Información General de la Ponencia

Transcripción

1 Información General de la Ponencia IDENTIFICACIÓN DEL PONENTE Nombre completo del Sara Trigueros-Preciado ponente: País donde reside: ESPAÑA Nº de documento de identidad: Universidad: CANTABRIA Teléfono de contacto: T DATOS DE LA PONENCIA Título Autor principal (Nombre completo) Co-autores (Nombre completo) Eje temático en el que se inscribe Estrategia de seguridad de la información en la empresa: Un análisis sobre su conocimiento, aplicación y beneficios en pymes Sara Trigueros-Preciado Simona Popa, Pedro Soto-Acosta, Pedro Solana-González, Daniel Pérez-González Gestión Empresarial y Aprendizaje Organizativo RESUMEN DEL PERFIL DEL AUTOR PRINCIPAL Sara Trigueros-Preciado es Ingeniero Técnico Industrial con un Postgrado en Negocios y Tecnologías de la Información por la Universidad de Cantabria (UC). Trabaja como ingeniero de desarrollo en la multinacional alemana Bosch and Siemens Haugüerate y colabora como profesor de tecnología en la Universidad de Cantabria (UC). Su principal línea de investigación es la valoración y efectos de las Tecnologías de la información en las organizaciones, tema sobre el que ha participado en diferentes congresos y ha publicado artículos en revistas de prestigio indexadas en el JCR, como Electronics Markets y la revista Information.

2 Estrategia de Seguridad de la información en la empresa: Un análisis sobre su conocimiento, aplicación y beneficios en pymes Sara Trigueros-Preciado 1, Simona Popa 2, Pedro Soto-Acosta 2, Pedro Solana- González 1, Daniel Pérez-González 1 1 Dpto. de Administración de Empresas. Facultad de Ciencias Económicas y Empresariales, Universidad de Cantabria. Avda. Los Castros s/n Santander. perezd@.unican.es, solanap@unican.es 2 Dpto. Organización de Empresas y Finanzas, Universidad de Murcia, Campus de Espinardo, Murcia psoto@um.es Resumen El uso intensivo de las Tecnologías de la información en todos los procesos empresariales y la importancia de la información y el conocimiento como activos que deben ser protegidos, han dado lugar a que la seguridad de la información se convierta en un importante tema de interés tanto para investigadores como para profesionales. Especialmente en las pymes, donde hay una importante ausencia de trabajos relativos a la seguridad de la información. Ante este contexto, el presente trabajo analiza en 72 pymes el grado de conocimiento que tienen sobre la seguridad de la información, el nivel de aplicación de estrategias de seguridad y la identificación de algunas cuestiones que para las empresas actúan como frenos a la seguridad. Obteniendo como resultados que el nivel de conocimiento y aplicación en las pymes es bajo, actuando como principales frenos cuestiones culturales y de formación Además, los resultados muestran que desarrollar estrategias de seguridad no solo mejora la seguridad de la información sino también contribuye a mejorar otros procesos intensivos en información, como procesos productivos y gestión de inventarios. Palabras clave: Seguridad de la información, estrategia de seguridad de la información, pymes, barreras, procesos internos. Abstract The intensive use of information technologies in all business processes and the importance of information and knowledge as assets that must be protected, have resulted in the information security becomes a major issue of interest for both researchers and professionals. Especially in SMEs, where there is a significant lack of work related to information security. In this context, this paper analyzes in 72 SMEs the level of knowledge they have on information security, if they implemented security strategies and identify the elements that in these companies act as brakes for information security. The data analysis showed that the level of knowledge and application of strategy information security in SMEs is low, highlighting cultural and training aspects as main brakes to information security. Furthermore, the results show that developing security strategies not only improves information security but also helps improve other processes that are intensive in information such as production and stocks management processes. Keywords: Information Security, strategy of information security, SMEs, barriers, internal processes.

