PROTEGER LA INFORMACIÓN COMO POLÍTICA DE INNOVACIÓN

La innovación sigue siendo el principal motor de crecimiento para una pyme que busque optimizar su productividad, para lo cual es preciso mantener a salvo toda la infraestructura empresarial y la información crítica en la que se basa el negocio.

Por Sara Martín

Informes y Tendencias

Informes y Tendencias pretende ser un estímulo para la generación y ampliación de nuevas ideas, mostrando las últimas tendencias y orientando futuras decisiones de negocio para innovadores y empresas.

Cada mes contaremos con nuevas publicaciones que podrás leer, imprimir, guardar y compartir.

La Catedral Innova es parte de La Catedral Extendida; uno de los satélites que irán complementando el objetivo de La Catedral de las Nuevas Tecnologías de convertirse en referente en innovación y tecnología.

La Catedral de las Nuevas Tecnologías es un ambicioso proyecto del Ayuntamiento de Madrid enmarcado dentro del Plan Avanza, que se situará como el centro de vanguardia en la investigación e intercambio de conocimiento de nuevas

tecnologías y servirá, así, de motor para la creación de un nuevo nodo de conocimiento y de un núcleo de regeneración urbana.

La Catedral de las nuevas Tecnologías será el centro catalizador de las Tecnologías de la Información y la Comunicación (TIC), un espacio en el que expresar y desde el que impulsar la innovación entre los ciudadanos y las empresas. Su objetivo será el de convertirse en la plataforma de referencia para la innovación social, empresarial, científica y cultural.

Informes y Tendencias es un espacio de La Catedral Innova que presenta la documentación más especializada de las distintas áreas relacionadas con la innovación y las nuevas tecnologías, publicaciones, informes, artículos y resultados de investigaciones y estudios, contando siempre con colaboraciones especializadas.

Info

rmes

yTe

nden

cias

ÍNDICE1 /11 CUÁL ES LA RELACIÓN ENTRE INNOVACIÓN Y SEGURIDAD TIC

2 /11 POR QUÉ LA SEGURIDAD ES PRIORITARIA PARA UNA PYME

3 /11 LA IMPORTANCIA DE CONTAR CON UNA ADECUADA POLÍTICA DE SEGURIDAD

4 /11 DE QUÉ HAY QUE PROTEGERSE I: LA WEB, LA PRINCIPAL AMENAZA

5 /11 DE QUÉ HAY QUE PROTEGERSE II: LA INFORMACIÓN, EL BIEN MÁS PRECIADO

6 /11 QUÉ HAY QUE PROTEGER Y CÓMO I: PRIMEROS PASOS, NIVEL BÁSICO DE PROTECCIÓN

7 /11 QUÉ HAY QUE PROTEGER Y CÓMO II: SOLUCIONES BÁSICAS

8 /11 QUÉ HAY QUE PROTEGER Y CÓMO III: MÁS NIVEL DE SEGURIDAD

9 /11 ASUMIR O DELEGAR LA GESTIÓN DE LA SEGURIDAD

10 /11 ORGANISMOS Y POLÍTICAS PÚBLICAS

11 /11 PARTICIPANTES

LA CATEDRAL INNOVA un espacio abierto a la innovación www.lacatedralonline.es/innova

LA CATEDRAL INNOVA un espacio abierto a la innovación www.lacatedralonline.es/innova

En la actualidad, y máxime en los tiempos de recesión económica en los que nos encontramos, la innovación se considera el principal envite del crecimiento económico. Y quienes no pueden dejar de subirse a ese barco son las pymes, principal tejido industrial en nuestro país, y estrato que abarca a pequeñas y medianas compañías de hasta 250 trabajadores, según la definición de la normativa comunitaria. Pero si esa innovación o mejora empresarial en la que la empresa en cuestión ha confiado para espolear la productividad y la competitividad de su organización no está acompañada de una adecuada política de protección, tanto de la información como de los activos corporativos, podrían echarse a perder todos los esfuerzos realizados en ese proyecto de innovación en el que la compañía lleva tanto tiempo trabajando.

