Ciberseguridad PYME: Modelo de Valoración

El documento comienza definiendo el término PYME (Pequeña y Mediana Empresa) según el Reglamento (UE) No 651/2014 de la Comisión Europea. Esta regulación establece que una PYME es una empresa que emplea a menos de 250 personas y cuyo volumen de negocios anual no supera los 50 millones de euros, o cuyo balance general anual no excede los 43 millones de euros. Es crucial destacar que para ser considerada PYME, la entidad primero debe ser clasificada como empresa. Esta definición se aplica a todos los programas de ayudas públicas de la Comisión Europea, ofreciendo un marco regulatorio unificado dentro de la Unión Europea. La importancia de esta definición estriba en su impacto en el acceso a subvenciones y programas de apoyo para este sector empresarial clave.

Tras establecer la definición europea, el documento realiza una comparación internacional de las clasificaciones de empresas, explorando las diferencias significativas existentes entre los sistemas de clasificación de diferentes regiones. Se observa una relativa similitud entre la terminología y los criterios utilizados en Europa y Norteamérica, aunque con posibles variaciones en aspectos como el monto del capital. En contraste, la situación en América del Sur se presenta como notablemente heterogénea. El análisis revela que no solo cada país utiliza criterios comparativos distintos, sino que incluso cuando existen criterios parcialmente unificados, los intervalos numéricos utilizados para definir las categorías de empresas difieren ampliamente. Esta falta de uniformidad dificulta la comparación y el análisis de datos a nivel regional. La ausencia de un estándar común representa un obstáculo para la creación de políticas económicas y de apoyo a las PYMEs a nivel continental.

El documento se centra en las PYMES españolas, ofreciendo un breve resumen de la normativa básica que rige su desarrollo y funcionamiento. Se extrae información del portal "PYMES" del Ministerio de Industria, Comercio y Turismo de España. Si bien se evita un análisis exhaustivo de la legislación, se mencionan elementos clave como las medidas urgentes para el fomento del empleo y la contratación indefinida, y las medidas para la reforma del mercado laboral. Se abordan también aspectos generales que impactan el sistema productivo español, incluyendo la administración electrónica, la protección de datos, y las medidas para fomentar la creación de empresas. Se resalta la importancia del emprendimiento y la innovación dentro del contexto de las PYMES españolas. Finalmente, se mencionan las obligaciones relacionadas con la seguridad social, el plan de contabilidad, la facturación electrónica y los impuestos específicos para sociedades (Impuesto de Sociedades, Impuesto de Actividades Económicas e IVA).

Se detalla que las obligaciones de las PYMES españolas se dividen principalmente en obligaciones fiscales y contables, ampliando la información proporcionada en la sección anterior. Se menciona el Fondo de Garantía Salarial (FOGASA) como un organismo clave para el pago de salarios pendientes a trabajadores en situaciones de insolvencia empresarial. A continuación, se analiza la interacción de las PYMES con las Administraciones Públicas a través de medios telemáticos. Se indica que el 92,3% de las PYMES y grandes compañías, y el 72,1% de las microempresas, interactuaron con la Administración Pública por medios electrónicos en un periodo no especificado. Se aclara que, según la Ley 39/2015, las personas jurídicas y entidades sin personalidad jurídica están obligadas a relacionarse electrónicamente con la Administración, siendo la cifra inferior al 100% debido a la utilización de terceros o representantes, especialmente en el caso de las microempresas. Esta sección destaca la creciente digitalización en la administración pública y su impacto en el sector PYME.

El documento destaca la significativa contribución del sector turístico a la economía, especialmente para las PYMES. Se enfatiza que el turismo genera importantes ingresos y crea numerosas fuentes de trabajo, tanto directas como indirectas, fortaleciendo así la distribución de la riqueza y el crecimiento económico de las naciones. Para muchos países en desarrollo, el turismo se ha convertido en una estrategia fundamental para desarrollar el sector servicios. Se resalta la relación directa entre el desarrollo de la actividad turística y el nivel de ingresos, y se subraya el amplio efecto multiplicador del turismo comparado con otros sectores productivos tradicionales debido a los beneficios directos (generación de riqueza) e indirectos (empleo y gastos en otros sectores).

