Resumen Ejecutivo Estudio Seguridad Microempresas[1]

7/31/2019 Resumen Ejecutivo Estudio Seguridad Microempresas[1]

1/22

Resumen ejecutivo del Estudio sobre la seguridad ye-confianza en las pequeas y microempresas espaolas

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIN


2/22

Objetivos y metodologa

OBJETIVOS DEL ESTUDIO

Contrastar la percepcin deseguridad de las pequeas y

microempresas espaolas con lasituacin real de los equipos.

Analizar el grado de e-confianza yde seguridad entre las empresas.

Orientar iniciativas y polticaspblicas para la mejora de laseguridad y la generacin de unclima de confianza hacia la

Sociedad de la Informacin

Estudio online

iScan

METODOLOGA DEL ESTUDIO

n = 2.206 (febrero-julio 2009)

Error muestral 2,1% para unnivel de confianza del 95,5%

622 equipos (febrero-julio 200

Error muestral 4,0% para unnivel de confianza del 95,5%

Encuestas apequeas y

microempresas

OPININ

Escaneos aequipos

AUDITORAREMOTA

Percepcin vs. Realidad


3/22

Ficha tcnica

UniversoEmpresas espaolas de hasta 50 empleados,diferenciando entre las microempresas (menos de 10empleados) y las pequeas empresas (10-49asalariados).

Muestra

2.206 entidades y 622 equipos

Distribucin muestral

Muestreo aleatorio estratificado (nmero de empleados,sector de actividad y Comunidad Autnoma) conafijacin proporcional segn el porcentaje de uso deInternet.

Captura de informacin

Pgina web creada para la difusin y participacin en elestudio + Entrevistas online + Anlisis en lnea de losequipos

Trabajo de campo

Febrero a Julio de 2009

Error muestral

De acuerdo con los criterios del muestreo aleatorio

simple en las que p=q=0,5 y para un nivel de confianzadel 95,5%, se establece un error muestral de 2,1% paran= 2.206


4/22

ndice

Herramientas, buenas prcticas y

polticas de seguridad

Incidencias de seguridad Seguridad de las comunicaciones

mviles e inalmbricas

Consecuencias, reacciones y respuestasante las incidencias de seguridad

e-Confianza de las pequeas y

microempresas Sistema de indicadores de la seguridad

de la informacin

http://observatorio.inteco.es


5/22

Principales resultados

Herramientas, buenas prcticas y polticas de seguridad. Las empresasconscientes de la importancia de sus datos y de la informacin que albergan susequipos, disponen de herramientas y/o soluciones a nivel de equipo y a nivelorganizacin.

Entre las herramientas implementadas en los equipos destacan por su grado deutilizacin los programas antivirus (97,8%), los cortafuegos (72,4%), los medios decontrol de acceso (66,8%) y los programas de anti correo basura (61%).

Las principales medidas a nivel organizacional son el establecimiento de sistema

de copias de seguridad de los datos (82,4%), los cortafuegos en red (72,9%) o lossistemas de prevencin de intrusos (51,7%).

Entre las buenas prcticas que se efectan destaca la realizacin de copias deseguridad (por el 94,2% de las organizaciones) y la actualizacin de los

programas y sistemas operativos (88,9%).

La disposicin de planes y polticas se refleja en la tenencia de un plan deseguridad (34,3%), de un plan de concienciacin (17,6%) o de continuidad denegocio (11,9%).


6/22

Principales resultados

Incidencias de seguridad. El 48,4% de los equipos analizados tiene algn cdigo

malicioso o malware en junio de 2009. Se trata, en su mayor parte, de troyanos yadware, y se caracterizan por su alto nivel de diversificacin y heterogeneidad.

Confirmacin del desconocimiento real de las empresas sobre lo que sucede en susequipos en relacin con la presencia de virus (el 42,9% cree haberlos sufrido

mientras que la auditoria no ha identificado ninguno), de troyanos (la presencia real 27,8% supera el nivel percibido 21,7% ) y de software espa (el 15,1% de lasempresas creen que lo tienen cuando en realidad est presente en el 1,4% de losequipos).

