Estudio sobre la seguridad y la e-confianza en las pequeñas y microempresas españolas

Transcripción

1 Estudio sobre la seguridad y la e-confianza en las pequeñas y microempresas españolas OBSERVATORIO Estudio sobre la seguridad y e-confianza DE LA en las SEGURIDAD pequeñas y microempresas DE españolas LA INFORMACIÓN Página 1 de 143

2 U Edición: Diciembre 2009 El Estudio sobre la seguridad y la e-confianza en las pequeñas y microempresas españolas ha sido elaborado por el equipo de trabajo del de INTECO: Pablo Pérez San-José (Coordinador) Susana de la Fuente Rodríguez Laura García Pérez Javier Rey Perille Héctor René Suárez Suárez INTECO quiere mencionar la participación en la realización del trabajo de campo e investigación para este estudio de: La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está bajo una licencia Reconocimiento-No comercial 2.5 España de Creative Commons, y por ello esta permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. s/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página es Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 2 de 143

3 ÍNDICE ÍNDICE...3 PUNTOS CLAVE...7 I Herramientas, buenas prácticas y políticas de seguridad...7 II Incidencias de seguridad: percepción y situación real...12 III Efectos de las incidencias de seguridad y reacción ante las mismas...12 IV e-confianza...13 V Sistema de Indicadores de Seguridad...14 VI Recomendaciones INTRODUCCIÓN Y OBJETIVOS Presentación Instituto Nacional de Tecnologías de la Comunicación Estudio sobre la seguridad y la e-confianza en las pequeñas y microempresas españolas Objetivo general Objetivos específicos DISEÑO METODOLÓGICO Caracterización del universo objeto de la investigación Fases del proyecto de investigación Fase 1: Recopilación y estudio de informes Fase 2: Auditoría de seguridad Fase 3: Encuestas a empresas Fase 4: Elaboración del informe...28 Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 3 de 143

4 3 HERRAMIENTAS, BUENAS PRÁCTICAS Y POLÍTICAS DE SEGURIDAD EN LAS PEQUEÑAS Y MICROEMPRESAS Herramientas de seguridad Nivel de implantación de las herramientas de seguridad en las pequeñas y microempresas españolas Motivos declarados por las empresas para no utilizar las distintas herramientas de seguridad en sus equipos Personal dedicado a la seguridad de la información Evolución de la inversión en seguridad respecto al gasto en informática Necesidades de productos y servicios de seguridad en las pequeñas y microempresas españolas Buenas prácticas de seguridad Realización de copias de seguridad Actualización de los programas y sistemas operativos Conocimiento y adecuación a la normativa sobre protección de datos Planes y políticas de seguridad INCIDENCIAS DE SEGURIDAD: PERCEPCIÓN DE LAS PEQUEÑAS Y MICROEMPRESAS Y SITUACIÓN REAL DE SUS EQUIPOS Percepción de las incidencias de seguridad por parte de las empresas Incidencias reales detectadas en los ordenadores de las microempresas y pequeñas empresas españolas Evolución de la incidencia de malware Tipología del código malicioso detectado Diversificación del código malicioso detectado Nivel de peligrosidad del código malicioso detectado en los equipos en función del riesgo potencial que éste supone Factores de influencia sobre el estado de infección de los equipos...80 Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 4 de 143

5 5 SEGURIDAD DE LAS COMUNICACIONES MÓVILES E INALÁMBRICAS EN LAS PEQUEÑAS Y MICROEMPRESAS Seguridad en dispositivos móviles avanzados Seguridad en las conexiones inalámbricas CONSECUENCIAS, REACCIONES Y RESPUESTAS ANTE LAS INCIDENCIAS DE SEGURIDAD EN LAS PEQUEÑAS Y MICROEMPRESAS Consecuencias de las incidencias de seguridad Reacciones de las empresas frente a las incidencias de seguridad Respuesta de las empresas frente a las incidencias de seguridad E-CONFIANZA DE LAS PEQUEÑAS Y MICROEMPRESAS e-confianza en la Sociedad de la Información e-confianza en las gestiones con las Administraciones Públicas e-confianza en el comercio electrónico e-confianza en las operaciones bancarias electrónicas e-confianza en la firma electrónica y el envío de datos personales Frenos al desarrollo de la Sociedad de la Información SISTEMA DE INDICADORES DE SEGURIDAD DE LAS PEQUEÑAS Y MICROEMPRESAS Análisis de los indicadores de la seguridad de la información CONCLUSIONES Análisis DAFO Fortalezas Debilidades Oportunidades Amenazas Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 5 de 143

6 10 RECOMENDACIONES Recomendaciones a las pequeñas y microempresas Recomendaciones a los fabricantes Recomendación a las Administraciones Públicas Asignación de prioridad de las recomendaciones ANEXO I: BIBLIOGRAFIA ÍNDICE DE GRÁFICOS ÍNDICE DE TABLAS Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 6 de 143