Se presentan datos sobre el empleo generado por el sector turístico en España durante el año 2019. Se indica que se crearon 2.677.371 puestos de trabajo, representando el 13.4% del empleo total del país. Se destaca que la tasa de paro del sector (12.1%) fue inferior a la media nacional (13.8%). Además, se menciona una mejora en la calidad del empleo durante el último trimestre de 2019, con un aumento del 10.2% en los contratos indefinidos frente a una disminución del 3.2% en la contratación temporal. Estos datos evidencian la relevancia del sector turístico como motor de empleo en España y la tendencia hacia una mayor estabilidad laboral.

El análisis continúa con un estudio sobre la nacionalidad de los turistas que visitan España, basándose en datos del World Travel & Tourism Council de 2019. Se observa que el turismo en España es mayoritariamente europeo, con Reino Unido, Alemania y Francia como los principales países de origen, mostrando una diferencia significativa con el resto de las nacionalidades. Posteriormente, se explora la distribución geográfica de los turistas internacionales en España durante 2019. Se señala que Cataluña recibió la mayor cantidad de turistas, seguida de Baleares, Canarias y Andalucía. Las comunidades Valenciana y Madrid se sitúan en un tercer grupo, con una notable diferencia con respecto a las primeras cuatro. Esta información permite identificar las regiones con mayor impacto turístico y sus respectivas características.

Se introduce el tema de la clasificación hotelera, utilizando Andalucía como ejemplo para extrapolar los criterios a otras comunidades autónomas. Se indica que la clasificación se basa en los servicios ofrecidos, no en su calidad. Se menciona la iniciativa Hotelstars Union, creada en 2009 bajo el patrocinio de HOTREC (Confederación Europea de Hoteles y Restaurantes), con el objetivo de crear criterios unificados para la clasificación hotelera en Europa. Inicialmente con 7 países (Austria, Alemania, Suiza, República Checa, Hungría, Holanda y Suecia), Hotelstars Union ha crecido hasta incluir 17 países principalmente del centro y norte de Europa, con España negociando su adhesión. Este apartado muestra la necesidad de estandarización en el sector hotelero a nivel europeo y el interés de España en participar en este proceso de unificación.

La sección describe las tecnologías cada vez más presentes en los establecimientos hoteleros españoles. Se mencionan ejemplos como el check-in virtual, los puntos de carga para móviles, las llaves digitales, la domótica (climatización e iluminación), Chromecast/Smart TV, WiFi, MIFI, impresoras 3D, teléfonos Handy, gafas de realidad virtual, aplicaciones móviles del hotel, patinetes eléctricos, comunicación directa vía Whatsapp, reconocimiento facial, tabletas, sistemas de alerta sonora y check-out virtual. Se destaca que la presencia de estas tecnologías no solo es importante sino que se ha convertido en un factor determinante para la satisfacción del cliente y la competitividad del establecimiento. La proliferación de estas tecnologías, sin embargo, introduce nuevos retos en materia de seguridad informática.

Se analizan los riesgos de seguridad informática asociados a las tecnologías presentes en el sector hotelero. Se identifica una serie de ataques comunes, proporcionando ejemplos concretos de incidentes en empresas del sector. Entre los ataques mencionados se incluyen el juice jacking (infección de dispositivos a través de estaciones de carga), el ransomware (bloqueo de sistemas y cifrado de archivos con demanda de rescate), y los 'Point of Sale attacks' (ataques a los sistemas de punto de venta). Se detalla el caso del hotel Romantik Seehotel Jaegerwirt en Austria, que en 2016 sufrió un ataque de ransomware, paralizando el servicio de llaves electrónicas y dejando a 180 clientes sin acceso a sus habitaciones. El hotel tuvo que pagar 1500€ para recuperar el acceso. Otros riesgos mencionados incluyen la vulnerabilidad de las llaves digitales (tarjetas y digitales), la manipulación de chats directos, y el uso indebido de tours de realidad virtual y redes sociales para obtener información sensible. La falta de seguridad en estos puntos tecnológicos representa una amenaza significativa para la operatividad y la reputación de los hoteles.

