Resumen ejecutivo del Estudio sobre seguridad de la informacin y continuidad de negocio en las empresas espaolas

INSTITUTO NACIONAL DE TECNOLOGAS DE LA COMUNICACION

Objetivos y metodologa
PROYECTO DE INVESTIGACIN SOBRE LA SEGURIDAD DE LA INFORMACIN Y LA CONTINUIDAD DE NEGOCIO EN LAS EMPRESAS ESPAOLAS

Objetivo del estudio

Conocer el posicionamiento y percepcin de las empresas espaolas respecto a la seguridad de la informacin y la continuidad de negocio en trminos de: Proteccin y prevencin frente a riesgos. Incidencias, consecuencias y respuestas. E-confianza Recomendaciones y buenas prcticas

Metodologa del estudio

Anlisis documental a travs de estudios nacionales e internacionales. Encuesta: 2.250 entrevistas a responsables de seguridad de TI de empresas. Entrevistas en profundidad a 10 responsables de seguridad de TI de empresas. Think tank: grupo de 9 expertos y profesionales pertenecientes a diferentes mbitos de la seguridad y la continuidad de negocio.

Ficha tcnica de la encuesta

Encuesta sobre seguridad de la informacin y e-confianza
Universo Pequeas y medianas empresas establecidas en el territorio nacional (CNAE 2009). Muestra 1.144 responsables de seguridad de empresas repartidas por el territorio nacional. Distribucin muestral Sobre el total de 1.144 empresas : 440 micro, 395 pequeas y 309 medianas empresas. Captura de informacin Encuestas telefnicas CATI (Computer Assisted Telephone Interviewing). Trabajo de campo Diciembre de 2011 y enero de 2012. Error muestral 2,9%, calculado para un nivel de confianza del 95,5%, y siendo p=q=0,5.

Encuesta sobre continuidad de negocio

Universo Pequeas y medianas empresas establecidas en el territorio nacional (CNAE 2009). Muestra 1.109 responsables de seguridad repartidas por el territorio nacional. Distribucin muestral Sobre el total de 1.109 empresas: 501 micro, 343 pequeas y 265 medianas empresas. Captura de informacin Encuestas telefnicas CATI Telephone Interviewing). Trabajo de campo Enero y febrero de 2012. Error muestral 2,9%, calculado para un nivel de confianza del 95,5%, y siendo p=q=0,5. (Computer Assisted de empresas

Estudio sobre seguridad de la informacin y continuidad de negocio en las empresas espaolas

Herramientas tcnicas y personal de seguridad Buenas prcticas de seguridad Planes y polticas de seguridad Incidentes de seguridad en la empresa: incidencia, impacto y respuesta E-confianza de la empresa espaola Perfiles de seguridad y continuidad de negocio en la empresa Reflexiones finales Recomendaciones

http://observatorio.inteco.es
4

Principales resultados
Herramientas, buenas prcticas y polticas de seguridad en las empresas Notable grado de implantacin de medidas y hbitos de seguridad bsicos: Antivirus y cortafuegos son las herramientas ms habituales (un 96,1% y un 75,4%, respectivamente). Un 56,% de las empresas dispone de personal destinado a la seguridad de la informacin (un 21% mediante personal interno y un 35,3% mediante empresa externa). Se observa una amplia penetracin de hbitos de proteccin como las copias de seguridad o la actualizacin del sistema operativo y programas (88,2 % y 81,9% respectivamente). La seguridad de la informacin ha evolucionado favorablemente en el ltimo ao, a juicio de las empresas participantes en la investigacin. Las empresas creen realizar auditoras de seguridad y disponer de certificaciones en Sistemas de Gestin de la Seguridad de la Informacin (SGSI) en mayor medida que lo que afirman los datos oficiales. Cuatro de cada diez empresas encuestadas conoce el significado de los Planes de Continuidad de Negocio. Un 12,9% afirma disponer de un PCN y un 5,3% tiene un plan para el componente tecnolgico. Un 31,9% de las empresas con Plan de Continuidad de Negocio habilita mecanismos para comprobar su eficacia, entre los que destaca la realizacin de pruebas peridicas (42,3%).
5

