu/act/rm/cr/risk-management-
inventory/files/deliverables/information-package-for-smes-es/?searchterm=Information%20package%20for%20SMEs
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 131 de 143
Observatorio de la Seguridad de la Información
Recomendación 5: Seguir fomentando la e-confianza entre las empresas
Esta información permitirá: difundir entre las empresas una cultura de seguridad basada
en las herramientas, buenas practicas, políticas de seguridad y les permitirá conocer su
posición respecto al resto del mercado; a la industria adecuar su oferta a las necesidades
y nichos identificados; a las propias AAPP diseñar adecuadas políticas públicas tanto
reactivas como preventivas, así como realizar un seguimiento del impacto de sus
acciones.
A modo de resumen se presenta una matriz de utilidad para las distintas acciones
presentadas en las recomendaciones anteriores. Así, el Gráfico 68 ofrece una visión
global de todas las medidas propuestas, a partir del análisis combinado del impacto de la
recomendación y el coste necesario para abordarla diferenciando entre las
recomendaciones a las empresas, a los fabricantes y proveedores de seguridad y a las
AA.PP.
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 132 de 143
Observatorio de la Seguridad de la Información
El impacto de la acción se ha definido en base a la media de dos factores:
• La estimación de la influencia que tienen las medidas sobre el conjunto del nivel
de seguridad de la información de las pequeñas y microempresas españolas.
Alto
R2 R5 R2 R1
R6 R4 R5
R7 R4 R3
IMPACTO
R1 R2
Medio R6
R3 R3 R1
R4
Bajo
Bajo Medio Alto
COSTE
Fuente: INTECO
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 133 de 143
Observatorio de la Seguridad de la Información
ANEXO I: BIBLIOGRAFIA
• Eurostat (2008). ICT usage by enterprise 2008. Bruselas. En línea. Disponible en:
http://epp.eurostat.eu/portal/page/portal/information_society/introduction
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 134 de 143
Observatorio de la Seguridad de la Información
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Inf
ormes_1/Estudio_sobre_entidades_locales_48
• McAfee (2008). Does size matter? The security challenge of the SMB. Santa
Clara, Estados Unidos. En línea. Disponible en:
http://www.mcafee.com/us/local_content/reports/does_size_matter_en_v2.pdf
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 135 de 143
Observatorio de la Seguridad de la Información
ÍNDICE DE GRÁFICOS
Gráfico 6: Nivel de utilización de programas antivirus: datos declarados vs. datos reales
(%) .....................................................................................................................................34
Gráfico 11: Comparativa entre contar/no contar con un director de seguridad a la hora de
tener implementadas medidas de seguridad en los equipos (%) ......................................41
Gráfico 12: Motivos por los que las empresas afirman no disponer de personal dedicado a
los aspectos informáticos y de director de seguridad informática .....................................42
Gráfico 14: Valoraciones que las empresas realizan sobre los distintos aspectos de un
producto de seguridad informática (%)..............................................................................44
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 136 de 143
Observatorio de la Seguridad de la Información
Gráfico 16: Empresas por tamaño que realizan copias de seguridad (%) ........................47
Gráfico 17: Frecuencia con la que las empresas realizan las copias de seguridad (%) ...48
Gráfico 18: Empresas que disponen de sistemas de seguridad en la sala donde se aloja
el servidor (%)....................................................................................................................50
Gráfico 20: Empresas que disponen de ficheros que incluyen datos de carácter personal
sobre los que se consideran afectados por la LOPD (%)..................................................54
Gráfico 21: Evolución anual de empresas que afirman tener declarados los ficheros con
datos de carácter personal en la Agencia de Protección de Datos (%) ............................55
Gráfico 22: Empresas por tamaño que disponen de ficheros y han notificado la existencia
de los mismos ante el Registro General de la Agencia Española de Protección de Datos
(%) .....................................................................................................................................55
Gráfico 23: Evolución anual del nivel de cumplimiento de las empresas que disponen de
ficheros del deber de solicitud de consentimiento a los titulares de los datos (%)............56
Gráfico 24: Evolución anual del nivel de cumplimiento de las empresas con ficheros con
datos de carácter personal del deber de información a los titulares de los datos (%) ......57
Gráfico 26: Disposición de una estrategia para el aumento del nivel de seguridad (%) ...60
Gráfico 29: Evolución anual del tipo de controles de seguridad (%) .................................62
Gráfico 31: Distribución de los contenidos del plan de continuidad de las empresas (%) 64
Gráfico 32: Aspectos revisados en las auditorías de seguridad de las empresas de más
de diez empleados (%) ......................................................................................................65
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 137 de 143
Observatorio de la Seguridad de la Información
Gráfico 33: Cambios efectuados por las empresas tras la realización de las auditorías de
seguridad (%) ....................................................................................................................65
Gráfico 34: Incidentes de seguridad declarados por las empresas (%) ............................67
Gráfico 35: Evolución anual del nivel de incidencias en los equipos de las empresas tras
realizar la auditoría de seguridad (%)................................................................................72
Gráfico 37: Equipos de las empresas que alojan malware según tipología de código
malicioso (%) .....................................................................................................................74
Gráfico 40: Distribución de los equipos en función del nivel de riesgo (%) .......................80
Gráfico 41: Nivel de riesgo de los equipos de las empresas según el uso de antivirus (%)
...........................................................................................................................................81
Gráfico 42: Dispositivos móviles avanzados existentes en las empresas (PDA, Blackberry,
móviles con acceso a Internet (3G)) (%) ...........................................................................83
Gráfico 43: Hábitos de uso del bluetooth en los dispositivos móviles avanzados de las
empresas (%) ....................................................................................................................84
Gráfico 45: Medidas de seguridad que disponen las redes inalámbricas de las empresas
(%) .....................................................................................................................................86
Gráfico 48: Nivel de impacto sufrido por las empresas en relación a diferentes puntos de
vista (%).............................................................................................................................90