adoptar tecnologías innovadoras, bien compartir un mayor volumen de datos confidenciales. Y todo ello requiere de mayores niveles de protección en lo que se denomina seguridad TIC, tal y como apunta Alejandro García Nieto, Responsable de los Servicios de Seguridad Tecnológica de IBM España, Portugal, Grecia e Israel: “la falta de seguridad en una empresa supone un importante freno a la innovación. Así, si la compañía en cuestión implanta tecnologías o servicios innovadores sin tener en cuenta la seguridad puede ver comprometido su progreso y la evolución de su negocio”.

Por otro lado, la adopción de una política de seguridad TIC puede ser también una de las armas de innovación más efectivas en este mundo global en el que se desenvuelven nuestras empresas. Porque si el objetivo de cualquier innovación empresarial es reducir costes y aumentar la competitividad de las compañías, nadie puede discutir que resultará fundamental asegurarnos la productividad y la competitividad ya conseguida para sumar la futura. Y es que no hay que olvidar que, en cuestión de segundos, la información que hace funcionar el negocio puede perderse o verse atacada si no contamos con una adecuada política de seguridad TIC. En esencia, disponemos de más información y ésta está más dispersa. Y precisamente porque puede accederse a ella en cualquier momento y lugar hemos de blindar más si cabe su protección. Y todo ello sin perder de vista que, en todo caso, será también una fórmula para reducir costes.

Simarro, del Departamento Técnico de McAfee. “Muchos creemos que la innovación y la seguridad no necesitan competir como prioridades, sino que son complementarias en el quehacer de la empresa por crecer e innovar”, concluye.

Además, el hecho de ofrecer una imagen de empresa comprometida con su seguridad incrementa la confianza de clientes y consumidores, que ven en esta vía de innovación empresarial un valor diferencial con respecto a la competencia. De modo que cualquier gasto en seguridad será considerado siempre una inversión altamente rentable.

Cuál es la relación entre innovación y seguridad TIC

Para una pyme, innovar no sólo redunda en producir más, también puede ser el reto para producir mejor y de forma más segura, ya que cualquier mejora se verá amenazada si no se protegen suficientemente los datos y activos corporativos.

1 /11

LA ADOPCIÓN DE UNA POLÍTICA DE SEGURIDAD TIC PUEDE SER TAMBIÉN UN ARMA DE INNOVACIÓN MUY EFECTIVA, YA QUE RESULTA FUNDAMENTAL ASEGURAR LA PRODUCTIVIDAD Y LA COMPETITIVIDADYA CONSEGUIDA PARA DESPUÉS PODER SUMAR LA FUTURA

LAS PARTIDAS PRESUPUESTARIAS GUBERNAMENTALES QUE CONCIENCIAN A LAS PYMES DEL VALOR DE INNOVACIÓN DE LA SEGURIDAD TIC –FUNDAMENTALMENTE INTECO Y EL PLAN AVANZA– TENDRÁN “RECURSOS ECONÓMICOS SUFICIENTES A PESAR DE LA CRISIS”, SEGÚN FRANCISCO ROS, SECRETARIO DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

Esta máxima, la de que la innovación empresarial no puede disociarse de la seguridad TIC, es algo que los organismos públicos conocen y que transmiten al entramado empresarial nacional siempre que tienen ocasión. El Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información, Francisco Ros, lo dijo muy claramente en León, el pasado mes de noviembre, al inaugurar el III Encuentro Nacional de la Industria de Seguridad en España (ENISE 2009): “la innovación en seguridad es crucial para optimizar la productividad de cualquier organización”. Por ello, las partidas presupuestarias gubernamentales que conciencian a las pymes del valor de innovación de la seguridad TIC –fundamentalmente INTECO (Instituto Nacional de Tecnologías de la Comunicación) y el Plan Avanza– tendrán, tal y como apuntó Ros, “recursos económicos suficientes a pesar de la crisis”.