Principales resultados
Incidentes que afectan a la seguridad de la informacin y continuidad de negocio Un 26,1% de las empresas creen haber sufrido un incidente de este tipo en 2011. La infeccin por malware (14,7%) y la recepcin de correo electrnico no deseado o spam (11,9%) son las circunstancias declaradas en mayor medida. Los percances ms frecuentes en relacin a los dispositivos mviles tienen que ver con la sustraccin o la prdida del terminal (7,1% y 7,2%, respectivamente). En el ltimo ao, 1 de cada 3 empresas han percibido situaciones o incidentes que han afectado de alguna forma a la continuidad de sus operaciones de negocio. Los episodios ms frecuentes son la avera de los sistemas de soporte (un 15,2%), la cada de los sistemas o aplicaciones informticas (11,3%) y la falta de servicio o suministro por parte de los proveedores (11,2%). Impacto y respuesta ante los incidentes Las consecuencias ms comunes tras sufrir un incidente son la perdida de tiempo y productividad, as como la parada en las operaciones. Despus del percance, un 38,5% de las empresas adopta una actitud proactiva incorporando herramientas y medidas de seguridad. Las actuaciones a nivel organizativo o estratgico son minoritarias. En casi la mitad de los casos, los encargados de resolver los incidentes son los tcnicos internos de las empresas, si bien destaca la proporcin que dice apoyarse en un servicio externo (40,9%).
6

Principales resultados
E-confianza Banca electrnica y medios de pago online (69,8%), pgina web empresarial (55,5%) y eAdministracin (51,9%) son los servicios TIC ms extendidos en la empresa espaola. Las redes sociales ganan protagonismo como canal de comunicacin. Facebook es la ms extendida (88,7%), seguida de Twitter (29,6%). Alto nivel de confianza en la mayora de los servicios, especialmente la eAdministracin (87,0%), la utilizacin de la banca electrnica y los medios de pago online (86,1%). Las redes sociales son el servicio que menos confianza genera. La falta de necesidad y la falta de inters son los motivos ms alegados para la no incorporacin de nuevos servicios.

Medidas de seguridad en la empresa

Uso de las TIC El ordenador de sobremesa resulta imprescindible en el negocio, estando presente en un 92,3% de las empresas. Las tecnologas inalmbricas y mviles tienen cada vez ms peso en las empresas.
Utilizacin de TIC en la empresa

Ordenadores de sobremesa

92,3%

Redes inalmbricas (Wifi)

66,2%

Red de rea local (LAN)

59,8%

Ordenadores porttiles

47,2%

Acceso remoto

41,3%

Dispositivos mviles (PDA, Smartphone, Tableta)

27,1% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Base: empresas que participan en el cuestionario de seguridad (n=1.144)

8

Medidas de seguridad en la empresa

Medidas de proteccin en los equipos Uso generalizado de soluciones paquetizadas: antivirus, cortafuegos y antispam. Menor penetracin de herramientas que requieren la participacin del usuario.

Nivel de implantacin declarado de soluciones de seguridad en la empresa

Antivirus/Antiespa Cortafuegos Antispam Bloqueo de ventanas emergentes Eliminacin de archivos temporales y cookies Sistemas de control de intrusin Plugins o complementos para el navegador Cifrado de datos 0% 20% 34,1% 40% 60% 80% 100% 52,9% 51,4% 75,4% 75,3% 71,5% 67,4% 96,1%

Base: empresas que participan en el cuestionario de seguridad (n=1.144)

9

Medidas de seguridad en la empresa

Frenos a la utilizacin de medidas de seguridad El desconocimiento y la falta de percepcin de riesgo son los principales motivos para no aplicar medidas de seguridad.
Motivos para no aplicar medidas de seguridad % Empresas que no lo utilizan 3,9 24,6 24,7 48,6 28,5 47,1 65,9 32,6

Soluciones

No conoce 2,3 35,6 28,0 37,0 33,3 38,0 35,1 29,1

No necesita 39,6 27,2 38,8 28,4 29,7 26,0 35,2 32,5

Precio 0,4 3,2 0,1 0,5 0,0 1,4 0,4 0,7

Ineficaces 5,1 0,8 0,8 0,5 0,9 0,4 0,5 1,1

Entorpecen 17,4 2,8 3,8 2,0 2,9 2,1 1,6 3,1

Otros 14,9 0,2 0,2 0,4 0,2 0,2 0,8 1,5

No contesta 20,3 30,2 28,3 31,2 33,0 31,9 26,4 32,0

Antivirus / Antiespa Cortafuegos Antispam Plugins Bloqueo de ventanas emergentes Sistemas de control de intrusin Cifrado de datos Eliminacin de archivos temporales y cookies