3 1. Introducción En las sociedades desarrolladas las tecnologías de la información (en adelante TI) se han convertido en un elemento transversal a la actividad humana, especialmente en el ámbito empresarial, donde las TI gestionan la información y el conocimiento, que son reconocidos como activos claves para la ventaja competitiva de las organizaciones (Nolan, 2001; Drucker, 2002; Gordon y Loeb, 2006; Preston y Karahanna, 2009). En este contexto, la protección de la información y el conocimiento es fundamental para las empresas, lo que está convirtiendo a la seguridad de la información en un tema clave para la gestión (Park y Ruighaver, 2008; Solana-González y Pérez-González, 2011; Trigueros- Preciado et al. 2013). En este sentido, la seguridad de la información es un campo que ha sido tratado en la literatura principalmente desde un enfoque tecnológico, siendo un concepto relativamente moderno en el ámbito del Management (Dhillon y Backhouse. 2001; Gordon y Loeb, 2006; Luftman y Ben-Zvi, 2010) donde está adquiriendo una mayor repercusión por el uso generalizado de Internet en los negocios y por las posibilidades de interconexión que permite la Web. Sin embargo, pese al reconocimiento de su importancia, los informes y estadísticas de organismos internacionales muestran que queda mucho trabajo por hacer en materia de seguridad de la información, especialmente en las pequeñas y medianas empresas (Pymes) donde se tiene una percepción miope de la seguridad de la información y se confunde la seguridad de la información con la mera protección de activos tecnológicos mediante hardware o software (OECD, 2009; Giannakouris y Smihily, 2010). En línea con lo comentado, son varios los informes y autores que indican que el bajo desarrollo de la seguridad de la información en las empresas viene motivado principalmente por una falta de alineación entre seguridad de la información y estrategia empresarial y por la falta de conocimiento de los directivos sobre la interrelación que se produce entre seguridad de la información y el negocio (Melville et al., 2004; Luftman et al., 2006; OECD, 2009). Por lo tanto, es necesario profundizar en estos temas desde una perspectiva de gestión, que permita a las Pymes conocer la importancia de la seguridad de la información, la necesidad de alinearla con la estrategia del negocio, como aplicarla y que beneficios se puede obtener de ella (Luftman y Ben-Zvi, 2010; PricewaterhouseCoopers, 2011). Ante la situación descrita, el objetivo de este trabajo es analizar, desde una perspectiva de negocio, el grado de conocimiento que poseen las pymes sobre estrategias seguridad de la información y detectar que factores frenan su implantación. Además, se estudia si disponer de una estrategia de seguridad de la información contribuye de forma efectiva tanto a la mejora de la seguridad de la información, como a la mejora de los procesos internos de las organizaciones. Para lograr los objetivos anteriores el trabajo se estructura en los siguientes apartados, en primer lugar se realiza una revisión de la literatura que analiza el concepto de estrategia de

4 seguridad de la información del que parte la investigación, en segundo lugar se presenta la metodología seguida en la investigación y los resultados obtenidos divididos en dos partes, la primera de tipo más descriptivo, sobre el conocimiento, aplicación y frenos a la estrategia de seguridad de la información que tienen las empresas y la segunda, de inferencia estadística con modelos ANOVA, para analizar si la estrategia de seguridad contribuye a la generación de valor, mejorando los procesos internos, lo que permitirá finalizar con las conclusiones derivadas del trabajo, las limitaciones y futuras líneas de investigación. 2. Revisión de la literatura sobre seguridad de la información en la empresa La seguridad de la información y su relación con la empresa se ha convertido en los últimos años en un tema de gran interés, tanto para investigadores como para profesionales y gestores, especialmente a partir del año 2000 motivada por el auge experimentado en el uso las TI en general y de Internet en particular. Si bien, se debe destacar que el tema ha sido tratado principalmente con un enfoque tecnológico, orientado a la búsqueda de soluciones técnicas y herramientas tecnológicas para su aplicación (Kannan y Telang, 2005; Park y Ruighaver, 2008, Luftman y Ben-Zvi, 2010). Es en los últimos años cuando la orientación de las investigaciones relacionadas con seguridad de la información han ido evolucionando hacia cuestiones que sin olvidar los aspectos técnicos, comienzan a considerar variables organizativas, primero analizando cuestiones relativas al cumplimiento de los estándares de seguridad de la información, desarrollo de modelos de gestión de seguridad de la información y su certificación (ISO/IEC 2700:2007; Kim et al., 2005; Kwon et al., 2007; Siponen y Willison, 2009), y posteriormente estudiando casos reales de aplicación de seguridad de la información en grandes empresas y organismos públicos (Smith y Jamieson, 2006; Solana-González y Pérez-González, 2011). Sin embargo, la mayoría de los trabajos siguen centrados en analizar la seguridad de la información desde un enfoque técnico, especialmente en cuestiones relacionadas con la seguridad en Internet (Garber, 2000; Hawkins et al., 2000; Liu et al. 2006) y los estudios que se acercan a enfoques empresariales se centran principalmente en analizar los costes y beneficiosos que tiene para las empresas invertir en seguridad (Kim y Lee, 2005) y las repercusiones que sobre la imagen o la valoración de las acciones de una empresa tiene que transcienda al público la existencia de problemas de seguridad (Cavusoglu et al., 2004; Campbell et al., 2003). Finalmente han aparecido trabajos en los que la seguridad de la información es reconocida como un proceso que se desarrolla dentro de un contexto organizativo del que no se puede aislar y al que afecta en su totalidad (Dhillon y Backhouse, 2000; Navarro, 2006), proceso en el que participan tanto las personas como las tecnologías. En la misma línea, los estándares y modelos de gestión de seguridad de la información reconocidos internacionalmente inciden en la necesidad de considerar la seguridad de la información en las organizaciones como un proceso, cuyo desarrollo debe partir del nivel estratégico de la organización (BSI, 2002; ISO/IEC 27001, 2007).

