Professional Documents
Culture Documents
Objetivos y metodologa
PROYECTO DE INVESTIGACIN SOBRE LA SEGURIDAD DE LA INFORMACIN Y LA CONTINUIDAD DE NEGOCIO EN LAS EMPRESAS ESPAOLAS
http://observatorio.inteco.es
4
Principales resultados
Herramientas, buenas prcticas y polticas de seguridad en las empresas Notable grado de implantacin de medidas y hbitos de seguridad bsicos: Antivirus y cortafuegos son las herramientas ms habituales (un 96,1% y un 75,4%, respectivamente). Un 56,% de las empresas dispone de personal destinado a la seguridad de la informacin (un 21% mediante personal interno y un 35,3% mediante empresa externa). Se observa una amplia penetracin de hbitos de proteccin como las copias de seguridad o la actualizacin del sistema operativo y programas (88,2 % y 81,9% respectivamente). La seguridad de la informacin ha evolucionado favorablemente en el ltimo ao, a juicio de las empresas participantes en la investigacin. Las empresas creen realizar auditoras de seguridad y disponer de certificaciones en Sistemas de Gestin de la Seguridad de la Informacin (SGSI) en mayor medida que lo que afirman los datos oficiales. Cuatro de cada diez empresas encuestadas conoce el significado de los Planes de Continuidad de Negocio. Un 12,9% afirma disponer de un PCN y un 5,3% tiene un plan para el componente tecnolgico. Un 31,9% de las empresas con Plan de Continuidad de Negocio habilita mecanismos para comprobar su eficacia, entre los que destaca la realizacin de pruebas peridicas (42,3%).
5
Principales resultados
Incidentes que afectan a la seguridad de la informacin y continuidad de negocio Un 26,1% de las empresas creen haber sufrido un incidente de este tipo en 2011. La infeccin por malware (14,7%) y la recepcin de correo electrnico no deseado o spam (11,9%) son las circunstancias declaradas en mayor medida. Los percances ms frecuentes en relacin a los dispositivos mviles tienen que ver con la sustraccin o la prdida del terminal (7,1% y 7,2%, respectivamente). En el ltimo ao, 1 de cada 3 empresas han percibido situaciones o incidentes que han afectado de alguna forma a la continuidad de sus operaciones de negocio. Los episodios ms frecuentes son la avera de los sistemas de soporte (un 15,2%), la cada de los sistemas o aplicaciones informticas (11,3%) y la falta de servicio o suministro por parte de los proveedores (11,2%). Impacto y respuesta ante los incidentes Las consecuencias ms comunes tras sufrir un incidente son la perdida de tiempo y productividad, as como la parada en las operaciones. Despus del percance, un 38,5% de las empresas adopta una actitud proactiva incorporando herramientas y medidas de seguridad. Las actuaciones a nivel organizativo o estratgico son minoritarias. En casi la mitad de los casos, los encargados de resolver los incidentes son los tcnicos internos de las empresas, si bien destaca la proporcin que dice apoyarse en un servicio externo (40,9%).
6
Principales resultados
E-confianza Banca electrnica y medios de pago online (69,8%), pgina web empresarial (55,5%) y eAdministracin (51,9%) son los servicios TIC ms extendidos en la empresa espaola. Las redes sociales ganan protagonismo como canal de comunicacin. Facebook es la ms extendida (88,7%), seguida de Twitter (29,6%). Alto nivel de confianza en la mayora de los servicios, especialmente la eAdministracin (87,0%), la utilizacin de la banca electrnica y los medios de pago online (86,1%). Las redes sociales son el servicio que menos confianza genera. La falta de necesidad y la falta de inters son los motivos ms alegados para la no incorporacin de nuevos servicios.