Base: empresas que no utilizan las herramientas y soluciones de seguridad

10

Medidas de seguridad en la empresa

Medidas de proteccin en dispositivos mviles corporativos El acceso mediante cdigo pin y la contrasea de desbloqueo son las medidas ms utilizadas para la proteccin de los dispositivos mviles.
Medidas de proteccin que se utilizan en los dispositivos mviles

Base: empresas que disponen de dispositivos mviles (n=459)

11

Medidas de seguridad en la empresa

Proteccin de la red wifi corporativa Los estndares WPA/WPA2 y WEP, son utilizados en la misma medida. Es necesario extender la incorporacin de los estndares WPA/WPA2.
Proteccin declarada en redes inalmbricas (wifi)

Base: empresas que disponen de red wifi (n=129)

12

Medidas de seguridad en la empresa

RRHH de seguridad El 56,3% de las empresas dispone de personal dedicado a garantizar la seguridad de la informacin. El 4,0% tiene profesionales internos que se dedican exclusivamente a la seguridad.
Personal dedicado a la seguridad de la informacin

0,6% 4,0% 17,0% 43,1% 56,3% 35,3%

S, con personal exclusivamente dedicado a la seguridad S, con personal interno de informtica S, mediante empresa externa No, no est considerado No sabe / No contesta

Base: empresas que participan en el cuestionario de seguridad (n=1.144)

13

Medidas de seguridad en la empresa

Estrategia y compromiso de la Direccin con la seguridad La mayora de los rganos directivos de las empresas valoran (muy o bastante importante) la proteccin de las TIC.
Nivel de importancia que la Direccin de la empresa otorga a la seguridad de la informacin

Base: total empresas que responden al cuestionario de seguridad (n=1.144)

14

Buenas prcticas de seguridad en la empresa

Buenas prcticas que complementan la seguridad Es reseable la adopcin de prcticas de seguridad como la realizacin de copias de seguridad y la actualizacin de programas. Los hbitos prudentes dirigidos a los empleados son ms minoritarios.
Realizacin de buenas prcticas por las empresas

Realizacin de copias de seguridad

88,2%

Actualizacin de programas

81,9%

Control y acceso a equipos y documentos

69,1%

Limitaciones a empleados para instalar programas

50,1%

Limitaciones a empleados para acceder a Internet

21,3%

0%

20%

40%

60%

80%

100%

Base: total empresas que responden al cuestionario de seguridad (n=1.144)

15

Buenas prcticas de seguridad en la empresa

Formacin para los empleados sobre riesgos de seguridad Algo ms de una cuarta parte de las empresas afirman que realiza formacin especfica sobre riesgos de seguridad. Los expertos sealan que en realidad esta cifra es menor y es necesario mejorar la sensibilizacin de la organizacin promoviendo acciones formativas.
Formacin sobre riesgos de seguridad impartida a los empleados en las empresas
2,2%

27,3%

70,5%

No

No sabe / No contesta
16

Base: total empresas que responden al cuestionario de seguridad (n=1.144)

Planes y Polticas de seguridad

Conocimiento del Plan de Continuidad de Negocio (PCN) Existe un desconocimiento importante del concepto Plan de Continuidad de Negocio. Hay empresas ms familiarizadas con este concepto, especialmente las de servicios empresariales y nuevas tecnologas de la informacin.
Grado de conocimiento de las empresas sobre Plan de Continuidad de Negocio

Base: total empresas que responden al cuestionario de continuidad de negocio (CN) (n=1.109)
17

Planes y Polticas de seguridad

Estrategias de continuidad de negocio
Previsin de estrategias de continuidad de negocio en caso de situaciones de crisis negocio
15,3%

Principal motivo por le que no se ha previsto una estrategia o procedimiento ante situaciones de crisis o desastre

