viernes, 24 de noviembre de 2017
logo economy journal
< ver número completo: Ciberseguridad
Luis Muñoz López

Confianza y seguridad en el ámbito digital en España

Jefe de área de Indicadores del Observatorio Nacional de Telecomunicaciones y de la Sociedad de la Información (ONTSI)

La confianza en el ámbito digital es fundamental para el desarrollo de la economía y sociedad digital. La falta de confianza se identifica como una barrera para la transformación digital y la implantación de servicios como la computación en la nube, el comercio electrónico y la administración electrónica, entre otros, por parte de ciudadanos, empresas y las Administraciones. Para la mayor parte de los gobiernos, la confianza en el ámbito digital figura entre las prioridades en su agenda política. Esto queda patente en el último análisis elaborado por la OCDE sobre la economía digital, en el que se ha identificado como, de todas las estrategias digitales, el fortalecimiento de la seguridad y la confianza en el ámbito digital figura entre las cuatro más prioritarias en más de la mitad de los treinta y cinco países analizados en el estudio (OCDE 2017). En el caso de España, el reforzamiento de la confianza digital figura entre los objetivos de la Agenda Digital para España, y es uno de los pilares en los que se sustenta la acción del Gobierno de España en esta legislatura en lo relativo a la Estrategia Digital para una España inteligente.


Era digital


Un primer aspecto al analizar el estado de la confianza digital es la toma de conciencia de los riesgos de seguridad digital por parte de las empresas y los ciudadanos. En el caso de las empresas, las de mayor tamaño muestran mayor grado de conocimiento respecto de las consecuencias que para su negocio pueden tener los incidentes de seguridad. En 2016, el porcentaje de empresas españolas que declararon haber sufrido algún incidente de seguridad aumentó respecto al registrado en 2012 (ONTSI, 2017). En el caso de los ciudadanos, tomando como referencia los países de la OCDE, la concienciación de los españoles es de las más altas, uno de cada cuatro españoles declara haber tenido incidentes de seguridad en Internet, por encima de la media de los países de la OCDE, que se sitúa en el 16% (OCDE, 2017).


Estas evidencias, lejos de ser un elemento negativo, podrían mostrar cómo actualmente las empresas y los ciudadanos son capaces de identificar de forma más clara la ocurrencia de incidentes de seguridad, lo que supondría en consecuencia una mayor capacidad de respuesta.

El segundo aspecto a analizar tiene que ver con esa capacidad de respuesta, es decir, el grado de preparación de las empresas y los ciudadanos para evitar incidentes y paliar sus consecuencias. En el caso de los ciudadanos, en 2017, seis de cada diez españoles utilizaban algún tipo de software de seguridad, incluyendo antivirus, antispam, firewall, etc., lo que muestra que todavía existe un alto margen de mejora en la preparación de los ciudadanos para afrontar incidentes de seguridad digital (INE, 2017).


EL 87% DE LAS EMPRESAS DECLARA DISPONER DE SISTEMAS DE SEGUIDAD


La utilización de sistemas de seguridad por parte de las empresas españolas está muy generalizada. En 2017, la mayoría de las empresas consultadas consideran la seguridad de la información como una cuestión de máxima o elevada prioridad. El 87% de las empresas españolas declaran disponer de sistemas internos de seguridad, que en el caso de las grandes empresas se elevó al 98%. Entre estos sistemas destaca la utilización de autenticación mediante contraseña segura, el 82% de las empresas tienen implementado este sistema.


La utilización de identificación de usuario y autenticación mediante elementos hardware está presente en el 45% de las empresas. 


La utilización de elementos biométricos para la identificación de usuario y autenticación es todavía baja, solo el 11% de las empresas españolas y el 33% de las grandes lo utilizan, pero sin duda será uno de las tecnologías que crecerán más en los próximos años en el campo de la seguridad digital (INE 2017, 1).


En cuanto a los productos de seguridad que han implantado las empresas, los productos antivirus/anti espía son los más indicados por las empresas consultadas con un 97,8%. A continuación, los cortafuegos y filtros de contenidos web representan el segundo producto más utilizado por las empresas consultadas con un 76,1%. Finalmente, el 71,4% de las empresas manifiestan utilizar herramientas de contingencia y continuidad (ONTSI, 2017).