5 Se produce así un reconocimiento estratégico de la seguridad de la información que es seguido por distintos autores, para los que la estrategia de seguridad de la información debe formularse con un enfoque de gestión, ligado a la estrategia corporativa y combinado con una aproximación técnica, lo que permitirá definir políticas de seguridad a largo plazo y desarrollar procedimientos eficientes para defender la infraestructura de información de la organización en contra de las amenazas internas y externas, ofreciendo confidencialidad, integridad y disponibilidad, buscando la eficiencia entre coste y protección (Park y Ruighaver, 2008; May y Dhillon, 2010; Ahmad, et al. 2012). En definitiva, la literatura ha evolucionado desde los enfoques iniciales puramente tecnológicos, hasta la consideración de la seguridad de la información como un proceso estratégico, en el que la seguridad de la información esté alineada con la estrategia de la empresa a través de una adecuada estrategia de seguridad de la información, en función de los objetivos, requerimientos y contexto de cada empresa. Esta manera de entender la seguridad de la información como un elemento estratégico hará posible que la seguridad de la información se trate conforme a la importancia que realmente tiene para las empresas y deje de considerase un tema exclusivo del departamento de TI, para integrarse en el resto de procesos de la organización (Luftman et al., 2006; May y Dhillon, 2010; Solana-González y Perez-González, 2011). 3. Metodología de Investigación El presente trabajo ha utilizado una metodología de investigación empírica, apoyada en un técnicas de naturaleza cualitativa, reuniones de grupo con los gerentes de las empresas realizadas en febrero y mayo de 2013, y cuantitativa, mediante recogida de datos con cuestionario estructurado desarrollada durante los meses de mayo y septiembre de 2013, obteniendo un total de 72 cuestionarios y su posterior tratamiento estadístico con el software SPSS v21. En cuanto al objeto de estudio, se ha considerado oportuno enfocar este trabajo de investigación hacia las pymes, organizaciones que si bien tienen una gran importancia en las economías, siendo en los países desarrollados más del 98% del tejido empresarial (OECD, 2009) hay una ausencia de trabajos que analicen la seguridad de la información en estas organizaciones (Kraemer, et al 2009; Pritchard, 2010; OCDE, 2011). Respecto a las características de las empresas de la muestra, se seleccionó que fueran pymes del sector industrial, por ser las pymes de este sector las que los informes muestran como más atrasadas en la incorporación de seguridad de la información (OECD, 2005; Giannakouris y Smihily, 2010). En cuanto al número de empleados las empresas de la muestra presentan entre 6 y 104 empleados, con un número medio de 29 personas en plantilla. Respecto a la cualificación del personal, predominan los empleados con formación profesional 73,4% seguido de los titulados universitarios que representan un 17,16% del total y de un número reducido de personal no especializado 9,44%.