Gráfico 49: Comparativa internacional según el nivel de impacto sufrido por las empresas
como consecuencia de un incidente de seguridad (%) .....................................................91
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 138 de 143
Observatorio de la Seguridad de la Información
Gráfico 50: Cambios de hábitos en las empresas debido a un incidente de seguridad (%)
...........................................................................................................................................92
Gráfico 51: Método empleado por las empresas para resolver incidentes en relación con
el tipo de incidente sufrido (%) ..........................................................................................93
Gráfico 52: Método empleado por las empresas para resolver incidentes (%) .................94
Gráfico 53: Método empleado por las empresas para resolver incidentes en relación con
el tipo de incidente declarado (%) .....................................................................................94
Gráfico 54: Utilización de servicios electrónicos a través de Internet por parte de las
empresas (%) ....................................................................................................................96
Gráfico 55: Comparativa europea según la utilización de servicios a través de Internet por
parte de las empresas (%).................................................................................................97
Gráfico 56: Motivos por los que las empresas confían poco o nada a la hora de realizar
gestiones con la Administración Pública través de Internet (%)........................................99
Gráfico 57: Motivos por los que las empresas confían poco o nada al realizar compras a
proveedores a través de Internet (%) ..............................................................................100
Gráfico 58: Motivos por los que las empresas confían poco o nada al realizar ventas a
clientes a través de Internet (%) ......................................................................................101
Gráfico 59: Comparativa europea de empresas que disponen de página web (%) ........102
Gráfico 60: Motivos por los que las empresas confían poco o nada al realizar pagos a
través de Internet (%) ......................................................................................................103
Gráfico 61: Motivos por los que las empresas confían poco o nada en los servicios de
banca electrónica (%) ......................................................................................................105
Gráfico 62: Motivos por los que las empresas confían poco o nada en el uso de la firma
electrónica (%).................................................................................................................106
Gráfico 63: Motivos por los que las empresas confían poco o nada a la hora de enviar
información por correo electrónico (%)............................................................................107
Gráfico 64: Motivos por los que las empresas no realizan determinados servicios a través
de Internet (%) .................................................................................................................108
Gráfico 65: Motivos por los que las empresas no disponen de factura electrónica (%) ..110
Gráfico 66: Motivos por los que las empresas no utilizan la firma electrónica (%)..........110
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 139 de 143
Observatorio de la Seguridad de la Información
Gráfico 67: Sistema de indicadores de la seguridad de la información (0-100 puntos) ..117
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 140 de 143
Observatorio de la Seguridad de la Información
ÍNDICE DE TABLAS
Tabla 2: Niveles de error muestral por tamaño de las empresas participantes en el estudio
...........................................................................................................................................27
Tabla 5: Motivos declarados por las empresas para no utilizar las herramientas y
soluciones de seguridad en los equipos (%) .....................................................................37
Tabla 9: Lugar donde las empresas almacenan las copias de seguridad, según tamaño
de la empresa (%) .............................................................................................................49
Tabla 11: Frecuencia de actualización de forma manual por parte de las empresas de sus
programas, según tamaño de la empresa (%) ..................................................................52
Tabla 12: Empresas que se consideran afectadas por la normativa de protección de datos
según el tamaño de la empresa (%)..................................................................................53
Tabla 13: Nivel de incidentes de seguridad en las empresas: datos declarados vs. datos
reales (%) ..........................................................................................................................68
Tabla 15: Número total de archivos maliciosos, variantes únicas de malware e índice de
repetición ...........................................................................................................................75
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 141 de 143
Observatorio de la Seguridad de la Información
Tabla 16: TOP-5 de tipo de malware encontrado según metanombre por número de
equipos que lo alojan.........................................................................................................78
Tabla 17: Constancia de haber sufrido robo de Wi-Fi, según tamaño de la empresa (%) 87
Tabla 18: Grado de confianza de las empresas cuando realizan gestiones con la
Administración Pública a través de Internet, según el tamaño de la empresa (%) ...........98
Tabla 19: Grado de confianza de las empresas cuando realizan compras a proveedores a
través de Internet, según el tamaño de la empresa (%)..................................................100
Tabla 20: Grado de confianza de las empresas cuando realizan ventas a clientes a través
de Internet, según el tamaño de la empresa (%).............................................................101
Tabla 21: Uso de la página web como canal de venta, según el tamaño de la empresa
(%) ...................................................................................................................................102
Tabla 22: Grado de confianza de las empresas cuando realizan pagos por Internet, según
el tamaño de la empresa (%)...........................................................................................103
Tabla 23: Grado de confianza de las empresas cuando utilizan servicios de banca
electrónica, según el tamaño de la empresa (%) ............................................................104
Tabla 24: Grado de confianza de las empresas cuando utilizan la firma electrónica, según
el tamaño de la empresa (%)...........................................................................................105
Tabla 25: Grado de confianza de las empresas cuando envían información por e-mail,
según el tamaño de la empresa (%)................................................................................106
Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 142 de 143
Observatorio de la Seguridad de la Información
Instituto Nacional
de Tecnologías
de la Comunicación
http://www.inteco.es
http://observatorio.inteco.es