Estudio Sobre El Estado de La Pyme Espanola Ante Los Riesgos y La Implantacion de Planes de...

Estudio sobre el estado de la PYME espaola ante los riesgos y la implantacin de Planes de Continuidad de Negocio

Con el patrocinio de:

La PYME espaola ante los riesgos y la implantacin de Planes de Continuidad de Negocio Pgina 1 de 121 Observatorio de la Seguridad de la Informacin

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIN

Edicin: Noviembre 2010

El Estudio sobre el estado de la PYME espaola ante los riesgos y la implantacin de Planes de Continuidad de Negocio ha sido elaborado por el siguiente equipo de trabajo del Observatorio de la Seguridad de la Informacin de INTECO:

Pablo Prez San-Jos (direccin)

Javier Rey Perille (coordinacin)

Laura Garca Prez

Cristina Gutirrez Borge

INTECO quiere mencionar la participacin en la realizacin del trabajo de campo e investigacin de este estudio y agradecer el patrocinio de su edicin impresa de:


La presente publicacin pertenece al Instituto Nacional de Tecnologas de la Comunicacin (INTECO) y est bajo una licencia Reconocimiento-No comercial 2.5 Espaa de Creative Commons, y por ello esta permitido copiar, distribuir y comunicar pblicamente esta obra bajo las condiciones siguientes:

Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podr en ningn caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra.

Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales.

Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/by-nc/2.5/es/

El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). As, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado.

Para ampliar informacin sobre la construccin de documentos PDF accesibles puede consultar la gua disponible en la seccin Accesibilidad > Formacin > Manuales y Guas de la pgina http://www.inteco.es

NDICE

PUNTOS CLAVE.................................................................................................................6

I Anlisis de los niveles de seguridad en la PYME espaola ....................................6

II Cultura y conocimiento de la PYME espaola en materia de continuidad de negocio.............................................................................................................................7

III Anlisis de los niveles de adopcin de medidas o planes de continuidad de negocio en la PYME espaola .........................................................................................8

IV Anlisis comparativo de la gestin de la continuidad de negocio en la empresa espaola segn su tamao..............................................................................................9

V Mejores prcticas de continuidad de negocio........................................................10

1 INTRODUCCIN Y OBJETIVOS ...............................................................................11

1.1 Presentacin ......................................................................................................11

1.1.1 Instituto Nacional de Tecnologas de la Comunicacin .................................11

1.1.2 Observatorio de la Seguridad de la Informacin............................................12

1.2 Estudio sobre el nivel de preparacin de las PYME ante los riesgos y adopcin de Planes de Continuidad de Negocio...........................................................................13

1.2.1 Objetivo general .............................................................................................14

1.2.2 Objetivos especficos .....................................................................................14

2 DISEO METODOLGICO.......................................................................................17

2.1 Caracterizacin del universo objeto del estudio ................................................18

2.2 Fases del proyecto de investigacin..................................................................21

2.2.1 Fase 1: Recopilacin y estudio de informes ..................................................21

2.2.2 Fase 2: Encuestas a empresas y a proveedores o expertos en continuidad de negocio .......................................................................................................................23

2.2.3 Fase 3: Elaboracin del informe de conclusiones finales del proyecto..........26


2.2.4 Fase 4: Elaboracin de una gua prctica dirigida a las PYME con pautas y consejos acerca del diseo y puesta en marcha de un plan de continuidad de negocio .......................................................................................................................28

3 ANLISIS DEL NIVEL DE SEGURIDAD DE LA PYME ESPAOLA DESDE EL PUNTO DE VISTA DE LA CONTINUIDAD DE NEGOCIO ...............................................29

3.1 Percepcin de las incidencias de seguridad por parte de las empresas ...........31

3.2 Tipologa de impactos generados por los incidentes de seguridad ...................34

3.3 Respuesta a los incidentes de seguridad por parte de las empresas................39

3.4 Madurez de los procesos de gestin de riesgos que impactan en la continuidad del negocio.....................................................................................................................42

3.5 Requerimiento de continuidad en los servicios facilitados por terceros o forma de gestionar la interdependencia ...................................................................................48

4 CULTURA Y CONOCIMIENTO DE LA PYME ESPAOLA EN MATERIA DE CONTINUIDAD DE NEGOCIO..........................................................................................51

5 ANLISIS DE LOS NIVELES DE ADOPCIN DE MEDIDAS O PLANES DE CONTINUIDAD DE NEGOCIO EN LA PYME ESPAOLA...............................................57

5.1 Empresas que han definido o tienen previsto definir algn tipo de estrategia, plan o procedimiento que les permita recuperar su actividad ante un desastre ............58

5.2 La importancia de disponer de medidas y la complejidad de gestionar los gastos necesarios en materia de continuidad de negocio.........................................................66

5.3 Necesidad de asesoramiento externo para la adopcin de la estrategia de continuidad de negocio ..................................................................................................71

6 ANLISIS COMPARATIVO DE LA SITUACIN DE LA CONTINUIDAD EN LA EMPRESA ESPAOLA SEGN SU TAMAO.................................................................75

7 MEJORES PRCTICAS DE CONTINUIDAD DE NEGOCIO.....................................84

7.1 Motivos que estimulan a la aplicacin de buenas prcticas ..............................84

7.2 Buenas prcticas a adoptar ...............................................................................85

7.2.1 Desde un punto de vista estratgico..............................................................85

7.2.2 Desde un punto de vista tctico.....................................................................86



7.2.3 Desde un punto de vista tcnico/operativo ....................................................89

7.3 Beneficios asociados a la adopcin de buenas prcticas..................................95

8 CONCLUSIONES.......................................................................................................97

8.1 Anlisis DAFO..................................................................................................101

8.1.1 Debilidades ..................................................................................................101

8.1.2 Amenazas ....................................................................................................102

8.1.3 Fortalezas ....................................................................................................103

8.1.4 Oportunidades..............................................................................................104

9 RECOMENDACIONES ............................................................................................106

9.1 Recomendaciones dirigidas a las pequeas y microempresas .......................106

9.2 Recomendaciones dirigidas a la industria .......................................................111

9.3 Recomendaciones dirigidas a las Administraciones Pblicas .........................112

NDICE DE GRFICOS...................................................................................................116

NDICE DE TABLAS........................................................................................................120


PUNTOS CLAVE

INTECO, en su afn por desarrollar la Sociedad del Conocimiento a travs de proyectos en el marco de la innovacin y la tecnologa, publica el Estudio sobre el nivel de preparacin de las PYME ante los riesgos y adopcin de Planes de Continuidad de Negocio.

Este estudio pone de manifiesto un concepto, el de Continuidad de Negocio, que la evolucin de los negocios y los acontecimientos nacionales e internacionales hacen que paulatinamente est ms presente en la gestin estratgica de las organizaciones, hasta el punto de convertirse en una necesidad o, al menos, un aspecto a considerar.

Si bien existen mltiples definiciones acerca de la Gestin de la Continuidad de Negocio, todas ellas deben referirse a un proceso orientado a identificar posibles riesgos que amenazan a una organizacin y desarrollar de forma preventiva una capacidad de recuperacin ante situaciones que supongan interrupciones totales o parciales de sus operaciones de negocio.

La metodologa utilizada para la realizacin del estudio y la consecuente publicacin del presente informe se ha basado en la realizacin de encuestas presenciales, telefnicas y a distancia sobre los siguientes colectivos: empresas espaolas con menos de 50 empleados y con al menos un ordenador conectado a Internet, as como proveedores o expertos en la entrega de servicios orientados a garantizar la continuidad de las operaciones de negocio. Esta dualidad de colectivos participantes en el estudio permite, junto al anlisis de otros informes y reportes de entidades tanto pblicas como privadas, conocer los niveles de preparacin que tienen las empresas espaolas para afrontar una situacin de crisis o desastre que pueda provocar una interrupcin de sus actividades de negocio.

Se muestra a continuacin algunos puntos clave obtenidos tras el estudio:

I Anlisis de los niveles de seguridad en la PYME espaola

Tal y como se indica en el informe1 publicado por INTECO bajo el ttulo Estudio sobre la seguridad y la e-confianza de las pequeas y microempresas espaolas, el 34,3% de las PYME espaolas muestran inters en seguir planes o estrategias de seguridad de la informacin. E incluso puede parecer a primera vista que existe un nivel de proteccin adecuado. Sin embargo, y tomando en perspectiva los resultados del presente estudio, las PYME reconocen no conocer los posibles riesgos que inherentes o no a su actividad

1 INTECO (2009): Estudio sobre la seguridad y la e-confianza de las pequeas y microempresas espaolas. Disponible en: http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Estudio_seguridad_microempresas


cotidiana pueden llegar a sufrir optando en dichos casos por soluciones que cubren solo parte de la problemtica.

En esta situacin se encuentra o pueden encontrar segn los datos obtenidos en la fase de trabajo de campo, un 35,2% de las PYME que afirman haber sufrido algn incidente de seguridad en los ltimos 3 meses.

Por otro lado, el estudio muestra que an adoptando el 71,2% de las empresas procesos

de gestin de riesgos (bien sea espordica o peridicamente), no son realmente

conscientes del alcance completo de la gestin de la continuidad, hecho que deriva en

que el enfoque de las medidas que implementan sea limitado y no siempre el correcto.

Segn reconocen las propias PYME, la mayor parte de sus inversiones son destinadas a

disponer de cortafuegos, antivirus, antispam y copias de seguridad; medidas que slo

mitigan una pequea parte de los riesgos, dejando de lado otros aspectos como pueden

ser, por ejemplo, la seguridad fsica o la continuidad de servicios prestados por

proveedores.