7 PUNTOS CLAVE Dentro del compromiso de INTECO con el tejido empresarial nacional, el Observatorio de la Seguridad de la Información publica el Estudio sobre la seguridad y la e-confianza en las pequeñas y microempresas españolas. El informe realiza un diagnóstico de la situación de las empresas españolas de menos de 50 empleados en lo relativo a adopción de medidas de seguridad de la información en sus equipos e instalaciones, nivel de incidencias ocurridas y, finalmente, grado de confianza de las empresas hacia las Tecnologías de la Información y Comunicación. Para realizar el análisis, se ha seguido una metodología basada en la realización de encuestas a los empresarios y en la elaboración de auditorías de seguridad en línea a los equipos de las empresas participantes en el estudio. Para la ejecución de las auditorías se ha utilizado iscan, una potente herramienta desarrollada por INTECO que analiza los sistemas y ofrece información empírica sobre las herramientas instaladas, el nivel de actualización de los sistemas, y el grado de infección de los equipos. La ventaja que aporta la metodología utilizada es que permite contrastar un dato basado en la percepción del empresario sobre la seguridad de la información en su empresa con un dato real basado en el análisis en línea del nivel de seguridad efectivo de sus equipos. En el informe se analizan las particularidades específicas de las microempresas (aquéllas con menos de 10 empleados) y pequeñas empresas (las que tienen entre 10 y 49 empleados). Con este informe INTECO continúa la trayectoria iniciada en 2008 con la publicación del Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas empresas españolas y el Estudio sobre el grado de adaptación de las Pequeñas y Medianas Empresas españolas a la Ley Orgánica de Protección de Datos (LOPD) y el nuevo Reglamento de Desarrollo (RDLOPD). Se muestran a continuación algunos de los puntos clave del diagnóstico. I Herramientas, buenas prácticas y políticas de seguridad Herramientas de seguridad instaladas en los equipos El nivel de seguridad que muestran los equipos de las pequeñas y microempresas españolas de menos de 50 empleados es adecuado. Herramientas de protección consideradas básicas están siendo utilizadas de forma muy notable: a partir de las propias declaraciones de los encuestados, un 97,8% de las empresas reconoce tener instalados antivirus en los equipos corporativos, seguido de un 72,4% que manifiesta Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 7 de 143

8 disponer de cortafuegos y un 66,8% que admite tener algún medio de control de acceso al equipo. En los tres casos, el nivel de utilización de las medidas por parte de las empresas españolas es superior al mostrado a nivel internacional, donde las empresas se sitúan 17,8 puntos porcentuales por detrás de las españolas en el uso de antivirus, 8,3 respecto a los cortafuegos y 22,9 en el caso del control de acceso al equipo. Las soluciones de seguridad de carácter más específico instaladas en los equipos están presentes en mayor medida en las empresas pequeñas (de 10 a 49 empleados) que en las microempresas (aquéllas con menos de 10 trabajadores). Así, la utilización de distintos privilegios en cada equipo en función del usuario es aplicada por un 51,3% de las pequeñas empresas, frente a sólo un 30,2% en el caso de las microempresas, y el uso de herramientas que permiten acceder a la red corporativa desde el hogar es adoptado por un 36,2% de empresas de entre 10 y 49 trabajadores, frente a un 20,3% de empresas de hasta 9 empleados. Parece que, independientemente del tamaño, las empresas utilizan medidas de protección de carácter básico, pero el uso de herramientas más específicas de seguridad crece entre las empresas con más empleados. El nivel de instalación real de antivirus, según las auditorías de seguridad realizadas gracias a la herramienta iscan, muestra que un 93,1% de los equipos analizados dispone efectivamente de una herramienta antivirus activa. El gap de 4,7 puntos porcentuales entre el nivel declarado de uso (97,8%) y el nivel efectivo de instalación (93,1%) representa a empresas que creen tener sus equipos protegidos con antivirus, cuando en realidad no es así. Herramientas de seguridad de la información adoptadas a nivel corporativo Más allá de la protección de los equipos de la empresa, existen una serie de herramientas que, adoptadas a nivel corporativo, contribuyen a aumentar la seguridad de la empresa. Se trata, por ejemplo, de la existencia de técnicas para asegurar la realización de copias de seguridad de los datos (disponible en un 82,4% de las empresas participantes en el estudio), la instalación de cortafuegos en red (72,9%) o la adopción de sistemas para la prevención de intrusos (51,7%). Existencia de recursos humanos encargados de la seguridad de la información En un 17,8% de las empresas existe personal dedicado a cuestiones informáticas, frente a un mayoritario 82,2% de empresas que reconocen que no existe ningún empleado en nómina con estas funciones. La pequeña empresa española aboga por la subcontratación de los servicios informáticos en personal externo a la compañía. Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 8 de 143

9 Entre las empresas que sí tienen personal informático en plantilla, cerca de un 80% contempla la existencia de una persona responsable de la seguridad informática, bien sea una responsabilidad exclusiva, bien compartida con otras funciones de carácter tecnológico. Inversión en tecnología efectuada por la pequeña y microempresa española Analizando la inversión realizada por las empresas en material informático, un 79,9% opina haber invertido lo justo, frente a un 17,4% que reconoce haber destinado pocos recursos a este concepto y un 2,7% que manifiesta haber empleado más de lo esperado en la adquisición de material tecnológico. Parece que, en general, las empresas se encuentran cómodas con el nivel de inversión efectuado en TIC. Pero, cuánto han invertido? A falta de datos absolutos sobre inversión, que no es objeto del presente estudio, se les preguntó a los participantes sobre el nivel de inversión del año en curso en relación con lo invertido el año precedente. Sólo un 2,6% de las empresas ha invertido más que el año anterior, y un 7,8% adicional se ha mantenido en un nivel constante de inversión. La mayoría, un 88,7% de las pequeñas y microempresas españolas, reconoce haber destinado menos recursos que el año anterior a material informático. Demandas y necesidades de la pequeña empresa española en seguridad de la información En un contexto caracterizado por una correcta adopción de herramientas de seguridad básica entre las pequeñas empresas españolas, una tendencia a la externalización de los servicios informáticos y una inversión en recursos tecnológicos inferior a la del año anterior, a qué necesidades de seguridad se enfrenta la empresa? Un 76,3% considera necesario o muy necesario la realización de revisiones de seguridad, mientras que un 73,2% declara lo propio con respecto a la disponibilidad de servicios de solución de incidentes de seguridad. Algo menos necesaria, con un 66,5% de declaraciones, es la formación especializada en seguridad. Respecto a las necesidades referentes a las prestaciones de las herramientas, lo que más valora la pequeña y microempresa española es la calidad y efectividad del producto de seguridad informática. Un 66,6% de los participantes en el estudio declaran valorar mucho esta prestación. Por detrás de ella, la calidad del servicio posventa (62,2%), la facilidad en el mantenimiento de la herramienta (59,7%) y la facilidad en la instalación (44,4%) son también aspectos positivamente valorados. En este punto, es oportuno destacar la labor del Centro Demostrador de Seguridad para la PYME de INTECO, orientado a fomentar y difundir entre las pymes españolas el uso Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 9 de 143

