Resumen ejecutivo del

Estudio sobre seguridad de la información y

continuidad de negocio en las pymes españolas

INSTITUTO NACIONAL DE TECNOLOGÍAS DE LA COMUNICACION

Objetivos y metodología
PROYECTO DE INVESTIGACIÓN SOBRE LA SEGURIDAD DE LA INFORMACIÓN
Y LA CONTINUIDAD DE NEGOCIO EN LAS PYMES ESPAÑOLAS
Objetivo del estudio
Conocer el posicionamiento y
percepción de las pymes españolas
respecto a la seguridad de la
información y la continuidad de
negocio en términos de:
• Protección y prevención frente a
riesgos.
• Incidencias, consecuencias y
respuestas.
• E-confianza
• Recomendaciones y buenas
prácticas
Metodología del estudio
• Análisis documental a través de
estudios nacionales e
internacionales.
• Encuesta: 2.250 entrevistas a
responsables de seguridad de TI de
pymes.
• Entrevistas en profundidad a 10
responsables de seguridad de TI de
pymes.
• Think tank: grupo de 9 expertos y
profesionales pertenecientes a
diferentes ámbitos de la seguridad
y la continuidad de negocio.
2
Ficha técnica de la encuesta

Encuesta sobre seguridad Encuesta sobre continuidad de negocio

de la información y e-confianza
Universo Universo
Pymes establecidas en el territorio nacional (CNAE Pymes establecidas en el territorio nacional (CNAE
2009). 2009).
Muestra Muestra
1.144 responsables de seguridad de pymes repartidas 1.109 responsables de seguridad de pymes
por el territorio nacional. repartidas por el territorio nacional.
Distribución muestral Distribución muestral
Sobre el total de 1.144 pymes: 440 micropymes, Sobre el total de 1.109 pymes: 501 micropymes, 343
395 pequeñas empresas y 309 medianas empresas. pequeñas empresas y 265 medianas empresas.
Captura de información Captura de información
Encuestas telefónicas CATI (Computer Assisted Encuestas telefónicas CATI (Computer Assisted
Telephone Interviewing). Telephone Interviewing).
Trabajo de campo Trabajo de campo
Diciembre de 2011 y enero de 2012. Enero y febrero de 2012.
Error muestral Error muestral
2,9%, calculado para un nivel de confianza del 2,9%, calculado para un nivel de confianza
95,5%, y siendo p=q=0,5. del 95,5%, y siendo p=q=0,5.

3
Estudio sobre seguridad de la información y
continuidad de negocio en las pymes españolas

 Herramientas técnicas y personal de

seguridad

 Buenas prácticas de seguridad

 Planes y políticas de seguridad

 Incidentes de seguridad en la pyme:

incidencia, impacto y respuesta

 E-confianza de la pyme española

 Perfiles de seguridad y continuidad de

negocio en la pyme

 Reflexiones finales

 Recomendaciones

http://observatorio.inteco.es

4
Principales resultados

Herramientas, buenas prácticas y políticas de seguridad en las pymes

 Notable grado de implantación de medidas y hábitos de seguridad básicos:
 Antivirus y cortafuegos son las herramientas más habituales (un 96,1% y un
75,4%, respectivamente).
 Un 56,% de las empresas dispone de personal destinado a la seguridad de la
información (un 21% mediante personal interno y un 35,3% mediante empresa
externa).
 Se observa una amplia penetración de hábitos de protección como las copias de
seguridad o la actualización del sistema operativo y programas (88,2 % y 81,9%
respectivamente).
 La seguridad de la información ha evolucionado favorablemente en el último año, a
juicio de las pymes participantes en la investigación.
 Las pymes creen realizar auditorías de seguridad y disponer de certificaciones en
Sistemas de Gestión de la Seguridad de la Información (SGSI) en mayor medida que lo
que afirman los datos oficiales.
 Cuatro de cada diez pymes encuestadas conoce el significado de los Planes de
Continuidad de Negocio. Un 12,9% afirma disponer de un PCN y un 5,3% tiene un plan
para el componente tecnológico.
 Un 31,9% de las empresas con Plan de Continuidad de Negocio habilita mecanismos
para comprobar su eficacia, entre los que destaca la realización de pruebas periódicas
(42,3%).