6,5%

S, elaborada e implantada S, pero solo para la parte tecnolgica 15,5% No, pero est previsto hacerlo No, pero est previsto hacerlo Ns/Nc 11,0%

Probabilidad muy reducida de crisis No dispongo de personal / tiempo Coste excesivo Tengo otras prioridades de seguridad No se lo ha planteado Por desonocimiento Cuando ocurre lo solucionan ellos mismos Otra No sabe / No contesta

41,2% 19,3% 11,4% 10,0% 2,4% 1,4% 0,7% 1,7% 11,9% 0% 10% 20% 30% 40% 50%

51,7%

Base: empresas que responden al cuestionario de continuidad de negocio (n=1.109)

Base: empresas que carecen de estrategia de CN (n=416)

18

Planes y polticas de seguridad en la empresa

Tiempo mximo de interrupcin Una proporcin importante de empresas seala que el tiempo mximo que podran soportar en inactividad es de un da, tanto en el ao 2010 como en 2012.
Evolucin del tiempo mximo durante el que podra interrumpirse la actividad de la empresa sin suponer un impacto grave/critico en el negocio

2010

35,8%

11,7%

22,6%

12,5%

17,5%

2012

35,1%

7,8%

21,9%

11,7%

9,8%

6,8% 6,9%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Menos de 6 horas Menos de 5 das

Menos de 12 horas Ms de 5 das

Menos de 24 horas No sabe / No contesta

Menos de 48 horas

Base: total empresas 2012 (n=1.109); total empresa y casos de xito 2010 (n=429)
19

Planes y polticas de seguridad en la empresa

Adopcin de PCN en la empresa
empresas que afirman disponer de un PCN en la empresa Aspectos identificados dentro del PCN de la empresa
Evaluacin de riesgos

56,0% 45,2% 41,2% 36,6% 33,6% 32,2% 31,9% 4,4% 17,6% 0% 10% 20% 30% 40% 50% 60% 70%

No, no es necesario 14,4% 2,4% 5,2% 5,3% 59,8% 12,9% Si, tenemos un PCN completo S, pero solo abarca el aspecto tecnolgico No, es necesario pero no est previsto implantarlo No, pero est previsto implantarlo No sabe/No contesta

Asignacin de responsabilidades Activacin del plan de restablecimiento de las actividades de negocio Identificacin y priorizacin de procesos crticos Definicin de tiempos de recuperacin Estrategias de comunicacin del plan Pruebas del plan de continuidad Otros No sabe / No contesta

Base: total empresas que responden al cuestionario de seguridad (n=1.144)

Base: empresas que disponen de un PCN (n=337)

20

Incidentes de seguridad en la empresa

Incidencia de riesgos de seguridad Las empresas que disponen de personal dedicado a seguridad de la informacin son las que detectan los incidentes en mayor proporcin.
Percepcin de incidentes de seguridad vs. disposicin de personal dedicado a seguridad en la empresa

empresas que han sufrido un incidente de seguridad en el ltimo ao

100% 90% 80%

26,1%

70% 60%

53,6% 70,4% 78,5% 73,1%

73,9%

50% 40% 30% 20% 10% 0% Dispone de personal exclusivo de seguridad Dispone de personal interno de informtica Recurre a empresa externa No est considerado 46,4% 29,6% 21,5% 26,9%

No
Han sufrido incidentes No han sufrido incidentes

Base: total empresas que responden al cuestionario de seguridad (n=1.144)

Base: empresas que participan en el cuestionario de seguridad (n=1.144)

21

Incidentes de seguridad en la empresa

Incidentes de seguridad de la informacin Malware y emails masivos publicitarios son los incidentes de seguridad ms reconocidos por las empresas.
Incidentes de seguridad declarados por las empresas en el ltimo ao

Malware (virus, troyanos, etc.) E-mails masivos publicitarios (spam) Fallos tcnicos Dao fsico en equipos/programas Robo de identidades/suplantacin Sustraccin/extravo de dispositivos Accesos no autorizados externos Fraude online/Phishing Ataque distribuido de denegacin de servicio (DDoS) Fuga de datos por error/intencionada (personal interno) Sabotaje (ataque interno) Ninguno de los anteriores

