Error! Marcador no definido.

Transcripción

1 1

2 Índice General 1. Introducción FUNDETEC INTECO PANDA SOFTWARE... Error! Marcador no definido. 2. La seguridad como parte estratégica de la empresa Recursos humanos dedicados a la administración y seguridad de la red Utilización de los sistemas de seguridad Actualización de los sistemas de seguridad Sistemas de seguridad implantados en la empresa Sistemas de seguridad utilizados Problemas de implantación de sistemas de seguridad Problemas de seguridad detectados Tipología de los problemas detectados Efectos producidos en las empresas analizadas Vías de entrada y propagación Inversión prevista en seguridad Conocimiento, asesoramiento y formación en temas de seguridad Conclusiones del estudio de seguridad en las empresas Anexo 1. Estructura de la encuesta. Perfil de la muestra Anexo 2. Recomendaciones de Seguridad para la PYME Anexo 3. Tablas de datos Anexo 4. Cuestionario Anexo 4. Glosario de términos

3 Índice de Figuras Fig. 1 Importancia de la seguridad informática en las empresas... 6 Fig. 2 Importancia de la seguridad informática en empresas europeas... 7 Fig. 3 Importancia de la seguridad informática en España... 8 Fig. 4 Empresas que cuentan con una persona dedicada para gestionar la seguridad informática... 9 Fig. 5 Empresas europeas que cuentan con una persona para gestionar la seguridad informática Fig. 6 Empresas españolas que cuentan con una persona para gestionar la seguridad informática Fig. 7 Empresas que utilizan algún sistema de seguridad Fig. 8 Empresas europeas que utilizan algún sistema de seguridad Fig. 9 Empresas españolas que utilizan algún sistema de seguridad Fig. 10 Fases del proceso de gestión continua de un plan de seguridad Fig. 11 Actualización de los sistemas de seguridad Fig. 12 Actualización de los sistemas de seguridad en las empresas europeas Fig. 13 Actualización de los sistemas de seguridad en las empresas españolas Fig. 14 Informe PandaLabs T sobre nuevas amenazas detectadas Fig. 15 Sistemas de seguridad empleados Fig. 16 Problemas para no introducir un sistema de seguridad en empresas españolas22 Fig. 17 Ataques sufridos por amenazas a través de Internet Fig. 18 Evolución de las amenazas en las empresas españolas Fig. 19 Ataques recibidos por amenazas de internet en empresas europeas Fig. 20 Ataques recibidos por amenazas de internet en empresas españolas Fig. 21 Amenazas que han afectado a las empresas Fig. 22 Empresas que han tenido que parar su negocio por una amenaza informática26 Fig. 23 Empresas europeas que han tenido que parar su negocio por una amenaza informática Fig. 24 Empresas españolas que han tenido que parar su negocio por una amenaza informática Fig. 25 Vías de entrada utilizadas por las amenazas Fig. 26 Presupuesto destinado a sistemas de seguridad en Fig. 27 Evolución del presupuesto destinado a sistemas de seguridad por las empresas españolas Fig. 28 Fuente de información sobre temas de seguridad Fig. 29 Formación recibida sobre temas de seguridad en empresas españolas Fig. 30 Crecimiento de las amenazas desconocidas catalogadas por PandaLabs Fig. 31 Número empleados de las empresas españolas encuestadas Fig. 32 Sectores de actividad de las empresas encuestadas Fig. 33 Número de empleados de las empresas encuestadas en Europa y España Fig. 34 Posicionamiento de las soluciones de seguridad en función del tamaño de la empresa Fig. 35 Tabla de datos en comunidades autónomas España Fig. 36 Tabla datos países europeos

4 1. Introducción Generalmente, las organizaciones o empresas no tienen una visión global sobre su situación con respecto a la seguridad informática, por lo que hemos realizado este informe que aquí presentamos con información contrastada en España y Europa, de cara a los posibles problemas que puedan aparecer en un futuro. Conocer la situación real ayudará a desarrollar medidas correctoras muy precisas que también propondremos a lo largo de este informe. Este estudio ha sido realizado para analizar profundamente la situación de la seguridad de la información en la PYME dentro de los primeros quince países de la UE, en el cual se pretenden sentar las bases de conocimiento sobre la situación real de la seguridad de la información en la PYME española y europea. Si tenemos en cuenta que las Tecnologías de la Información y la Comunicación que forman parte del mundo tecnológico que nos rodea están en continua transformación, encontramos mucho sentido a que se quiera profundizar en este campo con el objetivo de proporcionar al mundo empresarial una visión clara y completa de la situación de la seguridad en la información, divulgando y concienciando a los usuarios de la importancia de este tema y concretando de esta manera las líneas de actuación necesarias para mejorar la situación. En el análisis que aquí presentamos lo que se pretende es recoger información no sólo de las tecnologías de la información que se emplean en la PYME, sino también de los diferentes tipos de incidencias y la frecuencia con que se producen dentro de la misma. A través de este informe se busca que las empresas se incorporen cada vez de manera más sencilla y eficiente a la sociedad de la información, ayudando a las PYMES a alcanzar una cultura de formación con respecto a este tema, divulgando y concienciando a las organizaciones de la importancia y relevancia de este hecho para el futuro desarrollo de la sociedad de la información y dando a conocer la situación real de éstas organizaciones en esta materia. Para la realización de este estudio se han hecho encuestas a más de 3000 empresas en toda España. De la misma manera y para poder hacer un análisis comparativo de la situación en España frente a Europa, se han realizado encuestas a un igual número de empresas de 15 países de la Unión Europea, para de esta manera poder concluir cual es la situación de la seguridad informática en las PYMES de los 14 países europeos. Se podrá consultar más información del procedimiento seguido para estas encuestas en los anexos al final del informe FUNDETEC La Fundación para el Desarrollo Infotecnológico de Empresas y Sociedad, Fundetec, nace en octubre de 2004 como resultado de un esfuerzo conjunto entre la Administración Pública y el sector privado para crear un marco colaborativo estable, sin ánimo de lucro y abierto a la participación de cualquier entidad interesada en potenciar el desarrollo de la Sociedad de la Información en España. 4