5
Principales resultados

Incidentes que afectan a la seguridad de la información y continuidad de negocio

 Un 26,1% de las pymes creen haber sufrido un incidente de este tipo en 2011.
 La infección por malware (14,7%) y la recepción de correo electrónico no deseado o
spam (11,9%) son las circunstancias declaradas en mayor medida.
 Los percances más frecuentes en relación a los dispositivos móviles tienen que ver con
la sustracción o la pérdida del terminal (7,1% y 7,2%, respectivamente).
 En el último año, 1 de cada 3 empresas han percibido situaciones o incidentes que han
afectado de alguna forma a la continuidad de sus operaciones de negocio.
 Los episodios más frecuentes son la avería de los sistemas de soporte (un 15,2%), la
caída de los sistemas o aplicaciones informáticas (11,3%) y la falta de servicio o
suministro por parte de los proveedores (11,2%).
Impacto y respuesta ante los incidentes
 Las consecuencias más comunes tras sufrir un incidente son la perdida de tiempo y
productividad, así como la parada en las operaciones.
 Después del percance, un 38,5% de las pymes adopta una actitud proactiva
incorporando herramientas y medidas de seguridad. Las actuaciones a nivel
organizativo o estratégico son minoritarias.
 En casi la mitad de los casos, los encargados de resolver los incidentes son los
técnicos internos de las empresas, si bien destaca la proporción que dice apoyarse en
un servicio externo (40,9%).
6
Principales resultados

E-confianza
 Banca electrónica y medios de pago online (69,8%), página web empresarial (55,5%) y e-
Administración (51,9%) son los servicios TIC más extendidos en la pyme española.
 Las redes sociales ganan protagonismo como canal de comunicación. Facebook es la
más extendida (88,7%), seguida de Twitter (29,6%).
 Alto nivel de confianza en la mayoría de los servicios, especialmente la e-
Administración (87,0%), la utilización de la banca electrónica y los medios de pago
online (86,1%).
 Las redes sociales son el servicio que menos confianza genera.
 La falta de necesidad y la falta de interés son los motivos más alegados para la no
incorporación de nuevos servicios.

7
Medidas de seguridad en la PYME
Uso de las TIC
 El ordenador de sobremesa resulta imprescindible en el negocio, estando presente en
un 92,3% de las pymes.
 Las tecnologías inalámbricas y móviles tienen cada vez más peso en las empresas.

Utilización de TIC en la empresa

Ordenadores de sobremesa 92,3%

Redes inalámbricas (Wifi) 66,2%

Red de área local (LAN) 59,8%

Ordenadores portátiles 47,2%

Acceso remoto 41,3%

Dispositivos móviles (PDA, Smartphone, Tableta) 27,1%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Base: pymes que participan en el cuestionario de seguridad (n=1.144)

8
Medidas de seguridad en la PYME

Medidas de protección en los equipos

 Uso generalizado de soluciones paquetizadas: antivirus, cortafuegos y antispam.
 Menor penetración de herramientas que requieren la participación del usuario.

Nivel de implantación declarado de soluciones de seguridad en la empresa

Antivirus/Antiespía 96,1%

Cortafuegos 75,4%

Antispam 75,3%

Bloqueo de ventanas emergentes 71,5%

Eliminación de archivos temporales y

67,4%
cookies

Sistemas de control de intrusión 52,9%

Plugins o complementos para el

51,4%
navegador

Cifrado de datos 34,1%

0% 20% 40% 60% 80% 100%

Base: pymes que participan en el cuestionario de seguridad (n=1.144)
9
Medidas de seguridad en la PYME
Frenos a la utilización de medidas de seguridad
 El desconocimiento y la falta de percepción de riesgo son los principales motivos
para no aplicar medidas de seguridad.

Motivos para no aplicar medidas de seguridad

%
Empresas No No
Soluciones No
que no lo conoce necesita Precio Ineficaces Entorpecen Otros
contesta
utilizan
Antivirus / Antiespía 3,9 2,3 39,6 0,4 5,1 17,4 14,9 20,3
Cortafuegos 24,6 35,6 27,2 3,2 0,8 2,8 0,2 30,2

Antispam 24,7 28,0 38,8 0,1 0,8 3,8 0,2 28,3

Plugins 48,6 37,0 28,4 0,5 0,5 2,0 0,4 31,2

Bloqueo de ventanas
28,5 33,3 29,7 0,0 0,9 2,9 0,2 33,0
emergentes
Sistemas de control
47,1 38,0 26,0 1,4 0,4 2,1 0,2 31,9
de intrusión
Cifrado de datos 65,9 35,1 35,2 0,4 0,5 1,6 0,8 26,4
Eliminación de
archivos temporales y 32,6 29,1 32,5 0,7 1,1 3,1 1,5 32,0
cookies
Base: pymes que no utilizan las herramientas y soluciones de seguridad
10
Medidas de seguridad en la PYME

Medidas de protección en dispositivos móviles corporativos

 El acceso mediante código pin y la contraseña de desbloqueo son las medidas más
utilizadas para la protección de los dispositivos móviles.