10 de las tecnologías de seguridad de la información. El Centro Demostrador actúa como facilitador de mecanismos de demanda temprana, acercándose a las necesidades de la empresa a través de diversas líneas de trabajo. Así, trabaja elaborando un catálogo de productos, soluciones y servicios de seguridad y llevando a cabo acciones de concienciación sobre la necesidad de implantar entornos de trabajo seguros. Buenas prácticas en seguridad de la información llevadas a cabo por las pequeñas empresas y microempresas españolas Para garantizar un adecuado nivel de seguridad es necesario, además de las herramientas adecuadas, el seguimiento de una serie de buenas prácticas. En concreto, la realización de copias de seguridad de los archivos y la actualización de los programas son pautas necesarias para garantizar un entorno empresarial seguro. Los datos del estudio muestran que la empresa española presenta un elevado nivel de cumplimiento de ambos comportamientos. El 94,2% de las empresas españolas de menos de 50 empleados realiza copias de seguridad, y el porcentaje alcanza el 99,1% cuando nos referimos sólo a las empresas de entre 10 y 49 trabajadores. Sin duda, se trata de una práctica adoptada por la práctica totalidad del tejido empresarial español. La frecuencia de realización de copias de seguridad es diaria en un 43,2% de los casos analizados, y semanal en un 30,4%. Las microempresas de menos de 10 empleados muestran preferencia por la realización de copias de seguridad de forma manual: un 51,3% lo ejecutan de este modo, frente al 45,2% que afirman hacerlo de manera automatizada. En las pequeñas empresas de 10 a 49 empleados la preferencia es la inversa: un mayoritario 65,8% confía en la realización de copias de forma automática, frente a un 29,8% que apuesta por la solución manual. En el análisis del nivel declarado de actualización, el 88,9% de las empresas afirman que el sistema operativo y las herramientas de seguridad con los que trabajan se encuentran actualizados. La información aportada por la auditoría de seguridad iscan revela que, en realidad, un 58,5% de los equipos analizados están efectivamente actualizados. Existe una notoria discrepancia entre nivel de actualización del equipo percibido y real. Adaptación a la normativa sobre protección de datos Los datos del estudio muestran una evolución realmente positiva de la empresa española en el cumplimiento de las obligaciones previstas en la normativa sobre protección de datos. Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 10 de 143

11 Un 60,2% de las empresas es consciente de que su actividad en lo que se refiere a ficheros con datos personales está sujeta a la normativa sobre protección de datos, frente a un 26,1% que piensa no estar afectada por la legislación y un 13,7% que lo desconoce. El cumplimiento de la obligación de inscribir los ficheros que contengan datos personales ante el Registro General de la Agencia Española de Protección de datos se sitúa en un nivel aceptable, y experimenta una evolución muy positiva con respecto a la situación del año Así, el 52,6% de las entidades participantes en el estudio declaran haber notificado sus ficheros, frente a un 33,7% que admite lo contrario. Los datos de mostraban una tasa de cumplimiento del 37%, frente a un incumplimiento declarado del 47%. La misma tendencia de evolución positiva se aprecia en el cumplimiento del deber de información, cuya observancia es reconocida por un 67,1% de las empresas españolas de menos de 50 empleados (frente al 29% en 2008) y el cumplimiento del deber de solicitud de consentimiento del interesado, realizado por un 62,3% de las entidades (29% en 2008). Los datos son positivos, y en cualquier caso confirman la progresiva adopción de la normativa sobre protección de datos por parte de la empresa española. Planes y políticas de seguridad Un 34,3% de las empresas disponen de plan de seguridad en el momento de realización de la encuesta, o entra dentro de sus planteamientos futuros instaurar uno. A los efectos del estudio, se entiende por plan de seguridad el establecimiento de una estrategia o calendario para el aumento paulatino del nivel de seguridad de la empresa (mediante la adquisición de soluciones de seguridad, etc.) A pesar de este dato, razonablemente positivo, la adopción de esta medida a nivel internacional excede el nivel mostrado por las empresas españolas. Se ha analizado también la existencia de planes y políticas que afectan al nivel de seguridad de las empresas de más de diez trabajadores. El más frecuente es el plan de concienciación, implantado en el 24,6% de las empresas, seguido de la política de uso de correo electrónico (17,6%) y el plan de continuidad de negocio (11,9%). También en estos casos las empresas españolas tienen una oportunidad de mejora para alcanzar el grado de implantación de estas políticas a nivel internacional. 1 INTECO (2008). Estudio sobre el grado de adaptación de las Pequeñas y Medianas Empresas españolas a la Ley Orgánica de Protección de Datos (LOPD) y el nuevo Reglamento de Desarrollo RDLOPD. Disponible en Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 11 de 143

