Desde hace varios años todos hemos oído hablar del término outsourcing o externalización, y en sí, según Wikipedia, es “el proceso económico en el cual una empresa determinada, mueve o destina los recursos orientados a cumplir ciertas tareas, a una empresa externa por medio de un contrato”.

La decisión de externalizar el Centro de Datos, no sólo se debe tener en consideración por el consabido ahorro de costes, por la transformación de costes fijos en variables, por la flexibilidad… sino, además, por otros intangibles como la mejora de la calidad, la disponibilidad  y la capacidad de responder mejor a retos de mercado.

Estadísticamente, los departamentos más externalizados son aquellos que son relativamente independientes, con servicios especializados y/o de apoyo y sujetos a un entorno cambiante donde es difícil reclutar, formar y retener al personal …
Muchos clientes nos preguntan: “Pero si externalizo, ¿pierdo el control?

Respondemos con un ejemplo. En muchas empresas, existe un Consejo de Administración con Consejeros independientes que, de hecho, ofrecen sus servicios a varias empresas. ¿Significa esto que los directivos de su compañía pierden el control? Pues, efectivamente, la respuesta es no.

¡Sr. Director de IT:  la crisis actual es una oportunidad!!.  No caiga en el “modo supervivencia” ni en la gestión “on the fly”. Le hará cometer errores en su estrategia a medio plazo. Tome la bandera del cambio, innove, cambie el rol. La mejor forma de que usted esté cerca de su negocio, que pueda ser útil a la Dirección Corporativa, no es sólo que lo que tenga bajo su responsabilidad, es que lo tenga también bajo control.

• Los organismos públicos suelen gestionar el correo de manera interna; tanto los equipos como los registros y bases de datos se encuentran en la sede de la organización, siendo habitualmente el personal encargado de dicha gestión técnicos pertenecientes a la propia Administración.

• Las organizaciones estudiadas disponen, en todos los casos, de medidas de seguridad para la  protección frente al correo electrónico no deseado, desde medidas de índole técnico (filtros) las más utilizadas, hasta aquellas organizativas y de carácter normativo.

• Las medidas de protección más utilizadas son las reactivas (una vez que éste se encuentra almacenado en el buzón del usuario), como la aplicación de filtros en el análisis del contenido de los correos electrónicos.

• El volumen de spam ha alcanzado volúmenes muy importantes por lo que se ha hecho indispensable combatir el problema con anterioridad al almacenamiento del spam en los buzones de los usuarios.

• Es habitual la utilización de mecanismos de protección basados en listas de filtrado de direcciones (blancas, negras o grises).

• Una particularidad interesante en cuanto a los servicios antispam empleados, en las organizaciones estudiadas, es la tendencia recurrir a los Servicios de entidades “externas” para su filtrado.

• El volumen de spam ha alcanzado volúmenes muy importantes por lo que se ha hecho indispensable combatir el problema con anterioridad al almacenamiento del spam en los buzones de los usuarios.

Si los datos que le hemos mostrado en esta breve entrada son de su interés, puede descargar la totalidad en forrmato PDF:

De forma genérica, el grueso del impacto económico, está relacionado con:  pérdidas de tiempo de proceso y humano, inversión en nuevas infraestructuras tecnológicas, técnicos cualificados, herramientas antispam, e incluso, las pérdidas económicas como consecuencia de la pérdida de información relevante para la actividad. Veámoslo:

• El tiempo que cada trabajador dedica a eliminar el spam de su buzón de correo está entre dos y cuatro minutos al día por término medio.

• Sólo por la pérdida de tiempo que supone la eliminación del spam, supusieron unas pérdidas para las empresas en el año 2006, por productividad como consecuencia del spam, de 165€ al año por cada uno de los trabajadores que utiliza habitualmente el correo electrónico en su puesto de trabajo.

• En el año 2007 el coste económico asociado a cada trabajador que utiliza diariamente el correo electrónico en su puesto de trabajo, se estima en 179€.

• La catalogación como spam de correos electrónicos legítimos, los llamados falsos positivos, tienen asociados importantes perjuicios para las organizaciones. En el mejor de los casos, es necesario que los usuarios y técnicos del sistema inviertan un tiempo significativo en la recuperación de esos correos legítimos, si no ha sido eliminado definitivamente. Las pérdidas monetarias que puede ocasionar la no recepción de esos correos no pueden ser calculadas.

• Los usuarios colocan el spam como la incidencia más frecuente, por encima de los códigos maliciosos (troyanos, programas espía, etcétera) y la falta de confidencialidad.