Medidas de protección que se utilizan en los dispositivos móviles

Base: pymes que disponen de dispositivos móviles (n=459)

11
Medidas de seguridad en la PYME

Protección de la red wifi corporativa

 Los estándares WPA/WPA2 y WEP, son utilizados en la misma medida.
 Es necesario extender la incorporación de los estándares WPA/WPA2.

Protección declarada en redes inalámbricas (wifi)

Base: pymes que disponen de red wifi (n=129)

12
Medidas de seguridad en la PYME
RRHH de seguridad
 El 56,3% de las pymes dispone de personal dedicado a garantizar la seguridad de la
información.
 El 4,0% tiene profesionales internos que se dedican exclusivamente a la seguridad.

Personal dedicado a la seguridad de la información

0,6%

4,0%

17,0%

56,3%
43,1%

35,3%

Sí, con personal exclusivamente dedicado a la seguridad

Sí, con personal interno de informática
Sí, mediante empresa externa
No, no está considerado
No sabe / No contesta

Base: pymes que participan en el cuestionario de seguridad (n=1.144)

13
Medidas de seguridad en la PYME

Estrategia y compromiso de la Dirección con la seguridad

 La mayoría de los órganos directivos de las empresas valoran (muy o bastante
importante) la protección de las TIC.

Nivel de importancia que la Dirección de la empresa otorga a la seguridad de la información

Base: total pymes que responden al cuestionario de seguridad (n=1.144)

14
Buenas prácticas de seguridad en la PYME

Buenas prácticas que complementan la seguridad

 Es reseñable la adopción de prácticas de seguridad como la realización de copias de
seguridad y la actualización de programas.
 Los hábitos prudentes dirigidos a los empleados son más minoritarios.

Realización de buenas prácticas por las pymes

Realización de copias de seguridad 88,2%

Actualización de programas 81,9%

Control y acceso a equipos y documentos 69,1%

Limitaciones a empleados para instalar

50,1%
programas

Limitaciones a empleados para acceder a Internet 21,3%

0% 20% 40% 60% 80% 100%

Base: total pymes que responden al cuestionario de seguridad (n=1.144)

15
Buenas prácticas de seguridad en la pyme

Formación para los empleados sobre riesgos de seguridad

 Algo más de una cuarta parte de las empresas afirman que realiza formación
específica sobre riesgos de seguridad.
 Los expertos señalan que en realidad esta cifra es menor y es necesario mejorar la
sensibilización de la organización promoviendo acciones formativas.

Formación sobre riesgos de seguridad impartida a los empleados en las pymes

2,2%

27,3%

70,5%

Sí No No sabe / No contesta
Base: total pymes que responden al cuestionario de seguridad (n=1.144)
16
Planes y Políticas de seguridad

Conocimiento del Plan de Continuidad de Negocio (PCN)

 Existe un desconocimiento importante del concepto Plan de Continuidad de Negocio.
 Hay empresas más familiarizadas con este concepto, especialmente las de servicios
empresariales y nuevas tecnologías de la información.

Grado de conocimiento de las pymes sobre Plan de Continuidad de Negocio

Base: total pymes que responden al cuestionario de continuidad de negocio (CN) (n=1.109)
17
 Planes y Políticas de seguridad

Estrategias de continuidad de negocio

Previsión de estrategias de continuidad de negocio en caso de Principal motivo por le que no se ha previsto una estrategia o
situaciones de crisis negocio procedimiento ante situaciones de crisis o desastre

6,5% 15,3% Sí, elaborada e implantada

Probabilidad muy reducida de crisis 41,2%

Sí, pero solo para la parte No dispongo de personal / tiempo 19,3%

tecnológica
No, pero está previsto hacerlo Coste excesivo 11,4%
15,5%
51,7% Tengo otras prioridades de seguridad 10,0%
No, pero está previsto hacerlo
No se lo ha planteado 2,4%
Ns/Nc
11,0% Por desonocimiento 1,4%

Cuando ocurre lo solucionan ellos mismos 0,7%

Otra 1,7%

No sabe / No contesta 11,9%

0% 10% 20% 30% 40% 50%

Base: pymes que responden al cuestionario de continuidad de negocio (n=1.109) Base: pymes que carecen de estrategia de CN (n=416)

18
 Planes y políticas de seguridad en la PYME

Tiempo máximo de interrupción

 Una proporción importante de empresas señala que el tiempo máximo que podrían
soportar en inactividad es de un día, tanto en el año 2010 como en 2012.