Otros factores observados en el estudio y que denotan de nuevo el cierto nivel de inmadurez en materia de continuidad de las organizaciones son:

Bajo nivel de implementacin de medidas relacionadas con la adopcin de procesos de gestin de riesgos tras un incidente (el 35,4% de las entidades han adoptado este tipo de procesos).

Ausencia de requerimientos de continuidad de negocio exigidos a proveedores que proporcionan servicios crticos para su negocio (el 18,7% de las entidades exigen a sus proveedores este tipo de medidas).

Desconocimiento sobre las prdidas econmicas derivadas de los incidentes de seguridad sufridos.

Carencia de criterios uniformes para la valoracin correcta del impacto y la probabilidad de ocurrencia de cada una de las amenazas que pueden afectar a la continuidad del negocio.

II Cultura y conocimiento de la PYME espaola en materia de continuidad de negocio

A la hora de valorar los resultados obtenidos en cuanto al nivel de conocimiento de cultura de continuidad de negocio, se hace patente, en mayor medida, las dificultades afrontadas por las organizaciones para discernir claramente conceptos clave en esta materia:


Pese a que un 33% de las PYME afirma estar familiarizada con los conceptos de continuidad de negocio, de ellas el 21,7% conoce realmente la diferencia entre los trminos de Plan de Continuidad de Negocio y Plan de Recuperacin ante Desastres.

El mayor grado de conocimiento lo muestran empresas pertenecientes a los sectores de actividades profesionales, cientficas y tcnicas (31,8%) y las dedicadas a la actividad tecnolgica (18,2%) mientras que los sectores de educacin, actividades sanitarias o servicios sociales son los que muestra mayores carencias en este sentido.

No se aprecian apenas diferencias cuantitativas entre los niveles de conocimiento de las PYME, cuando el anlisis se segrega por tamao de las entidades.

III Anlisis de los niveles de adopcin de medidas o planes de continuidad de negocio en la PYME espaola

El estudio sobre incidencias y necesidades de seguridad en las pequeas y medianas empresas, publicado por INTECO en el ao 2008, concluy la existencia de atraso tecnolgico en las pequeas y medianas empresas espaolas con respecto a las de mayor tamao, as como en relacin a las empresas del mismo tamao en los principales pases europeos y en EE.UU.. Dicha afirmacin es una realidad ms patente an en el mbito de la adopcin de medidas preventivas y planes destinados a garantizar la continuidad de las actividades de negocio en situaciones de contingencia. As, varios informes2 de mbito nacional e internacional establecen de media que 8 de cada 10 empresas grandes encuestadas han adoptado un plan de continuidad de negocio. Incluso es importante destacar que la probabilidad de dedicar mayores recursos (tecnolgicos, presupuestarios y humanos) es mayor cuanto ms grande es el tamao de la organizacin.

En el presente estudio, se concluye que el 38,4 % de las PYME afirma contar con algn tipo de estrategia enfocada a garantizar la continuidad de su negocio en caso de una incidencia o desastre. Dentro de este colectivo, se incluyen tanto aquellas entidades que han definido estrategias para la continuidad de sus operaciones (16,7%) como aquellas que cuentan con procedimientos que garanticen exclusivamente su recuperacin a nivel tecnolgico (21,7%).

Estos datos que diferencian la situacin entre pequea y gran empresa en aspectos de continuidad de negocio difieren con la percepcin de los encuestados, ya que el 85,3% de los mismos afirma que el hecho de garantizar la continuidad de las operaciones es

2 Business Continuity Institute (2005): Business Continuity Research. Disponible en: http://www.thebci.org/BCIResearchReport.pdf

AT&T (2008): Business Continuity Study Results Disponible en: http://www.att.com/Common/merger/files/pdf/business_continuity_08/Business_Continuity_Study_Results.pdf


igual de crtico tanto en pequeas como en grandes empresas, por lo que, con independencia del tamao, toda organizacin debe adoptar tales estrategias.

Los motivos por los cuales, pese a la afirmacin anterior, las empresas carecen de un plan formal, son variados y vienen derivados, en gran medida, por dificultades o barreras a la hora de afrontar el desarrollo e implantacin de la estrategia. La reducida probabilidad con la que contemplan la ocurrencia de crisis o desastres o la falta de tiempo, recursos y/o presupuesto son algunas de las barreras denunciadas por las PYME en este sentido. Del mismo modo, el desconocimiento y la falta de experiencia en la materia provocan que un gran porcentaje de las entidades que adoptan medidas de continuidad decidan acudir al soporte y apoyo externo en alguna de las fases de desarrollo del plan (42,4%).

Por otro lado, igual de importante es conocer los estmulos que han potenciado una implicacin de las organizaciones en materia de continuidad. Aunque garantizar la disponibilidad de las operaciones de negocio figura como uno de los principales objetivos perseguidos con el desarrollo de planes de continuidad, paulatinamente se aprecia un mayor peso de argumentos estratgicos como Mejorar la reputacin e imagen pblica de la empresa o Adquirir ventajas competitivas.

Para conseguir tales fines, es fundamental que las PYME afronten ciertas fases del desarrollo del plan con la actitud correcta. Establecer el alcance de la estrategia desde un principio, asignar los recursos necesarios que permitan su puesta en marcha o evaluar peridicamente la eficacia y rendimiento del plan son acciones crticas, cuya mala o buena planificacin repercutir en el xito/fracaso del plan definido.

Con relacin a esto ltimo, es importante transmitir que la gestin de continuidad no es un proceso que pueda ser abordado en un momento puntual y cerrado en el tiempo mediante el desarrollo de un plan, sino que requiere de un cierto mantenimiento. En base a los datos recogidos, se desprende cul es la estrategia actual de las PYME y la prevista para un futuro inmediato: Las inversiones en la gestin de la continuidad tienden a mantenerse en el 49,6% de los casos, siendo destinadas fundamentalmente a la contratacin de seguros de cobertura, contratacin de servicios externos o acuerdos con terceros. Derivado de lo comentado, de cara a los prximos meses, el 87% de las entidades declara no tener previsto abordar estrategia de continuidad alguna.

IV Anlisis comparativo de la gestin de la continuidad de negocio en la empresa espaola segn su tamao

Frente a la situacin de la PYME, las grandes empresas espaolas disponen de ms medios, recursos y sobre todo mayor nivel de concienciacin para terminar imponindose la idea de que adoptar planes de continuidad de negocio es crtico para una organizacin.


De hecho, el 81,1% de las grandes empresas han adoptado planes de continuidad de negocio (frente al 38,4% de las PYME que han desarrollado alguna iniciativa en este sentido). Adems, la mayora de las grandes empresas disponen de ms personal para llevar a cabo este tipo de gestin. Personal que, en la mayora de las ocasiones, dedica la totalidad de su jornada laboral.

La situacin de la PYME es drsticamente distinta, ya que debe centrarse en la produccin del da a da y, simplemente la tarea de mantener a flote su actividad de negocio y sobrevivir en el mundo empresarial, se convierte en su principal objetivo. Esta prioridad en los objetivos provoca que otros aspectos importantes como la gestin de la continuidad queden en el olvido o, al menos, en un segundo plano.

V Mejores prcticas de continuidad de negocio

Una parte del presente estudio se ha querido enfocar hacia aquellas PYME que actualmente cuentan con algn tipo de estrategia o plan de continuidad exitosamente definido. A las 29 organizaciones elegidas como base muestral en este apartado, se les ha consultado sobre los factores clave o buenas prcticas que han debido desarrollar para lograr la implantacin eficaz de sus medidas y, adicionalmente, los beneficios asociados a su implantacin.

En la lnea de lo estipulado en los principales estndares en la materia, las PYME coinciden en que las siguientes son buenas prcticas de actuacin que facilitarn el desarrollo de las medidas de continuidad tanto desde un punto de vista estratgico, como tctico u operativo:

Contar con el apoyo y compromiso de la direccin.

Analizar a priori los riesgos a los que est sometida la entidad.

Definir los sistemas y aplicaciones crticos dentro del alcance.

Recurrir a asesoramiento externo.

Adquirir el Software y Hardware adecuados.

Evaluar peridicamente la eficacia y el rendimiento de las medidas implementadas.

Segn declaraciones de las propias organizaciones, la adopcin de las buenas prcticas comentadas facilita implantar eficazmente una poltica de continuidad y, consecuentemente, obtener beneficios tales como reducir los tiempos de respuesta ante situaciones de crisis o controlar los posibles impactos financieros y operativos.

1 INTRODUCCIN Y OBJETIVOS

1.1 Presentacin

1.1.1 Instituto Nacional de Tecnologas de la Comunicacin

El Instituto Nacional de Tecnologas de la Comunicacin, S.A. (INTECO), es una sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a travs de la Secretara de Estado de Telecomunicaciones y para la Sociedad de la Informacin.

INTECO tiene la vocacin de ser un centro de desarrollo de carcter innovador y de inters pblico a nivel nacional que constituye una iniciativa enriquecedora y difusora de las nuevas tecnologas en Espaa en clara sintona con Europa.

Su objetivo fundamental es servir como instrumento para desarrollar la Sociedad de la Informacin, con actividades propias en el mbito de la innovacin y el desarrollo de proyectos asociados a las Tecnologas de la Informacin y la Comunicacin (TIC), basndose en tres pilares fundamentales: la investigacin aplicada, la prestacin de servicios y la formacin.

La misin de INTECO es aportar valor e innovacin a los ciudadanos, a las PYME, a las Administraciones Pblicas y al sector de las tecnologas de la informacin, a travs del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Informacin en nuestro pas, promoviendo adems una lnea de participacin internacional.

Para ello, INTECO desarrolla actuaciones en las siguientes lneas:

Seguridad Tecnolgica: INTECO est comprometido con la promocin de servicios de la Sociedad de la Informacin cada vez ms seguros, que protejan los datos personales de los interesados, su intimidad, la integridad de su informacin y eviten ataques que pongan en riesgo los servicios prestados. Y por supuesto que garanticen un cumplimiento estricto de la normativa legal en materia de TIC. Para ello coordina distintas iniciativas pblicas en torno a la seguridad de las TIC, que se materializan en la prestacin de servicios por parte del Observatorio de la Seguridad de la Informacin, el Centro Demostrador de Tecnologas de Seguridad, el Centro de Respuesta a Incidentes de Seguridad en Tecnologas de la Informacin (INTECO-CERT) y la Oficina de Seguridad del Internauta (OSI), de los que se benefician ciudadanos, PYME, Administraciones Pblicas y el sector tecnolgico.

Accesibilidad: INTECO promueve servicios de la Sociedad de la Informacin ms accesibles, que supriman las barreras de exclusin, cualquiera que sea la dificultad o carencia tcnica, formativa, etc., incluso discapacidad, que tengan sus usuarios. Y que faciliten la integracin progresiva de todos los colectivos de usuarios, de modo


que todos ellos puedan beneficiarse de las oportunidades que ofrece la Sociedad de la Informacin. Asimismo desarrolla proyectos en el mbito de la accesibilidad orientados a garantizar el derecho de ciudadanos y empresas a relacionarse electrnicamente con las AA.PP.

Calidad TIC: INTECO promueve unos servicios de la Sociedad de la Informacin que cada vez sean de mayor calidad, que garanticen unos adecuados niveles de servicio, lo cual se traduce en una mayor robustez de aplicaciones y sistemas, un compromiso en la disponibilidad y los tiempos de respuesta, un adecuado soporte para los usuarios, una informacin precisa y clara sobre la evolucin de las funcionalidades de los servicios, y en resumen, servicios cada vez mejores. En esta lnea impulsa la competitividad de la industria del Software a travs de la promocin de la mejora de la calidad y la certificacin de las empresas y profesionales de la ingeniera del software.

Formacin: la formacin es un factor determinante para la atraccin de talento y para la mejora de la competitividad de las empresas. Por ello, INTECO impulsa la formacin de universitarios y profesionales en las tecnologas ms demandadas por la industria.

1.1.2 Observatorio de la Seguridad de la Informacin

El Observatorio de la Seguridad de la Informacin se inserta dentro de la lnea estratgica de actuacin de INTECO en materia de Seguridad Tecnolgica.

El Observatorio nace con el objetivo de describir de manera detallada y sistemtica el nivel de seguridad y confianza en la Sociedad de la Informacin y de generar conocimiento especializado en la materia. De este modo, se encuentra al servicio de los ciudadanos, las empresas y las administraciones pblicas espaolas para describir, analizar, asesorar y difundir la cultura de la seguridad de la informacin y la e-confianza.

El Observatorio ha diseado un Plan de Actividades y Estudios con el objeto de producir conocimiento especializado y til en materia de seguridad por parte de INTECO, as como de elaborar recomendaciones y propuestas que definan tendencias vlidas para la toma de decisiones futuras por parte de los poderes pblicos.

Dentro de este plan de accin se realizan labores de investigacin, anlisis, estudio, asesoramiento y divulgacin que atendern, entre otras, a las siguientes estrategias:

Elaboracin de estudios e informes propios en materia de seguridad de las Tecnologas de la Informacin y la Comunicacin, con especial nfasis en la Seguridad en Internet.

Seguimiento de los principales indicadores y polticas pblicas relacionadas con la seguridad de la informacin y la confianza en el mbito nacional e internacional.


Generacin de una base de datos que permita el anlisis y evaluacin de la seguridad y la confianza con una perspectiva temporal.

Impulso de proyectos de investigacin en materia de seguridad TIC.

Difusin de estudios e informes publicados por otras entidades y organismos nacionales e internacionales, as como de informacin sobre la actualidad nacional y europea en materia de la seguridad y confianza en la Sociedad de la Informacin.

Asesoramiento a las Administraciones Pblicas en materia de seguridad de la informacin y confianza, as como el apoyo a la elaboracin, seguimiento y evaluacin de polticas pblicas en este mbito.

1.2 Estudio sobre el nivel de preparacin de las PYME ante los riesgos y adopcin de Planes de Continuidad de Negocio

Existen determinados aspectos que condicionan la realidad empresarial en Espaa. Los ms importantes bajo la ptica del presente estudio son la estructura y tipologa de las empresas respecto al nmero de trabajadores, el incremento en el uso de tecnologas y la existencia de amenazas que no discrimina entre grandes compaas o pequeas y medianas empresas.

En relacin con el primero de ellos, la estructura, se demuestra en el hecho de que cada vez ms el motor principal de la economa espaola y de la generacin de empleo se centre en la PYME. A fecha de enero de 2009 y segn datos del DIRCE el tejido empresarial espaol est constituido en ms de un 99% por pequeas empresas.

Respecto al uso de las tecnologas, su empleo se ha posicionado como elemento dinamizador del crecimiento econmico basado en el aumento de la competitividad y la productividad, con numerosas iniciativas procedentes del sector pblico enfocadas a facilitar el acceso a las TIC por parte de los actores principales de la Sociedad de la Informacin.

En ltimo extremo, las amenazas o contingencias pueden afectar a todo tipo de empresas, con independencia de su tamao o condicin. La variabilidad de las mismas hace que su origen pueda estar motivado por los riesgos devenidos de su actividad, por catstrofes (por ejemplo, atentados terroristas, tornados, terremotos, inundaciones, etc.), o incluso por situaciones ms cotidianas que tengan su origen en los componentes de instalacin (cortes de suministro elctrico), en los equipos informticos (malware, problemas con el hardware o el software) o en los que tienen un componente humano (sabotajes intencionados, phishing, empleados y colaboradores descontentos, distracciones y/o errores).


Todos estos condicionantes suponen que en la actualidad las empresas y por ende las PYME se enfrenten a mltiples desafos que pueden llegar a suponer un reto en materia de gestin de la seguridad de la informacin y en las operaciones o actividades que llevan a cabo de forma continuada y sin aparentes interrupciones. Uno de ellos consiste en disear y/o elaborar planes asociados a las tecnologas y a los procesos necesarios para recuperar, a la mayor brevedad posible, las operaciones crticas para garantizar la continuidad del negocio en el caso de que se produzca un desastre.

Son mltiples los motivos que conducen a las empresas a considerar la gestin de los citados planes: requerimientos regulatorios o de los propios socios y/o clientes, estrategias para aumentar la competitividad y la rentabilidad, la dependencia de las actividades de negocio en las TIC, etc.

El presente estudio surge derivado de la necesidad de conocer el nivel de preparacin actual de la PYME espaola para afrontar situaciones o incidencias de seguridad que impacten en la disponibilidad de sus actividades de negocio.

1.2.1 Objetivo general

El objetivo general de este estudio es el anlisis, basado en las percepciones de los empresarios, de los niveles de preparacin, los patrones de comportamiento, las necesidades reales y las principales barreras que dificultan la adopcin de medidas, planes o estrategias que permiten a la PYME espaola estar mejor preparada para garantizar la continuidad de sus operaciones de negocio.

Todo ello, con el fin de proponer recomendaciones de actuacin a las entidades, a la industria de seguridad de la informacin y a las Administraciones Pblicas para impulsar el conocimiento y el seguimiento de los principales indicadores y polticas pblicas relacionadas con la Sociedad de la Informacin en materia de seguridad de la informacin.

1.2.2 Objetivos especficos

El anterior objetivo se desglosa operativamente en los siguientes objetivos especficos que permiten, adems, orientar la estructura temtica del presente informe.

Anlisis de la situacin tecnolgica de seguridad de la PYME espaola desde el punto de vista de la continuidad de negocio

Identificar la inversin que las empresas espaolas estn llevando a cabo en seguridad de la informacin.

Conocer la tendencia y el tipo de incidentes de seguridad que han provocado paralizaciones totales o parciales de las actividades, as como las respuestas


planteadas ante dichos incidentes que sean constitutivas de llegar a ser implantadas a modo de respuesta.

Comprobar si las PYME llevan a cabo la evaluacin, cualitativa o cuantitativa, de los impactos derivados de los incidentes de seguridad que hayan padecido hasta la fecha.

Analizar la oferta disponible y el estado de implantacin de los productos de seguridad existentes en las empresas en materia de continuidad de negocio, y contrastar los resultados con el nivel de instalacin de los mismos en el mbito internacional.

Establecer qu acciones son abordadas por las pequeas y microempresas espaolas para conocer y hacer frente a los riesgos que pueden llegar a paralizar sus procesos de negocio.

Determinar el tiempo mximo de interrupcin que las actividades de las empresas, con las caractersticas de este estudio, pueden estar paralizadas sin que por ello se produzcan prdidas graves sobre sus finanzas, operaciones o sobre su imagen.

Corroborar si las organizaciones espaolas establecen requerimientos de continuidad de negocio sobre aquellos proveedores de servicios que de alguna manera intervienen en sus actividades de negocio.

Cultura y conocimiento de la PYME espaola en materia de continuidad de negocio

Valorar someramente los niveles de conocimiento y formacin que las pequeas y microempresas espaolas poseen en relacin con los planes de continuidad de negocio y con los planes de recuperacin ante desastres.

Analizar el grado de concienciacin sobre las ventajas derivadas de la implantacin de medidas reactivas y/o preventivas para mitigar los efectos de posibles contingencias.

Anlisis de los niveles de adopcin de medidas o planes de continuidad de negocio en la PYME espaola

Analizar e identificar los niveles de implantacin de medidas de continuidad de negocio en las empresas espaolas y si ese comportamiento es diferente en funcin de su tamao.

Comparar los citados niveles con los reportados a nivel internacional, mediante la consulta y el anlisis de las principales conclusiones expuestas en diferentes informes publicados.


Para aquellas organizaciones que s se han iniciado en la gestin de la continuidad de sus operaciones, conocer los principales obstculos afrontados, las razones que han motivado tal implantacin, los beneficios que les ha supuesto, los recursos empleados e incluso si han tenido la necesidad de recurrir a algn tipo de asesoramiento externo.

Evaluar cualitativamente las tendencias de las empresas en relacin con los gastos destinados a la continuidad de sus operaciones.

Conocer las principales razones por las que las PYME no tiene previsto invertir en ninguna medida destinada a facilitar la recuperacin en el menor tiempo posible de las actividades interrumpidas motivadas por el hecho de haber sufrido una contingencia grave.

Contrastar con las organizaciones las medidas impulsoras ms adecuadas para difundir la importancia de estar preparados ante cualquier tipo de amenaza.

Anlisis comparativo de la situacin de la continuidad en la empresa espaola segn su tamao

Comparar los resultados obtenidos y la informacin elaborada a partir del estudio realizado en la PYME con las prcticas de continuidad de negocio en las grandes empresas espaolas.

Identificar y valorar las principales mtricas de gestin de continuidad de negocio con el fin de realizar un anlisis comparativo de las mismas entre la PYME y la gran empresa.

Mejores prcticas de continuidad de negocio

Conocer las buenas prcticas en materia de continuidad de negocio llevadas a cabo por aquellas entidades que han implementado algn tipo de estrategia o procedimiento que garantice la continuidad de su negocio, independientemente de su tamao y del sector de actividad al que pertenecen.

Analizar con carcter general y desde un punto de vista estratgico, tctico y tcnico/operativo los factores clave que han facilitado a las entidades la implantacin de estas medidas.

Identificar los principales obstculos y beneficios que ha supuesto la implantacin de las medidas de continuidad para el colectivo de 29 PYME consideradas como casos de implantacin exitosa.


2 DISEO METODOLGICO

En la definicin de la metodologa del estudio, se ha considerado una frmula que permite obtener informacin relativa sobre el grado de percepcin, concienciacin e implementacin efectiva de medidas que faciliten la continuidad de las operaciones en caso de contingencia en las PYME espaolas, desde una triple perspectiva:

Caracterizacin de las empresas desde el punto de vista de la continuidad de negocio. 400 pequeas y microempresas de todos los sectores de actividad conforme al CNAE-2009 han respondido a la encuesta, de acuerdo con los criterios del muestreo aleatorio estratificado en las que p=q=0,5 y para un nivel de confianza del 95,5%, el error muestral para n=400 es de 4,99%.

En ocasiones, la base muestral a partir de la cual se desarrollan los diferentes grficos expuestos a lo largo del informe del estudio es superior o inferior a 400. Esto es debido a que, por un lado, con el objetivo de aumentar dicha base para que los resultados sean ms representativos y objetivos, se incorporaron los resultados del colectivo que se explica a continuacin (PYME con experiencias exitosas) en aquellas cuestiones y materias que coinciden con las planteadas a la muestra bsica de 400 pequeas y microempresas. Por otro lado, el uso de bases muestrales inferiores a 400 se debe al planteamiento de preguntas filtro en las que se eliminan aquellas PYME que no les afectan determinadas cuestiones. De todos modos, para mayor aclaracin, en la base de cada grfico se detalla la base muestral empleada.

Identificacin de las PYME con experiencias exitosas mediante la aplicacin de buenas prcticas en el rea de continuidad de negocio. En total 29 organizaciones pueden constituirse como casos de xito representativos de diferentes realidades en cuanto a la adopcin o no de planes de continuidad de negocio en lo referente a anlisis de riesgos, planes de recuperacin a nivel tecnolgico, implantacin de medidas de seguridad preventivas, etc.

Percepcin por parte de los proveedores de servicios o soluciones de continuidad de negocio. En relacin con el conocimiento que estos agentes tienen de la oferta y demanda de servicios de continuidad (para las PYME y por parte de las mismas), los riesgos y amenazas a las que se enfrentan y que pueden en ltimo extremo provocar la interrupcin de sus procesos y finalmente el nivel de preparacin para afrontar situaciones de crisis o desastre.

La interaccin con estos colectivos, unido al proceso previo de estudio de diferentes publicaciones e informes relacionados con la continuidad de negocio (a nivel nacional e internacional), permite no slo contrastar la situacin de la muestra objeto del estudio (la propia empresa espaola), sino tambin el poder identificar posibles recomendaciones



dirigidas tanto a las empresas (en relacin a los servicios que demanda y necesita), como a los proveedores y a las Administraciones Pblicas.

2.1 Caracterizacin del universo objeto del estudio

El universo objeto del estudio est constituido por toda empresa espaola, con al menos un ordenador conectado a Internet, estratificada en base al nmero de empleados y al sector de actividad. Respecto al primero de ellos, se contemplan las organizaciones de hasta 50 empleados, diferenciando entre las microempresas (menos de 10 empleados y sin asalariados) y las pequeas empresas (10-49 asalariados). Dado el escaso peso numrico que tienen las empresas de ms de 50 empleados dentro del tejido empresarial se han excluido del presente estudio.

Para la delimitacin del sector de actividad se ha contemplado la clasificacin nacional de actividades empresarial (CNAE) en su versin de 2009 y el nmero de empresas que con las caractersticas de este estudio existen en Espaa segn el Instituto Nacional de Estadstica (INE) en 20093.

La importancia de centrar el anlisis sobre ambos valores, es decir el tamao y el componente sectorial, se justifica adems por el uso que este tipo de empresas hacen de las TIC.

Las diversas fuentes consultadas confirman que existen altos grados de penetracin de las tecnologas de la informacin en las empresas. As por ejemplo, en el informe elaborado conjuntamente por AETIC (Asociacin de Empresas de Electrnica, Tecnologas de la Informacin y Telecomunicaciones de Espaa), Red.es y Everis titulado Las tecnologas de la Informacin y las Comunicaciones en la empresa espaola 20094, muestra que, en ese ao, el porcentaje de empresas que disponan de ordenador se situaba en el 90,6%.

En el presente estudio la presencia del ordenador en las empresas participantes se sita en el 90,3% en el caso de los de sobremesa y en el 65,0% en los porttiles. Ambas cifras evidencian altos grados de penetracin de los equipos, si bien como seala el informe citado en el prrafo anterior, se detecta un estancamiento en la penetracin debido al alto nivel alcanzado en el uso del ordenador en los ltimos aos.

Otro sntoma del nivel de penetracin es la interconexin de los equipos dentro de la misma oficina (ver Grfico 1). El 62,9% de las pequeas y microempresas participantes

3 Actualmente segn datos del Instituto Nacional de Estadstica publicados el 10 de agosto de 2009 que se recogen en el Directorio Central de Empresas (DIRCE) el nmero de empresas es 3.327.708 4 AETIC, Red.es y Everis (2009): Las tecnologas de la Informacin y las Comunicaciones en la empresa espaola. En el estudio participaron 4.922 sociedades inscritas en el Registro Mercantil, con al menos un empleado. Disponible en: http://www.aetic.es/CLI_AETIC/ftpportalweb/documentos/Las%20Tecnolog%C3%ADas%20de%20la%20Informaci%C3%B3n%20y%20las%20Comunicaciones%20en%20la%20empresa%20espa%C3%B1ola%202009.pdf

en el presente estudio tienen conectados sus ordenadores a travs de una red de rea local o Local Area Network (LAN). Atendiendo a los sistemas de gestin informatizados, las aplicaciones ofimticas (procesadores de texto, hojas de clculo, gestores de bases de datos, etc.) siguen siendo las ms utilizadas (74,1%) seguidas de otras aplicaciones de negocio estndar o desarrolladas a medida (sistemas de gestin de relaciones con el cliente, sistemas de planificacin y gestin de recursos de la empresa, etc.), con una penetracin del 61,7%.

Grfico 1 : Distribucin del uso de tecnologas de la informacin y las comunicaciones

32,6%

53,7%

61,7%

62,9%

65,0%

72,0%

74,1%

86,5%

90,3%

0% 20% 40% 60% 80% 100%

PDA/Blackberry

Redes inalmbricas (Wi-Fi)

Aplicaciones de negocio (financieras, RRHH,comerciales, etc.)

Redes de rea local (correo electrnico corporativo,sistemas de comparticin de archivos y datos)

Ordenadores porttiles

Telefona mvil

Aplicaciones ofimticas (procesadores de texto,hojas de clculo, etc.)

Redes externas (Internet)

Ordenadores de sobremesa

Base: Total PYME (n=400) Fuente: INTECO

De forma ms concluyente, del grfico anterior se puede deducir que prcticamente la totalidad de las PYME espaolas usa Internet (86,5%) y ordenadores de sobremesa (90,3%). Por tanto este estudio reafirma que independientemente del sector y del tamao, existe una gran dependencia de las TIC en la operativa diaria del negocio.