6 Finalmente, indicar que para el desarrollo de la investigación se utilizó estadística descriptiva e inferencia estadística mediante modelos ANOVA, para ello la muestra se dividió en dos grupos; empresas con estrategias y políticas de seguridad definidas y en empresas sin ellas, tomando como criterio de clasificación, disponer de procesos de seguridad de la información formales desde 2010, dos años antes al estudio de resultados, puesto que aunque no existe consenso en la literatura en cuanto al periodo temporal exacto que tiene que transcurrir para considerar una tecnología o proceso consolidado en una organización las teorías del efecto experiencia y aprendizaje recomiendan utilizar periodos con retardo de entre 2 y 5 años (Powell, y. Dent-Micallef, 1997; Brynjolfsson y Hitt, 2003; Lee, 2008). 4. Resultados A continuación se presentarán los resultados de la investigación divididos en dos partes, la primera de tipo más descriptivo en la que se analiza el grado de conocimiento que tienen las empresas sobre la seguridad de la información, cómo la ponen en práctica o en caso contrario, por qué no lo hacen, y la segunda, en la que se presenta el análisis de los efectos que genera la aplicación de una política de seguridad de la información 4.1. Estrategia de Seguridad de la Información: Conocimiento, aplicación y frenos Que la estrategia de seguridad es una herramienta fundamental para el desarrollo de un sistema de gestión de seguridad de la información está fuera de duda, y así lo recogen los distintos estándares y la literatura académica y profesional (BSI, 2002, ISO, 2007; Kwon et al., 2007; Park y Ruighaver, 2008, Solana-González y Pérez-González, 2011), pero lo que no está muy claro es el grado de conocimiento que las empresas tienen sobre esto y conocer algo es el paso indispensable para poder aplicarlo. En este sentido, la primera cuestión de interés es analizar el grado de conocimiento que las empresas tienen del concepto de estrategia de seguridad de la información y lo que esta implica, así como la actitud de la empresa hacia estos conceptos. En segundo lugar, interesa conocer que elementos frenan a las empresas en su aplicación y que aspectos organizativos distinguen y caracterizan a las empresas que aplican estrategias de seguridad de la información respecto a las que no las aplican. Respecto a la primera cuestión, el grado de conocimiento de lo que es e implica la estrategia de seguridad de la información, el conocimiento que tienen las empresas no es muy elevado, dado que solo 19 empresas, el 26.39%, conoce el concepto y de las que lo conocen no todas lo aplican, quedando solo 14 empresas, el 19.4% de la muestra, como empresas que tienen definida una estrategia de seguridad de la información.

7 Tabla 1. Conocimiento del concepto de estrategia de seguridad de la información y su aplicación Explicado y discutido el concepto de Política de seguridad Lo conoce Lo viene aplicando Si No Si No 26,39% 73,61% 19,44% 80,56% Ante el desconocimiento anterior, 73.61% de los gerentes no lo conocían, es de interés ver cuál es la predisposición de los gerentes hacia la implantación de estrategias de seguridad una vez que conocen el concepto y sus implicaciones. En este sentido, la tabla 3 muestra cómo las empresas, una vez conocido el concepto de estrategia de seguridad de la información, mayoritariamente (64.10 %) estarían interesadas en implantarla y desarrollarla en sus organizaciones. Tabla 2. Interés en aplicar estrategias de seguridad de la información Explicado el concepto de política de seguridad Estaría interesado en aplicarlo Si No 64.10% 35.90% Respecto a las empresas que no tienen interés en implantar estrategias de seguridad de la información, es importante analizar los motivos a su rechazo, por cuanto permite conocer algunos de los factores que frenan al desarrollo de la seguridad de la información en las empresas, y por tanto, cuestiones sobre las que actuar para cambiar estos comportamientos. Tabla 3. Motivos por los que las empresas no aplican estrategias de seguridad de la información Motivos por los que no considera aplicar estrategias de seguridad: Frecuencias No tiene ni personal ni conocimientos para aplicarlo 16.11% Elevado coste/beneficio 55.56% Considera que no es necesario/no lo necesita 28.33% Como se puede observar en la tabla 3, las empresas que no tienen interés en desarrollar estrategias de seguridad principalmente basan su razonamiento en que una estrategia de seguridad tiene un elevado coste (55.56%) en relación al beneficio que genera para la organización. En este sentido, se constata lo que la literatura y los informes especializados ya señalan como un freno a la inversión en seguridad de la información, la falta de conocimiento sobre la relación entre la seguridad de la información y las variables de negocio que permita obtener una medida de su rentabilidad. Otra cuestión que es importante señalar es que un elevado número de gerentes (28.33%) no tienen interés en la