Evolución del tiempo máximo durante el que podría interrumpirse la actividad de la empresa sin suponer un
impacto grave/critico en el negocio

2010 35,8% 11,7% 22,6% 12,5% 17,5%

2012 35,1% 7,8% 21,9% 11,7% 9,8% 6,8% 6,9%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Menos de 6 horas Menos de 12 horas Menos de 24 horas Menos de 48 horas

Menos de 5 días Más de 5 días No sabe / No contesta

Base: total pymes 2012 (n=1.109); total pyme y casos de éxito 2010 (n=429)
19
 Planes y políticas de seguridad en la PYME

Adopción de PCN en la empresa

Pymes que afirman disponer de un PCN en la empresa Aspectos identificados dentro del PCN de la empresa

Evaluación de riesgos 56,0%

No, no es necesario Asignación de responsabilidades 45,2%

14,4% Activación del plan de restablecimiento de las
2,4% Si, tenemos un PCN completo actividades de negocio 41,2%

Identificación y priorización de procesos críticos 36,6%

5,2% Sí, pero solo abarca el aspecto
tecnológico Definición de tiempos de recuperación 33,6%
5,3% No, es necesario pero no está
59,8% previsto implantarlo Estrategias de comunicación del plan 32,2%
No, pero está previsto implantarlo
12,9% Pruebas del plan de continuidad 31,9%

No sabe/No contesta Otros 4,4%

No sabe / No contesta 17,6%

0% 10% 20% 30% 40% 50% 60% 70%

Base: total pymes que responden al cuestionario de seguridad (n=1.144) Base: pymes que disponen de un PCN (n=337)

20
 Incidentes de seguridad en la PYME

Incidencia de riesgos de seguridad

 Las empresas que disponen de personal dedicado a seguridad de la información son las que
detectan los incidentes en mayor proporción.

Pymes que han sufrido un incidente de Percepción de incidentes de seguridad vs. disposición de personal
seguridad en el último año dedicado a seguridad en la empresa

100%

90%

80%
26,1% 53,6%
70%
70,4% 73,1%
60% 78,5%

50%
73,9%
40%

30%
46,4%
20%
29,6% 26,9%
10% 21,5%

0%
Dispone de personal Dispone de personal Recurre a empresa No está considerado
exclusivo de seguridad interno de informática externa
Sí No
Han sufrido incidentes No han sufrido incidentes

Base: total pymes que responden al cuestionario de seguridad (n=1.144) Base: pymes que participan en el cuestionario de seguridad (n=1.144)

21
Incidentes de seguridad en la PYME

Incidentes de seguridad de la información

 Malware y emails masivos publicitarios son los incidentes de seguridad más
reconocidos por las empresas.

Incidentes de seguridad declarados por las pymes en el último año

Malware (virus, troyanos, etc.) 14,7%

E-mails masivos publicitarios (spam) 11,9%
Fallos técnicos 4,3%
Daño físico en equipos/programas 2,2%
Robo de identidades/suplantación 1,1%
Sustracción/extravío de dispositivos 0,9%
Accesos no autorizados externos 0,9%
Fraude online/Phishing 0,8%
Ataque distribuido de denegación de servicio (DDoS) 0,6%
Fuga de datos por error/intencionada (personal interno) 0,4%
Sabotaje (ataque interno) 0,3%
Ninguno de los anteriores 73,9%

0% 20% 40% 60% 80% 100%

Base: total pymes que responden al cuestionario de seguridad (n=1.144)

22
Incidentes de seguridad en la PYME

Incidentes de seguridad en dispositivos móviles

 La mayoría de las empresas no perciben o no son conscientes de haber sufrido incidentes de
seguridad en los dispositivos móviles.
 La sustracción y la pérdida de terminal son los percances más destacados.

