Symantec ha presentado los resultados de su estudio sobre Seguridad IT en las Pequeñas y Medianas Empresas (SMB IT Security Research), realizado en Europa y con hallazgos específicos sobre España, en el que da a conocer el grado de preparación de las pequeñas y medianas empresas en materia de seguridad.
El estudio indica algunos fallos esenciales, a pesar del interés mostrado a primera vista por las compañías en materia de seguridad. Según datos de la Unión Europea, las pequeñas y medianas empresas españolas dedican entre un 5 y un 13% de su presupuesto a la inversión en nuevas tecnologías. Sin embargo, de acuerdo con el estudio de Symantec, las pymes de nuestro país presentan graves carencias en materia de seguridad: un preocupante 19% de los encuestados declaró haber sufrido durante el pasado año algún tipo de ataque provocando pérdidas de información o caída de los sistemas, una cifra inferior a la media europea del 22%.
En España existen más de tres millones de pymes, que representan más del 99% de las registradas en el censo del Directorio Central de Empresas. Para este estudio sobre Seguridad IT en las Pymes, Symantec escogió como muestra representativa 105 empresas españolas, que fueron encuestadas sobre sus prácticas de seguridad TI. El estudio mostró que aunque muchas empresas europeas conocen las amenazas más habituales, como pueden ser los virus (93%), los mensajes spam (91%) y los programas troyanos (82%), una cantidad importante de entrevistados afirmó contar con medidas insuficientes de protección en sus empresas para hacer frente a problemas potenciales de seguridad causados por nuevas amenazas. Las amenazas más recientes, como por ejemplo los ataques de “minnowing” y “whaling” son aún desconocidas por muchas pymes, ya que un 69% de los encuestados españoles afirmó no haber escuchado nunca el término “minnowing” y el 64% no tenía ninguna referencia sobre el significado de “whaling”.
El SMB IT Security Research de Symantec también muestra que, a pesar de los esfuerzos realizados por el sector de la seguridad para informar a los usuarios, los empleados de pymes españolas aún no se han dado cuenta de que todos los trabajadores tienen una cierta responsabilidad a la hora de garantizar la seguridad del entorno informático. Los resultados del estudio indican que un 32% pensaba que esto era responsabilidad exclusiva del Director de TI, y un 33% del Director General de la compañía.
Cuando se pregunta sobre cómo consigue la compañía las soluciones para garantizar la seguridad de las TI, sólo un 24% de las pequeñas empresas españolas afirmó utilizar empresas especializadas externalizadas para ocuparse de este tema.
Según Carlos Muñoz, Distribution & SMB Sales Manager de Symantec Iberia, “En Symantec, prestamos una atención prioritaria al sector de las pymes, pues no en vano representan la gran mayoría de empresas españolas. Por esta razón, nos resulta preocupante el hecho de que muchas de ellas no despliegan un plan preventivo de seguridad informática, limitándose a reaccionar cuando el daño ya está hecho”. Muñoz añade también que “los software antivirus y firewalls, son los recursos de seguridad básicos pero no son suficientes para garantizar una protección adecuada y por tanto, la continuidad del negocio”.
“La carencia de un plan de seguridad adecuado, integrado no sólo por soluciones de software sino también por infraestructuras adecuadas y formación del personal, puede derivar en pérdida de datos y caídas de sistemas que son algunas de las mayores amenazas para la marca de una empresa”, comenta Muñoz, y añade: “Estas caídas y fallos de seguridad pueden causar graves pérdidas de información, que en ocasiones pueden derivar a su vez en pérdidas de negocio o económicas. Por ejemplo el caso reciente de una clínica médica de Bilbao, que se vio obligada a abonar una sanción de 150.000 € por la filtración en Internet de 11.300 historias clínicas confidenciales de sus clientes.”
Entre las compañías españolas entrevistadas, un 19% ha sufrido un ataque o un fallo del sistema durante el año pasado, teniendo como resultado una pérdida de información y de negocios como resultado de estos hechos. Los principales candidatos a la hora de realizar estos ataques fueron virus, gusanos y troyanos, con un 70%. También resulta preocupante que para las pymes de nuestro país, un 15% de los encuestados afirmaran que los propios empleados fueron la causa de las pérdidas de datos o fallos en el sistema.
“Los motivos para esta falta de preparación, se pusieron de nuevo de manifiesto cuando se preguntó a los encuestados sobre la frecuencia con la que actualizan la seguridad informática en sus compañías,” indica Carlos Muñoz. “Aunque un 45% confirmó hacerlo diariamente, un 21% lo hace cada semana y un 9% mensualmente. Por suerte, sólo un 2% lo hace cada año y un 1% de los encuestados españoles contestó que sólo actualizan sus sistemas cuando se produce un ataque.”
Cuando se les preguntó sobre los riesgos que corren los sistemas informáticos modernos y las infraestructuras actuales, parece que la seguridad de las infraestructuras inalámbricas es lo que más preocupa a los directores de TI españoles, con un 69% admitiendo que esta era su principal inquietud, seguida de la seguridad con la Telefonía IP (40%) y la seguridad relacionada con los teléfonos móviles (27%).
Resumen de las conclusiones – resultados sobre España
• La causa:
o La mayoría de los encuestados afirma conocer las amenazas más comunes producidas por virus (63%), mensajes spam (62%), programas troyanos (61%), spyware (55%) y gusanos (59%), sin embargo…
o Una alarmante cantidad de los encuestados no conocía de la existencia de amenazas más recientes como, por ejemplo, las de botnets (58%), rootkits (55%), pharming (58%), whaling (64%) y minnowing (69%).
o Esto se refleja en la tendencia existente para que la mayoría de los encuestados cuente con antivirus (99%) software y firewalls (87%).
o Más de uno de cada tres encuestados (34%) no cuenta con un sistema para copias de seguridad y recuperación de datos, un 75% no tiene instalado funciones para cifrado de información, y más de la mitad (55%) no tiene herramientas para hacer frente a las vulnerabilidades.
o Un 20% de los preguntados admitió que sus soluciones para seguridad no abarcaban a todos los empleados.
o Un 59% de las empresas con menos de 100 empleados no tienen un Director de TI especializado.
o Tan solo un 34% de los encuestados afirmó tener un entorno seguro en la empresa.
o Un 30% pensaba que esto último no era importante porque nunca habían sufrido un ataque de importancia.
• El efecto:
o Casi una quinta parte (19%) de los entrevistados había sufrido un ataque durante el año pasado, causándoles una pérdida de datos/sistemas.
o Un 35% de los que habían sufrido un ataque culparon de ello a fallos en los sistemas y la seguridad, y un 70% a diversas amenazas como virus, gusanos o troyanos.
o La mitad (50%) había sufrido pérdida de datos e información como resultado de un ataque informático.
o Un 35% afirmó que los nuevos empleados no reciben formación sobre las políticas sobre seguridad puestas en marcha por la compañía.
o Un 16% no cuenta con ninguna política para TI implementada en su empresa.
• Los obstáculos:
o Un 19% afirmó que el dinero era un obstáculo a la hora de crear un entorno más seguro.
o Un 13% indicó que la seguridad no era algo prioritario para el equipo directivo, aunque un 33% pensaba que el Director General era la persona responsable de garantizar la protección de la compañía.
o Un tercio (34%) manifestó que la falta de tiempo y de conocimientos suficientes eran factores importantes a la hora de poner en peligro la seguridad de sus empresas.