• Todo esto ha generado una desconfianza relativa entre los usuarios habituales del correo electrónico. El grado de desconfianza es mayor en el entorno laboral que en el doméstico, dada la importancia asociada al contenido de los mensajes en cada caso. Sin embargo, en ninguna de estas dos situaciones provoca la renuncia al uso del correo electrónico.

• En estudios realizados por el Swiss Federal Institute of Technology de Zurich del año 2005, se calculó una pérdida de productividad de las empresas suizas, debido al spam, de aproximadamente 2.220 millones de euros.

• Se pueden enumerar otras evaluaciones realizadas en empresas estadounidenses aun más preocupantes, dado el alto nivel de spam que soporta EE.UU. Ya en el año 2003 señalaban que el spam estaba provocando pérdidas anuales de 10.000 millones de dólares. Ese mismo año se publicaron estimaciones de pérdidas en el mundo cercanas a los 20.500 millones de dólares.

• Estudios más recientes estiman en la actualidad un coste medio de 712 dólares anuales por empleado en concepto de pérdida de productividad, lo que implica unas pérdidas anuales de 70.000 millones de dólares.

• Empieza a experimentarse un cambio en la conducta del usuario ante el correo electrónico como consecuencia del spam. Es cada vez más habitual que tome medidas de protección (servicios antispam).

• El fenómeno del spam ya no está solo encerrado en las barreras de Internet, sino que intenta llegar a otros servicios de comunicación. Un ejemplo es la telefonía móvil, que lo sufre actualmente por medio de los mensajes SMS y MMS, y la telefonía de voz sobre IP (VoIP).

Si los datos que le hemos mostrado en esta breve entrada son de su interés, puede descargar la totalidad en forrmato PDF:

El Informe “Las Tecnologías de la Información y las Comunicaciones en la empresa española” del Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI) de Red.es, entidad del Ministerio de Industria, Turismo y Comercio, se elabora con datos del INE sobre la encuesta TIC empresas, señala que la disponibilidad de banda ancha evoluciona positivamente en la microempresa española, aumentando 4 puntos porcentuales en el último año y cerca de 18 si se consideran los dos últimos años (2005-2007).

Los datos indican que en España la cuarta parte de las empresas accede a Internet a través de la telefonía móvil y que más de la mitad de las pymes y grandes empresas con Internet disponen de página web, porcentaje que se incrementa hasta el 68% en las medianas empresas y al 87% en las grandes. Por sectores de actividad, destacan en el uso de la web los sectores hotelero, agencias de viaje, informática y telecomunicaciones, así como el sector financiero con casi un 90%.

Si los datos que le hemos mostrado en esta breve entrada son de su interés, puede descargar la totalidad en forrmato PDF:

En este sentido, se aprecia una incoherencia entre un hipotético aumento del volumen de ataques relacionados con nuevos fraudes a través de Internet previsto por los expertos (como el phishing o el pharming) y la escasa detección de delitos de este tipo en la muestra de empresas consultadas en el Estudio (1,9%, tanto en el caso de fraudes relacionados con tarjetas de crédito como en el que afecta a cuentas bancarias online). Esta falta de conexión entre la teoría ideal y la realidad práctica trae consigo una falta de aplicación de medidas para la detección prematura de incidentes de este tipo y, en consecuencia, deja a los usuarios en un estado de vulnerabilidad permanente que sin duda podría incrementar en el futuro el número de sucesos.

En el otro lado de la balanza quedaría una amenaza clásica como el malware (virus, gusanos, troyanos y similares), de la que podría pensarse, a priori, que las empresas están razonablemente protegidas por el software disponible actualmente en el mercado (más del 90% declaran tener antivirus y cortafuegos instalados en sus sistemas). No obstante, como se confirmó en la primera oleada del Estudio sobre la Seguridad de la Información y e-Confianza de los hogares españoles de INTECO (2007), la actitud y los hábitos del usuario son fundamentales, pudiendo la protección alcanzada con las herramientas antivirus mermar su efectividad cuando no se toman otras medidas adecuadas, tales como actualización periódica del software antivirus o la negativa a ejecutar determinadas aplicaciones sospechosas, entre otros ejemplos. Posiblemente por esta falta de buenas prácticas, las empresas han puesto de manifiesto una alta frecuencia en la ocurrencia de amenazas percibidas relacionadas con el malware (77,9% en el caso de los troyanos 42,7% en el de los virus), aún siendo estas controlables si se cuenta con el software adecuado y se siguen una serie de hábitos en seguridad.

Desde el punto de vista de una PYME que cuenta al menos con ciertos servicios básicos de tecnologías de la información, como el acceso a Internet y el correo electrónico, una amenaza importante son los programas espía (spyware) y el correo electrónico no deseado (spam) que, aunque no provoquen una pérdida de información, pueden llegar a interrumpir la actividad normal de trabajo y ocasionar con ello pérdidas económicas, además de una evidente incomodidad a las empresas. Es destacable el hecho de que estas dos amenazas se han manifestado de manera elevada durante el último año en los sistemas informáticos de los consultados en el Estudio (19,5% y 58,7%, respectivamente).