5 La constitución de la Fundación es mixta, representada en un 38,46% por el sector público, a través de la Entidad Pública Empresarial Red.es, adscrita al Ministerio de Industria, Turismo y Comercio a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), y en un 61,54% por empresas privadas: El Corte Inglés, HP, Intel, Microsoft, Telefónica, Panda Software, Caja Madrid y Sun Microsystems. La misión de Fundetec se centra en el cumplimiento de dos objetivos básicos: impulsar la adopción y el uso generalizado de las Tecnologías de la Información y la Comunicación (TIC) por parte de ciudadanos, empresas e instituciones, e incrementar la penetración de Internet en los hogares españoles y en la pequeña y mediana empresa INTECO El Instituto Nacional de Tecnologías de la Comunicación (INTECO), promovido por el Ministerio de Industria, Turismo y Comercio, es una plataforma para el desarrollo de la Sociedad del Conocimiento a través de proyectos del ámbito de la innovación y la tecnología. Con fecha 27 de enero de 2006, el Consejo de ministros autorizó la creación de la Sociedad del Instituto de las Tecnologías de la Comunicación, S.A. (INTECO), cuyo objeto social será la gestión, asesoramiento, promoción y difusión de proyectos tecnológicos en el marco de la Sociedad de la Información. INTECO tiene la vocación de ser un centro de desarrollo de carácter innovador y de interés público a escala nacional que constituirá una iniciativa enriquecedora y difusora de las nuevas tecnologías en España en clara sintonía con Europa. Su objetivo fundamental es servir como instrumento para desarrollar la Sociedad de la Información, con actividades propias en el ámbito de la innovación y el desarrollo de proyectos asociados a las Tecnologías de la Información y la Comunicación (TIC), basándose en tres pilares fundamentales: la investigación aplicada, la prestación de servicios y la formación. INTECO, de esta forma, será el Centro Nacional de Referencia en materia de acceso a la Sociedad de la Información. 2. La seguridad como parte estratégica de la empresa Día a día, la introducción de nuevas tecnologías de la información en las empresas es mayor, sobre todo desde la llegada de Internet que ha hecho posible las comunicaciones rápidas y eficientes desde cualquier punto del mundo y prácticamente en tiempo real. Esta evolución de las comunicaciones es la que ha motivado en cierta medida una mayor capacidad de despliegue de las últimas amenazas informáticas, que han encontrado en Internet el medio ideal para su propagación a nivel mundial, llegando a todos los niveles, desde el usuario doméstico, la pequeña empresa e incluso las grandes organizaciones. Todas estas circunstancias provocan que las empresas tomen conciencia del gran valor que tiene la información que gestionan y almacenan en sus sistemas informáticos a 5

6 diario. La seguridad a nivel informático se presenta como una parte vital de la empresa y necesaria para poder garantizar un óptimo funcionamiento de la misma. El 6 de las empresas encuestadas en España confirman este dato, valorando la seguridad informática en sus empresas como un factor muy importante, superando la media de las empresas europeas que alcanza niveles próximos al 5. Europa España 10 75% % 42% 33% 35% 25% Muy importante Importante Nada importante 4% Fig. 1 Importancia de la seguridad informática en las empresas Para poder desplegar una correcta política de seguridad a nivel informático son necesarios unos puntos básicos, además de reconocer la importancia de la seguridad en sí misma. A continuación se muestran los datos recogidos en los catorce países de la unión Europea analizados en este estudio, donde Finlandia, con un 68%, aparece como el país que mayor importancia deposita en la seguridad informática y que contrasta con el 25% de Austria. 6

7 Italia 38% 35% 27% Finlandia 68% 23% 9% Dinamarca 46% 34% 2 Alemania 5 32% 17% Austria 25% 35% 4 Irlanda 36% 36% 27% UK 56% 29% 15% Portugal 44% 33% 23% Francia 41% 38% 21% Suecia 41% 35% 24% Hungría 35% 39% 26% Holanda 36% 28% 36% Polonia 35% 37% 28% Grecia 39% 29% 32% Muy importante Importante Nada importante Fig. 2 Importancia de la seguridad informática en empresas europeas Los datos recogidos en las diferentes comunidades autónomas españolas refuerzan el dato comparativo mostrado en la figura 3 y muestra a las Islas Canarias como la comunidad española que mayor importancia otorga a la seguridad informática con un 75% frente a tan solo el 5 de La Rioja. Los valores recogidos tanto en el mejor como el peor de los casos superan los resultados obtenidos en los países europeos analizados y confirman la tendencia alcista que la importancia de la seguridad informática está cobrando en España actualmente. 7

8 Extremadura 68% 3 3% Cataluña 59% 36% 5% Castilla y León 57% 38% 4% Castilla La Mancha 67% 3 3% Aragón 59% 3 11% Andalucía 61% 35% 4% Asturias 53% 43% 3% Cantabria 55% 37% 8% Valencia 62% 33% 5% La Rioja 5 5 Islas Canarias 75% 24% 2% Galicia 61% 34% 5% País Vasco 56% 4 4% Navarra 52% 43% 5% Murcia 65% 35% Madrid 6 36% 4% Islas Baleares 69% 29% 2% Muy importante Importante Nada importante Fig. 3 Importancia de la seguridad informática en España 2.1. Recursos humanos dedicados a la administración y seguridad de la red. Uno de los puntos fundamentales para poder desplegar una correcta política de seguridad en la empresa es la figura del administrador de red que dedique su trabajo a mantener los sistemas informáticos de la empresa en funcionamiento, actualizados y con las medidas de seguridad necesarias para poder desplegar y mantener un plan de gestión continua de seguridad. Claramente, casi la totalidad de las empresas analizadas confirman que cuentan al menos con una persona dedicada a atender estas labores necesarias para poder contar con un plan de seguridad actualizado ante cualquier posible amenaza. El perfil de la persona dedicada a realizar las labores de administración es generalmente una persona con formación media o alta y que se encarga de realizar todo tipo de tareas 8

9 realizadas con la puesta en marcha y mantenimiento del parque informático de la empresa, pero además, también es la encargada de desplegar la política de seguridad, analizar los posibles riesgos y buscar soluciones eficientes que puedan garantizar el máximo nivel. Al ser el referente tecnológico en la empresa tiene que compatibilizar las tareas propias de su puesto como administrador de la red con otras colaterales como puede ser la resolución de cualquier incidencia a nivel tecnológico que puede ocurrir en la empresa y que no necesariamente tiene que ver con la administración de la red o la propia seguridad de la misma. Todos estos factores son los que provocan que estas personas no puedan dedicarse íntegramente a sus labores y deban repartir su tiempo con tareas adicionales. Europa España 10 75% 5 59% 55% 36% 42% 25% Sí No No sé 5% 3% Fig. 4 Empresas que cuentan con una persona dedicada para gestionar la seguridad informática A pesar de que más de la mitad de las empresas cuentan con una persona dedicada para gestionar su red y la seguridad de la misma, es muy importante que sean conscientes del problema que supone sobrecargar al administrador de la red con otras tareas adicionales que provocan en definitiva que no puedan dedicarse por completo a realizar su trabajo de manera eficiente. Todo esto puede derivar en la aparición de fallos de seguridad que a la larga supongan una indisponibilidad de alguno de los recursos informáticos de la empresa que al final siempre se traducen en una pérdida de negocio y económica. 9

10 Italia 6 34% 7% Finlandia 74% 2 6% Dinamarca 54% 4 6% Alemania 75% 2 5% Austria 68% 26% 5% Irlanda 55% 36% 9% UK 62% 32% 6% Portugal 59% 37% 5% Francia 55% 4 5% Suecia 56% 4 4% Hungría 59% 34% 8% Holanda 49% 46% 5% Polonia 54% 41% 5% Grecia 57% 36% 6% Sí No No sé Fig. 5 Empresas europeas que cuentan con una persona para gestionar la seguridad informática En los países europeos analizados la tendencia en general es dedicar un mayor número de recursos a la administración y gestión de la seguridad informática que en España. Destacando el 75% que cumplen la condición de contar con al menos una persona dedicada a estas labores en Alemania. La comunidad autónoma española con un mayor índice de empresas que cuentan con una persona dedicad para gestionar su seguridad es Extremadura, con un 63%. En este aspecto las empresas españolas están por delante de países como Holanda, Dinamarca y Polonia y se sitúa en igualdad a países como Francia e Irlanda, como puede verse en las figuras 6 y 7. 10