8 estrategia de seguridad de la información porque consideran que no lo necesitan para su negocio, lo que implica no considerar la seguridad de la información como elemento estratégico y en definitiva, no dar a la información el valor que tiene. La última causa de rechazo que los gerentes aducen para no implantar estrategias de seguridad es no tener los conocimientos suficientes, lo que pone de manifiesto la importancia la formación en esta materia, tanto dentro de las organizaciones como en los distintos niveles educativos, especialmente en los universitarios. Para finalizar esta parte descriptiva, se pregunta a las empresas de la muestra dividiéndolas en dos grupos, con estrategia de seguridad de la información y sin ella, sobre una serie de cuestiones de tipo organizativo que permiten obtener un perfil de las empresas que desarrollan estrategias de seguridad, además de analizar descriptivamente si esas empresas tienen menos incidencias de seguridad, y por tanto verificar si la estrategia de seguridad de la información se muestra como un proceso que aporta beneficios a la organización. Tabla 4. Características de las empresas según tengan o no estrategias de seguridad de la información Valore de 1 a 7 siendo 1=muy desacuerdo y 7 muy de acuerdo las siguientes afirmaciones: Empresas con estrategias de seguridad Valor medio Empresas sin estrategias de seguridad Valor medio La seguridad de la información es estratégica en su empresa Su empresa tiene un elevado grado de colaboración con otras organizaciones La gerencia y dirección de la empresa es de perfil económico El grado de conocimiento tecnológico de la gerencia es alto El responsable de la seguridad de la información es la alta dirección El grado de utilización de las TI en la empresa es alto En el último año ha tenido problemas de integridad de la información En el último año ha tenido problemas de confidencialidad de la información En el último año ha tenido problemas de disponibilidad de activos TIC: El número de problemas de seguridad originados por el personal de la organización es alto Los resultados mostrados por los valores medios obtenidos para cada grupo ponen de manifiesto que, para las empresas de la muestra, las organizaciones que aplican estrategias de seguridad de la información se caracterizan por tener una consideración estratégica de la

9 seguridad, que se corresponde con que es la alta dirección es la responsable de dichas estrategias. En cuanto al perfil de la gerencia, técnico o de gestión, no parece que este factor tenga incidencia sobre que la empresa tenga establecida una estrategia de seguridad de la información, pero sí parece tener incidencia el grado de conocimiento tecnológico que la gerencia tiene, de forma que las empresas que aplican estrategias de seguridad de la información se caracterizan por una gerencia con un alto conocimiento tecnológico. También es destacable que el grado de uso de las TI, no determina que se le dé a la seguridad de la información una importancia estratégica, sin embargo sí es importante señalar que cuando las empresas trabajan en entornos más colaborativos con organizaciones del exterior dan más importancia a la seguridad de la información. En definitiva, parece que son los factores culturales relacionados con la gerencia y su conocimiento tecnológico así como el contexto colaborativo los que más inciden en la consideración estratégica de la seguridad de la información. Respecto a la eficacia de disponer de estrategias de seguridad de la información, las medias indican claramente que las empresas que disponen de política de seguridad de la información han sufrido menos incidentes, destacando especialmente el reducido número de problemas de seguridad provocados por los propios recursos humanos de la organización. Por tanto parece una adecuada herramienta para la gestión de la seguridad de la información. Presentados los resultados más descriptivos relacionados con el conocimiento y la aplicación de las estrategias de seguridad de la información, a continuación se presentan los resultados relativos a verificar si disponer de una estrategia de seguridad de la información mejora los procesos de las empresas Efectos de la seguridad de la información sobre la eficiencia en procesos Una de las conclusiones de las reuniones de grupo con los responsables de las empresas es que la seguridad de la información ocasiona una inversión cuya recuperación económica es difícil de medir, algo propio de los activos de carácter intangible como es la información. En este sentido, la valoración contable de la seguridad de la información en las organizaciones no se muestra válida para reflejar el valor real generado por los activos de base intangible (Lev, 2001; Hubbard, 2007; Dumay, 2009). De hecho, la contabilidad tiene entre sus criterios fundamentales de valoración los conceptos de depreciación y amortización, que dan por supuesto la pérdida progresiva en el tiempo del valor de una inversión por su uso y obsolescencia. Algo contrario a lo que sucede con la inversión en seguridad de la información, que por sus características propias, su valor aumenta cuanto mayor sea su uso, pues con este uso se perfecciona y mejora el sistema de seguridad. Por tanto, los criterios contables si bien son obligatorios para cumplir con la normativa mercantil de cada estado, no son idóneos para la valoración de la seguridad de la información.

