Además de disponer de los recursos técnicos destinados a la seguridad de la información, es imprescindible que los empleados realicen una buena gestión de ellos. Así, las empresas pueden establecer diferentes limitaciones de acceso a servicios y contenidos de Internet, bien con carácter general, bien para determinados servicios y/o perfiles. Por ello es importante definir un conjunto de buenas prácticas que promuevan un uso seguro y responsable de los servicios relacionados con las tecnologías de la información y las comunicaciones.
En el presente apartado se analizan las limitaciones que la empresa impone a sus empleados para el acceso a los contenidos de Internet, la capacidad de estos para instalar programas, y la formación específica que la empresa les proporciona.
En primer lugar, las empresas establecen diferentes controles para el acceso a Internet por parte de sus empleados: un 9% gestiona este acceso centralizándolo en unos pocos empleados a los que concede privilegios, un 6,7% realiza este filtro a través de herramientas de filtrado en el
11,8%
80,9%
7,3%
Sí No No sabe / No contesta
navegador. Por su parte, un 5,6% de las empresas prohíben el uso de servicios de tipo personal (redes sociales, correo personal, etc.). Por último, un 3,5% afirman proporcionar a los empleados una orientación común para el uso de Internet.
A pesar de tener en cuenta diversas posibilidades, esta práctica es reducida: un 76,7% de las empresas afirma no tener ninguna limitación de acceso.
El análisis más pormenorizado y segmentado en función del tamaño indica la relación inversa entre el tamaño y la libertad de acceso de los empleados a la Red. Asimismo, la presencia de limitaciones en el acceso a los servicios y contenidos de Internet es heterogénea en función del tipo de empresa: así, mientras micro y pequeñas empresas optan por un control gestionado por responsables, las medianas disponen en mayor medida de herramientas y procedimientos. Por otra parte, pequeñas y medianas conceden la menor importancia a la limitación de Internet para uso personal.
Gráfico 23: Existencia de límites de acceso a los servicios y contenidos de Internet para los empleados (%)
Base: Total empresas que responden al cuestionario de seguridad (n=1.144) Fuente: INTECO
El segundo lugar, se analiza el hábito prudente relativo a la concesión de permisos para la instalación de programas. La instalación o incorporación en el equipo de aplicaciones y dispositivos es un proceso que no está exento de riesgos de seguridad (infección por malware, vulnerabilidades relacionadas con la descarga e instalación de software, etc.) si no se toman las precauciones necesarias.
Los expertos recomiendan que esta práctica sea realizada por personal cualificado para ello, por ejemplo un profesional informático, en caso de que exista esa figura. En este sentido, es importante estudiar si se supervisa el proceso de instalación en la empresa, es decir, si se extiende la seguridad a aspectos organizativos.
2,0%
3,5%
5,6%
6,7%
9,0%
76,7%
0% 20% 40% 60% 80% 100%
No sabe / No contesta Existe una política formalizada de uso de Internet Está prohibido el uso de Internet para uso personal
(redes sociales, correo personal, prensa, etc.) El acceso a ciertos contenidos está limitado con una
herramienta de filtrado
Está limitado excepto para determinados empleados con privilegios
No existe ningún límite de uso de Internet
Como muestra el Gráfico 24, la mitad de las organizaciones participantes en el estudio dicen dar libertad a sus trabajadores para instalar programas, mientras que un 45,3% afirma contar con una figura que se encarga de gestionar esta actividad.
En la pequeña y mediana empresa existe un comportamiento similar: ambos grupos señalan en gran medida que la instalación de los programas necesita ser ejecutada por un responsable (un 72,3% y un 79,8% respectivamente), mientras que la microempresa sólo dispone de esta figura en un 43,6% de los casos. Esta circunstancia se debe en parte a que las empresas más pequeñas, carecen de un responsable de informática que lleve a cabo la instalación y el control de los programas, de modo que son los propios trabajadores los que se encargan de esta tarea. Por otro lado, en este estrato el reducido número de trabajadores implica que los empleados que realizan otras tareas asuman también las relacionadas con la informática y la seguridad de la información.
Gráfico 24: Percepción de la capacidad de los empleados para instalar programas (%)
Base: Total empresas que responden al cuestionario de seguridad (n=1.144) Fuente: INTECO
Por último, con el objeto de mantener y mejorar la seguridad de la información de las empresas, además de disponer de personal dedicado a ello es necesario que los trabajadores tengan conocimiento de cuestiones básicas de seguridad. En este sentido, el porcentaje de empresas que facilitan formación específica sobre los riesgos en seguridad alcanza el 27,3%.
Según el estudio “Tecnologías de la información y la comunicación en la empresa”, realizado por AETIC-Everis en el año 2011, el 14,0% de las empresas realiza habitualmente formación específica en TIC / uso de la informática, el 39,0% lo hace alguna vez, mientras que el 46,4% no lo realiza nunca. Al comparar ambos estudios, se advierte que los datos obtenidos por INTECO se sitúan en un valor intermedio del estudio AETIC-Everis, entre quienes se le informa habitualmente y quienes lo hacen alguna vez (teniendo en cuenta que dentro de esta formación, se pueden proporcionar nociones de seguridad).
50,1%
45,3%
4,6%
Sí, pueden instalar libremente programas No, necesitan que lo haga un responsable No sabe / No contesta
Por su parte, los expertos consultados en el marco del estudio consideran que la formación declarada por las empresas sobre riesgos de seguridad adquiere valores muy altos y que, en realidad, el porcentaje es sensiblemente menor. Así mismo, consideran necesario mejorar la sensibilización en la organización, promoviendo acciones informativas y formativas en aspectos de seguridad. A este respecto, los responsables de las empresas participantes en las entrevistas en profundidad añaden el excesivo coste de la formación específica en materia de seguridad, por lo que “sería deseable que esta fuera subvencionada o financiada y que desde la Administración se promovieran acciones específicas de concienciación”.
Para concluir, el análisis atendiendo al sector en el que opera la empresa indica que esta práctica es más probable en empresas relacionadas con el sector TIC y de servicios a empresas, mientras que se da con menor frecuencia en sectores como el de logística y comunicaciones, industria o comercio.
Gráfico 25: Formación específica sobre riesgos de seguridad en las empresas (%)
Base: Total empresas que responden al cuestionario de seguridad (n=1.144) Fuente: INTECO 27,3%
70,5%
2,2%
Sí No No sabe / No contesta
5 PLANES Y POLÍTICAS DE SEGURIDAD
La disposición de planes y políticas de seguridad por parte de las empresas es otra de las prácticas que les permiten disponer de una estrategia para el aumento progresivo del nivel de seguridad.
En el siguiente apartado se analiza, entre otras cuestiones, la percepción de la compañía sobre planes y políticas de seguridad, el análisis del conocimiento sobre los planes de continuidad de negocio, y la situación de la seguridad desde el punto de vista de la continuidad, así como sus estrategias y procedimientos.