11 Extremadura 63% 3 8% Cataluña 53% 44% 3% Castilla y León 41% 56% 2% Castilla La Mancha 57% 43% Aragón 54% 42% 4% Andalucía 51% 46% 3% Asturias 6 38% 2% Cantabria 55% 42% 3% Valencia 55% 4 5% La Rioja 56% 44% Islas Canarias 61% 37% 2% Galicia 47% 47% 5% País Vasco 52% 43% 5% Navarra 55% 45% Murcia 63% 34% 3% Madrid 59% 36% 4% Islas Baleares 54% 46% Sí No No sé Fig. 6 Empresas españolas que cuentan con una persona para gestionar la seguridad informática El factor de los recursos humanos dedicados íntegramente a labores de gestión y administración de la seguridad es uno de los aspectos más importantes a la hora de poder desplegar un plan de gestión de la seguridad. En esta línea, comunidades autónomas como Castilla y León y Galicia están a la cola, comparándolas con la media de otros países europeos y por lo tanto se plantea un claro punto de mejora de cara a los próximos años Utilización de los sistemas de seguridad El siguiente punto consiste en el análisis de la empresa de una forma global, atendiendo a todos los procesos internos y externos de la misma. Así se podrán identificar los puntos críticos de la empresa y en función de éstos poder evaluar las posibles amenazas a las que están expuestos. Con toda esta información el administrador de la política de 11

12 seguridad podrá evaluar las diferentes soluciones de seguridad existentes en el mercado para poder proteger estos puntos críticos detectados. Las empresas analizadas cumplen sobradamente la implantación de sistemas de seguridad. De hecho, más de un 9 disponen de uno propio para proteger sus compañías. Europa España 10 93% 95% 75% 5 25% 4% 3% 3% 2% Sí No No sé Fig. 7 Empresas que utilizan algún sistema de seguridad 12

13 Italia Finlandia Dinamarca Alemania Austria Irlanda UK Portugal Francia Suecia Hungría Holanda Polonia Grecia 92% 93% 92% 91% 95% 10 95% 93% 95% 94% 92% 93% 9 94% Sí No No sé Fig. 8 Empresas europeas que utilizan algún sistema de seguridad Tanto las empresas europeas, como las empresas españolas muestran en los datos recogidos una clara actitud positiva frente a la seguridad informática, constatándose que más del 93% de las mismas incluyen algún tipo de sistema de seguridad para poder hacer frente a cualquier posible amenaza o incidente que afecte a la red informática y al buen desarrollo de la actividad empresarial. En Irlanda, por ejemplo, el 10 de las empresas encuestadas cuentan con algún sistema de seguridad, siendo el claro reflejo de esta actitud positiva, al igual que en la comunidad autónoma de La Rioja que con un 10 se presenta como modelo a seguir por las demás comunidades autónomas en España. 13

14 Extremadura Cataluña Castilla y León Castilla La Mancha Aragón Andalucía Asturias Cantabria Valencia La Rioja Islas Canarias Galicia País Vasco Navarra Murcia Madrid Islas Baleares 9 97% 95% 92% 92% 94% 97% 87% 94% 10 98% 94% 98% 97% 95% 94% 98% 3% 2% 3% 8% 4% 3% 8% 3% 2% 5% 1% 3% 3% 3% 2% Sí No No sé Fig. 9 Empresas españolas que utilizan algún sistema de seguridad Para comprender las fases a realizar en una empresa y determinar los sistemas de seguridad necesarios se puede tomar el siguiente ejemplo: 1. Una empresa que comercializa diversos productos de varias marcas representadas en el que el servicio de correo electrónico se perfila como el punto más crítico de la misma, debido a que se utiliza a diario para enviar las ofertas a sus clientes como para recibir los pedidos y posteriormente cursar éstos con sus proveedores. 2. Una vez identificado el servidor de correo electrónico como el punto más critico de la empresa hay que proceder a evaluar los riesgos a los que está expuesto este servidor. El spam se perfila como la amenaza más importante ya que puede llegar a saturar la capacidad de proceso del servidor de correo, recibiendo 14

15 grandes cantidades de correo electrónico no deseado que provoque la pérdida de eficiencia de este servidor, el retraso en el envío y recepción del correo electrónico y tal vez hasta la perdida del correo por indisponibilidad del servidor o por la eliminación de algún correo electrónico importante durante el proceso de eliminación del spam recibido. 3. Posteriormente, habrá que buscar en el mercado alguna solución eficiente para combatir las amenazas que afectan al punto crítico identificado en la empresa. En este caso, hay varias opciones que se enumeran a continuación de menor a mayor eficacia: solución anti-spam instalada en el puesto de trabajo que derive automáticamente el correo no deseado a una carpeta de spam, solución antispam instalada en el servidor que filtre el spam antes de ser entregado al usuario en el puesto de trabajo, solución anti-spam basada en un dispositivo de protección perimetral (appliance) que filtre el correo no deseado en el perímetro de la red antes de entrar en la misma solventando el problema en un nivel superior y aumentando así el rendimiento de la red interna, o bien una solución anti-spam basada en un servicio gestionado que facilite un tercero de manera externa a la empresa y que se presenta como la opción más idónea puesto que en este caso el correo se analiza antes de ser entregado a la empresa y se filtra antes de llegar a su red, optimizando en gran medida el ancho de banda contratado por la empresa. 4. Tras elegir una solución valida se procederá a su instalación y puesta en marcha. En esta fase es fundamental realizar un proceso de monitorización mediante logs, informes o cualquier información que ofrezca datos sobre el grado de actuación de la solución implementada. En este caso se evaluará el porcentaje de spam neutralizado, el spam que todavía sigue llegando a los usuarios de la empresa y el índice de falsos positivos producidos en el proceso de calificación de un correo electrónico como spam o no spam. Un punto importante será la posibilidad de acceder a un área de cuarentena centralizada donde bien el administrador de la red o incluso el usuario puedan hacer un seguimiento de los correos electrónicos marcados como probable spam para que en caso de ser un falso positivo pueda ser recuperado y entregado de forma adecuada a su destinatario. 5. Con los datos obtenidos en la fase de monitorización se realizará una evaluación de la solución implementada y se tendrá que tomar una decisión sobre si la herramienta elegida cumple su cometido, en este caso neutralizar el spam de manera eficiente, o por el contrario no cumple estas expectativas en cuyo caso habrá que volver al punto tercero y seleccionar una nueva solución y repetir los puntos descritos con anterioridad hasta llegar a la determinación de que la solución es adecuada a las necesidades de la empresa en su tarea de proteger el punto crítico detectado. 6. Finalmente, hay que considerar que aunque se haya implementado una herramienta que soluciona el problema en la empresa, cada día aparecen nuevos procesos que hay que analizar y determinar si son críticos o no y también nuevas amenazas que pueden afectar a estos nuevos procesos o a procesos ya existentes y supuestamente protegidos. Por todo ello, este plan de gestión de la seguridad en la empresa debe ser un plan de gestión continuo que sea repetido periódicamente en busca de nuevos puntos críticos o amenazas que acabarán en la adopción de una herramienta que proteja los nuevos puntos débiles. 15