Incidentes de seguridad percibidos Incidentes declarados en los dispositivos móviles

en los dispositivos móviles corporativos

Sustracción del terminal 7,2%

8,6%
14,4% Pérdida de terminal 7,1%

Robo de datos (vía bluetooth, Wi-Fi, etc.) 1,3%

Sí
No Fraude con perjuicio económico 0,9%
Ns/Nc
Rotura o deterioro 0,8%

Intrusión por terceros (vía bluetooth, Wi-

77,0% 0,0%
Fi, etc.)

Malware (virus, troyanos, espías, etc.) 0,0%

No han sufrido ningún incidente 77,0%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Base: total pymes que cuentan con dispositivos móviles (n=459)

23
Incidentes de seguridad en la PYME

Incidentes de continuidad de negocio

 Desde el 2010, han descendido los incidentes de seguridad sufridos en las empresas
que han impactado en la continuidad de las actividades o procesos.

Evolución de la incidencia declarada de situaciones que hayan impactado en la continuidad

de los procesos u operaciones de negocio

8,1%
35,2%
33,6%

66,4%
56,7%

2010 (últimos 3 meses) 2012 (último año)

Sí No Ns/Nc
Base: año 2012 (n=1.109) Base: año 2010 (429)
24
Incidentes de seguridad en la PYME

Incidentes de continuidad de negocio

 La caída/avería del sistema de soporte es la principal circunstancia que ha puesto en
peligro la continuidad de los procesos.

Incidentes de seguridad sufridos en el último año que haya impactado en la continuidad

de los procesos u operaciones de negocio

Caida/avería del sistema de soporte 15,2%

Caida del sistema/aplicaciones informáticas 11,3%

Falta de servicio/suministro por parte de
11,2%
proveedores
Ataques informáticos 6,3%

Daño físico en equipos 5,8%

Inundación/incendio/desastre natural 3,9%

Pérdida de datos críticos 2,7%

Huelga/epidemia/baja de personal critico 1,3%

Incumplimiento legal/multas sanciones 1,1%

Ningún incidente 66,4%

0% 10% 20% 30% 40% 50% 60% 70% 80%

Base: empresas que han respondido al cuestionario de continuidad de negocio (n=1.109)

25
Impacto y consecuencias de los incidentes

Consecuencias de los incidentes de seguridad

 Los fallos técnicos han sido el incidente de seguridad que ha tenido consecuencias en
mayor medida.

Existencia de consecuencias derivadas de los principales incidentes de seguridad

Caída en los sistemas 89,2% 10,8%

Malware 68,3% 31,7%

Emails masivos
53,2% 46,8%
publicitarios

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Sí tuvo consecuencias No tuvo consecuencias

Base: pymes que han sufrido un incidente (malware n=199; emails masivos n=157; caída en los sistemas=90)

26
Impacto y consecuencias de los incidentes

Tipología de las consecuencias provocadas por los incidentes de seguridad

 De forma general, las pérdidas de tiempo, paradas de la actividad o consecuencias
técnicas son los principales efectos negativos derivados de los incidentes de seguridad.

Consecuencias derivadas de los principales incidentes de seguridad

Caída de Emails
los Malware masivos
Tipo de consecuencia sistemas publicitarios

Pérdida de tiempo/productividad 66,9 41,1 6,1

Parada en la actividad de mi empresa 25,8 5,3 37,7

Consecuencias técnicas 17,2 10,5 0,5

Costes de reparación/sustitución 7,6 19,3 3,5

Daños en la imagen /reputación 5,9 0,0 0,2

Borrado de archivos 0,6 6,3 8,5

Daños en hardware/software 0,5 4,6 0,4

Multas/sanciones por incumplimiento legal 0,5 - -

Perjuicio económico (fraude) 0,5 - -

Filtración de información
0,5 - -
confidencial/sensible

Cancelación de contratos clientes 0,5 - -

No tuvo consecuencias 15,5 42,4 50,1

No sabe / No contesta 1,1 4,2 0,3

27
Impacto y consecuencias de los incidentes

Tipología de las consecuencias provocadas por los incidentes de CN

 Los impactos operativos son los más destacados, independientemente del incidente
vivido.
Consecuencias derivadas de los incidentes de continuidad de negocio

Incidentes que afectan a la continuidad del negocio

Falta de
Caída de
servicio/ Fallo/ avería
Tipos de consecuencias sistemas/ Daño físico Ataques
suministro del sistema
aplicaciones en equipos informát.
por el de soporte
informát.
proveedor

Retrasos / horas perdidas / impacto en la

83,9 81,8 73,4 70,2 52,7
productividad

Económico (coste directo) 14,6 21,3 21,1 46,3 10,4

Daño a la imagen de la empresa

2,0 6,2 4,4 4,9 2,1
(impacto reputaciones)

Pérdida de clientes con los que existiera

un contrato en firme 0,1 7,2 3,4 0,4 0,4
(impacto contractual)

Sanciones / multas (impacto legal) 0,4 4,0 - - -

Otra consecuencia 0,3 0,1 0,1 - 4,3

Ningún impacto 9,8 7,5 10,6 10,0 36,7

No sabe/ No contesta 2,3 0,9 0,6 0,1 -

Base: Pymes que sufrieron incidentes de CN

28
Respuesta de la PYME a los incidentes

Actuaciones de respuesta
 Un 54,4% no adopta ninguna respuesta, frente a un 38,5% que muestra una actitud
proactiva ante el incidente y sus posibles consecuencias.
 Las pymes optan por medidas más inmediatas y menos costosas, frente a aquellas
soluciones que implican actuaciones a nivel organizativo o estratégico.
Reacción tras los incidentes de seguridad

He instalado/actualizado herramientas de
seguridad 19,7%

He implantado nuevas medidas de seguridad 12,9%

Se ha impartido formación sobre seguridad a los

empleados 2,2%

Se han implantado medidas de continuidad de

negocio 2,1%

Se ha implantado en un Sistema de Gestión de

Seguridad Informática (SGSI) (ISO 27001) 0,9%

Mi empresa ha dejado de utilizar ciertos servicios

a través de Internet 0,6%

Se ha contratado personal propio/servicio externo

dedicado a la seguridad 0,1%

No sabe/ No contesta 7,1%

Seguimos haciendo lo mismo 54,4%

0% 10% 20% 30% 40% 50% 60%

Base: Pymes que han sufrido algún incidente de seguridad (n=360)

29
Respuesta de la PYME a los incidentes

Resolución de los incidentes

 El personal de la empresa es el principal agente encargado de resolver los
incidentes ocasionados, seguido de un servicio técnico profesional externo.

Forma adoptada para la resolución de los incidentes

Personal de la empresa 48,5%

Un servicio técnico profesional externo 33,5%

Personal de la empresa con asesoramiento

7,4%
profesional externo

Un amigo/conocido con conocimientos

1,9%
informáticos

Otro 2,6%

No lo ha resuelto 5,3%

No sabe / No contesta 0,7%

0% 10% 20% 30% 40% 50%

Base: Pymes que han sufrido algún incidente de seguridad (n=360)

30
E-confianza de la PYME

Uso de servicios de Sociedad de la Información

 La banca electrónica y medios de pago online, la página web empresarial
y e-Administración son los servicios más utilizados por las pymes.

Utilización declarada de servicios electrónicos a través de Internet por parte de las empresas

Banca electrónica/medios de pago online 69,8%

Página web empresarial 55,5%

Trámites con la administración (e-Administración) 51,9%

Compra a través de Internet 44,6%

Firma electrónica (Certificado, DNIe, etc.) 40,1%

Perfil en redes sociales 26,8%

Factura electrónica 20,3%

Contratación electrónica 17,7%

Venta a través de Internet 14,5%

0% 20% 40% 60% 80%

Base: total pymes que responden al cuestionario de seguridad (n=1.144)

31
E-confianza de la PYME

Empresas y redes sociales

 Las redes sociales ganan importancia como canal de comunicación de las empresas.
 Gran predominio de Facebook como canal corporativo.

Presencia de las empresas en diferentes redes sociales

Facebook 88,7%

Twitter 29,6%

Google+ 10,3%

Linkendin 10,1%

Youtube 9,8%

Scribd 0,1%

Otras 5,3%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Base: total pymes que disponen de perfil en redes sociales (n=344)

32
E-confianza de la PYME

Confianza en los servicios de Internet

 De nuevo, la e-Administración y la banca y medios de pago online son los servicios
que más confianza generan entre las empresas, además de los más extendidos.
 Las redes sociales ocupan el último lugar.