10 La seguridad de la información desde la visión empresarial debería ser considerada como elementos de infraestructura y apoyo a todas las actividades de la organización en las que interviene la información y el conocimiento (Kaplan y Norton, 2001; Lee, 2008; Preston y Karahanna, 2009), esto supone su participación simultánea en distintos procesos de negocio que no tienen por qué estar relacionados con aspectos directamente cuantificables en términos monetarios. En esta línea, los empresarios deben ser conscientes de la necesidad de establecer indicadores que permitan medir los efectos que la seguridad de la información tiene en los procesos que sean claves para la gestión del negocio. En este caso concreto, las empresas de la muestra señalaron en las reuniones que un aspecto clave para su éxito son los procesos internos de la organización, aspecto de difícil cuantificación económica pero que sin duda indicen en los resultados de las organizaciones. En este sentido, para obtener la variable procesos internos se desarrollaron unos indicadores mediante escalas Likert a partir de la literatura (Solana-González y Pérez-González, 2011 Trigueros-Preciado et al, 2013) que además fueron sometidos a un análisis de fiabilidad mediante el Alpha de Crombach, obteniendo una escala fiable. Tabla 5. Características de las empresas según tengan o no estrategias de seguridad de la información Atributo Como cree que valoran los clientes su empresa en comparación a la competencia en los siguientes aspectos Siendo 1= mucho peor y 7 mucho mejor SP1 El número de rupturas de stock (ha disminuido) SP2 El número de problemas en los procesos productivos por problemas de información (ha disminuido) SP3 El número de veces que se ha incumplido el plazo de entrega por problemas de información (ha disminuido) Alpha de Crombach Una vez obtenidos los indicadores, para cada uno de ellos se generaron modelos de análisis de la varianza (ANOVA), que a partir de la división de las empresas de la muestra en dos grupos, con estrategias de seguridad de la información en funcionamiento y sin ellas, permiten comprobar la existencia de efectos estadísticamente significativos entre la disponer de una estrategia de seguridad de la información (variable independiente de los contrastes) y cada uno de los factores de la escala procesos internos (variables dependientes de los contrastes). En la tabla 6 se recogen, para cada grupo de empresas y en cada uno de los ítems de la variable procesos internos, los valores medios, el valor del estadístico F de Snedecor y la significatividad del contraste.