16 Fig. 10 Fases del proceso de gestión continua de un plan de seguridad 2.3. Actualización de los sistemas de seguridad Por último, todo sistema de seguridad informático tiene que cumplir un requisito fundamental. Debe ser actualizado constantemente para evitar que cualquier amenaza nueva pueda vulnerar los sistemas de seguridad desplegados en la empresa y provocar incidentes graves como perdida de información, indisponibilidad de servicios, robo de información, etc y cualquier acción que pueda derivar en una perdida económica o de productividad para la empresa. Cada día aparecen nuevas amenazas y es por tanto la actualización uno de los puntos clave a la hora de desplegar una política de seguridad correcta. Por este motivo, la mayoría de las soluciones de seguridad incorporan mecanismos de actualización automáticos que permiten al administrador mantener actualizada la red de manera global. Una red con un sistema de seguridad desactualizado puede suponer un punto de entrada para las amenazas hacia la red interna, pero también hay que mantener actualizados los sistemas operativos y las aplicaciones utilizadas para evitar la aparición de vulnerabilidades en las mismas que puedan ser aprovechas por terceros como una puerta trasera (Backdoor) para poder acceder a las redes internas sin ser detectados y poder sustraer información o controlar sistemas sin la supervisión del administrador. Las empresas analizadas son conscientes de esta necesidad y prácticamente todas mantienen de forma continua sus sistemas de seguridad actualizados para mantener los niveles de protección tan altos como sea posible. 16

17 Europa España 10 96% 96% 75% 5 25% 2% 2% 2% 2% Sí No No sé Fig. 11 Actualización de los sistemas de seguridad Italia 95% Finlandia Dinamarca Alemania Austria Irlanda UK Portugal Francia Suecia Hungría Holanda Polonia Grecia 95% 98% 98% 93% 10 98% 97% 98% 95% 95% 97% 94% 97% Sí No No sé Fig. 12 Actualización de los sistemas de seguridad en las empresas europeas Cada vez más los sistemas de seguridad incluyen procesos automáticos para mantenerlos actualizados continuamente y de manera desatendida. Este hecho hace que tanto en Europa como en España mantengan sus sistemas de seguridad informática actualizados en porcentajes superiores al 96%. No hay que olvidar que una constante actualización de los sistemas de seguridad es necesaria si se quiere que sean efectivos. 17

18 De lo contrario, pueden presentar vulnerabilidades o agujeros de seguridad que sean aprovechados por las amenazas informáticas para penetrar en las redes y realizar cualquier tipo de acción no deseada como el robo de información, borrado de ficheros, etc, Extremadura Cataluña Castilla y León Castilla La Mancha Aragón Andalucía Asturias Cantabria Valencia La Rioja Islas Canarias Galicia País Vasco Navarra Murcia Madrid Islas Baleares 93% 97% 94% 96% 94% 95% 10 96% 96% % 98% 95% 93% 97% 10 Sí No No sé 4% 1% 5% 3% 4% 1% 1 4% 5% 4% 2% Fig. 13 Actualización de los sistemas de seguridad en las empresas españolas 3. Sistemas de seguridad implantados en la empresa Internet cada vez está más de moda. Desde unos años atrás hasta el día de hoy el crecimiento de la informática ha dado pasos gigantescos; los avances tecnológicos aumentan de manera vertiginosa, y los recursos de información y conocimiento vienen siendo, además de una fuente de progreso y de negocio, una fuente de nuevos riesgos de seguridad. 18

19 Así que a medida que avanza el mundo IT, también avanzan las amenazas contra las redes informáticas, siendo éstas cada vez más cambiantes y sofisticadas, creciendo día a día de forma más acelerada y poniendo en riesgo todos los ordenadores del planeta. A pesar de la diversidad de amenazas existentes se puede hacer una clasificación a nivel global. Existen las amenazas a nivel de red y las amenazas a nivel de contenidos. Las amenazas a nivel de red son transmisiones que entrañan un riesgo para la red interna de la compañía; es decir, que personas ajenas a la compañía puedan utilizar recursos o datos internos de la red. En la empresa, las conexiones entre los equipos de red y el exterior deben estar siempre en conocimiento del administrador de red, así se asegura que personas ajenas a la organización no accedan a la red interna borrando ficheros vitales para el funcionamiento de los equipos o robando información importante de la compañía; también sabemos que hoy en día muchas empresas funcionan mediante el tele-trabajo y que existen muchos sistemas que espían la comunicación entre estos ordenadores, este es un problema muy serio que llega a producir perjuicios muy graves. Dentro de esta clasificación encontramos también la intrusión o el ataque por parte de hackers a través de aplicaciones de correo, programas de mensajería instantánea, aplicaciones de conexiones peer to peer (P2P), etc. Las amenazas a nivel de contenidos van asociadas a datos que alcanzan el interior de la red, como ficheros, textos, imágenes y van desde códigos maliciosos (malware) que destruyen información contenida en la red a introducción de páginas web que no están relacionadas con el trabajo. Actualmente, se puede observar que tanto particulares, como empresas y fabricantes de seguridad se enfrentan a un crecimiento masivo del malware así como a un mayor perfeccionamiento del mismo. Antes los hackers o creadores del malware buscaban detrás de sus acciones protagonismo, notoriedad; hoy este panorama ha cambiado y nos enfrentamos a verdaderos ciberdelincuentes, que detrás de toda esta trama buscan un perfecto modelo de negocio promovido por fines lucrativos, es lo que se llama crimeware. Este sistema supone una nueva vía de delincuencia ya que muchísimas empresas financian a estos ciberdelincuentes para ejercitar el espionaje industrial, el chantaje económico bajo amenazas de intrusión al sistema de la compañía o la obtención de datos secretos de la competencia, de esta forma los ciberdelincuentes adquieren un nuevo sistema de financiación y se hacen más fuertes, más profesionales y están mejor escondidos, lo que complica su combate a corto plazo. Este cambio de tendencia esta haciendo que los ataques evolucionen hacia un objetivo concreto, convirtiéndose en ataques dirigidos y silenciosos con un objetivo muy específico. Los elementos clave para la defensa frente a los ataques dirigidos debe contemplar aspectos fundamentales como una adecuada política de seguridad, formación de los usuarios de la red y utilización de herramientas tecnológicas adecuadas capaces de controlar los accesos a las máquinas y usuarios a la red, que gestionen las vulnerabilidades de software y hardware y puedan combatir cualquier variante de malware de nueva generación. 19

20 Fig. 14 Informe PandaLabs T sobre nuevas amenazas detectadas El crecimiento de las amenazas, como puede verse en la Fig. 8, es masivo y predominan las variantes orientadas a conseguir beneficios económicos como los troyanos, bots y puertas traseras que suponen más del 85% de las nuevas amenazas detectadas por el laboratorio de Panda Software en el tercer trimestre de Los sistemas de protección también mejoran y se perfeccionan, y aunque de momento es difícil garantizar la seguridad 10 existen ya grandes y avanzadas herramientas en contra de estos ataques, sin embargo, quizás lo más importante sea concienciar al usuario del grave problema que estamos viviendo, enseñarle a identificar este tipo de amenazas poniendo a su alcance la información necesaria para que sepa cómo protegerse y luchar por políticas legales que protejan a unos y a otros y que se amolden al proceso cambiante y al resto de políticas de la UE. Los sistemas se seguridad que pueden implantarse en las empresas para protegerse de las amenazas informáticas atendiendo a la clasificación de amenazas de red y de contenidos son los siguientes: Las amenazas de red dan lugar sistemas de seguridad como: Firewall: mediante el uso de unas reglas específicas permitirá o denegará el acceso de ciertos eventos o aplicaciones a la red interna. IPS (Sistemas de prevención de intrusos): a través de algoritmos avanzados pueden detectar intentos de intrusión y bloquearlos. Para combatir las amenazas de contenidos se pueden utilizar soluciones como: Antivirus: contra todo tipo de virus tanto conocidos como desconocidos Anti-Spyware: para neutralizar todo tipo de programa espía que pueda llegar al PC sin consentimiento del usuario 20