14,7% 11,9% 4,3% 2,2% 1,1% 0,9% 0,9% 0,8% 0,6% 0,4% 0,3% 73,9% 20% 40% 60% 80% 100%

0%

Base: total empresas que responden al cuestionario de seguridad (n=1.144)

22

Incidentes de seguridad en la empresa

Incidentes de seguridad en dispositivos mviles La mayora de las empresas no perciben o no son conscientes de haber sufrido incidentes de seguridad en los dispositivos mviles. La sustraccin y la prdida de terminal son los percances ms destacados.
Incidentes de seguridad percibidos en los dispositivos mviles Incidentes declarados en los dispositivos mviles corporativos

Sustraccin del terminal

7,2% 7,1% 1,3% 0,9% 0,8% 0,0% 0,0% 77,0% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

8,6% 14,4%
Prdida de terminal Robo de datos (va bluetooth, Wi-Fi, etc.)

S No Ns/Nc
Rotura o deterioro Fraude con perjuicio econmico

77,0%

Intrusin por terceros (va bluetooth, WiFi, etc.) Malware (virus, troyanos, espas, etc.) No han sufrido ningn incidente

Base: total empresas que cuentan con dispositivos mviles (n=459)

23

Incidentes de seguridad en la empresa

Incidentes de continuidad de negocio Desde el 2010, han descendido los incidentes de seguridad sufridos en las empresas que han impactado en la continuidad de las actividades o procesos.
Evolucin de la incidencia declarada de situaciones que hayan impactado en la continuidad de los procesos u operaciones de negocio

8,1% 35,2% 33,6%

66,4% 56,7%

2010 (ltimos 3 meses) S No Ns/Nc

2012 (ltimo ao)

Base: ao 2012 (n=1.109) Base: ao 2010 (429)

24

Incidentes de seguridad en la empresa

Incidentes de continuidad de negocio La cada/avera del sistema de soporte es la principal circunstancia que ha puesto en peligro la continuidad de los procesos.
Incidentes de seguridad sufridos en el ltimo ao que haya impactado en la continuidad de los procesos u operaciones de negocio
Caida/avera del sistema de soporte Caida del sistema/aplicaciones informticas Falta de servicio/suministro por parte de proveedores Ataques informticos Dao fsico en equipos Inundacin/incendio/desastre natural Prdida de datos crticos Huelga/epidemia/baja de personal critico Incumplimiento legal/multas sanciones Ningn incidente 0% 10% 20% 30% 40% 50% 60% 15,2% 11,3% 11,2% 6,3% 5,8% 3,9% 2,7% 1,3% 1,1% 66,4% 70% 80%

Base: empresas que han respondido al cuestionario de continuidad de negocio (n=1.109)

25

Impacto y consecuencias de los incidentes

Consecuencias de los incidentes de seguridad Los fallos tcnicos han sido el incidente de seguridad que ha tenido consecuencias en mayor medida.
Existencia de consecuencias derivadas de los principales incidentes de seguridad

Fallos tcnicos

89,2%

10,8%

Malware

68,3%

31,7%

Emails masivos publicitarios

53,2%

46,8%

0% S tuvo consecuencias

10%

20%

30%

40%

50%

60%

70%

80%

90% 100%

No tuvo consecuencias

Base: empresas que han sufrido un incidente (malware n=199; emails masivos n=157; cada en los sistemas=90)
26

Impacto y consecuencias de los incidentes

Tipologa de las consecuencias provocadas por los incidentes de seguridad De forma general, las prdidas de tiempo, paradas de la actividad o consecuencias tcnicas son los principales efectos negativos derivados de los incidentes de seguridad.
Consecuencias derivadas de los principales incidentes de seguridad

27

Impacto y consecuencias de los incidentes

Tipologa de las consecuencias provocadas por los incidentes de CN Los impactos operativos son los ms destacados, independientemente del incidente vivido.
Consecuencias derivadas de los incidentes de continuidad de negocio
Incidentes que afectan a la continuidad del negocio Falta de servicio/ suministro por el proveedor

Tipos de consecuencias

Cada de sistemas/ aplicaciones informt.

Fallo/ avera del sistema de soporte

Dao fsico en equipos

Ataques informt.

