PYMEs y seguridad

Haciéndome eco de la sugerencia recibida por parte de INTECO de difundir los resultados del último estudio que han realizado sobre "incidencias y necesidades de seguridad en las pequeñas y medianas empresas españolas", hoy quiero hacer un pequeño resumen de dicho estudio, cuyos resultados oficiales y reseña pueden consultarse aquí.

La verdad es que, viendo los resultados del informe, el panorama no parece muy halagüeño (me niego a calificarlo como desolador). Es por todos conocido que en las microempresas (menos de 10 empleados) la introducción de la tecnología es escasa, pero ver que sólo un 60% tienen ordenador o sólo un 45% conexión a Internet (por no hablar del escaso 18% con página web) refleja claramente las dificultades que nos podemos encontrar, desde el punto de vista de la seguridad de la información, en estas empresas. Si ni siquieran tienen su información digitalizada, probablemente su preocupación por conservar la confidencialidad o la disponibilidad sea pequeña.

Desde esta situación de partida, con una evidente escasa cultura de seguridad, es desde donde es entendible que prácticamente no haya preocupaciones por los incidentes de seguridad, pese a sufrirlos con cierta frecuencia. En general sí que podríamos decir que se percibe cierta "consciencia" acerca de los riesgos de seguridad derivados de Internet, pero me temo que esa "consciencia" es más consecuencia de noticias sensacionalistas (hackers, virus, etc.) y fabricantes con agresivas campañas de marketing que de una cultura real de seguridad. Es por éso por lo que sí que se implantan algunos productos de seguridad, y sin embargo cuando nos adentramos en medidas con mayor componente procedimental (dedicación de tiempo a tareas de seguridad) la estadística cae en picado. Porque sólo con una cultura de seguridad se justifican esas dedicaciones.

A partir de esa situación , el informe que presenta INTECO aboga por un mayor enfoque de la empresa privada de servicios de seguridad hacia las PYMEs y por la constitución de la Administración Pública en motor para el avance hacia una mayor seguridad de la información. Me parecen dos vías acertadas, aunque a simple vista se me antojan insuficientes. Y no por su ámbito de actuación, sino por la escasa profundidad de su desarrollo. Nos guste o no, tanto la empresa privada de servicios como la administración pública mira antes por sí misma que por el beneficio "colateral" hacia clientes o sociedad, y para que estas propuestas tuviesen un calado suficiente sería necesario cambiar esa filosofía, lo cual me parece francamente difícil. Así que la vía alternativa sería encontrar alguna vía efectiva a través de la cual la empresa privada o la administración pública se beneficien directamente del beneficio que obtengan sus clientes o su entorno de ver mejorada su seguridad. Cómo? Me temo que a día de hoy las únicas vías efectivas son los incentivos económicos, vía subvenciones o beneficios fiscales. Y el problema es que el dinero se administra en función de las prioridades. ¿Está la seguridad de la información entre las prioridades reales de nuestra sociedad política? En tiempo de elecciones, alguien se acordará de ella? Y se cumplirán las promesas de turno, o quedará sólo en buenas intenciones? Seguro que podremos ir viendo la evolución... en la propia web del INTECO.