21 Anti-Spam: para garantizar un servicio de correo electrónico limpio de todo correo no deseado Filtrado de contenidos Web: para ofrecer un aprovechamientos de los recursos de la empresa a la hora de optimizar la navegación de los usuarios 3.1. Sistemas de seguridad utilizados Profundizando en las soluciones utilizadas por las empresas para poder llevar a cabo su política de seguridad se puede afirmar que el antivirus es la solución de seguridad más implantada en las empresas. Este dato refleja la preocupación de las empresas por salvaguardar la integridad de la información que almacenan y que a diario intercambian con otras empresas, clientes, proveedores, etc. Europa España 25% 5 75% Antivirus 64% 7 Firewall 13% 16% AntiSpam 1% 7% Filtrado de contenidos Web AntiSpyware 2% 4% 2% 3% Fig. 15 Sistemas de seguridad empleados 3.2. Problemas de implantación de sistemas de seguridad Aunque la mayoría de las empresas tienen presente la importancia que supone desplegar un sistema de seguridad que garantice un correcto funcionamiento de sus sistemas informáticos, todavía existen algunos problemas a la hora de lograr una implantación rápida y que anime a las empresas a tener su propia política de seguridad. Uno de los principales problemas en la implantación de sistemas de seguridad radica en la falta de recursos humanos dedicados de manera exclusiva a las labores de administración y seguridad de la red. Aunque más de la mitad de las empresas cuentan con al menos una persona dedicada para realizar estas labores, las redes cada vez son más complejas, coexisten diversas tecnologías, sistemas operativos y todo tipo de dispositivos informáticos que hacen que esta persona se vea muy limitada en sus funciones, quedando incluso desbordada para poder mantener todos estos sistemas actualizados día a día y garantizar un correcto despliegue de la política de seguridad. Entre las empresas que encuentran problemas a la hora de implantar un sistema de seguridad global, un 3 piensa que no es necesario por la complejidad que pueda suponer la implantación y eso les hace pensar que tal vez no sea necesario. Aunque en 21

22 menor medida, los problemas alegados son el consumo de recursos que el uso de sistemas de seguridad tienen en el conjunto de la red y el precio que puede llegar a costar implantarlos. El gasto en seguridad suele ser percibido por las empresas como un coste en lugar de una inversión. Todos estos problemas pueden solventarse realizando acciones de información/formación y ofreciendo ayudas y asesoría técnica especializada para que las empresas vean estas inversiones como algo necesario y que además puedan rentabilizarse desde el primer día de su puesta en marcha contando con asesoramiento de profesionales que les puedan guiar a la hora de implementar un sistema de gestión de la seguridad como el ejemplo expuesto en el punto % 5 75% No es necesario 53% No está informatizado 27% Consumen muchos recursos 7% Es caro 7% No sabe 7% Fig. 16 Problemas para no introducir un sistema de seguridad en empresas españolas 4. Problemas de seguridad detectados Los problemas de seguridad son críticos en el funcionamiento normal de una empresa ya que pueden ser utilizados para substraer información confidencial o simplemente para eliminar información necesaria para el desarrollo de la actividad diaria. En los últimos años, las amenazas se están especializando y esto supone que se crean a medida para intentar saltar los sistemas de seguridad desplegados en un lugar concreto. Por ello es fundamental mantener una política de seguridad actualizada que cuente con la última tecnología disponible en el mercado para intentar minimizar el impacto de este tipo de ataques. El principal foco de entrada de las amenazas hoy en día está en la conexión a Internet que ofrece una puerta de entrada para cualquiera de las amenazas existentes y que encuentran en Internet un medio idóneo para propagarse a nivel mundial y en breve espacio de tiempo. A continuación se muestra una gráfica donde puede observarse que el porcentaje de empresas afectadas por alguna de estas amenazas supera niveles del 5. 22

23 Europa España 10 75% 5 42% 52% 58% 48% 25% Sí No Fig. 17 Ataques sufridos por amenazas a través de Internet Es muy significativo que el índice de impacto de estas amenazas es ligeramente superior en España que en el resto de Europa. Tal vez esto pueda ser debido a que las empresas españolas han comenzado más tarde a tomar conciencia de la importancia de tener un plan de seguridad informática, pero como puede comprobarse en la siguiente figura la tendencia general es que año tras año esta diferencia se equilibre cada vez más. Sirva el dato de la evolución del año 2005 al 2006 en el que el índice de empresas afectadas por amenazas informáticas se ha reducido en un 2% Año 2005 Año % 5 54% 52% 46% 48% 25% Sí No Fig. 18 Evolución de las amenazas en las empresas españolas 23

24 Italia 43% 57% Finlandia 51% 49% Dinamarca 31% 69% Alemania 34% 66% Austria 5 5 Irlanda 45% 55% UK 4 6 Portugal 47% 53% Francia 35% 65% Suecia 29% 71% Hungría 58% 42% Holanda 22% 78% Polonia 6 4 Grecia 48% 53% Sí No Fig. 19 Ataques recibidos por amenazas de internet en empresas europeas De los datos obtenidos, puede extraerse la conclusión de que actualmente, desde la introducción de Internet en la actividad empresarial las amenazas se propagan de manera mucho más efectiva y preocupante siendo además un efecto que alcance en mayor o menor medida a todos los países. Esto es debido a la deslocalización de las actividades realizadas a través de Internet y que actualmente la amenazas informáticas son pueden identificarse con un origen concreto ya que la globalización en su uso y la facilidad de acceso y comunicación desde cualquier parte del mundo hace a todos los usuarios de la red global potenciales víctimas de esta amenazas que se propagan de manera indiscriminada a través de Internet. 24

25 Extremadura 46% 54% Cataluña 5 5 Castilla y León 56% 44% Castilla La Mancha 63% 38% Aragón 56% 44% Andalucía 56% 44% Asturias 25% 25% 5 Cantabria Valencia La Rioja Islas Canarias 33% 46% 65% 53% 67% 54% 35% 47% Galicia 27% 23% 5 País Vasco Navarra Murcia Madrid Islas Baleares 48% 52% 48% 54% 51% 52% 48% 52% 46% 49% Sí No No sé Fig. 20 Ataques recibidos por amenazas de internet en empresas españolas 4.1. Tipología de los problemas detectados Las amenazas que afectan a las empresas experimentan una evolución año tras año y aparecen más variedades, sobre todo en los últimos años. Parece como si esta conducta intentara saturar los laboratorios de las empresas de seguridad para distraerlos de su objetivo real que últimamente parece ser conseguir un beneficio económico desarrollando amenazas a la carta. El panorama de las amenazas informáticas parece estar en sintonía a nivel europeo ya que hay que recordar que desde la inclusión de Internet en las empresas todas están expuestas a las mismas amenazas debido a la fácil propagación de las mismas a través de este medio. 25