12 Por último, el 22,8% de las entidades con más de diez empleados afirma que ha realizado alguna vez una auditoría de seguridad, con objeto de evaluar y establecer las acciones de mejora a efectuar. II Incidencias de seguridad: percepción y situación real El capítulo de las incidencias de seguridad que tienen lugar en el ámbito empresarial se define por dos situaciones mayoritarias: spam y malware. Al 63,2% de los encuestados les consta que su empresa ha recibido correo electrónico no deseado en alguna ocasión, y el 49,2% afirma lo mismo respecto a la infección por virus. En el análisis real de la situación de seguridad de los equipos se obtiene que, en la fecha de realización del estudio, el 48,4% de los equipos auditados están comprometidos por algún tipo de código malicioso. En este caso, la percepción del encuestado es fiel a la realidad de su equipo: 49,2% de empleados que admite haber sufrido virus frente a 48,4% de equipos que efectivamente alojan malware 2. Las categorías de malware más frecuentes son los troyanos (presentes en un 27,8% de los equipos auditados) y el software publicitario no deseado (identificado en un 23,2% de los ordenadores.) Se trata, precisamente, de las dos categorías de código malicioso que más beneficios reportan a sus creadores: la primera, los troyanos, porque suelen estar relacionados con el fraude; y la segunda, el adware publicitario, porque proporciona ingresos por publicidad. Es lógico pensar que los ciberdelincuentes inviertan más esfuerzos en crear y diseminar este tipo de malware. La primera característica del malware detectado en los equipos es, por tanto, su finalidad lucrativa. Se trata, además, de código malicioso muy heterogéneo: de los archivos maliciosos localizados, 963 son variantes únicas. Este dato constata el gran volumen de variantes que crean los cibercriminales con el objetivo de dificultar su detección y obstaculizar así la efectividad de los programas antivirus y soluciones antimalware basados en el reconocimiento de especímenes. III Efectos de las incidencias de seguridad y reacción ante las mismas En opinión de los encuestados, la pérdida de tiempo de trabajo es la consecuencia a la que en mayor medida se enfrentan las empresas (un 54,9%), seguida de problemas de conexión/redes (26,1%) y pérdida de archivos y datos (20,1%). De hecho, de las tres variables consideradas, pérdida de tiempo, dinero e imagen, sólo la pérdida de tiempo se considera que tiene cierto impacto ante una incidencia. Así, el 73,8% de las empresas afirma que una incidencia de seguridad no tiene ningún impacto 2 En rigor, los datos no son perfectamente comparables, ya que la pregunta de la encuesta se refiere a si ha sufrido virus en alguna ocasión y los datos de la auditoria se aplican al momento de realización del escaneo, a cualquier tipo de malware. Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 12 de 143

13 sobre la imagen de su empresa y un 69% opina que carece de impacto económico en el negocio. Ante un incidente de seguridad, un 42,9% de las empresas ha reaccionado instalando o actualizando una herramienta de seguridad, y un 24,6% ha comenzado a realizar copias de seguridad de los archivos. Estos datos confirman que, en el contexto de una situación problemática relativa a la seguridad de la información, las empresas actúan mejorando sus medidas y hábitos de seguridad, y no abandonando el servicio (sólo el 5,4% manifiesta dejar de utilizar servicios de Internet como consecuencia de una incidencia.) Internet está tan interiorizado en la realidad de la empresa española que abandonar su uso no es una opción para la inmensa mayoría. Cómo solucionan las pequeñas empresas españolas de menos de 50 empleados los incidentes de seguridad? En un 65,7% de las ocasiones, recurren a servicios especializados, ya sea un experto en seguridad (25,5%), un servicio técnico (23,3%) o un proveedor local de sistemas informáticos (16,9%). IV e-confianza El indicador más limpio del nivel de confianza que las empresas españolas muestran hacia la Sociedad de la Información es el uso efectivo de los servicios telemáticos existentes. En este sentido, los datos confirman que la e-confianza de las empresas españolas de menos de 50 empleados goza de buena salud: un 84,2% de las entidades estudiadas utiliza la banca electrónica; la comunicación vía o formulario web es practicada por el 59,9% de las empresas; el 57,2% reconoce realizar gestiones con la Administración Pública; un nada desdeñable 50,2% de organizaciones afirma utilizar la firma electrónica; por detrás de ellas, transacciones en línea de componente económico que implican compras a proveedores, ventas a clientes o realización de pagos son llevadas a cabo, respectivamente, por el 41%, 40,6% y 41,5% de las empresas participantes en el estudio. En muchos casos, el nivel de adopción de estos servicios por la empresa española supera al registrado entre las europeas: tal es el caso del uso de banca electrónica, la realización de gestiones con las administraciones públicas, la utilización de la firma electrónica, la realización de compras y, por último, las ventas en línea. El uso está más extendido entre las empresas de mayor tamaño (10 a 49 empleados) que entre las microempresas. Las acciones de formación y concienciación que se lancen desde las administraciones y sector privado deberían tener en cuenta esta circunstancia para seleccionar colectivos de impacto a los que dirigirse. Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 13 de 143