11 Tabla 6. Efectos de la estrategia de seguridad en los de procesos internos Dispone de estrategia de seguridad (Medias) SP1 SP2 SP3 SI NO Valor de la F Significatividad 0.007* 0.001* 0.007* Los resultados muestran que las empresas que disponen de estrategia de seguridad de la información obtienen un mejor comportamiento medio en cada uno de los atributos, esto unido a la significatividad de los contrastes, permite afirmar que para las empresas de la muestra, disponer de estrategias de seguridad de la información permite mejorar los procesos internos con menos rupturas de stock, menos problemas en el proceso productivo y mejor comportamiento en el cumplimiento de plazos de entrega. Conclusiones La utilización de las TI en todas los procesos empresariales y la importancia de la información y conocimiento como activos fundamentales que las empresas deben proteger, han dado lugar a que la seguridad de la información se convierta en un tema de gran interés, tanto de investigación para los académicos, como de aplicación práctica para los profesionales, especialmente para las pymes donde la literatura indica hay una importante ausencia de trabajos. Ante este contexto, el presente trabajo se ha desarrollado con el objetivo de analizar cómo es tratado el tema de la seguridad de la información en la literatura de gestión, constatar si las pymes conocen y aplican la seguridad de la información, además de identificar algunos de los factores que actúa como frenos a la implantación de estrategias de seguridad y comprobar si aplicar dichas estrategias mejora otros procesos de las empresas. Los resultados obtenidos permiten concluir que, en relación a la literatura sobre seguridad de la información, se ha pasado de las primeras etapas con trabajos basados en un enfoque técnico, a la consideración de la seguridad como un proceso vinculado a la estrategia de la empresa, en el que la estrategia de seguridad de la información es el vehículo adecuado para, combinando enfoques de gestión y técnicos, implantar adecuadamente la seguridad de la información. En cuanto al grado de conocimiento y aplicación de estrategias de seguridad entre las pymes, podemos concluir que el grado de conocimiento es bajo y aun menor el de aplicación de estrategias de seguridad de la información. En este sentido es importante detectar que cuestiones actúan como frenos en las pymes, pudiendo concluir que para las empresas de la muestra los principales frenos son el considerar que la seguridad de la

12 información tiene un elevado coste/beneficio, el no considerarlo necesario para el negocio y la falta de conocimientos para llevarlo a cabo. Cuestiones que ponen de manifiesto un desconocimiento entre los gerentes de las pymes de la relación que hay entre seguridad de la información y las variables de negocio. Por último, en cuanto a los efectos de aplicar estrategias de seguridad se concluye que dicha aplicación tiene un efecto positivo tanto en la mejora de la seguridad, como también en la mejora de otros procesos organizativos intensivos en información y sensibles a cualquier problema de comunicación, como son la gestión de inventarios, procesos productivos y los plazos de entrega. Cuestiones que deben ser tenidas en cuenta por las pymes como un aliciente al desarrollo de estrategias de seguridad de la información. Para finalizar, se debe indicar que este trabajo tiene como limitaciones su reducido tamaño muestral de 72 empresas, que obliga a tener cautela en cuanto a la extrapolación de resultados y el haber considerado un periodo de análisis de dos años. A la vez, parece interesante señalar como futuras líneas de investigación ampliar la muestra de estudio, realizar estudios longitudinales y, dado que el tema de investigación en pymes es incipiente, enriquecer los análisis con nuevas variables de gestión. Referencias Ahmad, A., Maynard, S. B., y Park, S. (2012). Information security strategies: Towards an organizational multi-strategy perspective. Journal of Intelligent Manufacturing, pp Brynjolfsson, E. y Hitt, L. M. (2003). Computing productivity: firm level evidence. Review of Economics y Statistics, 85:4, pp BS7799-2, British Styard Institute. (2002). Specification for information security management systems. London, UK. Campbell, K., Gordon, L. A. Loeb, M. P. y Zhou, L. (2003). The economic cost of publicly announced information security breaches: empirical evidence from the stock market. Journal of Computer Security, 11:3 pp Cavusoglu, H., Mishra, B. y Raghunathan, S. (2004). The effect of internet security breach announcements on market value: capital market reactions for breached firms y internet security developers. International Journal of Electronic Commerce, 9:1, pp Dhillon, G. y Backhouse, J. (2001). Current directions in IS security research: towards socio-organizational perspectives. Information Systems Journal, 11:2, pp Dhillon, G. y Backhouse, J. (2000). Information system security management in the new millennium. Communications of the ACM, 43:7, pp Drucker, P. F. (2002). Managing in the next society. St. Martin Press, New York.