26 Europa España Virus 46% 53% Spyware Spam 18% % Hacker 5% 5% Contenidos inapropiados Phising 1% 1% 3% 7% Fig. 21 Amenazas que han afectado a las empresas 4.2. Efectos producidos en las empresas analizadas El efecto que estas amenazas suponen para las empresas es un consumo de recursos tanto a nivel de red como a nivel de recursos humanos, que inevitablemente hacen que la empresa acabe teniendo pérdidas económicas importantes. Este dato es percibido cada vez de manera más próxima por las empresas y es lo que las mueve a desplegar un sistema de seguridad capaz de corregir esta situación de riesgo para su negocio. Las consecuencias que estas amenazas pueden llegar a suponer para las empresas incluye la paralización de la actividad global de la empresa, llegando en algunos casos a tener que cerrar o suspender su actividad normal durante más de un día. Es cierto, que estas situaciones límites cada año que pasa suceden en menor medida y esto confirma una vez más que las empresas están adaptando las medidas oportunas, pero es una situación que aún existe y por lo tanto debe ser considerada. Europa España 10 92% 75% 77% 5 25% 23% 8% Sí No Fig. 22 Empresas que han tenido que parar su negocio por una amenaza informática 26

27 Italia 38% 62% Finlandia 9% 91% Dinamarca 23% 77% Alemania 17% 83% Austria 25% 75% Irlanda 10 UK 24% 76% Portugal 22% 78% Francia 16% 84% Suecia 21% 79% Hungría 28% 72% Holanda 21% 79% Polonia 17% 83% Grecia 22% 78% Sí No Fig. 23 Empresas europeas que han tenido que parar su negocio por una amenaza informática Los efectos que cualquier ataque informático o amenaza puede tener en cada organización es muy diferente y depende de la propia estructura interna de las empresas y de los propios procesos de trabajo. Por lo tanto lo que para una empresa puede ser un riesgo crítico, para otra puede ser un riesgo asumible. Todo esto supone que parar la actividad de la empresa por una amenaza informática puede ser asumible dependiendo del plan de gestión de la seguridad implementado, donde para empresa será admisible tener que para la actividad productiva durante un día y para otras ni siquiera será admisible para durante una hora. Lo cierto es que de los datos obtenidos podemos afirmar que las amenazas informáticas pueden afectar a las empresas en la medida que pueden llegar a hacer que su actividad concreta se detenga durante un tiempo indeterminado. Este es uno de los riesgos que hay que tener presentes y deben conducir a las empresas a tener que desplegar una política de seguridad acorde con los riesgos que estén dispuestos a asumir siempre dentro de los límites de la viabilidad tecnológica y la inversión que habrá que dedicar a implantar éste plan de seguridad. 27

28 El porcentaje de empresas que han tenido que parar su actividad frente algún tipo de ataque informático puede parecer reducido, pero también hay que entender que este dato no suele trascender de manera transparente porque en muchas ocasiones las empresas son reacias a admitir que han sufrido una contingencia de este tipo que les ha llevada a suspender temporalmente la actividad de sus empresa. Lo cierto es que estos riesgos existen y por lo tanto deben ser contemplados a la hora de implantar la política de seguridad de cualquier empresa. Extremadura Cataluña Castilla y León Castilla La Mancha Aragón Andalucía Asturias Cantabria Valencia La Rioja 13% 7% 7% 6% 15% 11% 17% 14% 6% 87% 93% 93% 94% 85% 89% 83% 86% 94% 10 Islas Canarias 4% Galicia 1 País Vasco 2% 96% 9 98% Navarra Murcia Madrid Islas Baleares 4% 5% 7% 96% 95% 93% 10 Sí No No sé Fig. 24 Empresas españolas que han tenido que parar su negocio por una amenaza informática 4.3. Vías de entrada y propagación El medio de entrada ideal para todas estas amenazas, como ya se ha visto en puntos anteriores, es Internet. Sobre todo porque los empleados en las empresas no tienen restringida parcialmente su navegación por la red y esto implica que puedan llegar a visitar cualquier página Web potencialmente peligrosa, llegando incluso a descargar y ejecutar contenidos peligrosos o dejar caminos de entrada/salida de información abiertos para que otras personas puedan utilizarlos. 28

29 Pero además de la conexión a Internet, no hay que olvidar el impacto que ha tenido en la sociedad actual y en la empresa el uso del correo electrónico. El uso de correo ordinario está en desuso y todas las comunicaciones entre empresas tienden a utilizar el formato electrónico por su rapidez y por el ahorro de costes que implica. Pero al mismo tiempo supone una puerta de entrada para todo tipo de amenazas que pueden llegar a comprometer la seguridad de las empresas o simplemente consumir los recursos de la red y provocar perdidas de tiempo importantes. Europa España Internet 51% 54% 33% 45% CD, Disquete, etc 4% Descargas 3% Puerta de entrada 3% Fig. 25 Vías de entrada utilizadas por las amenazas 5. Inversión prevista en seguridad La inversión en sistemas de seguridad está ligada a la importancia que las empresas dan a este tema en sus organizaciones. Como se ha podido ver a lo largo de este informe el porcentaje de empresas que ven la seguridad como un asusto muy importante llega a niveles del 6 (Fig.3), siendo el mejor indicativo de la intención inversionista que está creciendo año tras año. A continuación se muestra la inversión que dedicaron las empresas en 2005 donde puede comprobarse que más del 8 de las empresas tuvieron una inversión de seguridad en mayor o menor medida que es el paso inicial para poder comenzar con el despliegue de una política de seguridad. Europa España % 22% 18% 28% 12% 9% 7% 1 15% 16% 12% 11% 9% 5% Menos de 100 Euros Entre 100 y 300 Euros Entre 300 y 500 Euros Entre 500 y Euros Más de Euros No sé No quiero contestar Fig. 26 Presupuesto destinado a sistemas de seguridad en

30 En cuanto a la evolución de estas inversiones se estima que siga creciendo en la medida que la información, sobre las amenazas existentes y los riesgos que implican, sigan llegando de manera fluida a las empresas para que sean conscientes de la importancia que supone para su negocio disponer de un plan de seguridad. Profundizando en las empresas españolas, se confirma esta tendencia alcista de las inversiones en seguridad. Aunque el porcentaje de crecimiento es relativamente contenido, confirma la predisposición de las empresas a seguir apostando por la seguridad en sus negocios. 5 Año 2005 Año % 22% 26% 28% % 12% 9% 1 9% 12% 13% 11% Menos de 100 euros Entre 100 y 300 euros Entre 300 y 500 euros Enter 500 y 1000 euros Más de 1000 euros No sé Fig. 27 Evolución del presupuesto destinado a sistemas de seguridad por las empresas españolas 6. Conocimiento, asesoramiento y formación en temas de seguridad Para que la seguridad pueda llegar a todas las empresas por igual y desaparezcan los problemas a la hora de realizar un despliegue de la misma, la formación continua y el canal de transmisión de conocimientos tiene que ser una pieza clave en todo el conjunto. Actualmente, la mayoría solicita información a las empresas que les ofrecen el soporte técnico y realizan consultas a través de Internet obteniendo información directamente del fabricante. 30