Consecuencias y reaccin de las empresas ante las incidencias de seguridad. El77,4% afirma haber sufrido algn incidente de seguridad, lo cul ha supuesto para el54,9% la prdida del tiempo de trabajo. An as, el 69% de las empresas afirma que noexiste ningn tipo de impacto monetario sobre el negocio.

Conocimiento y adecuacin a la normativa sobre proteccin de datos. El 60,2% de lasempresas reconocen estar afectadas por esta normativa. Adems un 80% se sabeafectada por el hecho de disponer de ficheros con datos personales.

La e-confianza de las empresas espaolas. El 90,3% de las pequeas empresasespaolas afirma que les da confianza realizar operaciones bancarias online


7/22

Medidas y hbitos de seguridad

Implantacin de las soluciones de seguridad segn el nmero de equipos en los que se encuentran instaladas (%)


8/22

Medidas y hbitos de seguridad

Motivos declarados por las empresas para no utilizar las herramientas y soluciones de

seguridad en los equipos (%)


9/22

Incidencias de seguridadEvolucin anual del nivel de incidencias en los equipos de las empresas tras realizar la auditoria deseguridad (%)

40,0%48,4%

60,0%51,6%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

2008 2009

Alojan malware No alojan malware

Incidencias de seguridad

iScan

2008 n=265; 2009 n= 622


10/22


Distribucin de las categoras de cdigo malicioso (%)

iScan

35,1%

26,9%

1,8%

0,7%

32,6%

2,9%

Troyano Software publicitario no deseadoHerramientas Programas espasGusanos Otros

Nmero de variantes nicas de malware n=963


11/22

Nmero de detecciones de variantes nicas de cdigo malicioso (may. 2009)


iScan

678

231

36

7 5 20

100

200

300

400

500

600

700

800

900

1000

1 deteccin 2 detecciones 3 detecciones 4 detecciones 5 detecciones 6 detecciones


12/22

Incidencias de seguridadDistribucin de los equipos en funcin del nivel de riesgo (%)

51,6%

5,1%

31,4%

11,9%

Sin Riesgo Bajo Medio Alto

iScan

n=622



13/22

Consecuencias y reaccin ante las incidencias

Incidentes de seguridad declarados por las empresas (%)

15,1%

21,7%

22,8%

49,2%

63,2%

81,9%

87,4%

83,5%

74,9%

68,9%

70,9%

48,8%

34,6%

16,6%

11,8%

10,0%

9,4%

4,7%

4,6%

1,5%

8,0%

6,3%

2,2%

2,0%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Ataques distribuidos de denegacin de servicio

(DDoS)

Prdida o robo de datos o informacin

Phising o fraudes telemticos

Software espa

Troyanos

Fallos tcnicos

Virus

Correo electrnico basura (spam)

Si No No Sabe

n=2.206


14/22


Cambios de hbitos en las empresas debido a un incidente de seguridad (%)

30,9%

4,0%

5,4%

14,1%

20,7%

24,6%

42,9%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Ningn cambio en mis hbitos

Otros

Dejado de usar servicios de Internet

Consultado con un experto y contratado una

auditoria

Cambio de contraseas

Comenzado a realizar copias de seguridad

Instalado/actualizado programas/herramientas

n=1.708


15/22


Mtodo empleado por las empresas para resolver incidentes (%)

n=1.708

0,3%

1,2%

3,7%

16,9%

23,3%

25,5%

29,1%

0% 10% 20% 30% 40% 50% 60% 70% 80%

No se hace nada

Otros

Se llama a un conocido con conocimientos

Se llama al proveedor local de sistemas

informticos

Se contacta con un servicio tcnico

Se localiza a un experto en seguridad externo

Se resuelven por el personal de la empresa


16/22

La e-confianza de las pequeas y microempresas espaolas

Utilizacin de servicios electrnicos a travs de Internet por parte de las empresas (%)

8,0%

40,6%

41,0%

41,5%

50,2%

57,2%

59,9%

84,2%

92,0%

59,4%

59,0%

58,5%

49,8%

42,8%

40,1%

15,8%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Uso factura electrnica

Ventas a clientes

Compras a proveedores

Pagos a travs de Internet

Uso de la firma electrnica

Gestiones con la Administracin

Envia por e-mail formularios Web

Uso banca electrnica

Si No

n=2.206

L fi l i l


17/22

Comparativa europea segn la utilizacin de servicios a travs de Internet por parte de las empresas (%)