Derivado de este hecho y con el propsito de confirmar esa dependencia, se ha evaluado el porcentaje de uso de cada una de las tecnologas en el seno de las entidades. Tal y como se muestra en el Grfico 2, la mayor parte del tiempo, las empresas hacen uso de sus redes de rea local o Wi-Fi, Internet y aplicaciones ofimticas y de negocio, mientras que la dependencia de dispositivos como PDA/Blackberry, telfonos mviles y ordenadores porttiles es ms discontinuo.



Grfico 2: Uso de las tecnologas de la informacin en las pequeas y microempresas (%)

16,6%

20,0%

21,2%

23,7%

27,5%

36,9%

49,6%

38,9%

76,1%

13,2%

15,3%

18,7%

15,8%

16,9%

25,1%

7,2%

22,6%

12,1%

40,2%

29,8%

33,4%

32,0%

24,4%

21,8%

11,0%

28,0%

4,1%

30,0%

34,9%

26,7%

28,5%

31,2%

16,2%

32,2%

10,5%

7,7%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Ordenadores de sobremesa

Redes externas (Internet)

Aplicaciones ofimticas (procesadores de texto, hojas declculo, etc.)

Aplicaciones de negocio (financieras, RRHH, comerciales,etc.)

Redes de rea local (correo electrnico corporativo,sistemas de comparticin de archivos y datos)

Telefona mvil

Redes inalmbricas (Wi-Fi)

Ordenadores porttiles

PDA/Blackberry

Menos del 30% Entre el 30 y el 50% Entre el 50 y el 80% Ms del 80% Base: Total PYME (n=400) Fuente: INTECO

Finalmente, existen al menos tres motivos que justifican que este estudio se haya centrado en las PYME espaolas:

El tejido empresarial espaol est constituido en ms de un 99% por pequeas empresas (segn el DIRCE de 2009, las microempresas espaolas constituyen el 94,8% y las pequeas el 4,4%). Esto constituye el motor principal de la economa y de la produccin en Espaa, lo cual hace que cualquier estudio enfocado a este pblico objetivo sea fuente de inters general.

Falta de concienciacin de la PYME no slo respecto a la continuidad de negocio, sino tambin respecto a la Seguridad de la Informacin en trminos generales. En un estudio reciente efectuado con anterioridad por el Observatorio de la Seguridad de la Informacin de INTECO, se evidenciaron ciertas carencias en cuanto a la adopcin de estrategias de seguridad y continuidad de negocio5.

Desde un punto de vista operativo, econmico e incluso de imagen, y teniendo en cuenta la competitividad creciente y la necesidad de proporcionar servicios ininterrumpidamente en el mundo empresarial, cada vez se hace ms visible la necesidad e importancia de que las organizaciones adopten planes de continuidad de

5 INTECO (2009): Estudio sobre la seguridad y la e-confianza de las pequeas y microempresas espaolas. Disponible en: http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Estudio_seguridad_microempresas


negocio. De hecho, un estudio6 realizado por Acronis en colaboracin con la empresa de investigacin Vanson Bourne revela que el 63% de las empresas tardan un da o ms en recuperarse de un perodo de inactividad del sistema.

2.2 Fases del proyecto de investigacin

El desarrollo del estudio se ha abordado en 4 etapas:

Fase 1: Recopilacin y estudio de informes.

Fase 2: Encuestas a empresas y a proveedores o expertos en continuidad de negocio.

Fase 3: Elaboracin del informe de conclusiones finales del proyecto.

Fase 4: Elaboracin de una gua prctica dirigida a las PYME con pautas y consejos acerca del diseo y puesta en marcha de un plan de continuidad de negocio.

2.2.1 Fase 1: Recopilacin y estudio de informes

Esta etapa ha abordado el anlisis de la situacin actual de la empresa espaola en relacin a la adopcin de estrategias de continuidad de negocio, as como las tendencias presentes y futuras en funcin de la industria, el sector o el tamao de la organizacin. Adicionalmente, la informacin obtenida sirve como referencia para compararla con los niveles de sensibilidad, conocimiento y adopcin de medidas de continuidad de negocio en las PYME.

Para la consecucin del citado objetivo se han inventariado las fuentes de informacin que potencialmente disponen y publican estudios, informes y/o trabajos relacionados con los riesgos e incidentes de seguridad que impactan (desde el punto de vista legal, operativo, econmico o en la propia imagen y reputacin de la empresa) total o parcialmente en las operaciones de negocio de las pequeas y microempresas. Finalmente, se han analizado y extrado las principales conclusiones de aquellos informes que contienen informacin actual y til para realizar el presente estudio.

Es importante destacar que, si bien el volumen de publicaciones en forma de buenas prcticas para la gestin de la continuidad de negocio es elevado, no sucede lo mismo cuando se acude a la identificacin de informes y estudios cuantitativos y estadsticos que puedan proporcionar un diagnstico de la situacin actual de la materia. De hecho, y derivado de unos niveles de madurez y concienciacin mayores, una gran parte de estas publicaciones pertenecen a entidades pblicas o privadas cuyo mbito de estudio se sita 6 Acronis y Vanson Bourne (2010): Acronis Digital Assets Research Findings: Unveiling Backup & RecoveryPractices across Europe. Disponible en: http://www.acronis.co.uk/resource/tech-talk/whitepapers/ La muestra se compuso de 600 pyme y organizaciones del sector medio del mercado (250 y 1.000 empleados) pertenecientes a distintos pases europeos. Los encuestados eran empleados de las organizaciones responsables de Tecnologas de la Informacin (TI).


en Norteamrica (Estados Unidos y Canad) u otros pases europeos ms desarrollados desde el punto de vista objeto del presente estudio (principalmente entidades de certificacin del Reino Unido).

Todos los informes consultados en el presente estudio son propiedad de las siguientes entidades:

Asociacin Espaola de Normalizacin y Certificacin (AENOR).

Agility Recovery Solutions.

AT&T.

British Standards Institute (BSI).

Business Continuity Institute (BCI).

CA Technologies.

Centre for Research on the Epidemiology of Disasters (CRED).

Chartered Management Institute.

Cloud Security Alliance (CSA).

Deloitte.

Ernst & Young.

European Network and Information Security Agency (ENISA).

Forrester Research.

Gartner.

IBM.

IDC.

INTECO.

International Organization for Standardization (ISO).

KPMG.

Marsh.

National Institute of Standards and Technology (NIST).

Red.es

Symantec.

Varolii Corporation.

World Economic Forum.


2.2.2 Fase 2: Encuestas a empresas y a proveedores o expertos en continuidad de negocio

Para poder profundizar en el estudio del grado de percepcin, concienciacin e implementacin efectiva de medidas que faciliten la continuidad de las operaciones en el caso de producirse contingencias en las PYME espaolas, ha resultado necesario combinar tcnicas de investigacin tanto cuantitativas o cualitativas. De esta forma se han establecido dos tipos distintos pero complementarios de investigacin:

Descriptiva, mediante la participacin de:

o Un total de 400 pequeas y microempresas seleccionadas a travs de un muestreo aleatorio estratificado (nmero de empleados y sector de actividad) con afijacin proporcional segn el porcentaje de uso de Internet en funcin de los datos del Instituto Nacional de Estadstica (INE)7.

o Grandes empresas espaolas participantes en el Barmetro de Empresas n 36 elaborado por Deloitte y correspondiente al primer semestre de 2010. La muestra de participantes est constituida por 253 empresas con sede en Espaa. El trabajo de campo correspondiente al Barmetro fue desarrollado durante los meses de Junio y Julio de 2010.

Exploratoria, mediante la participacin de:

o Pequeas y microempresas que en el desarrollo de su actividad cotidiana han desarrollado o adoptado alguna iniciativa, accin o estrategia orientada a garantizar la continuidad de sus actividades de negocio. As en el estudio tienen cabida 29 casos de xito que han participado identificando los motivos que les han impulsado a adoptar iniciativas de continuidad de negocio. Tambin las principales barreras que han tenido que superar y los beneficios que les han supuesto implementar dichas decisiones.

o Empresas, proveedores u organismos especializados en orientar y dar soporte a la empresa espaola en relacin con productos y servicios de continuidad de negocio.

Para la captacin de la muestra se han empleado las siguientes tcnicas:

7 Instituto Nacional de Estadstica (2008): Encuesta de uso de TIC y Comercio electrnico (CE) en las empresas 2008 2009. Disponible en http://www.ine.es/jaxi/menu.do?type=pcaxis&path=/t09/e02/a2008-2009&file=pcaxis


Seleccin de las unidades muestrales participantes, las PYME, de forma aleatoria partiendo de diferentes bases de datos externas (SABI8) e internas (relacin de empresas participantes en estudios semejantes), as como otro tipo de contactos profesionales.

Entrevista telefnica asistida por ordenador sistema CATI para la presentacin del estudio y la solicitud de colaboracin y participacin.

Pgina web creada para la difusin y participacin en el estudio.

Contactos disponibles de INTECO de empresas participantes en el programa de impulso a la implantacin y certificacin de Sistemas de Gestin de Seguridad de la Informacin, SGSI (ISO 27001) en la PYME espaola.

En cuanto al Barmetro de Empresas, cuestionarios autoaplicados enviados por correo postal o electrnico a las 2.400 empresas espaolas con mayor facturacin dentro de cada sector de actividad. La participacin es voluntaria.