31 2 4 6 Soporte técnico 26% 4 Internet (buscadores, etc) Web de la empresa del software 15% 17% 19% 24% Familiar / Amigos / Colegas 1 15% Vendedor / Comercial 4% 15% Periódicos o revistas 2% 6% Fig. 28 Fuente de información sobre temas de seguridad Las empresas deben estar informadas sobre las últimas amenazas y sobre las opciones disponibles para protegerse. En esta línea es fundamental distribuir información a las empresas y planificar jornadas de seguridad en donde puedan mostrarse las últimas tecnologías y cómo se desplegarían en un caso real. Año 2005 Año % 5 53% 56% 47% 44% 25% Sí No Fig. 29 Formación recibida sobre temas de seguridad en empresas españolas Las empresas mantienen una aptitud receptiva en cuanto a ampliar su conocimiento sobre temas de seguridad y en la figura 17 se muestra la evolución de la formación ofrecida a los empleados sobre temas de seguridad. Esta ha crecido desde el año anterior y mantiene su tendencia alcista. 7. Conclusiones del estudio de seguridad en las empresas Como conclusión final del estudio podemos desarrollar una serie de puntos destacados que contribuirán a mejorar la situación de la PYME tanto en España como en el resto de Europa. 31

32 Este informe se ha basado en datos y análisis reales y objetivos que pretenden sentar la base de un conocimiento más profundo acerca de la seguridad de la información en la PYME. En este sentido, la seguridad informática es un tema importante o muy importante tanto en España, como en el resto de los países de Europa que se han incluido en el estudio, con porcentajes muy altos. Sin embargo, en ambos casos existe aún un pequeño número de empresas que consideran que este tema carece de relevancia. En Europa concretamente es más elevado, hablamos de un 25%, mientras que en España las continuas acciones de información y formación enfocadas hacia la empresa hacen que éste número de empresas sea notablemente más reducido acercándose a niveles mínimos del 4%. Estos porcentajes deben seguir disminuyendo y para ello seguirán siendo fundamentales las labores de información del personal de las empresas para intentar llegar al 10 de las misma y que la conciencia de seguridad sea un punto de partida para todas ellas. Seguramente por esa razón, más de la mitad de las empresas, tanto en España como en Europa, disponen de una persona dedicada a la seguridad informática, aunque habría que recalcar que en muchos casos esta decisión depende del número de empleados que tiene la empresa; de hecho en España cuántos más trabajadores hay en una empresa, mayor es el porcentaje de probabilidades de que exista una persona dedicada a esta materia. Aunque lo que sí es cierto es que casi un 10 de todas las empresas encuestadas en ambos casos, tiene implantado un sistema de seguridad para su protección y además se mantiene actualizado. El método de protección más empleado por todos los países analizados es el antivirus, aunque su porcentaje de uso es más elevado en España. Le siguen otros sistemas de seguridad como el AntiSpyware, el AntiSpam o el Firewall. El reducido porcentaje de empresas que no dispone de estos sistemas, generalmente no piensa en adquirirlo en los próximos meses, aunque en España éste también varía en función del número de empleados que tenga la empresa, sí sabemos que cuánto mayor es la empresa, más dinero se invierte pero, sin embargo, son los que más se quejan del precio y por lo tanto menos intención tienen de adquirir el software que los protege. Con respecto a la cantidad de infecciones que sufren estas empresas, tenemos constancia de que ronda alrededor del 5 en todos los casos, si bien hay que señalar que en Europa el porcentaje es menor y que en España estas infecciones empiezan a disminuir de un año para otro en algunas comunidades, y casi siempre están causadas por virus que penetran en el sistema a través de Internet y el correo electrónico, por lo que el Spyware y el Spam van a la cola de este primer tipo. En este aspecto, merece la pena señalar que estamos viviendo un cambio en la dinámica de las infecciones y que ahora se producen en mayor medida ataques dirigidos y ocultos que no somos capaces de percibir y que pueden causar mucho daño a las redes corporativas; por esta razón quizás las compañías entrevistadas piensen que disminuyen las infecciones, está claro que las conocidas sí, pero eso no implica que ocurra lo mismo con las desconocidas. De hecho hay estudios como el realizado por el laboratorio de Panda Software (PandaLabs) que confirman estas tendencias observando un incremento sustancial en los últimos años de las amenazas desconocidas. 32

33 Fig. 30 Crecimiento de las amenazas desconocidas catalogadas por PandaLabs Volviendo otra vez a los resultados del estudio, podemos observar que las infecciones producidas en las diferentes empresas entrevistadas no obligaron a éstas a tener que clausurar su negocio, pero mientras que en España este porcentaje es prácticamente inexistente, en Europa se han visto en mayores ocasiones en esta situación, llegando a superar el 2. Todo ello deja claro que en España el tema de la seguridad tecnológica causa más miedo y obliga por tanto a una mayor protección de los sistemas, lo cual lógicamente supone una inversión para las empresas, que tanto en España como en Europa han incrementado ligeramente su presupuesto con respecto al año anterior. Hay que decir que este aumento de la inversión varía mucho entre países y comunidades y que además es proporcional al tamaño de la empresa, por supuesto se entiende que cuanto mayor es la empresa más se invierte. Un dato reseñable es que sólo un 1 de las empresas españolas y europeas llega a superar los 1000 euros en esta inversión y en el 2006 este porcentaje comenzó a ir en aumento, lo cual es normal si tenemos en cuenta que cada vez las epidemias son más silenciosas, sofisticadas y causan daños mucho más graves. En todos los casos, cuando existen problemas con la seguridad se acude como primera opción al soporte técnico, aunque hay que decir que en el resto de Europa todavía queda un porcentaje muy alto que busca ayuda en Internet, en el caso de las empresas pequeñas, ésta es su primera opción, mientras que en España ésta viene a ser la segunda opción más viable junto a la Web del fabricante o al vendedor comercial. Con respecto al tipo de producto de seguridad que necesitan para cubrir sus necesidades en esta materia, en España lo tienen bastante claro con un porcentaje del 7 mientras que en los otros países de Europa se duda mucho más. Si antes decíamos que en España se invierte en seguridad, es lógico pensar que también se haga lo mismo en formación de sus empleados en este aspecto, de hecho este porcentaje supera el 6, mientras que en Europa éste es menor, salvo el caso de grandes empresas donde esta inversión asciende, como ya señalábamos anteriormente. Y es curioso que tanto en España como en Europa se tenga un desconocimiento casi absoluto de la existencia de organismos o instituciones que ofrezcan información gratuita en materia de seguridad, y lo que implica que, mientras en España (donde el 33