Respecto a los intentos de intrusión puede afirmarse que, en líneas generales, la PYME no se considera, a priori, un objetivo de los ataques directos de hackers con fines maliciosos o delictivos (también conocidos como crackers). Los índices de estas intrusiones se sitúan, en todas sus tipologías, por debajo del 15%. Sin embargo, la falta de unas medidas de protección adecuadas puede convertir los sistemas de pequeñas empresas en un punto de partida de estos individuos hacia ataques a mayor escala. Este hecho podría solucionarse con el uso correcto de diferentes herramientas de seguridad y la aplicación de unos hábitos de navegación adecuados.

Se percibe cierta desconfianza hacia los sistemas de seguridad, siendo una de las principales razones a las que se identifica como responsable de la ocurrencia de incidentes la ineficacia de dichos sistemas de protección, (un 19,0% de los consultados) si bien la percepción es positiva para algunos aspectos de los productos como la calidad (un 86,7% de los consultados consideran que los productos y servicios de seguridad tienen una calidad buena). Esta situación se explica por, la falta de formación de la PYME en materia de seguridad, que hace que confíe plenamente en los sistemas de seguridad y relaje sus hábitos, y por los mejorables servicios de respuesta que ofrecen las empresas de servicios de seguridad a sus clientes, tal y como constatan expertos y empresas consultadas.

Las pérdidas económicas derivadas de una incidencia de seguridad son las consecuencias que más preocupan a las PYME española. Sin embargo, 9 de cada 10 (un 91,3%) de las empresas consultadas considera no haber sufrido una pérdida económica a causa de una incidencia de seguridad. La principal consecuencia a una incidencia de seguridad detectada por las empresas, es la pérdida de tiempo de trabajo (17,8%) que no es identificado por estas como una pérdida económica directa, lo que explica la escasa importancia que dan las PYME a la seguridad de la información.

Este hecho se ve agravado por la falta de concienciación de aquellos usuarios que no han previsto la pérdida de información mediante una adecuada política de copias de respaldo de la información sensible. Así, una de cada tres empresas no realiza copias de seguridad de sus datos a pesar de existir en el mercado sistemas que permiten automatizar esta tarea por unas cuotas asequibles.

Esta escasa percepción de ocurrencia de incidencias de seguridad se explica por:

• Desconocimiento de las consecuencias a las que puede abocar un incidente grave de seguridad.

• Desconocimiento de las incidencias e incapacidad para su detección temprana.

• Percepción de riesgo bajo en las incidencias de seguridad a causa de una falta de formación adecuada y de personal con conocimientos específicos.

• Incapacidad de la PYME de cuantificar el lucro cesante. Es decir, de asociar una pérdida de tiempo, conectividad y clientes, con una pérdida económica real.

Si los datos que le hemos mostrado en esta breve entrada son de su interés, puede descargar la totalidad en forrmato PDF:

Es especialmente relevante la falta de cumplimiento normativo en lo relativo a la LOPD. Si bien el grado declarado de conocimiento de la misma es bastante elevado (79,2%), son pocas las empresas que parecen cumplir con la misma. Esta afirmación se materializa en los siguientes hechos:

• Se desconocen las consecuencias del incumplimiento de la ley (el 56,2% de las empresas no conocen las sanciones previstas en la LOPD por su incumplimiento).

• Sólo el 17,7% de las empresas realizan las auditorías de seguridad requeridas por la ley.

• Sólo el 23,46% disponen de documento de seguridad.

Este hecho se agrava en la medida en que se perciben como poco necesarios, por parte de los encuestados, los servicios relacionados con el asesoramiento jurídico; sólo el 7,5% de las PYME los demandaría con frecuencia en caso de que fueran ofrecidos por una organización especializada.

Dada la oferta actual de los servicios de seguridad proporcionados por el sector privado, se perciben dos problemas comunes a la mayoría de las soluciones existentes, que justifican en mayor o menor medida la escasez en la demanda por parte de pequeñas empresas y microempresas:

• En primer lugar, el coste de ciertas soluciones resulta poco asequible para los recursos escasos de una pequeña empresa de menos de cincuenta empleados.

• El segundo problema alude a la ausencia de asesoramiento técnico a los consumidores, lo cual les dificulta la percepción de cuáles son los servicios o productos que más les convienen.