Grado de confianza de las empresas en los diferentes servicios de Internet

e-Administración 87,0% 10,0% 3,0%

Banca/medios de pago online 86,1% 11,9% 2,0%

Firma electrónica 83,9% 14,9% 1,2%

Factura electrónica 83,9% 15,9% 0,2%

Contratación electrónica 75,3% 18,4% 6,3%

Página web empresarial 71,3% 17,9% 3,0%

Compra a través de Internet 71,3% 21,5% 7,2%

Venta a través de Internet 55,6% 21,7% 22,7%

Perfil en redes sociales 45,9% 35,9% 18,2%

0% 20% 40% 60% 80% 100%

Bastante Suficiente Poca Ns/nc

Base: total pymes que responden al cuestionario de seguridad (n=1.144)

33
E-confianza de la PYME

Motivaciones para la no utilización de servicios TIC

 La falta de necesidad o la falta de interés es la principal barrera, especialmente en el
caso de las redes sociales (88,6%), la venta online (87,0%) y la e-contratación (85,8%).
 La falta de seguridad es un motivo alegado de forma minoritaria.

Motivos por los que las empresas no utilizan los servicios TIC

Motivos
% empresas que no No necesita/No No sabe cómo No le parece Le resulta
Servicios No sabe / no
utilizan interesa usarlo seguro incómodo
contesta
Venta a través de Internet 84,9% 87,0 3,4 3,7 5,9 -
Contratación electrónica 78,0% 85,8 6,0 2,2 6,0 -
Factura electrónica 77,7% 77,7 6,2 0,8 15,3 -
Perfil en redes sociales 71,4% 88,6 4,6 3,3 3,5 -
Firma electrónica -
56,9% 82,4 9,3 1,9 6,4
(Certificado, DNI electrónico, etc.)
Compra a través de Internet 54,7% 82,4 3,5 7,7 6,4 -
Trámites con la administración -
44,2% 74,2 6,3 2,8 16,7
(e-Administración)
Página web empresarial 44,3% 86,3 4,4 1,1 1,6 6,6
Banca electrónica/medios de pago
28,4% 68,0 7,0 12,5 12,5 -
online

Base: total pymes que responden al cuestionario de seguridad (n=1.144)

34
Perfiles de empresa según seguridad / continuidad

Seguridad y e-confianza Continuidad de negocio

 Protegidas  Preparadas
 Precavidas  Desprevenidas
 Despreocupadas  Indiferentes
 Imprudentes  Temerarias

Distribución de empresas según sus perfiles de seguridad y Distribución de empresas según sus perfiles en materia de
e-confianza continuidad de negocio
9,1%
21,1%

22,5%
24,4%

Grupo 1: protegidas Grupo 1: preparadas

Grupo 2: precavidas Grupo 2: desprevenidas
Grupo 3: despreocupadas Grupo 3: indiferentes
Grupo 4: imprudentes Grupo 4: temerarias
44,7%
29,1%
23,7%
25,4%

Base: total pymes que responden al cuestionario de seguridad (n=1.144) Base: total pymes que responden al cuestionario de CN (n=1.109)