Muestra

El trabajo de campo para las pequeas y microempresas se ha desarrollado entre febrero y junio de 2010, atendiendo a criterios de representatividad nacional en funcin del sector de actividad y el tamao de la empresa.

De esta forma la muestra (n=400) se ha dividido en dos estratos (empresas de menos de 10 trabajadores y entre 10 y 49 trabajadores) y a su vez cada estrato se ha categorizado por sector de actividad conforme a la clasificacin CNAE del 2009. A su vez estos sectores se han agrupado para garantizar una significatividad mnima de los mismos (ver Tabla 1).

8 SABI: herramienta de Anlisis de Balances Ibricos del mercado propiedad de Informa D&B. Es una base de datos de anlisis financieros de empresas espaolas y portuguesas.

Tabla 1: Distribucin de la muestra del estudio en funcin de su actividad (CNAE-2009) y su tamao (nmero de empleados)

Grupos de sectores de actividad Total Menos de

10 empleados

10-49 empleados

Industria Manufacturera + Industria Extractiva + Suministros + Agricultura, Ganadera, Pesca 32 9 23

Construccin 49 11 38 Comercio + Hostelera + Reparaciones + Servicios Personales 125 30 95

Transporte y Almacenamiento 31 8 23 Tecnologa de la Informacin y Comunicacin 32 8 24 Actividades Financieras y Seguros + Actividades Inmobiliarias 30 8 22

Actividades Profesionales, Cientficas y Tcnicas 59 15 44 Educacin, Actividades Sanitarias y de Servicios Sociales 29 7 22 Otros sectores 13 4 9 TOTAL 400 100 300

Fuente: INTECO

En cuanto al Barmetro de empresas, la muestra de empresas participantes en el estudio (n=253) se encuentra categorizada en 9 grupos de sectores de actividad, cuya distribucin figura en la siguiente tabla:

Tabla 2: Distribucin de la muestra del Barmetro de Empresas en funcin de su actividad (%)

Grupos de sectores de actividad Total

Finanzas, Seguros y Bienes Races 28,1% Fabricantes 25,0% Transportes, Comunicaciones y Servicios Pblicos 11,4% Servicios 10,9% Mayoristas 7,3% Construccin y Contratas 5,9% Detallistas 5,9% Agricultura, Ganadera, Minera, Pesca 5,0% Organismos oficiales 0,5% TOTAL 100,0%

Base: Participantes Barmetro de Empresas (n=253) Fuente: INTECO

Atendiendo al nmero de empleados, el 31,4% de las empresas participantes en el barmetro tienen entre 100 y 500 trabajadores, el 27,2% tiene entre 1.001 y 5.000, el 15,9% tiene entre 501 y 1.000 y el 12,3% tiene menos de 100 de trabajadores, mientras que las que tienen ms de 5.000 suponen un 13,2% de participacin (Tabla 3).


Tabla 3: Distribucin de la muestra del Barmetro de Empresas en funcin del nmero de empleados (%)

Grupo de Actividad Menos de 100 Entre 100 y

500 Entre 501 y

1.000 Entre 1.001

y 5.000 Ms de 5.000

Finanzas, Seguros y Bienes Races 11,3% 22,6% 16,1% 41,9% 8,1%

Fabricantes 7,3% 45,4% 21,8% 18,2% 7,3% Transportes, Comunicaciones y Servicios Pblicos

4,0% 32,0% 8,0% 24,0% 32,0%

Servicios 16,7% 20,8% 4,2% 25,0% 33,3% Mayoristas 31,3% 37,4% 18,8% 12,5% 0.0% Construccin y Contratas 15,4% 38,4% 15,4% 7,7% 23,1% Detallistas 15,4% 15,4% 23,1% 38,4% 7,7% Agricultura, Ganadera, Minera, Pesca 9,1% 36,4% 18,1% 36,4% 0.0%

TOTAL 12,3% 31,4% 15,9% 27,2% 13,2%

Base: Participantes Barmetro de Empresas (n=253) Fuente: INTECO

Error muestral

A continuacin se presentan los niveles de error muestral por sector y nmero de empleados para las empresas participantes en el estudio (ver Tabla 4). El clculo del error muestral se ha realizado en el supuesto de p=q=0,5, para un nivel de confianza del 95,5% (1,96 respecto de la ).

El margen de error para este conjunto de empresas es del 4,99%, lo que le confiere la suficiente representatividad para poder extraer conclusiones a nivel nacional y por tamao de la empresa (donde los errores muestrales son, para los mismos niveles de significatividad y de confianza, de un 9,9% para una muestra de 100 entidades de menos de 10 trabajadores y de un 5,8% sobre una muestra de 300 empresas de entre 10 y 49 empleados).

Tabla 4: Niveles de error muestral por tamao de las empresas participantes en el estudio

Tamao (nmero de empleados) Total Margen de error Menos de 10 empleados 100 9,90% De 10 a 49 empleados 300 5,78% TOTAL 400 4,99%

Fuente: INTECO

2.2.3 Fase 3: Elaboracin del informe de conclusiones finales del proyecto

En la elaboracin del presente informe se recogen el anlisis y conclusiones de la investigacin, junto con las recomendaciones de actuacin dirigidas a las PYME



espaolas, a la industria de seguridad de la informacin y a las Administraciones Pblicas.

Para realizar los anlisis comparativos a nivel europeo e internacional sobre los diferentes niveles de implantacin y madurez de los planes de continuidad de negocio de las pequeas y microempresas espaolas se han utilizado las siguientes fuentes:

El estudio A decade of Living dangerously realizado por Chartered Management Institute9 en el ao 2009 a travs de la participacin de 1.012 directores de empresas britnicas tanto del sector pblico como privado. Es posible comparar la evolucin de los resultados del mismo con otro informe publicado por el mismo estamento en el 2010 y titulado Disruption & Resilience.

El informe The State of SMB10 IT Security: 2008 to 2009 elaborado por Forrester Research11 en el ao 2008 y con la participacin de 1.206 pequeas y medianas empresas de Norteamrica (67%) y Europa (33%, sin incluir sociedades espaolas). El 14% de las empresas participantes disponen de 2 a 5 empleados, el 31% tienen de 6 a 99 empleados, el 34% de 100 a 499 y el 21% restante de 500 a 999 empleados.

El informe 2009 Disaster Recovery & Business Continuity Survey desarrollado por Agility Recovery Solutions12, en el que colaboran 700 SMBs en Norteamrica (EEUU y Canad). El 76% de las participantes tienen menos de 100 empleados.

La publicacin de Forrester Research titulada Business Take BC Planning More Seriously13, en el que colaboran 295 sociedades de diferentes tamaos e industrias que estn ubicadas en EEUU y que participan proactivamente en asuntos relacionados con la continuidad de negocio.

9 Chartered Management Institute (2009): A decade of Living Dangerously. Disponible en: http://www.managers.org.uk/research-analysis/research/current-research/decade-living-dangerously-business-continuity-management.

El estudio Disruption & Resilience est disponible en: http://www.managers.org.uk/research-analysis/research/current-research/BCM2010 10 SMB: siglas referidas a los trminos en ingls Small and Medium Business. Anlogo a la pequea y medida empresa (PYME) en Espaa. 11 Forrester Research (2009): The State of SMB IT Security: 2008 to 2009. Disponible previo registro en: http://www.forrester.com/rb/Research/state_of_enterprise_it_security_2008_to/q/id/47857/t/2 12 Agility Recovery Solutions (2009): 2009 Disaster Recovery & Business Continuity Survey. Disponible en: http://www2.agilityrecovery.com/assets/survey/survey_results_2009_complete.pdf 13 Forrester Research (2009): Business Take BC Planning More Seriously. Disponible previo registro en: http://www.forrester.com/rb/Research/businesses_take_bc_planning_more_seriously/q/id/47924/t/2


La publicacin de Forrester Research denominada CISOs14 Must Take The Lead On Business Resiliency15 y que cuenta con la participacin de SMBs de Norteamrica y Europa.

El estudio Business Continuity Research elaborado por Business Continuity Institute16 (BCI) en el ao 2005 y compuesto por 251 entrevistas telefnicas a empresas del Reino Unido con ms de 50 empleados y de todos los sectores de actividad.

El informe The 2005 Business Continuity Survey desarrollado por Deloitte17 en colaboracin con 273 sociedades norteamericanas de diferentes industrias del sector pblico y privado.

2.2.4 Fase 4: Elaboracin de una gua prctica dirigida a las PYME con pautas y consejos acerca del diseo y puesta en marcha de un plan de continuidad de negocio

En paralelo a la realizacin del estudio sobre planes de continuidad de negocio en pequeas y microempresas espaolas, y aprovechando los resultados del mismo, se elabora una gua con la intencin de identificar y explicar de forma desglosada las actividades y los requerimientos necesarios para disear, implantar y mantener un Plan de Continuidad de Negocio.

14 CISO: siglas en ingls que hacen mencin a Chief Information Security Officer. En Espaa se utiliza el trmino equivalente de Responsable de Seguridad de la Informacin 15 Forrester Research (2008): CISOs Must Take The Lead On Business Resiliency. Disponible previo registro en: http://www.forrester.com/rb/Research/cisos_must_take_lead_on_business_resiliency/q/id/46137/t/2 16 Op. cit. 2 17 Deloitte (2005): The 2005 Business Continuity Survey.