Entre los servicios considerados de mayor utilidad para la PYME destacan:

• Formación en políticas y hábitos de seguridad.
• Servicios de seguridad gestionada de los sistemas y de las herramientas de monitorización.
• Productos relacionados con la prevención de código malicioso (antivirus, antiespías, etc.) y de filtrado de aquellos contenidos en las comunicaciones que sean susceptibles de constituir un ataque (principalmente el cortafuegos y, en menor medida, los sistemas de detección de intrusos), aunque estos no ofrezcan una protección total por sí mismos.

Si los datos que le hemos mostrado en esta breve entrada son de su interés, puede descargar la totalidad en forrmato PDF:

La protección de datos de carácter personal es un derecho fundamental reconocido en la Constitución Española que atribuye al titular del derecho la facultad de controlar sus datos. Las pymes, como agentes que manejan y tratan datos de carácter personal, están obligadas a asegurar el derecho fundamental a la protección de los datos personales de que disponen.

En el contexto actual, caracterizado por una creciente sensibilidad de la población hacia la protección de los datos personales, un tejido empresarial español compuesto en más de un 99% por pequeñas empresas y un nuevo marco jurídico desde la entrada en vigor en abril de 2008 del reglamento de desarrollo de la LOPD, se hace necesario un estudio que ofrezca un diagnóstico de la situación actual de las pymes españolas en cuanto a conocimiento y adaptación de la normativa referente a la protección de datos de carácter personal. En el estudio se presta especial atención a las novedades previstas en el nuevo reglamento que afectan a ficheros no automatizados.

El informe ofrece una visión sobre el nivel de cumplimiento de la normativa por parte de las pymes, identificando los frenos con los que se encuentran las pequeñas empresas en su proceso de adaptación, así como los beneficios para el negocio. Por último, formula recomendaciones a la administración y al sector privado, con el objetivo de incrementar la tasa de cumplimiento y remover o minimizar las posibles barreras a las que se está enfrentando la pyme.

Si los datos que le hemos mostrado en esta breve entrada son de su interés, puede descargar la totalidad en forrmato PDF:

Asimismo, también se se analiza la responsabilidad de los proveedores de contenido y de acceso en el caso de una violación de dichos derechos, así como la identificación de los riesgos con los que se puede encontrar un usuario en lo relativo a su privacidad, honor y propia imagen en el empleo de las nuevas tecnologías.

Si los datos que le hemos mostrado en esta breve entrada son de su interés, puede descargar la totalidad en forrmato PDF:

• La mayoría del spam surge Estados Unidos, aunque resulta preocupante el incremento en Europa,a pesar de que las leyes diseñadas contra los spammers son más restrictivas que las estadounidenses.

• España se coloca en el undécimo lugar, en el ámbito mundial, en generación de spam desde el año 2006, por detrás de países como Estados Unidos, China, Corea del Sur y Francia. Mientras en los tres primeros vienen reduciéndose progresivamente los niveles de emisión, en España se ha doblado la cifra de producción de spam en menos de un año .

• El 84,6% de los mensajes de correo, de un total de 92 millones de correos analizados por INTECO para España entre el 1 de enero y el 11 de marzo de 2008 a través de 14 servidores para España, fueron identificados como spam.

• El volumen analizado, por la “red de sensores” de INTECO, indica claramente que entre Estados Unidos, China, Corea del Sur y Rusia envían más del 50% del total de mensajes no deseados que se recibe en España.

• No existe un patrón semanal definido en cuanto al porcentaje de spam recibido.

Si los datos que le hemos mostrado en esta breve entrada son de su interés, puede descargar la totalidad en forrmato PDF:

El Instituto Nacional de Tecnologías de la Comunicación (INTECO), a través de su Observatorio de la Seguridad de la Información, ha publicado el “Estudio sobre el Sector de la Seguridad TIC en España”, con el fin de aportar una visión detallada y actual acerca del mercado de la seguridad en nuestro país, haciéndose eco de sus necesidades y sus oportunidades.

Esta iniciativa, promovida por INTECO, ha supuesto la constitución de un grupo de expertos en seguridad con el propósito de contribuir a formular un diagnóstico sobre la situación actual del sector de la seguridad TIC en España.

En este grupo de expertos se encuentran representados los principales agentes del sector de la seguridad TIC en España: administración, industria, universidad y asociaciones del sector. El estudio realiza un diagnóstico del presente y futuro de la seguridad de la información y la e-confianza en España y aporta datos sobre las principales tendencias del sector, su mercado y sus modelos de negocio, de tal modo que, orienta sobre el papel que todos los agentes del sector deberían desempeñar para potenciar y desarrollar la seguridad y e-Confianza.

Si los datos que le hemos mostrado en esta breve entrada son de su interés, puede descargar la totalidad en forrmato PDF: