• No se han encontrado resultados

Estudio sobre seguridad de la

N/A
N/A
Info
Descargar
Protected

Academic year: 2023

Share "Estudio sobre seguridad de la "

Copied!
126
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 126 página )

Texto completo

El 56,3% de las empresas españolas afirma disponer de recursos humanos dedicados a la seguridad de la información (el 21,0% a través de personal interno y el 35,3% a través de una empresa externa). Estudiar el estado de la seguridad de la información y la continuidad del negocio en las empresas españolas.

Presentación

Elaboración de estudios e informes propios sobre la seguridad de las tecnologías de la información y las comunicaciones, con especial énfasis en la seguridad y privacidad en Internet. Seguimiento de indicadores clave y políticas gubernamentales relacionadas con la seguridad y confianza de la información a nivel nacional e internacional.

Estudio sobre seguridad de la información y continuidad de negocio en las empresas

Dispones de indicadores que permiten conocer la situación actual en materia de seguridad y continuidad del negocio en las empresas españolas. Identificar patrones o perfiles de comportamiento en la empresa relacionados con la implantación de la cultura de seguridad y la continuidad del negocio.

Fase 1: análisis documental

Fase 2: encuesta a empresas

El siguiente gráfico muestra la distribución del tamaño de la población de estudio para cada una de las dos partes de la encuesta. Por tanto, esta ponderación se realizó en función de las siguientes variables: tamaño de la empresa (número de empleados) y sector de actividad y área geográfica.

Gráfico 1: Distribución de la masa laboral de empleados en España (%)
Gráfico 1: Distribución de la masa laboral de empleados en España (%)

Fase 3: entrevistas en profundidad

A partir de la información recogida en la encuesta se ha implementado un plan de utilización estadística que nos ha permitido dar respuesta a los objetivos definidos. El primer paso para el análisis consiste en la tabla base, que proporciona información general de la encuesta y permite medir la calidad de los datos.

Ilustración 2: Perfiles de empresas participantes en la fase de entrevistas en profundidad SEGURIDAD DE LA INFORMACIÓN
Ilustración 2: Perfiles de empresas participantes en la fase de entrevistas en profundidad SEGURIDAD DE LA INFORMACIÓN

Fase 4: grupo de trabajo final con expertos cualificados

Otro indicador del nivel de importancia de las TIC en las pequeñas y medianas empresas españolas es la interconexión de sus dispositivos. El análisis se basa en la opinión de los responsables de la seguridad y continuidad de las empresas sobre los procedimientos y herramientas que garantizan la integridad, disponibilidad y confidencialidad de la información.

Gráfico 3: Distribución del uso de tecnologías TIC (%)
Gráfico 3: Distribución del uso de tecnologías TIC (%)

Herramientas de seguridad en la empresa española: implantación y motivación

La siguiente tabla muestra los motivos aportados por las empresas para justificar la no disponibilidad de las distintas herramientas de seguridad. Las empresas que indicaron no contar con las diversas herramientas de seguridad alegan diferentes razones por las que no las implementan, principalmente desconocimiento y falta de necesidad16.

Gráfico 4: Nivel de implantación declarado de soluciones de seguridad en la empresa (%)
Gráfico 4: Nivel de implantación declarado de soluciones de seguridad en la empresa (%)

Seguridad en dispositivos móviles y comunicaciones inalámbricas

La diferencia también es pronunciada en el caso de las copias de seguridad (el 88,2% menciona que las realiza en ordenadores, frente al 31,7% en el móvil). El gráfico 7 muestra la percepción de las empresas al comparar el nivel de seguridad de los dispositivos móviles frente a equipos fijos y portátiles.

Gráfico 6 : Medidas de seguridad utilizadas/instaladas en los dispositivos móviles (%)
Gráfico 6 : Medidas de seguridad utilizadas/instaladas en los dispositivos móviles (%)

Personal dedicado a la seguridad de la información

Resulta especialmente significativo que el 44,8% de las microempresas no cuentan en su plantilla con personas involucradas en la seguridad de la información. Por su parte, tal y como indican los responsables de seguridad entrevistados, en las empresas de menor tamaño la prioridad del administrador del sistema informático es dar servicio y, en segundo lugar, organizar la seguridad de la información.