14 Además, los niveles de confianza en cada servicio son muy elevados entre los usuarios, en valores que se sitúan entre el 75 y el 90% en todos los casos. En este caso, el tamaño de la empresa no afecta a la hora de determinar una mayor o menor confianza. V Sistema de Indicadores de Seguridad El análisis del presente estudio se completa con el cálculo de una serie de indicadores que ofrecen, de manera sistemática y segmentada, una visión integral del estado de la seguridad de las empresas españolas. El cálculo se compone de siete indicadores clasificados en tres grupos, relacionados con la protección (indicador de herramientas, indicador de buenas prácticas e indicador de políticas), el riesgo y nivel de incidencias (indicador de incidencias de malware e indicador de equipos en situación de riesgo) e indicadores generales de seguridad y e-confianza (indicador agregado global de seguridad e indicador de e-confianza). Todos los indicadores toman valores que se encuentran entre 0 y 100 puntos. En general, la situación global se mantiene con un equipamiento en herramientas considerable (76,1), una realización de buenas prácticas moderado (51,1) y una existencia de planes y políticas ciertamente mejorable (21,0). En el análisis de las incidencias, se obtiene una moderada incidencia en ordenadores con códigos maliciosos (48,4) y una cifra relativamente baja de ordenadores en situación de riesgo (23,8). Respecto a los indicadores generales de seguridad y e-confianza, los valores son 54,4 y 73,2 respectivamente, deduciéndose que la situación de seguridad ofrecida por el indicador agregado global se encuentra en unos niveles óptimos, y la percepción subjetiva respecto al grado de confianza de seguridad de las empresas cuando usan Internet es bastante elevada. VI Recomendaciones Recomendaciones a las pequeñas y microempresas españolas Su papel es decisivo en la implantación de la seguridad de la información como elemento añadido que aporte valor a su actividad empresarial. Para ello, se propone la adopción de las siguientes iniciativas: Usar adecuadamente las medidas y herramientas de seguridad. Instalar software bajo licencia y actualizar los programas/sistemas operativos. Establecer procedimientos, planes y políticas de seguridad. Erradicar la falsa percepción de seguridad de las empresas españolas a través de la información y la sensibilización. Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 14 de 143

15 Implantar Sistemas de Gestión de la Seguridad de la Información (SGSI). Proporcionar a los empleados formación en materia de seguridad de la información. Recomendaciones a los fabricantes y proveedores de soluciones de seguridad Las recomendaciones propuestas a los fabricantes y los proveedores de soluciones son: Adaptar los productos y soluciones de seguridad dirigidos a las pequeñas empresas a sus necesidades concretas. Hacer atractivos los precios finales y márgenes de los intermediarios. Fomentar mecanismos que favorezcan las relaciones con las AA.PP. Ampliar y mejorar los servicios pre-venta y post-venta. Recomendaciones a las Administraciones Públicas La función de las Administraciones Públicas será decisiva a la hora de destinar financiación, así como en la coordinación, armonización y consolidación de economías de escala. Se propone a las administraciones lanzar las siguientes iniciativas: Promover y asesorar en la implantación de Sistemas de Gestión de la seguridad de la Información. Sensibilizar a las empresas a través de un enfoque de la seguridad proactivo basado en el riesgo. Orientar acciones en las empresas subcontratadas de prestación de servicios de tecnologías de la información (TI). Ofrecer información y asesoramiento a las empresas en sus planes de formación a los empleados. Seguir fomentando la e-confianza entre las empresas. Realizar una labor recurrente de diagnóstico y métrica del estado de la seguridad de la información en las empresas. Elaborar y difundir información adaptada a las necesidades de las empresas. Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 15 de 143

16 1 INTRODUCCIÓN Y OBJETIVOS 1.1 Presentación Instituto Nacional de Tecnologías de la Comunicación. El Instituto Nacional de Tecnologías de la Comunicación (INTECO), sociedad estatal promovida por el Ministerio de Industria, Turismo y Comercio, es una plataforma para el desarrollo de la Sociedad del Conocimiento a través de proyectos del ámbito de la innovación y la tecnología. Su objetivo es doble: por una parte, contribuir a la convergencia de España con Europa en la Sociedad de la Información y, por otra parte, promover el desarrollo regional, enraizando en León un proyecto con vocación global. La misión de INTECO es impulsar y desarrollar proyectos de innovación relacionados con el sector de las Tecnologías de la Información y la Comunicación (TIC) y en general, en el ámbito de la Sociedad de la Información, que mejoren la posición de España y aporten competitividad, extendiendo sus capacidades tanto al entorno europeo como al latinoamericano. Así, el Instituto tiene la vocación de ser un centro de desarrollo de carácter innovador y de interés público a nivel nacional que constituirá una iniciativa enriquecedora y difusora de las nuevas tecnologías en España en clara sintonía con Europa. El objeto social de INTECO es la gestión, asesoramiento, promoción y difusión de proyectos tecnológicos en el marco de la Sociedad de la Información. Para ello, INTECO desarrollará actuaciones, al menos, en las líneas estratégicas de Seguridad Tecnológica, Accesibilidad y Calidad del Software El se inserta dentro de la línea estratégica de actuación de INTECO en materia de Seguridad Tecnológica. Nace con el objetivo de describir de manera detallada y sistemática el nivel de seguridad y confianza en la Sociedad de la Información y de generar conocimiento especializado en la materia. De este modo, se encuentra al servicio de los ciudadanos, las empresas y las administraciones públicas españolas para describir, analizar, asesorar y difundir la cultura de la seguridad de la información y la e-confianza. El Observatorio ha diseñado un Plan de Actividades y Estudios con el objeto de producir conocimiento especializado y útil en materia de seguridad por parte de INTECO, así como de elaborar recomendaciones y propuestas que definan tendencias válidas para la toma de decisiones futuras por parte de los poderes públicos. Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 16 de 143

17 Dentro de este plan de acción se realizan labores de investigación, análisis, estudio, asesoramiento y divulgación que atenderán, entre otras, a las siguientes estrategias: Elaboración de estudios e informes propios en materia de seguridad de las Tecnologías de la Información y la Comunicación, con especial énfasis en la Seguridad en Internet. Seguimiento de los principales indicadores y políticas públicas relacionadas con la seguridad de la información y la confianza en el ámbito nacional e internacional. Generación de una base de datos que permita el análisis y evaluación de la seguridad y la confianza con una perspectiva temporal. Impulso de proyectos de investigación en materia de seguridad TIC. Difusión de estudios e informes publicados por otras entidades y organismos nacionales e internacionales, así como de información sobre la actualidad nacional y europea en materia de la seguridad y confianza en la Sociedad de la Información. Asesoramiento a las Administraciones Públicas en materia de seguridad de la información y confianza, así como el apoyo a la elaboración, seguimiento y evaluación de políticas públicas en este ámbito. 1.2 Estudio sobre la seguridad y la e-confianza en las pequeñas y microempresas españolas El empleo de las tecnologías por parte de las empresas españolas se ha posicionado como elemento dinamizador del crecimiento económico basado en el aumento de la competitividad y la productividad, con numerosas iniciativas procedentes del sector público enfocadas a facilitar el acceso a las tecnologías por parte de los actores principales de la Sociedad de la Información. Resulta clave la necesidad de poner el foco en el fomento de las TIC y por ende, de la seguridad de la información, ya que no se pueden entender unas sin la otra entre las empresas españolas. El estudio cuenta con dos peculiaridades que lo pueden convertir en material exclusivo de referencia en seguridad de la información a nivel nacional e internacional: En primer lugar, el estudio permite realizar lecturas evolutivas con respecto a tomas de datos realizadas por INTECO en De este modo, se pueden apreciar tendencias de evolución. Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 17 de 143

18 En segundo lugar, los resultados del estudio proceden de dos fuentes diferenciadas y comparables, permitiendo conocer el nivel de coincidencia y/o discrepancia entre la percepción de las empresas (obtenida a través de las encuestas) y la situación real de seguridad de sus equipos (extraída de los análisis de seguridad practicados en línea). En el epígrafe 2 se profundiza en la metodología seguida Objetivo general El objetivo general de este estudio es el análisis, basado en las percepciones de los empresarios, de la evolución de la situación de seguridad de la información y e-confianza entre las pequeñas y microempresas, al mismo tiempo que su contraste con el nivel real de seguridad e incidencias que mantienen sus equipos. Todo ello, con el fin de proponer recomendaciones de actuación a las entidades, a la industria de seguridad de la información y a las Administraciones Públicas para impulsar el conocimiento y el seguimiento de los principales indicadores y políticas públicas relacionadas con la Sociedad de la Información en materia de seguridad de la información y e-confianza Objetivos específicos El anterior objetivo se desglosa operativamente en los siguientes objetivos específicos que permiten, además, orientar la estructura temática del presente informe. Herramientas, buenas prácticas y políticas de seguridad en las empresas Analizar la oferta disponible y el estado de implantación de los productos de seguridad existentes en las empresas, y contrastar los resultados con el nivel de instalación de los mismos en el ámbito internacional. Examinar las diferencias existentes en el equipamiento de seguridad entre las empresas españolas, en función de su tamaño. Conocer las barreras a la instalación de las medidas de seguridad en los equipos de las pequeñas y microempresas. Comprobar la existencia de recursos humanos especializados en temas tecnológicos y de seguridad informática en el ámbito de la pequeña empresa española. Conocer la inversión que las empresas españolas están llevando a cabo en seguridad de la información. Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 18 de 143

19 Verificar el comportamiento de las pequeñas y microempresas españolas en relación con la adopción de buenas prácticas de seguridad: realización de copias de seguridad y actualización de los programas y sistemas operativos. Analizar la evolución del conocimiento y cumplimiento de la normativa de protección de datos. Identificar los planes y políticas de seguridad adoptados por las entidades españolas, y contrastar los resultados con el nivel de adopción de los mismos en el ámbito internacional. Incidencias de seguridad ocurridas y reacción ante ellas Conocer la frecuencia con la que los usuarios declaran padecer incidencias de seguridad en los equipos de sus entidades. Determinar el nivel de incidencia general del código malicioso o malware, definir sus categorías y cuantificar la gravedad de los mismos. Analizar la diversificación del código malicioso, a partir de la existencia de variantes únicas y del número de detecciones en los equipos. Seguridad de las comunicaciones móviles e inalámbricas Determinar el nivel de seguridad que las organizaciones otorgan a sus dispositivos móviles avanzados y comunicaciones inalámbricas. Consecuencias, reacciones y respuestas ante las incidencias de seguridad Determinar las consecuencias y los cambios de hábitos adoptados por las pequeñas y microempresas españolas tras las incidencias de seguridad. e-confianza de las empresas Elaborar un diagnóstico sobre la adopción de la Sociedad de la Información entre las pequeñas y microempresas españolas, y analizar su grado de e-confianza. Conocer las circunstancias que, potencialmente, pueden suponer un freno al desarrollo de la Sociedad de la Información y analizar en qué medida la seguridad afecta a la utilización de nuevos servicios. Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 19 de 143

20 2 DISEÑO METODOLÓGICO En la definición de la metodología del estudio, se ha considerado una fórmula que permite obtener información relativa al nivel de seguridad y e-confianza de las pequeñas empresas españolas desde una doble perspectiva: información basada en la opinión del empresario e información empírica de la situación de seguridad de los equipos: Percepción sobre la situación de la seguridad de la información y nivel de e- confianza de los empresarios. Un total de pequeñas y microempresas han respondido a la encuesta, de acuerdo con los criterios del muestreo aleatorio simple en las que p=q=0,5 y para un nivel de confianza del 95,5%, el error muestral para n=2.206 es de ±2,1%. Nivel de seguridad real de los equipos informáticos existentes en las empresas. Para ello, se utiliza el software iscan 3, desarrollado por INTECO, que analiza los sistemas y las incidencias de seguridad en los equipos gracias a la utilización conjunta de 46 motores antivirus. Este software se instala en los equipos y los analiza, detectando todo el malware residente en los mismos y recogiendo además datos del sistema operativo, del estado de su actualización y de las herramientas de seguridad instaladas. El programa informático remite esta información a INTECO, que la trata de manera anónima y agregada. El número total de análisis remotos de seguridad ha sido 622. Esto permite analizar dos fuentes paralelas de información en el ámbito de la seguridad informática, lo que produce la ventaja de contrastar la percepción sobre la seguridad corporativa que tienen los encuestados y la situación real de los equipos de las empresas, no obstante para facilitar la lectura de los contenidos de los gráficos, en cada uno de ellos se menciona la base de cálculo empleada. Esta es la primera ocasión en la que se aplica esta metodología basada en el contraste de una doble fuente en un estudio referido a pequeñas y microempresas españolas, lo que aporta una gran ventaja comparativa y lo convierte en referente nacional. Sí se ha utilizado con anterioridad en estudios realizados sobre equipos domésticos. En concreto, el Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles elaborado por el de INTECO ofrece trimestralmente información relativa al nivel de seguridad y e-confianza de los hogares. 3 El software, propiedad de INTECO, es un programa sencillo e inocuo que permite realizar un análisis exhaustivo en remoto tanto del sistema como de la seguridad de los ordenadores. Todo ello, con absoluta confidencialidad y transparencia. En apartado se explica de forma detallada el funcionamiento de iscan Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 20 de 143

21 2.1 Caracterización del universo objeto de la investigación El universo objeto del estudio está constituido por toda empresa española de hasta 50 empleados, diferenciando entre las microempresas (menos de 10 empleados) y las pequeñas empresas (10-49 asalariados). Para la definición de microempresas y pequeñas empresas se ha tenido en cuenta la clasificación establecida por la Comunidad Europea 4. Tabla 1: Clasificación de las empresas según la normativa de la Comunidad Europea (en vigor desde el 1 de enero de 2005) Microempresa Empresa Empresa pequeña mediana Número de empleados Menos de 10 Menos de 50 Menos de 250 Facturación máxima (en millones de euros) Volumen de negocio anual o balance general anual (en millones de euros) Fuente: Recomendación C.E. (6 de mayo de 2003) El número de empresas activas en España a 1 de enero de 2009, según datos del Directorio Empresarial (DIRCE) 5 es de , distribuyéndose por tamaño según muestra el Gráfico 1. El 94,8% dispone de menos de 10 empleados, que son las denominadas microempresas. El 5,2% restante son empresas de 10 o más empleados, clasificadas en pequeñas (de 10 a 49 asalariados), medianas (de 50 a 199 asalariados) y grandes empresas (de 200 o más asalariados). Por el escaso peso numérico que tienen las empresas de más de 50 empleados dentro del panorama empresarial español (ver Gráfico 1), se excluyen del ámbito del estudio. 4 Comisión Europea (2003): Recomendación de 6 de mayo de 2003 sobre la definición de microempresa, pequeñas y medianas empresas. Diario Oficial de la Unión Europea L 124, pp , de 20 de mayo de Más información disponible en 5 Instituto Nacional de Estadística (2009): Directorio Central de Empresas. Disponible en Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 21 de 143

22 Gráfico 1: Distribución de empresas en España según número de empleados (%) 0,1% 0,6% 4,4% 94,8% 80,3% 14,5% Microempresas Pequeñas Medianas Grandes De 0 a 2 asalariados De 3 a 9 asalariados Fuente: DIRCE Fases del proyecto de investigación El desarrollo del estudio, con la metodología descrita, se ha llevado a cabo en cuatro etapas que se han desarrollado de forma secuencial: Fase 1: Recopilación y estudio de informes. Fase 2: Auditoría de seguridad. Fase 3: Encuestas a empresas. Fase 4: Elaboración del informe Fase 1: Recopilación y estudio de informes Esta etapa ha abordado el análisis de la situación actual de la empresa española en relación a la adopción de políticas y buenas prácticas de seguridad de la información. Para ello se ha partido, de un lado, de los análisis efectuados en la materia por INTECO y, de otro, de informes elaborados por empresas dedicadas al estudio de las tecnologías de la información. A partir de ellos se han extraído conclusiones que han contribuido a crear un perfil de conocimiento de la situación actual de la seguridad en las pequeñas y microempresas, los riesgos y amenazas a los que se enfrenta, y las necesidades y carencias en la oferta de servicios. Todos los informes consultados en el presente estudio son propiedad de las siguientes entidades: Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 22 de 143

23 Asociación Empresas de Tecnologías de la Información y Comunicaciones de España (AETIC) Asociación Española de Comercio Electrónico y Marketing Relacional (AECEM) Comisión Mercado de Telecoumicaciones (CMT) Eurostat Everis Forrester Research Fundetec Gartner IDC INTECO International Organization for Standardization (ISO) e International Electrotechnical Commission (IEC) McAfee McKinsey&Company MessageLabs Ministerio de Industria, Turismo y Comercio Organización de Cooperación y Desarrollo Económico (OCDE) Panda Software PricewaterhouseCoopers Red.es Sectoral e-business Watch Telefónica Fase 2: Auditoría de seguridad Se han realizado un total de 622 auditorías de seguridad en, al menos, un equipo de otras tantas pequeñas y microempresas españolas. La fase de análisis y monitorización en línea de los ordenadores se realizó entre febrero y junio del año Para llevar a cabo los análisis en línea se ha utilizado el programa iscan, una herramienta de análisis de seguridad propiedad de INTECO especializada en la detección de medidas activas de seguridad y, sobre todo, de código malicioso (malware). En el análisis de los parámetros de seguridad, la herramienta identifica vulnerabilidades críticas, detecta las soluciones antivirus instaladas y analiza la versión del sistema operativo. Por lo que respecta al análisis del malware, iscan detecta las incidencias de seguridad con 46 antivirus distintos con el objetivo de asegurar una mayor tasa de detección (especialmente ante las nuevas amenazas de carácter altamente indetectable). Como Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 23 de 143

