El Estudio elaborado por INTECO, relativo a las indicendias en materia de seguridad en las PYMES, refleja que no se debe descuidar la actitud de los propios empleados como fuente de problemas de seguridad para la empresa, ya sea por una falta de concienciación respecto a un uso responsable de los sistemas (política de contraseñas, bloqueo de ordenadores, etc.), o porque la propia falta de conocimiento hace que los trabajadores sean más vulnerables a ataques relacionados con la ingeniería social. Esta circunstancia está motivada principalmente porque no hay políticas específicas de seguridad en la PYME.

En este sentido, se aprecia una incoherencia entre un hipotético aumento del volumen de ataques relacionados con nuevos fraudes a través de Internet previsto por los expertos (como el phishing o el pharming) y la escasa detección de delitos de este tipo en la muestra de empresas consultadas en el Estudio (1,9%, tanto en el caso de fraudes relacionados con tarjetas de crédito como en el que afecta a cuentas bancarias online). Esta falta de conexión entre la teoría ideal y la realidad práctica trae consigo una falta de aplicación de medidas para la detección prematura de incidentes de este tipo y, en consecuencia, deja a los usuarios en un estado de vulnerabilidad permanente que sin duda podría incrementar en el futuro el número de sucesos.

En el otro lado de la balanza quedaría una amenaza clásica como el malware (virus, gusanos, troyanos y similares), de la que podría pensarse, a priori, que las empresas están razonablemente protegidas por el software disponible actualmente en el mercado (más del 90% declaran tener antivirus y cortafuegos instalados en sus sistemas). No obstante, como se confirmó en la primera oleada del Estudio sobre la Seguridad de la Información y e-Confianza de los hogares españoles de INTECO (2007), la actitud y los hábitos del usuario son fundamentales, pudiendo la protección alcanzada con las herramientas antivirus mermar su efectividad cuando no se toman otras medidas adecuadas, tales como actualización periódica del software antivirus o la negativa a ejecutar determinadas aplicaciones sospechosas, entre otros ejemplos. Posiblemente por esta falta de buenas prácticas, las empresas han puesto de manifiesto una alta frecuencia en la ocurrencia de amenazas percibidas relacionadas con el malware (77,9% en el caso de los troyanos 42,7% en el de los virus), aún siendo estas controlables si se cuenta con el software adecuado y se siguen una serie de hábitos en seguridad.

Desde el punto de vista de una PYME que cuenta al menos con ciertos servicios básicos de tecnologías de la información, como el acceso a Internet y el correo electrónico, una amenaza importante son los programas espía (spyware) y el correo electrónico no deseado (spam) que, aunque no provoquen una pérdida de información, pueden llegar a interrumpir la actividad normal de trabajo y ocasionar con ello pérdidas económicas, además de una evidente incomodidad a las empresas. Es destacable el hecho de que estas dos amenazas se han manifestado de manera elevada durante el último año en los sistemas informáticos de los consultados en el Estudio (19,5% y 58,7%, respectivamente).

Respecto a los intentos de intrusión puede afirmarse que, en líneas generales, la PYME no se considera, a priori, un objetivo de los ataques directos de hackers con fines maliciosos o delictivos (también conocidos como crackers). Los índices de estas intrusiones se sitúan, en todas sus tipologías, por debajo del 15%. Sin embargo, la falta de unas medidas de protección adecuadas puede convertir los sistemas de pequeñas empresas en un punto de partida de estos individuos hacia ataques a mayor escala. Este hecho podría solucionarse con el uso correcto de diferentes herramientas de seguridad y la aplicación de unos hábitos de navegación adecuados.

Se percibe cierta desconfianza hacia los sistemas de seguridad, siendo una de las principales razones a las que se identifica como responsable de la ocurrencia de incidentes la ineficacia de dichos sistemas de protección, (un 19,0% de los consultados) si bien la percepción es positiva para algunos aspectos de los productos como la calidad (un 86,7% de los consultados consideran que los productos y servicios de seguridad tienen una calidad buena). Esta situación se explica por, la falta de formación de la PYME en materia de seguridad, que hace que confíe plenamente en los sistemas de seguridad y relaje sus hábitos, y por los mejorables servicios de respuesta que ofrecen las empresas de servicios de seguridad a sus clientes, tal y como constatan expertos y empresas consultadas.

Las pérdidas económicas derivadas de una incidencia de seguridad son las consecuencias que más preocupan a las PYME española. Sin embargo, 9 de cada 10 (un 91,3%) de las empresas consultadas considera no haber sufrido una pérdida económica a causa de una incidencia de seguridad. La principal consecuencia a una incidencia de seguridad detectada por las empresas, es la pérdida de tiempo de trabajo (17,8%) que no es identificado por estas como una pérdida económica directa, lo que explica la escasa importancia que dan las PYME a la seguridad de la información.

Este hecho se ve agravado por la falta de concienciación de aquellos usuarios que no han previsto la pérdida de información mediante una adecuada política de copias de respaldo de la información sensible. Así, una de cada tres empresas no realiza copias de seguridad de sus datos a pesar de existir en el mercado sistemas que permiten automatizar esta tarea por unas cuotas asequibles.

Esta escasa percepción de ocurrencia de incidencias de seguridad se explica por:

• Desconocimiento de las consecuencias a las que puede abocar un incidente grave de seguridad.

• Desconocimiento de las incidencias e incapacidad para su detección temprana.

• Percepción de riesgo bajo en las incidencias de seguridad a causa de una falta de formación adecuada y de personal con conocimientos específicos.

• Incapacidad de la PYME de cuantificar el lucro cesante. Es decir, de asociar una pérdida de tiempo, conectividad y clientes, con una pérdida económica real.

Si los datos que le hemos mostrado en esta breve entrada son de su interés, puede descargar la totalidad en forrmato PDF:

Tags: seguridad pymes

Ésta entrada ha sido publicada el Jueves, Noviembre 6th, 2008 a las 6:37 pm y está archivada bajo Artículos. Puede seguir las respuestas a ésta entrada mediante el feed RSS 2.0. Los comentarios y los pings estan actualmente cerrados.