Ordenadores de sobremesa
92,3%
66,2%
59,8%
Ordenadores porttiles
47,2%
Acceso remoto
41,3%
27,1% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Soluciones
Antivirus / Antiespa Cortafuegos Antispam Plugins Bloqueo de ventanas emergentes Sistemas de control de intrusin Cifrado de datos Eliminacin de archivos temporales y cookies
S, con personal exclusivamente dedicado a la seguridad S, con personal interno de informtica S, mediante empresa externa No, no est considerado No sabe / No contesta
88,2%
Actualizacin de programas
81,9%
69,1%
50,1%
21,3%
0%
20%
40%
60%
80%
100%
27,3%
70,5%
No
No sabe / No contesta
16
Base: total empresas que responden al cuestionario de continuidad de negocio (CN) (n=1.109)
17
Principal motivo por le que no se ha previsto una estrategia o procedimiento ante situaciones de crisis o desastre
6,5%
S, elaborada e implantada S, pero solo para la parte tecnolgica 15,5% No, pero est previsto hacerlo No, pero est previsto hacerlo Ns/Nc 11,0%
Probabilidad muy reducida de crisis No dispongo de personal / tiempo Coste excesivo Tengo otras prioridades de seguridad No se lo ha planteado Por desonocimiento Cuando ocurre lo solucionan ellos mismos Otra No sabe / No contesta
41,2% 19,3% 11,4% 10,0% 2,4% 1,4% 0,7% 1,7% 11,9% 0% 10% 20% 30% 40% 50%
51,7%
18
2010
35,8%
11,7%
22,6%
12,5%
17,5%
2012
35,1%
7,8%
21,9%
11,7%
9,8%
6,8% 6,9%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Menos de 48 horas
Base: total empresas 2012 (n=1.109); total empresa y casos de xito 2010 (n=429)
19
56,0% 45,2% 41,2% 36,6% 33,6% 32,2% 31,9% 4,4% 17,6% 0% 10% 20% 30% 40% 50% 60% 70%
No, no es necesario 14,4% 2,4% 5,2% 5,3% 59,8% 12,9% Si, tenemos un PCN completo S, pero solo abarca el aspecto tecnolgico No, es necesario pero no est previsto implantarlo No, pero est previsto implantarlo No sabe/No contesta
Asignacin de responsabilidades Activacin del plan de restablecimiento de las actividades de negocio Identificacin y priorizacin de procesos crticos Definicin de tiempos de recuperacin Estrategias de comunicacin del plan Pruebas del plan de continuidad Otros No sabe / No contesta
20
26,1%
70% 60%
73,9%
50% 40% 30% 20% 10% 0% Dispone de personal exclusivo de seguridad Dispone de personal interno de informtica Recurre a empresa externa No est considerado 46,4% 29,6% 21,5% 26,9%
No
Han sufrido incidentes No han sufrido incidentes
21
Malware (virus, troyanos, etc.) E-mails masivos publicitarios (spam) Fallos tcnicos Dao fsico en equipos/programas Robo de identidades/suplantacin Sustraccin/extravo de dispositivos Accesos no autorizados externos Fraude online/Phishing Ataque distribuido de denegacin de servicio (DDoS) Fuga de datos por error/intencionada (personal interno) Sabotaje (ataque interno) Ninguno de los anteriores
14,7% 11,9% 4,3% 2,2% 1,1% 0,9% 0,9% 0,8% 0,6% 0,4% 0,3% 73,9% 20% 40% 60% 80% 100%
0%
7,2% 7,1% 1,3% 0,9% 0,8% 0,0% 0,0% 77,0% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
8,6% 14,4%
Prdida de terminal Robo de datos (va bluetooth, Wi-Fi, etc.)
S No Ns/Nc
Rotura o deterioro Fraude con perjuicio econmico
77,0%
Intrusin por terceros (va bluetooth, WiFi, etc.) Malware (virus, troyanos, espas, etc.) No han sufrido ningn incidente
66,4% 56,7%
Fallos tcnicos
89,2%
10,8%
Malware
68,3%
31,7%
53,2%
46,8%
0% S tuvo consecuencias
10%
20%
30%
40%
50%
60%
70%
80%
90% 100%
No tuvo consecuencias
Base: empresas que han sufrido un incidente (malware n=199; emails masivos n=157; cada en los sistemas=90)
26
27
Tipos de consecuencias
Ataques informt.
Retrasos / horas perdidas / impacto en la productividad Econmico (coste directo) Dao a la imagen de la empresa (impacto reputaciones) Prdida de clientes con los que existiera un contrato en firme (impacto contractual) Sanciones / multas (impacto legal) Otra consecuencia Ningn impacto No sabe/ No contesta
0,1
7,2
3,4
0,4
0,4
10,0 0,1
4,3 36,7 -
He instalado/actualizado herramientas de seguridad He implantado nuevas medidas de seguridad Se ha impartido formacin sobre seguridad a los empleados Se han implantado medidas de continuidad de negocio Se ha implantado en un Sistema de Gestin de Seguridad Informtica (SGSI) (ISO 27001) Mi empresa ha dejado de utilizar ciertos servicios a travs de Internet Se ha contratado personal propio/servicio externo dedicado a la seguridad No sabe/ No contesta Seguimos haciendo lo mismo
19,7% 12,9% 2,2% 2,1% 0,9% 0,6% 0,1% 7,1% 54,4% 10% 20% 30% 40% 50% 60%
0%
Personal de la empresa
48,5%
Un servicio tcnico profesional externo Personal de la empresa con asesoramiento profesional externo Un amigo/conocido con conocimientos informticos Otro 1,9%
33,5%
7,4%
2,6%
No lo ha resuelto
5,3%
No sabe / No contesta 0%
E-confianza de la empresa
Uso de servicios de Sociedad de la Informacin La banca electrnica y medios de pago online, la pgina web empresarial y e-Administracin son los servicios ms utilizados por las empresas.