Sin embargo, todavía hay un grupo muy importante de empresas que desconocen el beneficio que puede generar la formulación y ejecución de una política de seguridad en la gestión del impacto que pueden tener los incidentes de seguridad desde el punto de vista económico y del negocio. Así, el porcentaje de empresas con una política de seguridad TIC formalmente definida todavía es bajo. En 2015, solo el 35% de las empresas españolas lo habían hecho, por encima de la media de la UE que se situó en el 32%. En el caso de las grandes empresas, este porcentaje es mayor tanto en España (70%) como en la Unión Europea (72%). Como elemento positivo, entre las empresas que mantienen una política de seguridad TIC, la mayoría han declarado haberla revisado en los últimos 12 meses.


LA CONFIANZA EN INTERNET ES ALTA ENTRE LOS ESPAÑOLES


También es bajo el porcentaje de empresas que están preparadas para la identificación de incidentes, el 36% declaran utilizar protocolos para detectar incidentes de seguridad, elevándose al 71% en el caso de las grandes empresas (INE 2017,1). 


Cabe resaltar que las empresas que gestionan más activos tecnológicos y de información son las que consideran la seguridad de la información como una prioridad elevada o máxima. 


Todo ello parece indicar que cuanto mayor es el número de activos gestionados son más conscientes de la necesidad de gestionar la seguridad, mostrando estar más preparadas. Al contrario de lo que cabría esperar, las empresas que tienen definida una política de seguridad también sufren más incidentes de seguridad, lo que probablemente tiene que ver con la existencia de registros específicos que permiten su gestión, una mayor capacidad de aminorar sus consecuencias y una mayor consciencia de la ocurrencia concreta de los incidentes. Se puede concluir que la existencia de una política de seguridad no disminuye necesariamente la existencia de incidentes, sino que permite una adecuada gestión de los mismos, aminorando su impacto (ONTSI, 2017).


El tercer aspecto que cabe analizar tiene que ver con la privacidad y la confianza. En términos generales, la confianza en Internet es alta entre los españoles, seis de cada diez españoles declaran que el grado de confianza es bastante o muy alta (INE 2017). No obstante, la falta de seguridad y privacidad en el ámbito digital puede producir un retraimiento en la adopción de ciertos servicios, como por ejemplo la compra por Internet. En 2017, uno de cada dos usuarios de Internet españoles que no compró por Internet declaró que le preocupaba la privacidad o la seguridad en el pago. La seguridad y confianza son los motivos que argumentan uno de cada cuatro usuarios de Internet españoles para no realizar descargas de software, música, archivos de video, juegos u otros archivos de datos. Los que dejaron de proporcionar información personal a comunidades en línea a redes sociales y profesionales por este motivo alcanzaron el 30%.


Para el 23% de los internautas la desconfianza también afecta a la realización de actividades bancarias como la gestión de cuentas, y para el 20% al uso de dispositivos móviles mediante conexión inalámbrica desde fuera del hogar.

La desconfianza en Internet también produce un menor uso de la administración electrónica, el 14% de los internautas españoles declaró en 2016 no enviar formularios cumplimentados a la administración por estar preocupados por la protección y seguridad de los datos personales. En el caso del uso de los servicios en la nube, el 8% de los internautas declaran no usarlos por estar preocupados por la seguridad y confianza en el servicio. Por tanto, la confianza afecta de forma determinante en el comportamiento y el uso de Internet por parte de los individuos, lo que tiene efectos potenciales negativos en la adopción de los servicios digitales.


SOLO UNO DE CADA TRES INTERNAUTAS RECONFIGURA SU NAVEGADOR


Sin embargo, la falta de confianza hacia las empresas de Internet y los servicios digitales no siempre supone una barrera para la adopción de servicios digitales. Una gran mayoría de los ciudadanos de la Unión Europea (71%) y de España (73,5%) declaran que proporcionar información personal es una parte significativa de la vida moderna y aceptan que no hay otra alternativa (OCDE, 2017). El 63% de los usuarios de Internet españoles son conscientes de que las cookies pueden ser usadas para trazar sus movimientos en Internet, con fin de obtener un perfil de cada usuario y proporcionarles publicidad adaptada o personalizada. Además, solo uno de cada tres internautas ha cambiado alguna vez la configuración de su navegador de Internet para prevenir o limitar la cantidad de cookies en su ordenador (INE, 2016), lo que refleja una fuerte aceptación de este tipo de técnicas de rastreo de la actividad del usuario, pero también puede ser reflejo de falta de habilidades y conocimiento por parte de los individuos para realizar este tipo de tareas de configuración.


En el lado de la empresa, el 63% de las empresas ha manifestado que su página web cuenta con una declaración política de intimidad, salvaguarda de la privacidad o certificación relacionada con la seguridad. 


El 93,6% de las empresas manifiestan informar sobre la existencia de datos personales, cumpliendo con el deber de información de la LOPD. El 90,2% de las empresas consultadas requiere el consentimiento expreso para el tratamiento de los datos personales. Y el 88,9% afirma que mantiene un procedimiento para facilitar y garantizar el derecho de acceso, rectificación, cancelación y oposición sobre los datos personales.


Existe una relación proporcional entre la adopción de políticas de privacidad en las empresas y su tamaño. Cuanto mayor es la empresa es más frecuente que manifieste mantener la declaración sobre la política de intimidad, salvaguarda de privacidad o certificación relacionada con la seguridad del sitio web. Igualmente, también indican en mayor proporción mantener conocimiento sobre la LOPD, y estar adecuados a dicha normativa en todos sus requerimientos. Cabe destacar el porcentaje tan alto de microempresas que no saben cuál es la situación de su página web (40,2%), lo que indica el desconocimiento que mantienen este tipo de empresas sobre los requerimientos normativos.


La labor de sensibilización parece que debe incidir fundamentalmente en las microempresas y las pequeñas y medianas empresas. (ONTSI, 2017).


Un cuarto aspecto a analizar tiene que ver con el impacto producido por los incidentes de seguridad, tanto en ciudadanos como en empresas. El potencial de pérdida de la confianza del consumidor, daño a la reputación, impactos negativos en los ingresos, etc., que puede provocar un incidente de seguridad digital son las principales razones de las preocupaciones de las empresas (OCDE, 2017).


La percepción que tienen las empresas sobre la confianza en las soluciones digitales que se ofrecen y los posibles impactos que pueden producirse, es uno de los motivos que frenan la transformación digital de las empresas. La última encuesta sobre ciberseguridad en empresas del ONTSI muestra que el 51,3% de las empresas cita el riesgo de falta de disponibilidad de servicios TIC como motivo para disponer de una política de seguridad. Sin embargo, el motivo más mencionado es el de destrucción o corrupción de datos (83%), seguido del de revelación de datos confidenciales (52,2%).


El 96,2% DE LAS EMPRESAS PROTEGE SUS DATOS


Respecto a las consecuencias, las grandes empresas mencionan que sufren un menor número de consecuencias negativas derivadas de incidentes de seguridad. El hecho de que las grandes empresas sufran mayor número de incidentes de seguridad y, por el contrario, denoten menores consecuencias, refuerza la idea de que su mayor preparación ante los incidentes minimiza las consecuencias negativas que estos tienen para su negocio. El impacto de los incidentes de seguridad está bastante focalizado ya que el 87% de las empresas concentra su respuesta en un solo tipo de impacto. El 94,7% de las empresas consultadas ha manifestado que las consecuencias derivadas de los incidentes tuvieron un impacto operativo en su negocio. Solo el 13,2% ha indicado haber sufrido un impacto económico-financiero, siendo poco relevantes el impacto en la imagen/reputación de la empresa (5,8%) y el impacto legal/contractual (1%).


Respecto al impacto económico, al contrario de lo que cabría imaginar, existe una relación inversamente proporcional entre el tamaño de las empresas y la cuantificación del impacto económico producido por los incidentes de seguridad.


Así, las microempresas son las que declaran haber cuantificado los daños económicos en un mayor porcentaje (44%), seguidas de las pequeñas empresas (31%), medianas empresas (29%) y, finalmente, grandes empresas (27%). Es bajo el porcentaje de empresas que declaran haber cuantificado el impacto económico que han tenido los incidentes de seguridad (32%). Esta es, sin duda, una tarea pendiente para las empresas.