35
Perfiles de empresa según seguridad y e-confianza
Despreocupadas
 Predominan las microempresas del
comercio y la hostelería.
 Manifiestan una escasa preocupación
por la seguridad.
 Reportan una incidencia baja de
situaciones de riesgo.
 Utilizan poco los servicios de Internet,
con un grado de confianza medio.
Protegidas
 Mayor presencia de medianas empresas,
de la industria y servicios a empresas.
 Manifiestan una elevada preocupación
por la seguridad de la información.
Cuentan con medios técnicos y
humanos para garantizarla.
 Baja incidencia de situaciones de riesgo
 Su grado de confianza en Internet es
alto.
Precavidas
 Predominan las microempresas de todos
los sectores.
 Tienen una elevada preocupación por la
seguridad , pero no siempre cuentan con
los mejores medios técnicos.
 Reportan una incidencia baja de
situaciones de riesgo.
 Utilizan poco los servicios de Internet,
con un grado de confianza medio /alto.
Imprudentes
 Predominan las micro y pequeñas
empresas del comercio y hostelería y de
otros servicios.
Caution
 Manifiestan una escasa preocupación por
la seguridad.
 Reportan una alta incidencia de
situaciones de riesgo.
 Utilizan mucho las TIC y su grado de
confianza en Internet es medio/alto.
36
Perfiles de empresa según continuidad de negocio
Desprevenidas
 Predominan las pequeñas y
microempresas del comercio y hostelería
 Se ven medianamente preparadas para
afrontar una crisis. Reportan un alto nivel
de incidentes.
 No identifican las actividades criticas de
negocio.
 Disponen de una estrategia para
situaciones de crisis.
Preparadas
 Predominan las pequeñas y medianas
empresas del sector servicios.
 Dicen estar preparadas para afrontar una
situación de crisis. Reportan un bajo nivel
de incidencias.
 Tiene identificadas las actividades criticas
de negocio.
 Disponen de una estrategia para
situaciones de crisis.
Indiferentes
 Predominan las microempresas de la
industria y del comercio y hostelería.
 Dicen no estar preparadas para afrontar una
situación de crisis. Reportan un bajo nivel
de incidencias.
 No están identificadas las operaciones
críticas de negocio.
 No disponen de estrategia para situaciones
de crisis.
Temerarias
 Predominan las microempresas de
industria.
 Dicen estar poco preparadas para afrontar
situaciones de crisis. Reportan un alto nivel
de incidencias.
 No identifican las actividades críticas de
negocio.
 No tienen estrategia para afrontar
situaciones de crisis.
37
Reflexiones finales
Análisis DAFO
PUNTOS FUERTES
 Buena capacidad tecnológica de la pyme.
 Notable nivel de implantación de medidas
de seguridad preventivas.
 Sensibilidad al tiempo de reactivación.
 Respuesta favorable a iniciativas.
OPORTUNIDADES
 Enfoque conjunto de los diferentes actores
para una mejor orientación hacia las pymes.
 Amplia cartera de servicios de seguridad y
continuidad de negocio.
 Externalización de las funciones de TI y
seguridad de la información.
PUNTOS DÉBILES
 Falsa sensación de seguridad.
 Deficiencias en la cultura de seguridad en las
empresas.
 El menor tamaño resulta un factor determinante
(en negativo) del nivel de protección.
 Escaso margen en el tiempo de interrupción
permitidos.
 Enfoque de la seguridad excesivamente dirigido a
la dimensión tecnológica.
AMENAZAS
 Lento progreso de la seguridad.
 Recrudecimiento de las consecuencias de
los ataques.
 Nuevos desafíos tecnológicos y nuevos
riesgos de seguridad.
38
Recomendaciones

Recomendaciones para las pymes

Sensibilización

 Avanzar en la sensibilización de las empresas sobre los riesgos de

seguridad de la información.
 Fomentar la incorporación de buenas prácticas para los miembros de la
organización.
 Adoptar estrategias de continuidad de negocio para asegurar la
resistencia de las organización ante una crisis o desastre.

 Acudir a profesionales externos que solventen la falta de recursos

Implementación

internos sin renunciar a la seguridad.

 Utilizar correctamente las herramientas y medidas de seguridad.
 Establecer criterios de seguridad en las relaciones con los proveedores.
 Mantenerse actualizados de las novedades en materia de riesgos de
seguridad y medidas de protección.

39
Recomendaciones

Recomendaciones para la industria de seguridad y la Administración

 Adecuar la oferta de productos y soluciones de seguridad a la realidad de la

pyme española.
Industria

 Desplegar actuaciones que ayuden a complementar la seguridad en la empresa

desde la concienciación y la formación.
 Promover la profesionalización de las empresas del canal de distribución de
soluciones de seguridad.
 Colaborar estrechamente con las Administraciones Públicas.

 Asesorar al empresario para que incorpore competencias de seguridad de la

información.
 Desplegar acciones de sensibilización basadas en los beneficios del uso de
Administración

servicios TIC y la seguridad proactiva.

 Promover el desarrollo de estrategias empresariales basadas en estándares.
 Desplegar acciones informativas y formativas para el personal de las empresas.
 Estudiar el estado de la seguridad de la información y la continuidad de negocio
en las empresas españolas.
 Realizar acciones específicas para las empresas de servicios de tecnologías de
la información (TI).

40
Síguenos a través de:
Web http://observatorio.inteco.es

Perfil de Facebook
http://www.facebook.com/ObservaINTECO

Perfil de Twitter
http://www.twitter.com/ObservaINTECO

Perfil de Scribd
http://www.scribd.com/ObservaINTECO

Perfil de Youtube
http://www.youtube.com/ObservaINTECO

Blog del Observatorio de la Seguridad de la Información

http://www.inteco.es/BlogSeguridad

Envíanos tus preguntas y comentarios a:

observatorio@inteco.es
 http://www.inteco.es

http://observatorio.inteco.es