34 tema de la seguridad es más importante) sí están interesados en recibir esta información, en el resto de Europa, son más reticente en este aspecto. En cuanto a las actividades que desarrollan las empresas entrevistadas, son muy dispares entre países y en el caso de España entre comunidades, aunque lo que sí sabemos ahora es que las tecnologías de la información están imponiéndose con mucha fuerza en toda Europa. Por lo tanto sí podríamos concluir que las empresas sufren distintos tipos de ataques informáticos que suelen ser los mismos en todos los países, que todos necesitan protegerse y que en algunos casos el vacío de formación e información causa daños tan graves como el cierre del negocio, y aunque sí queda claro que la intención es seguir protegiéndose, es importante recalcar que con este estudio lo que se pretende es fomentar una política de seguridad en los equipos, concienciando a todo el mundo de la problemática existente, teniendo en cuenta que las TIC cada día crecen y avanzan de forma más rápida. Pero, tampoco debemos olvidar que estos avances tecnológicos provocan que también los creadores de las infecciones se formen para obtener mayores beneficios con sus acciones y pasen de puros intereses personales a moverse por intereses económicos, convirtiéndose en un negocio muy lucrativo. Por eso, desde Fundetec se ha creído muy necesario plasmar con datos reales lo que verdaderamente ocurre dentro de la PYME, ya no sólo en España, sino también en el resto de países de Europa. 34

35 Anexo 1. Estructura de la encuesta. Perfil de la muestra El estudio se ha realizado entre las PYMES de quince países de la UE que son España, Francia, Portugal, Alemania, Italia, Austria, Polonia, Hungría, Dinamarca, Finlandia, Grecia, Irlanda, Países Bajos, Reino Unido y Suecia. Se trata de un estudio cuantitativo realizado online, mediante el envío de un mail que invita al público seleccionado a participar en una encuesta donde se recogen preguntas relativas al nivel de protección actual con que cuenta la organización, las barreras de entrada, los niveles de infección e inversión en seguridad, los conocimientos y la formación que ofrecen, los responsables del mantenimiento de esta seguridad y las perspectivas de futuro. Para reflejar la situación de la PYME en el año 2006 y la evolución desde el 2005 en España se han tomado muestras de diversas empresas en ambos años haciendo un análisis y comparativa del desarrollo del sector de seguridad durante este periodo de tiempo. Este análisis se ha realizado individualmente por Comunidad Autónoma y también de forma global de todo el país. La muestra utilizada para realizar las encuestas ha sido de más de 3000 empresas en toda España. Se han realizado encuestas a todo tipo de empresas españolas, predominando el caso de las que tienen menos de 11 empleados, llegando a suponer más de un 5 tanto en 2005 como en Año 2005 Año % 5 52% 57% 25% 16% 15% 12% 9% 21% 19% a a 50 A partir de 50 Fig. 31 Número empleados de las empresas españolas encuestadas 35

36 Europa España Actividades informáticas 1 27% Actividades diversas de servicios personales 2 Construcción Alimentación, Bebidas, Tabaco, Textil, Confección, Cuero y Calzado, Madera y Corcho Actividades inmobiliarias, Alquiler de maquinaria, I+D y otras actividades empresariales 4% 3% 6% 1 11% 12% Actividades sanitarias y veterinarias, servicio social 6% 5% Fig. 32 Sectores de actividad de las empresas encuestadas Además, y para complementar el estudio, se ha realizado el mismo tipo de encuesta a más de 3000 empresas en 15 países de la Unión Europea para poder comparar la situación de la PYME en el mercado de seguridad europeo con respecto al español. En este caso, también se ha realizado un análisis individualizado por país y uno de carácter global europeo que se ha contrastado con el español. Al igual que ocurre en España, la mayoría de las empresas europeas que han sido encuestadas tienes menos de 11 empleados, seguidas de las que cuentan con más de 50 trabajadores en su plantilla. Europa España 75% 58% 57% 5 25% 1 15% 7% 9% 25% 19% 0 a a a 50 A partir de 50 Fig. 33 Número de empleados de las empresas encuestadas en Europa y España 36

37 Anexo 2. Recomendaciones de Seguridad para la PYME Una vez analizadas las carencias que suelen tener las PYMES a nivel de seguridad informática, se concluyen una serie de recomendaciones que pueden ser efectivas para una empresa a la hora de implantar una efectiva seguridad interna. Por esta razón, consideramos que es importante que una compañía disponga de una efectiva política de seguridad, ya que además de todas las amenazas informáticas que puede sufrir por todos conocidas y analizadas en este informe, la forma más rápida y efectiva para conseguir violar la seguridad de una red es la ingeniería social, es decir, técnicas para engañar a los usuarios y conseguir que ejecuten voluntariamente archivos con código malicioso. Por tanto, la mejor protección en una empresa se consigue a través de una adecuada política de seguridad, la correcta formación de los usuarios de la red y el uso de herramientas tecnológicas eficientes y constantemente actualizadas. Asimismo, es muy importante que las empresas dispongan de herramientas de seguridad adecuadas, preventivas y actualizadas, que incluyan tecnologías anti-spam, de filtrado y análisis de contenidos, hoy en día ya no es suficiente con el clásico antivirus, precisamente por el cambio que venimos sufriendo en estos últimos años en la dinámica de las amenazas informáticas que han pasado de ser ataques masivos y con una alta repercusión mediática a realizarse de una forma silenciosa y dirigida para poder obtener un beneficio económico. Por esta razón, ahora mismo se está evolucionando hacia unas políticas de seguridad de aplicación general que protegen los sistemas de información, en este sentido, las empresas deberían apostar por poner en marcha un Plan de Continuidad de Negocio (PCN) que permita recuperar en el menor tiempo y costes posibles, la actividad interrumpida o los procesos críticos de negocio ante una amenaza. Dentro de esta estrategia se debería otorgar importancia a la formación de los usuarios de red, realización de auditorias y la implantación y actualización de políticas centralizadas. Un PCN ofrece una serie de beneficios para las empresas, como el ahorro de costes gracias a la prevención de los gastos y a la unificación de compras, tener un sistema de seguridad flexible que evoluciona a la par del negocio, estar en primera línea de novedad tecnológica y garantizar el funcionamiento y control detallado gracias a la monitorización de resultados. Otra opción que hoy en día está siendo utilizada por grandes corporaciones y que también se presenta como útil para la PYME es la externalización de los servicios de seguridad con el objetivo de cubrir principalmente dos puntos: primero confiar la seguridad a expertos especializados en cada parte de la red y segundo asegurar una deslocalización de los servicios y de la información que garantice la continuidad de la actividad normal en una empresa en caso de producirse una catástrofe. Esta nueva forma de protección, conocida como seguridad gestionada, ofrece una nueva opción la hora de aplicar un plan de seguridad que contempla el perímetro de las redes, una protección a nivel de red local, la realización de copias de seguridad y la aplicación de políticas de seguridad y acceso entre otras funcionalidades. La complejidad, cada vez mayor, de las redes corporativas y el creciente número de vulnerabilidades, la presenta como una opción interesante. 37

38 En el gráfico de la figura 34, se muestran en la las opciones disponibles actualmente en el mercado de la seguridad informática y que se adaptan a las necesidades de protección de cualquier empresa independientemente de su tamaño o de la complejidad de las redes informáticas. Fig. 34 Posicionamiento de las soluciones de seguridad en función del tamaño de la empresa 38

39 Anexo 3. Tablas de datos A continuación se detallan las tablas con los datos más representativos recogidos en las encuestas realizadas tanto a empresas españolas agrupadas por comunidades autónomas, como a empresas de los países europeos analizados. Fig. 35 Tabla de datos en comunidades autónomas España 39

40 Fig. 36 Tabla datos países europeos 40