24 contrapunto, precisamente con el objeto de minimizar los falsos positivos 6, se establecen una serie de filtros y controles posteriores: 1) Filtrado y ponderación de soluciones antivirus. En la selección de los motores se han tenido en cuenta los siguientes factores: a. En el listado de soluciones antimalware utilizadas por iscan se excluyen productos antivirus de perímetro, altamente paranoicos. b. Tampoco se consideran algunas soluciones que comparten firmas, para de este modo considerar sólo un motor con el mismo conjunto de firmas. c. Se ha identificado un subconjunto con los 11 antivirus más reputados, con mejor tasa de detección frente a especimenes detectados por más de 10 antivirus. Para que un archivo sea marcado como malware, éste debe ser detectado por 5 productos de los 46 considerados, teniendo en cuenta que uno de los 5 necesariamente debe pertenecer al subconjunto de los 11 antivirus más reputados. 2) Verificación manual de un número acotado de ejemplares. Tras una primera capa de filtrado, se ordenan todos los ficheros detectados en los equipos auditados por tasa de penetración (número de equipos en los que han sido avistados). Los 40 ficheros más avistados se analizan manualmente, con el fin nuevamente de filtrar falsos positivos. 3) Comparación de los ficheros marcados como maliciosos con bases de datos de software conocido y de ficheros inocuos. INTECO mantiene una base de datos de software de fabricantes confiables. Todos los ejemplares que siguen siendo detectados tras las dos capas de filtrado anteriores son comparados con esta base de datos para eliminar más falsos positivos. De igual forma, los ficheros son contrastados con la estadounidense National Software Reference Library 7 del National Institute of Standards and Technology (NIST). Si se detectase que alguno de los ficheros señalados por iscan está en dicha base de datos y no forma parte de un kit de hacking o cracking, el archivo no es considerado como malicioso. El establecimiento de estos filtros y controles es una medida muy importante de cara a asegurar la fiabilidad del estudio, pero aun así no elimina por completo la problemática de 6 Un falso positivo es la detección, errónea, de un fichero inocuo como malicioso. 7 National Institute of Standards and Technology: National Software Reference Library. Disponible en Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 24 de 143

25 los falsos positivos (una problemática inherente a la industria antivirus), ni la de los falsos negativos. Asimismo, debe tenerse en cuenta que al comparar todos los ficheros de los equipos inspeccionados con las bases de datos de malware conocido, no es posible detectar ningún espécimen desconocido que no se encuentre en dichas librerías. Esto es especialmente acusado en el caso de los gusanos y virus. Los gusanos suelen incluir un motor polimórfico que da lugar a un fichero binariamente distinto en cada replicación del mismo. En consecuencia, es muy difícil que un gusano polimórfico sea detectado, pues muchos de ellos serán únicos para cada infección y por tanto no estarán presentes en la base de datos de malware conocido. El caso de los virus es similar: muchos virus infectan otros archivos, dando lugar a ficheros con nuevas huellas digitales que no están presentes en la base de datos. Por último, iscan no proporciona información sobre si un determinado código malicioso se encuentra activo en el sistema. Podría darse la posibilidad (ciertamente infrecuente, por otra parte) de un sistema que, aun alojando malware, en realidad no estuviera infectado. Por ejemplo, el caso de un investigador que tuviera un directorio con código malicioso para estudiar, o el caso de que un código malicioso haya sido detectado por un antivirus y movido a una carpeta de cuarentena sin ofuscarlo 8. Se trata de una situación que no parece muy probable, pero que sería considerado malware por iscan. En definitiva, a pesar de la fortaleza de la herramienta iscan y de las medidas adoptadas por INTECO para mitigar la incidencia de falsos positivos, existen limitaciones intrínsecas a la metodología empleada que hacen que el análisis no sea infalible. Por ello, a pesar del rigor y robustez del análisis, los datos que se ofrecen cuentan con un margen de error que da una perspectiva de los problemas actuales a los que se enfrenta la industria de seguridad a la hora de desarrollar sus programas antivirus Fase 3: Encuestas a empresas Han participado un total de pequeñas y microempresas seleccionadas mediante un muestreo aleatorio estratificado (número de empleados, sector de actividad y Comunidad Autónoma) con afijación proporcional según el porcentaje de uso de Internet en función de los datos del Instituto Nacional de Estadística (INE) 9. Para la captación de la muestra se han empleado las siguientes técnicas: 8 En informática, la ofuscación se refiere al acto deliberado de realizar un cambio no destructivo, ya sea en el código fuente de un programa informático o código máquina cuando el programa está en forma compilada o binaria, con el fin de que no sea fácil de entender o leer, es decir, se ha ininteligible específicamente para ocultar su funcionalidad. 9 Instituto Nacional de Estadística (2008): Encuesta de uso de TIC y Comercio electrónico (CE) en las empresas Disponible en Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas Página 25 de 143