Proteger la información como política de innovación
1. Informes y Tendencias
PROTEGER La innovación sigue siendo el principal
motor de crecimiento para una pyme que
LA INFORMACIÓN busque optimizar su productividad, para lo
COMO POLÍTICA cual es preciso mantener a salvo toda la
infraestructura empresarial y la información
DE INNOVACIÓN crítica en la que se basa el negocio.
Por Sara Martín
2. Tendencias
Informes y Tendencias es un espacio de La Catedral
Informes y
Innova que presenta la documentación más
especializada de las distintas áreas relacionadas con
la innovación y las nuevas tecnologías, publicaciones,
informes, artículos y resultados de investigaciones
y estudios, contando siempre con colaboraciones
especializadas.
Informes y Tendencias pretende tecnologías y servirá, así, de motor
ser un estímulo para la generación para la creación de un nuevo nodo
y ampliación de nuevas ideas, de conocimiento y de un núcleo de
mostrando las últimas tendencias regeneración urbana.
y orientando futuras decisiones de
negocio para innovadores y empresas. La Catedral de las nuevas
Tecnologías será el centro
Cada mes contaremos con nuevas catalizador de las Tecnologías de
publicaciones que podrás leer, la Información y la Comunicación
imprimir, guardar y compartir. (TIC), un espacio en el que
expresar y desde el que impulsar
La Catedral Innova es parte de La la innovación entre los ciudadanos
Catedral Extendida; uno de los y las empresas. Su objetivo será
satélites que irán complementando el de convertirse en la plataforma
el objetivo de La Catedral de las de referencia para la innovación
Nuevas Tecnologías de convertirse en social, empresarial, científica y
referente en innovación y tecnología. cultural.
La Catedral de las Nuevas
Tecnologías es un ambicioso
proyecto del Ayuntamiento de
Madrid enmarcado dentro del
Plan Avanza, que se situará
como el centro de vanguardia
en la investigación e intercambio
de conocimiento de nuevas
3. ÍNDICE
1 /11 CUÁL ES LA RELACIÓN ENTRE INNOVACIÓN Y SEGURIDAD TIC
2 /11 POR QUÉ LA SEGURIDAD ES PRIORITARIA PARA UNA PYME
3 /11 LA IMPORTANCIA DE CONTAR CON UNA ADECUADA POLÍTICA
DE SEGURIDAD
4 /11 DE QUÉ HAY QUE PROTEGERSE I: LA WEB, LA PRINCIPAL AMENAZA
5 /11 DE QUÉ HAY QUE PROTEGERSE II: LA INFORMACIÓN, EL BIEN
MÁS PRECIADO
6 /11 QUÉ HAY QUE PROTEGER Y CÓMO I: PRIMEROS PASOS, NIVEL
BÁSICO DE PROTECCIÓN
7 /11 QUÉ HAY QUE PROTEGER Y CÓMO II: SOLUCIONES BÁSICAS
8 /11 QUÉ HAY QUE PROTEGER Y CÓMO III: MÁS NIVEL DE SEGURIDAD
9 /11 ASUMIR O DELEGAR LA GESTIÓN DE LA SEGURIDAD
10 /11 ORGANISMOS Y POLÍTICAS PÚBLICAS
11 /11 PARTICIPANTES
LA CATEDRAL INNOVA un espacio abierto a la innovación www.lacatedralonline.es/innova
4. 1 /11 Cuál es la Para una pyme, innovar no
sólo redunda en producir más,
relación entre también puede ser el reto para
producir mejor y de forma más
innovación y segura, ya que cualquier mejora
seguridad TIC se verá amenazada si no se
protegen suficientemente los
datos y activos corporativos.
En la actualidad, y máxime en los tiempos adoptar tecnologías innovadoras, bien Simarro, del Departamento Técnico de
de recesión económica en los que nos compartir un mayor volumen de datos McAfee. “Muchos creemos que la innovación
encontramos, la innovación se considera el confidenciales. Y todo ello requiere de y la seguridad no necesitan competir como
principal envite del crecimiento económico. mayores niveles de protección en lo que se prioridades, sino que son complementarias
Y quienes no pueden dejar de subirse a ese denomina seguridad TIC, tal y como apunta en el quehacer de la empresa por crecer e
barco son las pymes, principal tejido industrial Alejandro García Nieto, Responsable de innovar”, concluye.
en nuestro país, y estrato que abarca a los Servicios de Seguridad Tecnológica
pequeñas y medianas compañías de hasta de IBM España, Portugal, Grecia e Israel: Además, el hecho de ofrecer una imagen de
250 trabajadores, según la definición de la “la falta de seguridad en una empresa supone empresa comprometida con su seguridad
normativa comunitaria. Pero si esa innovación un importante freno a la innovación. Así, si la incrementa la confianza de clientes y
o mejora empresarial en la que la empresa compañía en cuestión implanta tecnologías consumidores, que ven en esta vía de
en cuestión ha confiado para espolear la o servicios innovadores sin tener en cuenta innovación empresarial un valor diferencial
productividad y la competitividad de su la seguridad puede ver comprometido su con respecto a la competencia. De modo
organización no está acompañada de una progreso y la evolución de su negocio”. que cualquier gasto en seguridad será
adecuada política de protección, tanto de la considerado siempre una inversión altamente
información como de los activos corporativos, Por otro lado, la adopción de una política de rentable.
podrían echarse a perder todos los esfuerzos seguridad TIC puede ser también una de las
realizados en ese proyecto de innovación en el armas de innovación más efectivas en este LAS PARTIDAS PRESUPUESTARIAS
que la compañía lleva tanto tiempo trabajando. mundo global en el que se desenvuelven GUBERNAMENTALES QUE CONCIENCIAN A LAS
nuestras empresas. Porque si el objetivo de
cualquier innovación empresarial es reducir PYMES DEL VALOR DE INNOVACIÓN DE LA
costes y aumentar la competitividad de las SEGURIDAD TIC –FUNDAMENTALMENTE INTECO
compañías, nadie puede discutir que resultará
fundamental asegurarnos la productividad y Y EL PLAN AVANZA– TENDRÁN “RECURSOS
la competitividad ya conseguida para sumar ECONÓMICOS SUFICIENTES A PESAR DE LA
la futura. Y es que no hay que olvidar que, en
cuestión de segundos, la información que hace
CRISIS”, SEGÚN FRANCISCO ROS, SECRETARIO
funcionar el negocio puede perderse o verse DE ESTADO DE TELECOMUNICACIONES Y PARA
atacada si no contamos con una adecuada LA SOCIEDAD DE LA INFORMACIÓN
política de seguridad TIC. En esencia,
disponemos de más información y ésta está
Esta máxima, la de que la innovación
más dispersa. Y precisamente porque puede
empresarial no puede disociarse de la
accederse a ella en cualquier momento y lugar
seguridad TIC, es algo que los organismos
hemos de blindar más si cabe su protección. Y
públicos conocen y que transmiten al
todo ello sin perder de vista que, en todo caso,
entramado empresarial nacional siempre que
será también una fórmula para reducir costes.
tienen ocasión. El Secretario de Estado de
Telecomunicaciones y para la Sociedad
LA ADOPCIÓN DE UNA POLÍTICA DE de la Información, Francisco Ros, lo dijo
Porque al final, cualquier iniciativa de SEGURIDAD TIC PUEDE SER TAMBIÉN UN muy claramente en León, el pasado mes
innovación y mejora, además de expectativas de noviembre, al inaugurar el III Encuentro
de crecimiento, lleva también consigo la ARMA DE INNOVACIÓN MUY EFECTIVA, YA Nacional de la Industria de Seguridad
asunción de mayores riesgos, frente a los que QUE RESULTA FUNDAMENTAL ASEGURAR en España (ENISE 2009): “la innovación
hay que estar preparados. El lanzamiento de en seguridad es crucial para optimizar la
nuevos productos o servicios; la propuesta de
LA PRODUCTIVIDAD Y LA COMPETITIVIDAD productividad de cualquier organización”.