Porque al final, cualquier iniciativa de innovación y mejora, además de expectativas de crecimiento, lleva también consigo la asunción de mayores riesgos, frente a los que hay que estar preparados. El lanzamiento de nuevos productos o servicios; la propuesta de cambios organizativos o de procesos internos; la aventura hacia nuevos modelos de negocio; el traslado a otras sedes o la movilidad de las ubicaciones; la externalización de algunos procesos y servicios; y el incremento de las necesidades de conectividad con clientes, socios y proveedores –vía Internet, dispositivos móviles, etc.–, suponen bien

Las organizaciones están, a día de hoy, buscando el equilibrio correcto entre “llevar innovaciones al mercado y establecer prácticas de TI seguras”, tal y como matiza Blas

LA CATEDRAL INNOVA un espacio abierto a la innovación www.lacatedralonline.es/innova

Según datos del estudio anual de Ponemon Institute, Annual Cost of a Data Breach, correspondientes al año 2008, el coste medio de una fuga de datos supuso para las compañías una pérdida de 141 euros de media por cada registro comprometido, en comparación con los 138 euros de 2007. Según este Instituto, además, la brecha más costosa en 2008, con un 27% del total, estuvo relacionada con vulneraciones de datos tras la pérdida o robo de ordenadores portátiles; seguida por los fallos técnicos del sistema, en un 23% de los casos. La negligencia interna continúa liderando las pérdidas de datos, representando más de un 70% de las incidencias. Algunas estadísticas, además, son claras: en el caso del robo y fuga de información empresarial sensible se puede producir una disminución de la facturación de entre un 3% y un 15% (en algunos casos, incluso, el cese de la actividad o pérdidas directas superiores al millón de euros).

Así las cosas, y a tenor de estos datos, y teniendo en cuenta que nunca podremos estar hablando en términos de seguridad total, es urgente concienciar a las pymes del impacto que un incidente de seguridad puede ocasionar en su negocio, en muchos casos superior al que podría tener en una gran organización, aunque pudiera pensarse lo contrario. El bien máximo a salvaguardar es la información y las necesidades de protección son las mismas para una pyme modesta que para una gran compañía. Ambas permiten el acceso a sus redes y datos a proveedores, clientes y empleados, ya sea a través de Internet, el correo electrónico o las aplicaciones web; y por consiguiente, son igual de sensibles a los riesgos que estas prácticas conllevan.

En otro orden de cosas y como veíamos con la LOPD, la innovación que supone para una pyme contar con una política de seguridad adecuada guarda también una estrecha relación con la actual legislación de protección de datos, que exige que se defina un documento específico con los procedimientos y normas de seguridad corporativos, que se especifiquen las funciones y obligaciones del personal, que se elabore un registro de incidencias, que se aplique un mecanismo de autenticación de usuarios y que se realicen copias de seguridad, entre otras cosas. Además, las pymes están sujetas

también al cumplimiento de la Ley 34/2002, de Servicios de la Sociedad de la Información y Comercio electrónico (LSSI), en lo que respecta a la prestación de servicios en Internet.

Asimismo, la Unión Europea, en su Directiva 95/46/CE, que constituye el texto comunitario de referencia en materia de protección de datos personales, fija límites estrictos para la recogida y utilización de estos datos y solicita la creación en cada Estado miembro de un organismo nacional independiente encargado de su protección.

Además, y tal y como comenta Diego Bueno, Senior Manager en el área de IT Advisory de KPMG en España, “está empezando a considerarse como una ventaja competitiva el contar con certificaciones de seguridad tipo ISO 27001. Con el tiempo podría convertirse en un requerimiento básico, que ayudaría a incrementar los niveles mínimos de seguridad en el tejido empresarial”.