Retrasos / horas perdidas / impacto en la productividad Econmico (coste directo) Dao a la imagen de la empresa (impacto reputaciones) Prdida de clientes con los que existiera un contrato en firme (impacto contractual) Sanciones / multas (impacto legal) Otra consecuencia Ningn impacto No sabe/ No contesta

83,9 14,6 2,0

81,8 21,3 6,2

73,4 21,1 4,4

70,2 46,3 4,9

52,7 10,4 2,1

0,1

7,2

3,4

0,4

0,4

0,4 0,3 9,8 2,3

4,0 0,1 7,5 0,9

0,1 10,6 0,6

10,0 0,1

4,3 36,7 -

Base: empresas que sufrieron incidentes de CN

28

Respuesta de la empresa a los incidentes

Actuaciones de respuesta Un 54,4% no adopta ninguna respuesta, frente a un 38,5% que muestra una actitud proactiva ante el incidente y sus posibles consecuencias. Las empresas optan por medidas ms inmediatas y menos costosas, frente a aquellas soluciones que implican actuaciones a nivel organizativo o estratgico.
Reaccin tras los incidentes de seguridad

He instalado/actualizado herramientas de seguridad He implantado nuevas medidas de seguridad Se ha impartido formacin sobre seguridad a los empleados Se han implantado medidas de continuidad de negocio Se ha implantado en un Sistema de Gestin de Seguridad Informtica (SGSI) (ISO 27001) Mi empresa ha dejado de utilizar ciertos servicios a travs de Internet Se ha contratado personal propio/servicio externo dedicado a la seguridad No sabe/ No contesta Seguimos haciendo lo mismo

19,7% 12,9% 2,2% 2,1% 0,9% 0,6% 0,1% 7,1% 54,4% 10% 20% 30% 40% 50% 60%

0%

Base: empresas que han sufrido algn incidente de seguridad (n=360)

29

Respuesta de la empresa a los incidentes

Resolucin de los incidentes El personal de la empresa es el principal agente encargado de resolver los incidentes ocasionados, seguido de un servicio tcnico profesional externo.
Forma adoptada para la resolucin de los incidentes

Personal de la empresa

48,5%

Un servicio tcnico profesional externo Personal de la empresa con asesoramiento profesional externo Un amigo/conocido con conocimientos informticos Otro 1,9%

33,5%

7,4%

2,6%

No lo ha resuelto

5,3%

No sabe / No contesta 0%

0,7% 10% 20% 30% 40% 50%

Base: empresas que han sufrido algn incidente de seguridad (n=360)

30

E-confianza de la empresa
Uso de servicios de Sociedad de la Informacin La banca electrnica y medios de pago online, la pgina web empresarial y e-Administracin son los servicios ms utilizados por las empresas.
Utilizacin declarada de servicios electrnicos a travs de Internet por parte de las empresas

Banca electrnica/medios de pago online Pgina web empresarial Trmites con la administracin (e-Administracin) Compra a travs de Internet Firma electrnica (Certificado, DNIe, etc.) Perfil en redes sociales Factura electrnica Contratacin electrnica Venta a travs de Internet 0% 26,8% 20,3% 17,7% 14,5% 20% 40% 60% 55,5% 51,9% 44,6% 40,1%

69,8%

80%

Base: total empresas que responden al cuestionario de seguridad (n=1.144)

31

E-confianza de la empresa
Empresas y redes sociales Las redes sociales ganan importancia como canal de comunicacin de las empresas. Gran predominio de Facebook como canal corporativo.
Presencia de las empresas en diferentes redes sociales

Facebook

88,7%

Twitter

29,6%

Google+

10,3%

Linkendin

10,1%

Youtube

9,8%

Scribd

0,1%

Otras 0%

5,3% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Base: total empresas que disponen de perfil en redes sociales (n=344)