cambios organizativos o de procesos internos; YA CONSEGUIDA PARA DESPUÉS PODER Por ello, las partidas presupuestarias
la aventura hacia nuevos modelos de negocio; gubernamentales que conciencian a las
SUMAR LA FUTURA pymes del valor de innovación de la seguridad
el traslado a otras sedes o la movilidad de las
ubicaciones; la externalización de algunos TIC –fundamentalmente INTECO (Instituto
Las organizaciones están, a día de hoy,
procesos y servicios; y el incremento de Nacional de Tecnologías de la Comunicación)
buscando el equilibrio correcto entre “llevar
las necesidades de conectividad con y el Plan Avanza– tendrán, tal y como apuntó
innovaciones al mercado y establecer
clientes, socios y proveedores –vía Internet, Ros, “recursos económicos suficientes a
prácticas de TI seguras”, tal y como matiza Blas
dispositivos móviles, etc.–, suponen bien pesar de la crisis”.
LA CATEDRAL INNOVA un espacio abierto a la innovación www.lacatedralonline.es/innova
5. 2 /11 Por qué la Cualquier vulnerabilidad y
ataque a la seguridad corporativa
seguridad es está asociada tanto a costes
directos (como tiempo perdido
prioritaria para o reinversión en equipos) como
una pyme a indirectos (como pérdida de
imagen). Además, esto podría
suponer incumplimientos de las
obligaciones marcadas por la
regulación española en materia
de seguridad de los sistemas de
información.
Según datos del estudio anual de Ponemon
Institute, Annual Cost of a Data Breach,
correspondientes al año 2008, el coste
medio de una fuga de datos supuso para
las compañías una pérdida de 141 euros de
media por cada registro comprometido, en
comparación con los 138 euros de 2007.
Según este Instituto, además, la brecha más
costosa en 2008, con un 27% del total, estuvo
relacionada con vulneraciones de datos tras
la pérdida o robo de ordenadores portátiles;
seguida por los fallos técnicos del sistema,
en un 23% de los casos. La negligencia
interna continúa liderando las pérdidas de
datos, representando más de un 70% de las
incidencias. Algunas estadísticas, además, son
claras: en el caso del robo y fuga de información
empresarial sensible se puede producir una
disminución de la facturación de entre un 3%
y un 15% (en algunos casos, incluso, el cese
de la actividad o pérdidas directas superiores
al millón de euros). también al cumplimiento de la Ley 34/2002,
Así las cosas, y a tenor de estos datos, y de Servicios de la Sociedad de la Información y
LA COMPAÑÍA QUE VE VULNERADA SU teniendo en cuenta que nunca podremos estar Comercio electrónico (LSSI), en lo que respecta
hablando en términos de seguridad total, es a la prestación de servicios en Internet.
SEGURIDAD SE ENFRENTA A UNA PÉRDIDA urgente concienciar a las pymes del impacto
DE PRODUCTIVIDAD, Y A LA CONSIGUIENTE que un incidente de seguridad puede ocasionar SEGÚN DATOS DE PONEMON INSTITUTE, EN
en su negocio, en muchos casos superior al
PÉRDIDA DE IMAGEN que podría tener en una gran organización, 2008 EL COSTE MEDIO DE UNA FUGA DE
Pero no sólo se trata de una pérdida directa aunque pudiera pensarse lo contrario. El bien DATOS SUPUSO PARA LAS COMPAÑÍAS UNA
de ingresos, sino que la vulneración de datos máximo a salvaguardar es la información y las PÉRDIDA DE 141 EUROS DE MEDIA POR CADA
puede asimismo conllevar responsabilidades necesidades de protección son las mismas
legales, que incluyen importantes sanciones para una pyme modesta que para una gran REGISTRO COMPROMETIDO, EN COMPARACIÓN
económicas, tal y como recoge la Ley Orgánica compañía. Ambas permiten el acceso a CON LOS 138 EUROS DE 2007
15/1999 (en adelante LOPD), para aquellas sus redes y datos a proveedores, clientes
empresas que incumplan los requisitos de y empleados, ya sea a través de Internet, el Asimismo, la Unión Europea, en su Directiva
seguridad establecidos para proteger los correo electrónico o las aplicaciones web; y 95/46/CE, que constituye el texto comunitario
datos y ficheros de carácter personal. En por consiguiente, son igual de sensibles a los de referencia en materia de protección de
efecto, las multas impuestas por infracciones riesgos que estas prácticas conllevan. datos personales, fija límites estrictos para la
graves pueden oscilar entre los 60.101,21 y recogida y utilización de estos datos y solicita
los 300.506,05 euros. En otro orden de cosas y como veíamos con la la creación en cada Estado miembro de un
LOPD, la innovación que supone para una pyme organismo nacional independiente encargado
Por otro lado, el coste en tiempo no es menos contar con una política de seguridad adecuada de su protección.