3 ANLISIS DEL NIVEL DE SEGURIDAD DE LA PYME ESPAOLA DESDE EL PUNTO DE VISTA DE LA CONTINUIDAD DE NEGOCIO

Son mltiples las amenazas y los riesgos que una empresa debe afrontar y es cierto que no es posible poseer el mismo nivel de preparacin frente a todos ellos. No todos los riesgos impactan sobre la disponibilidad de las actividades, sino que, como bien es conocido, desde el punto de vista de la seguridad de la informacin, la confidencialidad y la integridad de la misma tambin son aspectos amenazados.

El objetivo de este apartado es conocer el comportamiento de la PYME en cuanto a los esfuerzos (traducidos en inversiones u aplicacin de medidas preventivas, de deteccin, correctivas o disuasorias) orientados a garantizar procesos ininterrumpidos. Adicionalmente, se pretende analizar qu tipos de incidentes de seguridad provocan con mayor frecuencia una parlisis de las actividades y qu impacto (financiero, operativo, legal o en la propia imagen) ha supuesto.

El concepto de gestin de una empresa incluye la tarea de identificar y hacer frente a los riesgos que suceden con mayor probabilidad y provocan los impactos ms severos. Desde el punto de vista de la continuidad de negocio, a travs del estudio se pretende conocer el nivel de seguridad de las PYME mediante la identificacin de las medidas de seguridad implantadas, as como los tiempos de inactividad permisibles por sus reas de negocio.

Por otro lado, la entrega de un producto y/o servicio est supeditada al desarrollo de diferentes actividades que en muchas ocasiones pueden estar subcontratadas (realizadas por terceros). De esta forma, la garanta en la citada entrega no solo depende de las tareas abordadas internamente, sino tambin de las realizadas por entidades externas. Por tanto, la disponibilidad y funcionamiento ininterrumpido de un servicio puede estar condicionada a las capacidades de respuesta de dicho proveedor, al cual se le debiera exigir requerimientos o garantas de continuidad. En este estudio tambin se analiza el grado de implantacin de esta prctica.

Con independencia de la tipologa de las incidencias que afectan a las pequeas y microempresas espaolas participantes en el estudio que se analizar a continuacin, el nivel de seguridad, a priori, est muy relacionado con el nivel de inversin en productos y/o servicios de seguridad que estas realizan.

Respecto a ste, el 58% de las entidades afirman que, para el presente ao (2010), la inversin en productos o servicios de seguridad oscila entre 0 y 3.000 (ver Grfico 3).


Grfico 3: Distribucin de las inversiones en seguridad en el ao 2010 (%)

26,4%

0,9%

1,0%

1,2%

5,7%

6,9%

58,0%

0% 20% 40% 60% 80% 100%

NS/NC

De 18.001 a 24.000

De 24.001 a 50.000

Ms de 50.000

De 6.001 a 18.000

De 3.001 a 6.000

De 0 a 3.000


Si se trata de realizar un anlisis de estas inversiones de seguridad en funcin del tamao de la PYME, a partir de la siguiente tabla:

Tabla 5: Inversiones de seguridad en funcin del tamao de la PYME (%)

Tamao (nmero de empleados)

De 0 a 3.000

De 3.001 a 6.000

De 6.001 a 18.000

De 18.001 a 24.000

De 24.001 a 50.000

Ms de 50.000 NS/NC

Menos de 10 empleados

61,4% 5,9% 5,0% 1,0% 1,0% 1,0% 24,8%

De 10 a 49 empleados 36,8% 10,5% 10,5% 0,0% 0,0% 5,3% 36,8%

TOTAL 57,5% 6,7% 5,8% 0,8% 0,8% 1,7% 26,7%


Es posible extraer las siguientes conclusiones:

La probabilidad de que la PYME no tenga visibilidad sobre las inversiones destinadas al mbito de seguridad es mayor cuanto ms grande sea la PYME. De hecho, el 36,8% de las empresas de 10 a 49 empleados desconocen tales inversiones (frente al 24,8% de aquellas que tienen menos de 10 empleados).

Tmidamente se puede apreciar la tendencia de que la inversin de seguridad se incrementa a medida que aumenta el tamao de la empresa en cuanto a nmero de empleados. As, el 21,0% de las PYME entrevistadas que poseen entre 10 y 49 empleados indican que realizan inversiones comprendidas entre los 3.001 y los



50.000 . Para este mismo rango econmico, el porcentaje se reduce al 12,9% de las empresas con menos de 10 empleados.

Aunque no es el objetivo de este informe determinar a qu tipo de productos o servicios de seguridad se destinan estas inversiones, o cul es la tendencia de las mismas, el Estudio sobre la seguridad y la e-confianza en las pequeas y microempresas espaolas18 desarrollado por INTECO en 2009 afirmaba que las principales medidas de seguridad adoptadas por las empresas espaolas son las relacionadas con los programas antivirus o anti-spam, las copias de seguridad y los cortafuegos (todas ellas con tasas de uso superiores al 50%).

En este sentido, un dato esperanzador, que en definitiva muestra niveles crecientes de concienciacin en materia de seguridad de la informacin, es que el 13,3% realiza en este ao inversiones de seguridad que varan entre los 3.000 y los 24.000 .

3.1 Percepcin de las incidencias de seguridad por parte de las empresas

El presente estudio confirma lo que INTECO viene anunciando en varios de sus estudios y es que las PYME espaolas perciben que se encuentran expuestas a padecer incidentes de seguridad de ndole muy variada, aunque entre ellos siempre figuran los que tienen que ver con la seguridad de la informacin. Entre los sucedidos en los ltimos 3 meses se pueden destacar (ver Grfico 4):

Falta de servicios por parte de los proveedores (16,3%).

Ataques informticos (11,1%).

Cada de sistemas de soporte (climatizacin, electricidad o lneas de comunicacin (8,9%).

El bajo porcentaje de ocurrencia de estos sucesos (el 56,7% afirman no haber sufrido ningn incidente de seguridad en los ltimos 3 meses) parece deberse, no obstante, al corto periodo temporal abarcado y al hecho de haber considerado nicamente aquellas incidencias que afectan a la disponibilidad de las actividades y/o recursos crticos. An as, si se observa la totalidad de los diferentes incidentes de seguridad que de una u otra forma impactaron en la continuidad de las operaciones, se puede establecer como probable que las compaas puedan sufrir interrupciones.

18 Op. cit. 5

Grfico 4: Incidentes de seguridad sufridos por las PYME en los ltimos 3 meses

8,1%

2,0%

1,4%

1,7%

1,7%

3,6%

4,4%

7,4%

8,9%

11,1%

16,3%

56,7%

0% 20% 40% 60% 80% 100%

NS/NC

Otros

Dao fsico en instalaciones/equipos

Baja de personal crtico

Perdida de datos de negocio crticos

Inundacin, terremoto, incendio

Multas, sanciones

Cada de mis sistemas/aplicaciones

Cada de sistemas de soporte (climatizacin, lneas y dispositivos de comunicacin, etc.)

Ataque informtico

Falta de servicio por parte de proveedores

La compaa no ha sufrido ningn incidente de seguridad en los 3 meses

Base: Total PYME y casos de xito (n=429) Fuente: INTECO

En concordancia con este anlisis, el ya citado estudio realizado por Agility Recovery Solutions en el 2009 sobre 700 pequeas y medianas empresas de Norteamrica (Disaster Recovery & Business Continuity Survey) viene a corroborar la facilidad con las que las entidades pueden sufrir paradas en sus operaciones. En concreto, en los 2 aos anteriores a la realizacin del estudio, el 52% de las organizaciones consultadas sufri una interrupcin de sus procesos de negocio que impact en la productividad. Incluso el 81% de dichas interrupciones supuso el cierre temporal del negocio durante al menos un da.

Siguiendo con el grfico anterior, el porcentaje restante correspondiente con las que s han padecido incidentes que han supuesto la parada de sus actividades de negocio (35,2%), dificulta el concluir acerca de un perfil de incidencia acotado, definido y caracterstico de incidente tipo de seguridad que desemboque en interrupciones de los procesos de negocio. Quizs es posible destacar a nivel genrico la indisponibilidad de sistemas de soporte, aplicaciones o del propio servicio del proveedor. Este hecho refuerza la idea de que nunca se sabe que evento puede padecer una organizacin provocando la paralizacin de sus actividades, ya que estos dependern en gran medida de cada casustica concreta.

A la hora de identificar las principales causas que han podido desencadenar estos incidentes de seguridad (ver Grfico 5), y a pesar que las respuestas son variadas, existen tres motivos (el desconocimiento de la amenaza con un 6,9%, la mala u obsoleta configuracin de los sistemas -6,8%- y la escasa eficacia de las herramientas de


prevencin asociadas con un 3,1%) que refuerzan la idea de que las PYME pueden no ser conscientes de los riesgos a los que se enfrentan y consecuentemente las medidas adoptadas para hacer frente a los mismos no son eficaces porque realmente no conocen ni priorizan las amenazas a las que deben hacer frente:

Grfico 5: Causas de los incidentes de seguridad (I) (%)

10,9%

0,9%

1,6%

2,7%

2,9%

3,1%

3,1%

3,7%

6,9%

0% 20% 40% 60% 80% 100%

Otras

Conoca el riesgo pero no dispona de presupuesto

No dispona de herramientas para prevenirla

Mal asesoramiento

Conoca la amenaza pero no saba cmo prevenirla

Dispona de herramientas pero no han sido efectivas

Sistemas mal configurados

Sistemas obsoletos

Desconoca la amenaza

Base: PYME que han sufrido algn incidente de seguridad (n=372) Fuente: INTECO

El anlisis ms en detalle de otras causas indicadas por los participantes (10,9% - Grfico 5) desvela que en su mayor parte las empresas que contestaron dicha opcin aplican la responsabilidad a un fallo en el servicio por parte de los proveedores (61,1% - Grfico 6) que de una forma u otra contribuyen a mantener activas las actividades de negocio (ver Grfico 6):


Grfico 6: Causas de los incidentes de seguridad (II) (%)

0,5%

0,5%

0,5%

0,6%

1,6%

7,8%

11,1%

16,3%

61,1%

0% 20% 40% 60% 80% 100%

NS/NC

Avera mecnica

Deterioro instalaciones y/o equipos

Dao fsico de equipos

Espionaje Industrial

Sistemas o licencias desactualizados

Causas meteorolgicas o externas

Falta de revisin o manipulacin inadecuada

Fallo de proveedores (electricidad,comunicaciones,)

Base: PYME que han sufrido otro tipo de incidente de seguridad (n=54) Fuente: INTECO

3.2 Tipologa de impactos generados por los incidentes de seguridad

Para facilitar la identificacin de las consecuencias de los incidentes de seguridad se les ha preguntado a las empresas sobre aquellas que pueden implicar los siguientes tipos de impactos:

Impacto econmico-financiero: el referido a las prdidas econmicas derivadas de los incidentes de seguridad.