Utilizacin declarada de servicios electrnicos a travs de Internet por parte de las empresas
Banca electrnica/medios de pago online Pgina web empresarial Trmites con la administracin (e-Administracin) Compra a travs de Internet Firma electrnica (Certificado, DNIe, etc.) Perfil en redes sociales Factura electrnica Contratacin electrnica Venta a travs de Internet 0% 26,8% 20,3% 17,7% 14,5% 20% 40% 60% 55,5% 51,9% 44,6% 40,1%
69,8%
80%
E-confianza de la empresa
Empresas y redes sociales Las redes sociales ganan importancia como canal de comunicacin de las empresas. Gran predominio de Facebook como canal corporativo.
Presencia de las empresas en diferentes redes sociales
88,7%
29,6%
Google+
10,3%
Linkendin
10,1%
Youtube
9,8%
Scribd
0,1%
Otras 0%
5,3% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
E-confianza de la empresa
Confianza en los servicios de Internet De nuevo, la e-Administracin y la banca y medios de pago online son los servicios que ms confianza generan entre las empresas, adems de los ms extendidos. Las redes sociales ocupan el ltimo lugar.
Grado de confianza de las empresas en los diferentes servicios de Internet
e-Administracin Banca/medios de pago online Firma electrnica Factura electrnica Contratacin electrnica Pgina web empresarial Compra a travs de Internet Venta a travs de Internet Perfil en redes sociales 0% Bastante 87,0% 86,1% 83,9% 83,9% 75,3% 71,3% 71,3% 55,6% 45,9% 20% Suficiente 40% Poca 21,7% 35,9% 60% 80% Ns/nc 10,0% 11,9% 14,9% 15,9% 18,4% 17,9% 21,5% 6,3% 3,0% 7,2% 22,7% 18,2% 100% 3,0% 2,0% 1,2% 0,2%
E-confianza de la empresa
Motivaciones para la no utilizacin de servicios TIC La falta de necesidad o la falta de inters es la principal barrera, especialmente en el caso de las redes sociales (88,6%), la venta online (87,0%) y la e-contratacin (85,8%). La falta de seguridad es un motivo alegado de forma minoritaria.
Motivos por los que las empresas no utilizan los servicios TIC
Motivos Servicios % empresas que no utilizan No necesita/No interesa No sabe cmo usarlo No le parece seguro Le resulta incmodo No sabe / no contesta
Venta a travs de Internet Contratacin electrnica Factura electrnica Perfil en redes sociales Firma electrnica (Certificado, DNI electrnico, etc.) Compra a travs de Internet Trmites con la administracin (e-Administracin) Pgina web empresarial Banca electrnica/medios de pago online
6,6 -
Continuidad de negocio
Preparadas Desprevenidas Indiferentes Temerarias
Distribucin de empresas segn sus perfiles en materia de continuidad de negocio
9,1% 22,5% 21,1% 24,4% Grupo 1: protegidas Grupo 2: precavidas Grupo 3: despreocupadas Grupo 4: imprudentes 29,1% 25,4% 44,7% 23,7% Grupo 1: preparadas Grupo 2: desprevenidas Grupo 3: indiferentes Grupo 4: temerarias
35
Despreocupadas
Predominan las microempresas del comercio y la hostelera. Manifiestan una escasa preocupacin por la seguridad. Reportan una incidencia baja de situaciones de riesgo. Utilizan poco los servicios de Internet, con un grado de confianza medio.
Precavidas
Predominan las microempresas de todos los sectores. Tienen una elevada preocupacin por la seguridad , pero no siempre cuentan con los mejores medios tcnicos. Reportan una incidencia baja de situaciones de riesgo. Utilizan poco los servicios de Internet, con un grado de confianza medio /alto.
Protegidas
Mayor presencia de medianas empresas, de la industria y servicios a empresas. Manifiestan una elevada preocupacin por la seguridad de la informacin. Cuentan con medios tcnicos y humanos para garantizarla. Baja incidencia de situaciones de riesgo Su grado de confianza en Internet es alto.
Imprudentes
Predominan las micro y pequeas empresas del comercio y hostelera y de otros servicios. Manifiestan una escasa preocupacin por la seguridad. Reportan una alta incidencia de situaciones de riesgo. Utilizan mucho las TIC y su grado de confianza en Internet es medio/alto.
Caution
36
Desprevenidas
Predominan las pequeas y microempresas del comercio y hostelera Se ven medianamente preparadas para afrontar una crisis. Reportan un alto nivel de incidentes. No identifican las actividades criticas de negocio. Disponen de una estrategia para situaciones de crisis.
Indiferentes
Predominan las microempresas de la industria y del comercio y hostelera. Dicen no estar preparadas para afrontar una situacin de crisis. Reportan un bajo nivel de incidencias. No estn identificadas las operaciones crticas de negocio. No disponen de estrategia para situaciones de crisis.
Preparadas
Predominan las pequeas y medianas empresas del sector servicios. Dicen estar preparadas para afrontar una situacin de crisis. Reportan un bajo nivel de incidencias. Tiene identificadas las actividades criticas de negocio. Disponen de una estrategia para situaciones de crisis.
Temerarias
Predominan las microempresas de industria. Dicen estar poco preparadas para afrontar situaciones de crisis. Reportan un alto nivel de incidencias. No identifican las actividades crticas de negocio. No tienen estrategia para afrontar situaciones de crisis.
37
Reflexiones finales
Anlisis DAFO
PUNTOS FUERTES PUNTOS DBILES Falsa sensacin de seguridad. Deficiencias en la cultura de seguridad en las empresas. El menor tamao resulta un factor determinante (en negativo) del nivel de proteccin. Escaso margen en el tiempo de interrupcin permitidos. Enfoque de la seguridad excesivamente dirigido a la dimensin tecnolgica. AMENAZAS
Buena capacidad tecnolgica de la empresa. Notable nivel de implantacin de medidas de seguridad preventivas. Sensibilidad al tiempo de reactivacin. Respuesta favorable a iniciativas.
OPORTUNIDADES
Enfoque conjunto de los diferentes actores para una mejor orientacin hacia las empresas. Amplia cartera de servicios de seguridad y continuidad de negocio. Externalizacin de las funciones de TI y seguridad de la informacin.
Lento progreso de la seguridad. Recrudecimiento de las consecuencias de los ataques. Nuevos desafos tecnolgicos y nuevos riesgos de seguridad.
38
Recomendaciones
Recomendaciones para las empresas Sensibilizacin Implementacin
Avanzar en la sensibilizacin de las empresas sobre los riesgos de seguridad de la informacin. Fomentar la incorporacin de buenas prcticas para los miembros de la organizacin. Adoptar estrategias de continuidad de negocio para asegurar la resistencia de las organizacin ante una crisis o desastre.
Acudir a profesionales externos que solventen la falta de recursos internos sin renunciar a la seguridad. Utilizar correctamente las herramientas y medidas de seguridad. Establecer criterios de seguridad en las relaciones con los proveedores. Mantenerse actualizados de las novedades en materia de riesgos de seguridad y medidas de proteccin.
39
Recomendaciones
Recomendaciones para la industria de seguridad y la Administracin
Adecuar la oferta de productos y soluciones de seguridad a la realidad de la empresa espaola. Desplegar actuaciones que ayuden a complementar la seguridad en la organizacin desde la concienciacin y la formacin. Promover la profesionalizacin de las empresas del canal de distribucin de soluciones de seguridad. Colaborar estrechamente con las Administraciones Pblicas. Asesorar al empresario para que incorpore competencias de seguridad de la informacin. Desplegar acciones de sensibilizacin basadas en los beneficios del uso de servicios TIC y la seguridad proactiva. Promover el desarrollo de estrategias empresariales basadas en estndares. Desplegar acciones informativas y formativas para el personal de las empresas. Estudiar el estado de la seguridad de la informacin y la continuidad de negocio en las empresas espaolas. Realizar acciones especficas para las empresas de servicios de tecnologas de la informacin (TI).
40
Administracin
Industria
Web
http://observatorio.inteco.es Perfil de Facebook http://www.facebook.com/ObservaINTECO Perfil de Twitter http://www.twitter.com/ObservaINTECO Perfil de Scribd http://www.scribd.com/ObservaINTECO Perfil de Youtube http://www.youtube.com/ObservaINTECO Blog del Observatorio de la Seguridad de la Informacin http://www.inteco.es/BlogSeguridad
http://www.inteco.es http://observatorio.inteco.es