32

E-confianza de la empresa
Confianza en los servicios de Internet De nuevo, la e-Administracin y la banca y medios de pago online son los servicios que ms confianza generan entre las empresas, adems de los ms extendidos. Las redes sociales ocupan el ltimo lugar.
Grado de confianza de las empresas en los diferentes servicios de Internet
e-Administracin Banca/medios de pago online Firma electrnica Factura electrnica Contratacin electrnica Pgina web empresarial Compra a travs de Internet Venta a travs de Internet Perfil en redes sociales 0% Bastante 87,0% 86,1% 83,9% 83,9% 75,3% 71,3% 71,3% 55,6% 45,9% 20% Suficiente 40% Poca 21,7% 35,9% 60% 80% Ns/nc 10,0% 11,9% 14,9% 15,9% 18,4% 17,9% 21,5% 6,3% 3,0% 7,2% 22,7% 18,2% 100% 3,0% 2,0% 1,2% 0,2%

Base: total empresas que responden al cuestionario de seguridad (n=1.144)

33

E-confianza de la empresa
Motivaciones para la no utilizacin de servicios TIC La falta de necesidad o la falta de inters es la principal barrera, especialmente en el caso de las redes sociales (88,6%), la venta online (87,0%) y la e-contratacin (85,8%). La falta de seguridad es un motivo alegado de forma minoritaria.
Motivos por los que las empresas no utilizan los servicios TIC
Motivos Servicios % empresas que no utilizan No necesita/No interesa No sabe cmo usarlo No le parece seguro Le resulta incmodo No sabe / no contesta

Venta a travs de Internet Contratacin electrnica Factura electrnica Perfil en redes sociales Firma electrnica (Certificado, DNI electrnico, etc.) Compra a travs de Internet Trmites con la administracin (e-Administracin) Pgina web empresarial Banca electrnica/medios de pago online

84,9% 78,0% 77,7% 71,4% 56,9% 54,7% 44,2% 44,3% 28,4%

87,0 85,8 77,7 88,6 82,4 82,4 74,2 86,3 68,0

3,4 6,0 6,2 4,6 9,3 3,5 6,3 4,4 7,0

3,7 2,2 0,8 3,3 1,9 7,7 2,8 1,1 12,5

5,9 6,0 15,3 3,5 6,4 6,4 16,7 1,6 12,5

6,6 -

Base: total empresas que responden al cuestionario de seguridad (n=1.144)

34

Perfiles de empresa segn seguridad / continuidad

Seguridad y e-confianza
Protegidas Precavidas Despreocupadas Imprudentes
Distribucin de empresas segn sus perfiles de seguridad y e-confianza

Continuidad de negocio
Preparadas Desprevenidas Indiferentes Temerarias
Distribucin de empresas segn sus perfiles en materia de continuidad de negocio

9,1% 22,5% 21,1% 24,4% Grupo 1: protegidas Grupo 2: precavidas Grupo 3: despreocupadas Grupo 4: imprudentes 29,1% 25,4% 44,7% 23,7% Grupo 1: preparadas Grupo 2: desprevenidas Grupo 3: indiferentes Grupo 4: temerarias

Base: total empresas que responden al cuestionario de seguridad (n=1.144)

Base: total empresas que responden al cuestionario de CN (n=1.109)

35

Perfiles de empresa segn seguridad y e-confianza

Despreocupadas
Predominan las microempresas del comercio y la hostelera. Manifiestan una escasa preocupacin por la seguridad. Reportan una incidencia baja de situaciones de riesgo. Utilizan poco los servicios de Internet, con un grado de confianza medio.

Precavidas
Predominan las microempresas de todos los sectores. Tienen una elevada preocupacin por la seguridad , pero no siempre cuentan con los mejores medios tcnicos. Reportan una incidencia baja de situaciones de riesgo. Utilizan poco los servicios de Internet, con un grado de confianza medio /alto.

Protegidas
Mayor presencia de medianas empresas, de la industria y servicios a empresas. Manifiestan una elevada preocupacin por la seguridad de la informacin. Cuentan con medios tcnicos y humanos para garantizarla. Baja incidencia de situaciones de riesgo Su grado de confianza en Internet es alto.

Imprudentes
Predominan las micro y pequeas empresas del comercio y hostelera y de otros servicios. Manifiestan una escasa preocupacin por la seguridad. Reportan una alta incidencia de situaciones de riesgo. Utilizan mucho las TIC y su grado de confianza en Internet es medio/alto.
Caution

36

Perfiles de empresa segn continuidad de negocio

Desprevenidas
Predominan las pequeas y microempresas del comercio y hostelera Se ven medianamente preparadas para afrontar una crisis. Reportan un alto nivel de incidentes. No identifican las actividades criticas de negocio. Disponen de una estrategia para situaciones de crisis.