Impacto operativo: en alusin a la paralizacin de las actividades de la compaa como consecuencia de dichos acontecimientos.

Impacto en la imagen/reputacin: en referencia a la prdida de confianza y solidez que una empresa puede padecer como consecuencia de un incidente de seguridad. Quizs este tipo es el ms complicado de valorar por su intangibilidad e incluso por el efecto que puede derivar a largo plazo.

Impacto legal/contractual: sera el caso de una empresa que, a raz de un incidente de seguridad, es sealada como infractora de requerimientos legales o acuerdos contractuales con terceros (clientes, socios, accionistas, etc.).

Para aquellas compaas que han soportado un incidente de seguridad en los ltimos 3 meses, el 36,7% han tenido consecuentemente prdidas econmicas, tal y como se muestra en el Grfico 7, si bien el 20,4% no han podido estimar cuantitativamente dichas prdidas.



Grfico 7: Distribucin de empresas con prdidas econmicas derivadas de incidentes de seguridad

63,4%

20,4%

16,3%

0% 20% 40% 60% 80% 100%

No se han sufrido prdidas econmicas

Se han sufrido prdidas econmicas pero no se

han calculado

Se han sufrido prdidas econmicas y se han

calculado


Para el porcentaje de empresas participantes que han sufrido algn suceso de seguridad en los ltimos 3 meses y ha tenido la capacidad de calcular el dao econmico asociado (16,3%), se hace necesario resaltar que las prdidas econmicas por experimentar la cada de sus sistemas de soporte (climatizacin, lneas de comunicacin) han superado los 15.000 en una de cada cuatro PYME. En cambio el 69,6% de las empresas cuyos procesos de negocio se vieron paralizadas por la falta de servicio de sus proveedores sufrieron prdidas inferiores a 1.500 (ver Grfico 8).

Del Grfico 4 y del Grfico 8 es posible extraer una lectura adicional que coincide a la hora de poner en prctica cualquier mtodo de anlisis de riesgos de seguridad (por ejemplo, Magerit19 u Octave20): los incidentes de seguridad relacionados con incendios, terremotos e inundaciones, si bien tienen gran difusin meditica y suelen provocar grandes prdidas econmicas, no son muy frecuentes. En este sentido, tan slo el 3,6% de las pequeas y microempresas participantes han sufrido esta tipologa de incidentes y, en el caso de aquellas entidades que han calculado sus prdidas financieras, en el 11,2% de los casos stas han ascendido a ms de 15.000 .

19 Magerit: Metodologa de anlisis y gestin de riesgos elaborada por el Consejo Superior de Administracin Electrnica. http://www.csi.map.es/csi/pg5m20.htm 20 OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation, por sus siglas en ingles): es un conjunto de herramientas, tcnicas y mtodos (desarrollados por el CERT Coordination Center del Software Engineering Institute de la Universidad Carnegie Mellon de Pensilvania, Estados Unidos) empleados para el anlisis de riesgos tecnolgicos http://www.cert.org/octave/


Grfico 8: Distribucin de prdidas econmicas derivadas de los incidentes de seguridad

30,6%

100,0%

100,0%

0,0%

100,0%

59,7%

69,4%

21,5%

11,2%

0,0%

0,0%

100,0%

0,0%

18,7%

25,0%

0,0%

8,9%

11,2%

0,0%

0,0%

0,0%

0,0%

21,5%

25,0%

69,6%

77,6%

50,0%

0% 20% 40% 60% 80% 100%

Otros (n=10)

Multas, sanciones (n=14)

Cada de sistemas de soporte (climatizacin, lneas ydispositivos de comunicacin, etc.) (n=35)

Dao fsico en instalaciones/equipos (n=13)

Falta de servicio por parte de proveedores (n=46)

Inundacin, terremoto, incendio (n=12)

Cada de mis sistemas/aplicaciones (n=30)

Baja de personal crtico (n=4)

Perdida de datos de negocio crticos (n=6)

Menor a 1.500 Entre 1.501 y 15.000 Ms de 15.000


Al hilo de esta conclusin, y en comparacin con la percepcin de otras PYME de Europa y Norteamrica, el estudio publicado por Forrester Research en el ao 200821 establece un cambio paulatino en la percepcin de las amenazas que pueden interrumpir las operaciones de las organizaciones. Es decir, comienzan a percibir que situaciones extremas como terremotos, inundaciones e incendios son menos frecuentes que otras como las cadas de la corriente elctrica, fallos en las TIC o errores humanos.

Todas ellas en conjunto justifican la inversin en servicios y tecnologas de continuidad de negocio y en definitiva la necesidad de estar preparado ante cualquier tipo de evento adverso.

Ante la dificultad identificada de las empresas participantes para calcular las prdidas econmicas derivadas de los incidentes de seguridad que han impactado en sus actividades de negocio, en el anlisis se contempla la posibilidad de determinar cualitativamente dicha prdida (ver Grfico 9). En un 26,8% de los casos esos daos fueron valorados como altos o muy altos.

21 Op. cit. 15

Grfico 9: Valoracin cualitativa de las prdidas econmicas generadas por los incidentes de seguridad

2,5%

28,3%

18,7%24,8%

2,0%

23,7%

0%

20%

40%

60%

80%

100%

No sabria valorarlo

Bajo Medio Alto Muy alto NS/NC


Como se ha comentado anteriormente, aunque los daos econmicos sean los ms visibles a priori, las interrupciones de las actividades de las empresas pueden tener otro tipo de consecuencias que han sido valoradas en el presente estudio.

El Grfico 10 muestra que en la mayora de los casos (87,9%) los incidentes de seguridad han mermado la capacidad para llevar a cabo de forma continuada las funciones de negocio (operatividad). Por otro lado, debido a la ausencia de regulaciones o acuerdos contractuales con proveedores que fuercen a las empresas a aplicar requerimientos de continuidad de negocio, tan solo el 1,7% de las PYME cuyas actividades se vieron paralizadas han tenido consecuencias legales o contractuales.


Grfico 10: Empresas que han sufrido impactos operativos, legales/contractuales o en la propia imagen

87,9%

10,4%1,7%

Impacto en la operatividad Impacto en la Imagen Impacto legal/contractual


En un anlisis ms detallado (ver Grfico 11), las incidencias de seguridad que interrumpen las operaciones de negocio de las empresas y daan en mayor medida la imagen de confianza y la reputacin de cara al exterior (clientes, accionistas, socios, etc.) son la cada de las aplicaciones (2,6%) y sistemas de soporte (1,1%) y la falta de servicio por parte del proveedor/es (1,1%).

Los eventos adversos que ms penalizan la operatividad de las compaas son los relacionados con la ausencia del servicio por parte del proveedor externo (12,8%) y la interrupcin de los sistemas de soporte (8,6%).

Si bien anteriormente se ha reflejado la escasa probabilidad de que una paralizacin de las actividades de negocio de una PYME desencadene consecuencias legales/contractuales, stas se suceden en el 0,8% de los casos en los que dicha paralizacin es atribuible a la falta de servicio por parte del proveedor.



Grfico 11: Consecuencias o impactos derivados de los incidentes de seguridad

0,0%

0,2%

0,2%

0,8%

0,0%

0,8%

2,6%

0,2%

1,1%

1,1%

0,2%

0,8%

1,1%

1,7%

2,4%

3,4%

5,0%

7,6%

8,6%

12,8%

0% 20% 40% 60% 80% 100%

Otros (n=10)

Multas, sanciones (n=14)

Dao fsico en instalaciones/equipos (n=13)

Baja de personal crtico (n=4)

Perdida de datos de negocio crticos (n=6)

Inundacin, terremoto, incendio (n=12)

Cada de mis sistemas/aplicaciones (n=30)

Ataque informtico

Cada de sistemas de soporte (climatizacin, lneas y dispositivos de comunicacin, etc.) (n=35)

Falta de servicio por parte de proveedores (n=46)

Impacto en la operatividad Impacto en la imagen Impacto legal/contractual


3.3 Respuesta a los incidentes de seguridad por parte de las empresas

Existen multitud de actividades que evitan, en la medida de lo posible, que se produzcan inci

Estudio Sobre El Estado de La Pyme Espanola Ante Los Riesgos y La Implantacion de Planes de...

Documents

Transcript of Estudio Sobre El Estado de La Pyme Espanola Ante Los Riesgos y La Implantacion de Planes de...