13 Dumay, J. C. (2009). Intellectual capital measurement: a critical approach. Journal of Intellectual Capital, 10:2, pp Garber, L. (2000). Denial-of-service attacks rip the internet. IEEE Computer, 33:4, pp Giannakouris, K. y Smihily, M. (2010). ICT security in enterprices, Eurostat, European Commision. Gordon, L. A. y Loeb, M. P. (2006). Economic aspects of information security: an emerging field of research. Information Systems Frontiers, 8:5, pp Hawkins, S., Yen, D. C. y Chou, D. C. (2000). Awareness y challenges of Internet security. Information Management & Computer Security, 8:3, pp Hubbard, D. W. (2010), How to measure anything: finding the value of intangibles in business. 2nd Edition. Wiley. ISO/IEC 27001, International Standard Organization. (2007). Information technology, security techniques, information security management systems: requirements. Kannan, K. y Telang, R. (2005) Market for software vulnerabilities? Think again. Management Science, 51:5, pp Kim, S. y Lee, H. J. (2005) Cost-benefit analysis of security investments: methodology y case study. Lecture Notes in Computer Science, 3482, pp Kim, S., Leem, C. S. y Lee, H. J. (2005). An evaluation methodology of enterprise security management systems. International Journal of Operations y Quantitative Management, 11:4 pp, Kraemer, S., Carayon, P. y Clem, J. (2009). Human y organizational factors in computer y information security: pathways to vulnerabilities. Computers & Security, 28:7, pp Kwon, S., Jang, S., Lee, J. y Kim, S. (2007). Common defects in information security management system of Korean companies. Journal of Systems y Software, 80:10, pp Lee, J. J.-Y. (2008). Complementary effects of information technology investment on firm profitability: the functional forms of the complementarities. Information Systems Management, 25:4, pp Lev, B. (2001). Intangibles: management, measurement, y reporting. Brookings Institution Press, Washington, D.C., 2001, ISBN

14 Liu, Y. y Ravichyran, T., A. (2008). comprehensive investigation on the relationship between information technology investments y firm diversification. Information Technology y Management, 9:3, pp Luftman, J. y Ben-Zvi, T., Key issues for IT executives 2010: judicious IT investments continue post-recession. MIS Quarterly Executive, 9:4 Luftman, J. y Ben-Zvi, T. (2010). Key issues for IT executives: difficult economy's impact on IT. MIS Quarterly Executive, 9:1, pp Luftman, J., Kempaiah, R. y Nash, E. (2006). Key issues for IT executives. MIS Quarterly Executive, 5:2, pp May, J., y Dhillon, G. 2010). A holistic approach for enriching information security analysis y security policy formation. ECIS 2010 Proceedings, Paper Melville, N., Kraemer, K. y Gurbaxani, V. (2004). Review: information technology y organizational performance: an integrative model of IT business value. MIS Quarterly, 28:2, pp Navarro, M. (2006). Security evolves towards maturity. Universia Business Review, 2nd quarter, Nolan, R. L. (2001). Information technology management from Harvard Business School, Boston. OECD. (2005). The promotion of a culture of security for information systems and networks in oecd countries. directorate for science, technology and industry. Online OECD. (2009). The impact of the global crisis on SME y entrepreneurship financing y policy responses. Park, S. y Ruighaver, T.( 2008). Strategic approach to information security in organizations. Proceedings of the 2008 International Conference on Information Science y Security. Pérez-González, D. y Solana-González, P. (2006). Intranets: medición y valoración de sus beneficios en las organizaciones. El Profesional de la Información, 15:5, pp Powell, T. C. y Dent-Micallef, A. (1997). Information technology as competitive advantage: the role of human, business, y technology resources. Strategic Management Journal, 18:5, pp Preston, D. S. y Karahanna, E. (2009). Antecedents of IS strategic alignment: a nomological network. Information Systems Research, 20:2, pp

15 Pritchard, S. ( 2010). Navigating the black hole of small business security. Infosecurity, 7:5, pp PricewaterhouseCoopers. (2011). Findings from the 2011 global state of information security survey. CIO Magazine y CSO Magazine. Siponen, M. y Willison, R. (2009). Information security management standards: problems y solutions. Information & Management, 46:5, pp Smith, S. y Jamieson, R. (2006). Determining key factors in e-government information system security. Information Systems Management, 23:2, pp Solana-González P., y Pérez-González, D. (2011). Security model applied to electronic records management: experiences y results in the nuclear sector. International Journal of Technology Management, 54(2), pp Trigueros-Preciado, S., Pérez-González, D., y Solana-González, P. (2013). Cloud computing in industrial SMEs: identification of the barriers to its adoption y effects of its application. Electronic Markets, 23(2), pp