93,3

%

84,0

%

83,4

%

73,9

%

71,2%

70,9%

62,3

%

21,

9%

21,6%

49,2

%

31,9

%

2

8,0

%43,2

%

16,9%

15,1%

11,6

% 20,9%

19,9

%

9,4

%25,8

%

25

,7%

5,5

%9,8

%

9,8

%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Espaa UE 15 UE 27

Utilizacin banca electrnica Realizacin gestiones con las AAPP

Utilizacin firma electrnica Realizacin compras

Realizacin ventas Utilizacin factura electrnica

Utilizacin de la web como canal de venta Permiten el pago por Internet

Espaa n=329, Europa n=67.303


L fi d l i l


18/22

Grado de confianza de las empresas cuando realizan gestiones con la Administracin Pblica atravs de Internet, segn el tamao de la empresa

n=1.261


Si t d I di d d S id d


19/22

Sistema de Indicadores de Seguridad

Sistema de indicadores de la seguridad de la informacin (0-100 puntos)

76,1

51,1

21,0

54,4

73,2

48,4

23,8

0

10

20

30

40

50

60

70

80

90

100

Indicador de

herramientas

Indicador

buenas

practicas

Indicador de

polticas y

planes

Indicador

global de

seguridad

Indicador e-

confianza

Indicador de

incidencias

de malware

Indicador de

equipos en

situacin deriesgo

Indicadores Proteccin Indicadores

Incidencias/Riesgo

INDICADORES DE PROTECCIN INDICADORES DE INCIDENCIAS/RIESGO

Refle iones finales


20/22

Reflexiones finales

El tamao de la empresa es un condicionante a la hora de implementar las herramientasy soluciones de seguridad. Las pequeas empresas presentan un porcentaje mselevado de instalacin de casi todas las herramientas.

Se demuestra que entre los empresarios existe una especial preocupacin por ladisponibilidad de su infraestructura tecnolgica y la informacin que sta soporta. As

la gran mayora realiza copias de seguridad e instalan sistemas antivirus. Las pequeas y microempresas espaolas tienen la percepcin de que la seguridad es

un aspecto meramente tecnolgico. Deben por consiguiente mejorar para poderincrementar sus niveles de seguridad y e-confianza.

Adems han de tomar conciencia de los riesgos que pueden existir, ya que un elevadoporcentaje creen que no son susceptibles de sufrir un incidente de seguridad alconsiderarse poco interesantes para los posibles atacantes.

Confusin y desconocimiento real de las empresas sobre lo que sucede en sus equipos

en el tema de las incidencias de seguridad. Las herramientas de seguridad son necesarias pero no suficientes, y pueden provocar

una falsa sensacin de seguridad.

Es importante que todos los implicados unan esfuerzos para evitar que los problemas

de seguridad supongan un freno al desarrollo de la Sociedad de la Informacin.

Anlisis DAFO


21/22

Anlisis

Interno

FORTALEZAS DEBILIDADES Buena capacidad tecnolgica

Alto nivel de implantacin dedeterminadas herramientas deseguridad.

Alto nivel de uso de la firma electrnicay otros servicios de Internet.

Creciente nivel de concienciacin yadaptacin en materia de proteccin dedatos.

Alto nivel de e-confianza.

Existencia de vulnerabilidades,riesgos e impactos significativos.

Falsa sensacin de seguridad.

Centradas en la dimensin

tecnolgica. Lento progreso en algunos

aspectos.

AnlisisExterno

OPORTUNIDADES AMENAZAS

Alto nivel de compromiso de lasAdministracin Pblicas

y de las asociaciones de empresarios.

Enfoque de los fabricantes deproductos de seguridad al mercado deseguridad de la informacin en lasempresas.

Nivel de externalizacin de las

funciones TI.

Lento progreso en seguridad quepudiera provocar una prdida decompetitividad.

Los dispositivos mviles einalmbricos como potencialesbrechas de seguridad para lasempresas.

Anlisis DAFO


22/22

http://www.inteco.es

http://observatorio.inteco.es

Resumen Ejecutivo Estudio Seguridad Microempresas[1]

Documents

Transcript of Resumen Ejecutivo Estudio Seguridad Microempresas[1]