El grueso de las empresas ha cuantificado el perjuicio económico ocasionado por los incidentes en menos de 5.000 euros ya que el 62,8% de las empresas sitúa sus pérdidas entre menos de 1.000 euros y 5.000 euros. El 23,2% de las empresas cuantifica sus pérdidas económicas en una cifra superior a 5.000 euros.


El cambio de hábitos como consecuencia de haber sufrido un incidente de seguridad presenta diferencias según el tamaño de la empresa, de manera que las microempresas y pequeñas empresas han manifestado en mayor proporción dejar de usar determinados servicios de Internet y haber comenzado a realizar copias de seguridad, mientras las medianas y grandes empresas indican en mayor medida que establecen protocolos y procedimientos de seguridad más estrictos, o bien contratan servicios de auditoría externos.


Para evitar el impacto de los incidentes, el 96,2% de las empresas españolas declaran definir en su política de seguridad medidas para asegurar la integridad de los datos y la información. La segunda medida tiene que ver con la disponibilidad de las operaciones de negocio y la disponibilidad de los servicios en caso de crisis, con un 73,9% de las respuestas. La protección contra el robo de activos de la empresa con un 70,3% es otro de las medidas más mencionadas. (ONTSI, 2017).


En el caso de los individuos, el impacto más analizado es el fraude online, que está creciendo como consecuencia de la importancia del comercio electrónico. No obstante, en 2015, la percepción de fraude económico por parte de españoles y europeos era bajo. Sólo el 3,6% de los españoles y el 2,6% de los europeos habían experimentado pérdidas económicas debido al uso fraudulento de tarjetas de crédito o débito, o como resultado de recibir mensajes fraudulentos (phishing) o de ser redirigidos a sitios web falsos que solicitan información personal (pharming).Otro aspecto relevante es la de la vulneración de los datos personales, que no solo causan importantes pérdidas en el negocio afectado, sino que también puede causar daños como resultado de la violación de privacidad de las personas cuyos datos personales han sido violados (OCDE, 2017).


Por último, cabe preguntarse cuáles son las barreras que las empresas perciben para la implementación de medidas y soluciones de seguridad. Se ha detectado cierta disparidad de criterios a la hora de percibir barreras a la implementación de medidas y soluciones de seguridad. El 62,2% de las empresas han realizado tan solo una mención, el 24,7% percibe dos barreras y el restante 14% tres barreras o más. Además, un alto porcentaje de empresas ha declarado no percibir ninguna barrera a la implementación de medidas de seguridad (36,7%). La barrera más mencionada son el precio y la falta de presupuesto (36%).Le sigue la falta de tiempo (28,8%) y la falta de personal cualificado para abordar el proceso (25,4%). Resulta llamativo que sean las grandes empresas las que mencionan la falta de personal cualificado como una barrera en mayor proporción que el resto, especialmente que las microempresas, lo que sin duda tiene que ver con la mayor conciencia que pueden tener estas grandes empresas sobre la complejidad que supone abordar la seguridad y las capacidades que debe mantener el personal dedicado a ello en un ámbito complejo como son estas organizaciones (ONTSI, 2017).



Luis Muñoz López es Jefe de área de Indicadores del Observatorio Nacional de Telecomunicaciones y de la Sociedad de la Información (ONTSI). Es Licenciado en Informática y Máster en Tecnologías de la Información aplicadas a la empresa por la Universidad Politécnica de Madrid. Grado en Ciencia Políticas y de la Administración por la UNED.

Anterior
Siguiente

THE ECONOMY JOURNAL

Ronda Universitat 12, 7ª Planta -08007 Barcelona
Tlf (34) 93 301 05 12
Inscrita en el Registro Mercantil de Barcelona al tomo 39.480,
folio 12, hoja B347324, Inscripcion 1

THE ECONOMY JOURNAL ALL RIGHTS RESERVED

THE ECONOMY JOURNAL

Ronda Universitat 12, 7ª Planta -08007 Barcelona
Tlf (34) 93 301 05 12
Inscrita en el Registro Mercantil de Barcelona al tomo 39.480,
folio 12, hoja B347324, Inscripcion 1

THE ECONOMY JOURNAL ALL RIGHTS RESERVED