Se profundiza en las vulnerabilidades específicas de distintas tecnologías. Se menciona la posibilidad de instalar malware en tabletas proporcionadas por el hotel si no se realiza un mantenimiento adecuado, así como la vulnerabilidad de los teléfonos Handy Phone debido a sus versiones desactualizadas de Android. Se destaca la vulnerabilidad de las Smart TV, que podrían ser controladas remotamente, incluso accediendo al micrófono y la cámara. También se describe cómo una mala configuración en los sistemas de domótica puede permitir el control de los dispositivos de todas las habitaciones por parte de personas no autorizadas, ilustrando con el caso del hotel St. Regis Shenzhen en China. Se explican técnicas como honeypot y evil twin para crear redes WiFi maliciosas que simulan la red del hotel, permitiendo el acceso a la información de los clientes. La utilización de aplicaciones propias del hotel, si no están correctamente diseñadas, también puede suponer brechas de seguridad. Finalmente se resalta la importancia del WiFi, una tecnología fundamental para los clientes pero también una fuente potencial de problemas de seguridad.

La sección concluye con recomendaciones de seguridad para mitigar los riesgos identificados, basándose en el marco de la norma ISO 27001. Se indica que la implementación de esta norma se basa en la definición de políticas y procedimientos, así como en medidas técnicas. La mayor parte de la implementación estará enfocada en la creación de reglas organizacionales para prevenir las violaciones de seguridad. Se mencionan las ventajas de la implementación de la ISO 27001, como el cumplimiento legal, las ventajas comerciales, la reducción de costos y una mejor organización de la empresa. Se enfatiza que la capacidad de defensa de una empresa reside más en la concienciación y en la definición de buenas políticas de seguridad que en la inversión en costosos dispositivos, destacando que la seguridad es un aspecto fundamental para cualquier empresa, independientemente de su tamaño.

El documento propone un modelo de PYME hotelera de 3 estrellas (basado en la prevalencia de este tipo de establecimiento en España, según datos del INE de julio de 2019 con 2993 establecimientos) para desarrollar un plan de seguridad. Se utiliza este modelo como base para una propuesta de seguridad informática basada en la norma ISO 27001, teniendo en cuenta los riesgos y recomendaciones que se detallan a lo largo del trabajo. La elección de un modelo de PYME hotelera permite una aplicación práctica de la norma ISO 27001, ofreciendo un análisis de riesgos concreto y directrices para el cumplimiento de la norma en un contexto empresarial real. Este enfoque práctico facilita la comprensión y la aplicación de las medidas de seguridad propuestas.

Se describe la norma ISO 27001 como un marco para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI) que las organizaciones deben implementar, mantener y mejorar continuamente. Se detallan los pasos clave para la implementación de la norma, incluyendo el contexto de la organización, el liderazgo, la planificación, el apoyo, la operación, la evaluación del desempeño y la mejora. Se enfatiza la importancia de la evaluación y el tratamiento de los riesgos de seguridad de la información, detallando los pasos necesarios para identificar los activos de información y sus responsables, calcular el riesgo (Riesgo = impacto x probabilidad), y elaborar un plan para tratar dichos riesgos. La conservación de la evaluación de riesgos como evidencia para futuros procesos y la realización de auditorías internas periódicas son puntos clave mencionados. La aplicación de la norma ISO 27001 proporciona ventajas, como el cumplimiento legal, ventajas comerciales, mejores costes y una mejor organización empresarial.

Se destaca que la capacidad de defensa de una empresa ante las amenazas de seguridad informática depende más de la concienciación y de la correcta definición de políticas de seguridad que de la inversión en costosos dispositivos. Por lo tanto, la implementación de un SGSI basado en ISO 27001 resulta viable y beneficiosa incluso para PYMES, ya que no requiere ser una multinacional para aplicar medidas de seguridad eficientes. Se enfatiza que no implementar medidas de seguridad es un riesgo inaceptable para cualquier empresa. La adopción de la ISO 27001 como guía para la implementación de un sistema de seguridad permite a las PYMES hoteleras proteger su información, cumplir con las regulaciones y mejorar su competitividad en un entorno cada vez más digitalizado, minimizando la exposición a riesgos y maximizando la confianza de los clientes.