Gráfico 10: Empresas que afirman contar con personas dedicadas a la seguridad de la información
Gráfico 10: Empresas que afirman contar con personas dedicadas a la seguridad de la información

Estrategia corporativa en seguridad e implicación de la dirección

En relación con lo anterior, la importancia que la dirección de la empresa concede a la seguridad de la información promueve estas actividades en la organización y por tanto en el conjunto del tejido empresarial español. Además de los recursos necesarios, la seguridad de la información en las empresas debe incluir la implementación de buenas prácticas.

Gráfico 13: Nivel de importancia que la dirección de la empresa otorga a la seguridad de la información (%)
Gráfico 13: Nivel de importancia que la dirección de la empresa otorga a la seguridad de la información (%)

Copias de seguridad

Las empresas están divididas a la hora de elegir el sistema utilizado para realizar copias de seguridad. En términos generales, la creación de copias de seguridad es una actividad que realizan excepcionalmente las empresas.

Gráfico 14: Evolución percibida de la realización de copias de seguridad (%)
Gráfico 14: Evolución percibida de la realización de copias de seguridad (%)

Actualización de programas y sistemas

En general, de los datos se puede inferir que las empresas adoptan una posición pasiva frente a las actualizaciones del sistema operativo y de los programas, apoyándose en las que realiza automáticamente el propio sistema. Según los expertos que participaron en el estudio, este aspecto refleja un desconocimiento sobre los procedimientos para realizar las actualizaciones.

Medidas de control de acceso a equipos y documentos

Por el contrario, el 63,2% de las empresas no ha establecido estándares para la gestión de contraseñas, lo que indica que aún queda trabajo por hacer en este sentido. Tal y como destacaron los expertos en seguridad y directivos de las empresas entrevistadas, es necesario seguir mejorando el conocimiento sobre los controles de acceso y los criterios necesarios para que sean efectivos y garanticen la seguridad de la información.

Buenas prácticas en dispositivos móviles

En la práctica, 1 de cada 3 empresas ha adoptado estándares para la creación de contraseñas: el 9,2% afirma haber establecido los criterios de robustez, el 16,1% la periodicidad con la que se deben renovar las contraseñas y el 7,2% define ambos criterios. De las empresas que afirman disponer de dispositivos móviles, ocho de cada diez afirman no tener este tipo de políticas (80,9%), mientras que un 11,8% afirma tenerlas.

Buenas prácticas para los empleados

Finalmente, para mantener y mejorar la seguridad de la información de las empresas, además de personal dedicado, es necesario que los trabajadores tengan conocimientos en temas básicos de seguridad. Según el estudio “Las tecnologías de la información y la comunicación en las empresas”, realizado por AETIC-Everis en 2011, el 14,0% de las empresas realiza periódicamente formación específica en TIC/uso de tecnologías de la información, el 39,0% lo hace alguna vez, mientras que el 46,4% nunca. hazlo

Gráfico 23: Existencia de límites de acceso a los servicios y contenidos de Internet para los empleados (%)
Gráfico 23: Existencia de límites de acceso a los servicios y contenidos de Internet para los empleados (%)

Percepción de la empresa sobre planes y políticas de seguridad

La forma más adecuada de garantizar la incorporación de planes y políticas de seguridad es la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI). Al momento de la encuesta, el 13,3% de las empresas afirmó estar certificadas o en proceso de certificación en gestión de seguridad de la información.

Gráfico 26: Percepción de la realización de auditorías de seguridad en la empresa (%)
Gráfico 26: Percepción de la realización de auditorías de seguridad en la empresa (%)

Análisis del conocimiento sobre medidas o Planes de Continuidad de Negocio

La gestión de la continuidad del negocio se materializa en los diferentes aspectos previstos en el Plan de Continuidad del Negocio. La prestación de estos servicios afecta directamente a la continuidad del negocio, por lo que este punto debe formar parte de la estrategia de continuidad.