Por qué la seguridad es prioritaria para una pyme

Cualquier vulnerabilidad y ataque a la seguridad corporativa está asociada tanto a costes directos (como tiempo perdido o reinversión en equipos) como a indirectos (como pérdida de imagen). Además, esto podría suponer incumplimientos de las obligaciones marcadas por la regulación española en materia de seguridad de los sistemas de información.

2 /11

LA COMPAÑÍA QUE VE VULNERADA SU SEGURIDAD SE ENFRENTA A UNA PÉRDIDA DE PRODUCTIVIDAD, Y A LA CONSIGUIENTE PÉRDIDA DE IMAGEN

SEGÚN DATOS DE PONEMON INSTITUTE, EN 2008 EL COSTE MEDIO DE UNA FUGA DE DATOS SUPUSO PARA LAS COMPAÑÍAS UNA PÉRDIDA DE 141 EUROS DE MEDIA POR CADA REGISTRO COMPROMETIDO, EN COMPARACIÓN CON LOS 138 EUROS DE 2007

Pero no sólo se trata de una pérdida directa de ingresos, sino que la vulneración de datos puede asimismo conllevar responsabilidades legales, que incluyen importantes sanciones económicas, tal y como recoge la Ley Orgánica 15/1999 (en adelante LOPD), para aquellas empresas que incumplan los requisitos de seguridad establecidos para proteger los datos y ficheros de carácter personal. En efecto, las multas impuestas por infracciones graves pueden oscilar entre los 60.101,21 y los 300.506,05 euros.

Por otro lado, el coste en tiempo no es menos desdeñable. Según el estudio de McAfee “La paradoja de la seguridad”, el 65% de las medianas empresas de todo el mundo invierte menos de cuatro horas a la semana en seguridad proactiva, y cerca de un 67% tarda más de un día en recuperarse de los ataques a la seguridad. Y no sólo eso. La compañía que ve vulnerada su protección se enfrenta a una pérdida de productividad, y a la consiguiente merma de imagen.

El concepto de seguridad TIC o seguridad de la información tiene como fin garantizar tres principios básicos en la protección de los datos corporativos: la confidencialidad, o la condición de que la información del sistema es leída únicamente por usuarios legitimados al efecto; la integridad de los datos, de manera que se garantice que la información y elementos del sistema no se alteran y permanecen fiables y completos; y la disponibilidad, según la cual la información ha de mantenerse accesible en todo momento, sin interrupciones y a salvo de cortes en la alimentación o comunicación de las líneas, destrucción de archivos o ataques de denegación del servicio (o ataques DoS).

La idiosincrasia de la pyme

En este sentido, para garantizar estas tres máximas (de confidencialidad, integridad y disponibilidad) lo recomendable es definir una política de seguridad, que será el manual con el que abordaremos la seguridad de nuestra compañía, y que será acorde a los requerimientos del negocio y capaz de salvaguardar todos los activos de información. “Las pymes, por norma general, cuentan con menos recursos y menos personal para proteger sus sistemas y su información . Pero la seguridad es un área indispensable no sólo para asegurar que la empresa pueda mantener su actividad, sino que también representa una ventaja competitiva que le permite mejorar su posición en el mercado y dedicar sus recursos al crecimiento”, espeta Ricardo Hernández, Director Técnico de Kaspersky Lab.

La importancia de contar con una adecuada política de seguridad

La política de seguridad garantizará los tres principios básicos en la protección de los datos corporativos: su confidencialidad, su integridad y su disponibilidad. Y todo ello, teniendo en cuenta la idiosincrasia de la pyme y sus necesidades particulares de protección.

3 /11

LA CATEDRAL INNOVA un espacio abierto a la innovación www.lacatedralonline.es/innova

Con el apoyo de:

GOBIERNODE ESPAÑA

MINISTERIODE INDUSTRIA, TURISMOY COMERCIO