desdeñable. Según el estudio de McAfee guarda también una estrecha relación con la
“La paradoja de la seguridad”, el 65% de actual legislación de protección de datos, que Además, y tal y como comenta Diego Bueno,
las medianas empresas de todo el mundo exige que se defina un documento específico Senior Manager en el área de IT Advisory
invierte menos de cuatro horas a la semana en con los procedimientos y normas de seguridad de KPMG en España, “está empezando a
seguridad proactiva, y cerca de un 67% tarda corporativos, que se especifiquen las funciones considerarse como una ventaja competitiva
más de un día en recuperarse de los ataques y obligaciones del personal, que se elabore el contar con certificaciones de seguridad tipo
a la seguridad. Y no sólo eso. La compañía que un registro de incidencias, que se aplique un ISO 27001. Con el tiempo podría convertirse
ve vulnerada su protección se enfrenta a una mecanismo de autenticación de usuarios y en un requerimiento básico, que ayudaría a
pérdida de productividad, y a la consiguiente que se realicen copias de seguridad, entre incrementar los niveles mínimos de seguridad
merma de imagen. otras cosas. Además, las pymes están sujetas en el tejido empresarial”.
LA CATEDRAL INNOVA un espacio abierto a la innovación www.lacatedralonline.es/innova
6. 3 /11 La importancia La política de seguridad
garantizará los tres principios
de contar con básicos en la protección de
los datos corporativos: su
una adecuada confidencialidad, su integridad
política de y su disponibilidad. Y todo
ello, teniendo en cuenta la
seguridad idiosincrasia de la pyme y sus
necesidades particulares de
protección.
El concepto de seguridad TIC o seguridad
de la información tiene como fin garantizar
tres principios básicos en la protección de
los datos corporativos: la confidencialidad,
o la condición de que la información del
sistema es leída únicamente por usuarios
legitimados al efecto; la integridad de los
datos, de manera que se garantice que la
información y elementos del sistema no se
alteran y permanecen fiables y completos; y
la disponibilidad, según la cual la información
ha de mantenerse accesible en todo
momento, sin interrupciones y a salvo de
cortes en la alimentación o comunicación de
las líneas, destrucción de archivos o ataques
de denegación del servicio (o ataques DoS).
La idiosincrasia de la pyme
En este sentido, para garantizar estas tres
máximas (de confidencialidad, integridad y
disponibilidad) lo recomendable es definir
una política de seguridad, que será el
manual con el que abordaremos la seguridad
de nuestra compañía, y que será acorde a
los requerimientos del negocio y capaz de
salvaguardartodos los activos de información.
“Las pymes, por norma general, cuentan con
menos recursos y menos personal para
proteger sus sistemas y su información .
Pero la seguridad es un área indispensable
no sólo para asegurar que la empresa pueda
mantener su actividad, sino que tambié n
representa una ventaja competitiva que le
permite mejorar su posición en el mercado y
dedicar sus recursos al crecimiento”, espeta
Ricardo Hernández, Director Técnico de
Kaspersky Lab.
Si desea leer el documento
completo, por favor haga clic aquí.
LA CATEDRAL INNOVA un espacio abierto a la innovación www.lacatedralonline.es/innova
7. Con el apoyo de:
GOBIERNO MINISTERIO
DE INDUSTRIA, TURISMO
DE ESPAÑA
Y COMERCIO