Gráfico 28: Conocimiento de lo que es un Plan de Continuidad de Negocio (%)
Gráfico 28: Conocimiento de lo que es un Plan de Continuidad de Negocio (%)

Percepción de las empresas sobre la evolución general de los incidentes de la seguridad

Una de las tendencias que señala la industria de la seguridad de la información para 2012 es el aumento previsto de ataques dirigidos a pequeñas y medianas empresas28. En este apartado se definen los incidentes de seguridad de la información y continuidad del negocio que les suceden a las empresas, en qué medida les afectan y cuáles son las principales reacciones que toman.

Percepción de las empresas sobre sus incidentes de seguridad

De entrevistas en profundidad con responsables de seguridad así lo percibe. En segundo lugar, las empresas reconocen incidentes de seguridad de muy diversa índole que han amenazado la continuidad de sus procesos.

Gráfico 41: Empresas que afirman haber sufrido algún incidente de seguridad (%)
Gráfico 41: Empresas que afirman haber sufrido algún incidente de seguridad (%)

Impacto y consecuencias de los incidentes

En la Tabla 8 se muestra para cada uno de los tres principales incidentes de seguridad las diferentes consecuencias que, en opinión de las empresas afectadas, vivieron como consecuencia de dichos eventos. Así lo afirman el 50,1% de las empresas que recibieron correos electrónicos publicitarios masivos y el 42,4% de las que sufrieron una infección de malware.

Gráfico 48: Existencia de consecuencias derivadas de los principales incidentes de seguridad (%)
Gráfico 48: Existencia de consecuencias derivadas de los principales incidentes de seguridad (%)

Respuesta de las empresas frente a los incidentes de seguridad

Menos de la mitad de las empresas participantes afirman utilizar servicios como compras online (44,6%) y firma electrónica (40,1%). De las empresas que declaran tener perfiles o páginas en redes sociales, el 88,7% están en Facebook.

Gráfico 49: Reacción adoptada tras los incidentes de seguridad (%)
Gráfico 49: Reacción adoptada tras los incidentes de seguridad (%)

E-confianza en la Sociedad de la Información

En este caso, más de la mitad de las empresas (55,6%) declaran que este servicio les genera mucha confianza. Las empresas más grandes muestran mayor confianza en el uso de la factura electrónica que las microempresas.

Gráfico 57: Grado de confianza de las empresas en las compras a través de Internet (%)
Gráfico 57: Grado de confianza de las empresas en las compras a través de Internet (%)

Frenos al desarrollo de la Sociedad de la Información

Esta puntuación es especialmente alta para las redes sociales (88,6%), las ventas de comercio electrónico (87,0%) y la contratación electrónica (85,8%). La falta de seguridad es la razón esgrimida por una minoría, aunque cabe destacar que el 12,5% de las empresas que no utilizan la banca online y el 7,7% en el caso de las compras online apuntan a esta respuesta.

Tabla 16: Motivos por los que las empresas no utilizan los servicios ofrecidos Internet (%)
Tabla 16: Motivos por los que las empresas no utilizan los servicios ofrecidos Internet (%)

Perfiles relacionados con la seguridad de la información y e-confianza

Las empresas "protegidas" tienen una alta preocupación por la seguridad de la información y cuentan con los recursos técnicos y humanos para garantizarla. Además, la dirección de las empresas protegidas concede gran importancia a la seguridad de la información (superior a 8, en una escala del 1 al 10).

Tabla 17: Perfiles de empresas sobre seguridad de la información y e-confianza Perfil 1:
Tabla 17: Perfiles de empresas sobre seguridad de la información y e-confianza Perfil 1:

Perfiles relacionados con la continuidad de negocio

Las empresas "desprevenidas" son aquellas que, tras vivir incidentes que podrían poner en peligro la continuidad de sus actividades, no se comprometen claramente a establecer estrategias proactivas. Al igual que las empresas "desprevenidas", una parte importante de las empresas "imprudentes" desconocen los planes de continuidad del negocio.