Indiferentes
Predominan las microempresas de la industria y del comercio y hostelera. Dicen no estar preparadas para afrontar una situacin de crisis. Reportan un bajo nivel de incidencias. No estn identificadas las operaciones crticas de negocio. No disponen de estrategia para situaciones de crisis.

Preparadas
Predominan las pequeas y medianas empresas del sector servicios. Dicen estar preparadas para afrontar una situacin de crisis. Reportan un bajo nivel de incidencias. Tiene identificadas las actividades criticas de negocio. Disponen de una estrategia para situaciones de crisis.

Temerarias
Predominan las microempresas de industria. Dicen estar poco preparadas para afrontar situaciones de crisis. Reportan un alto nivel de incidencias. No identifican las actividades crticas de negocio. No tienen estrategia para afrontar situaciones de crisis.

37

Reflexiones finales
Anlisis DAFO
PUNTOS FUERTES PUNTOS DBILES Falsa sensacin de seguridad. Deficiencias en la cultura de seguridad en las empresas. El menor tamao resulta un factor determinante (en negativo) del nivel de proteccin. Escaso margen en el tiempo de interrupcin permitidos. Enfoque de la seguridad excesivamente dirigido a la dimensin tecnolgica. AMENAZAS

Buena capacidad tecnolgica de la empresa. Notable nivel de implantacin de medidas de seguridad preventivas. Sensibilidad al tiempo de reactivacin. Respuesta favorable a iniciativas.

OPORTUNIDADES

Enfoque conjunto de los diferentes actores para una mejor orientacin hacia las empresas. Amplia cartera de servicios de seguridad y continuidad de negocio. Externalizacin de las funciones de TI y seguridad de la informacin.

Lento progreso de la seguridad. Recrudecimiento de las consecuencias de los ataques. Nuevos desafos tecnolgicos y nuevos riesgos de seguridad.

38

Recomendaciones
Recomendaciones para las empresas Sensibilizacin Implementacin

Avanzar en la sensibilizacin de las empresas sobre los riesgos de seguridad de la informacin. Fomentar la incorporacin de buenas prcticas para los miembros de la organizacin. Adoptar estrategias de continuidad de negocio para asegurar la resistencia de las organizacin ante una crisis o desastre.

Acudir a profesionales externos que solventen la falta de recursos internos sin renunciar a la seguridad. Utilizar correctamente las herramientas y medidas de seguridad. Establecer criterios de seguridad en las relaciones con los proveedores. Mantenerse actualizados de las novedades en materia de riesgos de seguridad y medidas de proteccin.

39

Recomendaciones
Recomendaciones para la industria de seguridad y la Administracin
Adecuar la oferta de productos y soluciones de seguridad a la realidad de la empresa espaola. Desplegar actuaciones que ayuden a complementar la seguridad en la organizacin desde la concienciacin y la formacin. Promover la profesionalizacin de las empresas del canal de distribucin de soluciones de seguridad. Colaborar estrechamente con las Administraciones Pblicas. Asesorar al empresario para que incorpore competencias de seguridad de la informacin. Desplegar acciones de sensibilizacin basadas en los beneficios del uso de servicios TIC y la seguridad proactiva. Promover el desarrollo de estrategias empresariales basadas en estndares. Desplegar acciones informativas y formativas para el personal de las empresas. Estudiar el estado de la seguridad de la informacin y la continuidad de negocio en las empresas espaolas. Realizar acciones especficas para las empresas de servicios de tecnologas de la informacin (TI).
40

Administracin

Industria

Sguenos a travs de:

Web

http://observatorio.inteco.es Perfil de Facebook http://www.facebook.com/ObservaINTECO Perfil de Twitter http://www.twitter.com/ObservaINTECO Perfil de Scribd http://www.scribd.com/ObservaINTECO Perfil de Youtube http://www.youtube.com/ObservaINTECO Blog del Observatorio de la Seguridad de la Informacin http://www.inteco.es/BlogSeguridad

Envanos tus preguntas y comentarios a:

observatorio@inteco.es

http://www.inteco.es http://observatorio.inteco.es