Tabla 18: Perfiles o grupos de empresas. Continuidad de negocio en la empresa
Tabla 18: Perfiles o grupos de empresas. Continuidad de negocio en la empresa

Puntos débiles

De esta forma, las principales conclusiones del informe intentan dar respuesta a las siguientes preguntas: ¿Cuál es la situación de la empresa española ante incidentes de seguridad de la información? Tanto para asegurar su actividad como para cumplir con los requisitos legales aplicables, el correcto manejo de la información es fundamental.

Puntos fuertes

Otra de las debilidades observadas en la empresa se refiere a la consideración de la protección únicamente desde el punto de vista del componente tecnológico. En este estudio se constata un importante nivel de confianza electrónica en la adopción de servicios de la Sociedad de la Información.

Amenazas

Internet, a su vez, ofrece numerosas oportunidades y servicios de apoyo a la gestión y desarrollo de la actividad, generalizando su uso en el mundo empresarial. La industria de la seguridad está intentando crear conciencia sobre el aumento del cibercrimen y la profesionalización de los ataques.

Oportunidades

La empresa debe asumir la seguridad de la información como la suma de estos elementos. A continuación se presentan las recomendaciones derivadas de los hallazgos y conclusiones del estudio, distinguiendo entre aquellas dirigidas a empresas, la industria de la seguridad de la información y la administración pública.

Recomendaciones para la micro, pequeña y mediana empresa

La seguridad de la información en la empresa debe incluir, además de los recursos necesarios, la implementación de buenas prácticas que extiendan la seguridad más allá del componente técnico. Un primer paso puede ser realizar auditorías de seguridad que permitan evaluar el estado de seguridad de la información y sus necesidades.

Recomendaciones dirigidas a la industria de seguridad

Las amenazas evolucionan constantemente, por lo que es trabajo de los responsables de la gestión de seguridad empresarial mantenerse al tanto de los principales incidentes y soluciones que ofrece la industria de la seguridad. La industria de la seguridad de la información necesita adoptar una postura proactiva, en el sentido de que vea su propuesta como algo más que una simple herramienta o una acción específica.

Recomendaciones dirigidas a la Administración Pública

El enfoque de las actividades de la industria en el canal de distribución de productos de seguridad debe basarse en la realización de un estudio preliminar de las necesidades de capacitación de vendedores en diversas áreas de seguridad de la información y continuidad del negocio. La realización de trabajos repetidos de diagnóstico y métricas permitirá disponer de indicadores de evolución en la implantación de herramientas y buenas prácticas de seguridad en las empresas, y permitirá conocer el nivel de eficacia de las distintas medidas implementadas por las administraciones públicas.

BIBLIOGRAFÍA

Figure

Gráfico 4: Nivel de implantación declarado de soluciones de seguridad en la empresa (%)
Gráfico 5: Nivel de implantación declarado de las principales soluciones de seguridad Evolución 2009-2012 (%)
Tabla 3: Disponibilidad de herramientas para proteger equipos y sistemas según tamaño de las empresas (%)
Gráfico 6 : Medidas de seguridad utilizadas/instaladas en los dispositivos móviles (%)
+7

Referencias

Descargar ahora ( PDF - 126 página - 0.99 MB )

Outline

Copias de seguridad Buenas prácticas para los empleados Análisis del conocimiento sobre medidas o Planes de Continuidad de Negocio Percepción de las empresas sobre sus incidentes de seguridad Respuesta de las empresas frente a los incidentes de seguridad E-confianza en la Sociedad de la Información Perfiles relacionados con la seguridad de la información y e-confianza Perfiles relacionados con la continuidad de negocio Recomendaciones para la micro, pequeña y mediana empresa

Documento similar

La Importancia de La Memoria en El Proceso de Aprendizaje

Este tipo de aprendizaje es totalmente negativo ya que se efectúa sin comprender lo que se fijó en la memoria, (“repetir como loros”) se trata de un