Ponencia "INTECO y la seguridad" Fernando Gutiérrez Fernández
Secretario General de INTECO
Dentro de las Jornadas de Difusión del Esquema Nacional de Seguridad Abril-Mayo 2011. XUNTA DE GALICIA-AGESTIC
1. “INTECO y la seguridad”
Fernando Gutiérrez Fernández
Secretario General de INTECO
2. 1- El Instituto Nacional de Tecnologías de
la Comunicación, INTECO
2
3. ¿Qué es INTECO?
Instituto Nacional de Tecnologías de la
Comunicación
Sociedad estatal creada en 2006, adscrita al
Ministerio de Industria, Turismo y Comercio
(MITYC) a través de la Secretaría de Estado de
Telecomunicaciones y para la Sociedad de la
Información (SETSI). El 100% de su capital
pertenece a la Entidad Pública Empresarial red.es.
Herramienta para la el desarrollo de la Sociedad
de la Información.
Gestión, asesoramiento, promoción y difusión
de proyectos para la Sociedad de la Información.
Sus pilares son la investigación aplicada, la
prestación de servicios y la formación. 3
4. Misión de INTECO (1)
La misión de INTECO es aportar valor
e innovación a los ciudadanos, a las
PYMES, a las Administraciones
Públicas y al sector de las tecnologías
de la información, a través del
desarrollo de proyectos que
contribuyan a reforzar la confianza en
la Sociedad de la Información en
nuestro país, promoviendo además
una línea de participación
internacional.
4
5. Misión de INTECO (2)
La Confianza es un elemento esencial de la
Sociedad de la Información
Para que una Sociedad de la Información sea
confiable debe cumplir los siguientes requisitos:
debe ser segura.
debe ser accesible evitando la exclusión
digital.
debe ofrecer servicios de calidad.
5
6. Áreas de especialización de INTECO
Líneas actuales de trabajo
Seguridad
Tecnológica
Accesibilidad
Calidad TIC
6
7. ¿Para quién trabaja INTECO?
¿Quiénes son sus clientes?
Las Administraciones Públicas, en particular,
la Administración General del Estado, de la que
INTECO es “medio propio y servicio técnico”.
Las PYME.
Las empresas españolas del sector TIC,
especialmente las que trabajan en las líneas de
actividad de INTECO.
Los ciudadanos en general.
7
8. INTECO medio propio de la AGE
Encomiendas de gestión
INTECO desarrolla la parte esencial de su actividad con la
Administración General del Estado (y sus Organismos Públicos) de
la que constituye medio propio y servicio técnico. De esta manera
presta servicios a la Administración en temas de seguridad
tecnológica, accesibilidad y calidad TIC de una forma ágil y eficaz a
través de la figura de las encomiendas de gestión.
A través de esta fórmula, cualquier órgano u Organismo Público
de la Administración General del Estado puede requerir la
prestación de servicios de INTECO sin necesidad de acudir a
licitación pública, al quedar expresamente excluida la aplicación de
la Ley de Contratos del Sector Público (Ley 30/2007) de acuerdo
con su artículo 4.1 n).
Compromiso con los resultados
Mediante encomiendas de gestión, INTECO compromete la
consecución de unos objetivos marcados mediante acuerdo con la
entidad.
INTECO facilita el desarrollo de proyectos con entrega “llave en
mano” de resultados pactados con la entidad. 8
9. Pertenencia a foros y grupos especializados
Seguridad:
Permanent
Stakeholders Group
Accesibilidad:
Estándares:
9
10. 2- Proyectos y servicios públicos de
INTECO en materia de Seguridad TIC
10
11. Área de Seguridad Tecnológica
¿Qué tipo de actividades desarrolla en materia de
seguridad?
Desarrolla proyectos en ejecución de políticas públicas
en torno a la Seguridad de la Información.
Promueve la investigación aplicada y la formación
especializada en el ámbito de la seguridad de la
información.
Presta servicios de Seguridad de la Información a sus
clientes.
Oficina de
CENTRO Seguridad
INTECO - DEMOSTRADOR
CERT del
DE TECNOLOGÍAS Internauta
OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN
11
12. El Centro de Respuesta a Incidentes de
Seguridad, INTECO - CERT
12
13. INTECO-CERT
Objetivos
Impulsar la confianza en las nuevas tecnologías promoviendo
su uso de forma segura y responsable
Minimizar los perjuicios ocasionados por incidentes de
seguridad, accidentes o fallos facilitando mecanismos de
prevención y reacción adecuados
Prevenir, informar, concienciar y formar a la PYME y el
ciudadano proporcionando información clara y concisa acerca
de la tecnología y el estado de la seguridad en Internet.
13
14. http://cert.inteco.es
Servicios de Información:
• Suscripción a boletines y alertas
• Actualidad, noticias y eventos
• Avisos online sobre nuevos virus, vulnerabilidades, virus más extendidos
por correo electrónico, información sobre correo electrónico no deseado.
Servicios de Formación: guías, manuales, cursos online
Servicios de Protección: útiles gratuitos y actualizaciones de software
Servicios de Respuesta y Soporte:
• Gestión y resolución de Incidencias
• Gestión de malware o código malicioso
• Fraude electrónico
• Asesoría Legal
• Foros
14
16. Servicios de la Oficina de Seguridad del
Internauta
Portal Web de fácil acceso con herramientas, información útil y
sistemas de ayuda al internauta sobre temas de seguridad:
www.osi.es
Contenidos en materia de seguridad (guías, manuales,
buenas prácticas, preguntas frecuentes, etc.).
Catálogo de herramientas y útiles de seguridad.
Actualidad, noticias y eventos.
Servicio online de consultas guiadas y formularios de consulta.
Foros de seguridad.
Atención de consultas al internauta:
Telefónicas (901 111 121).
WEB: foros y correo electrónico.
16
18. Ciudadanos:
Estudio sobre la seguridad de la información y e-confianza
de los hogares españoles.
Estudio sobre los hábitos de seguridad en el uso de las TIC
y acceso a contenidos por niños y adolescentes y la e-
confianza de padres y tutores.
Estudio sobre medidas de seguridad en plataformas
educativas.
Estudio sobre la privacidad de los datos y la seguridad de la
información en las redes sociales online
Empresas:
Estudio sobre la seguridad y e-confianza en las pequeñas y
microempresas españolas
Estudio sobre incidencias y necesidades de seguridad en
las Pequeñas y Medianas Empresas españolas
Estudio sobre el grado de adaptación de las Pequeñas y
Medianas Empresas españolas a la Ley Orgánica de
Protección de Datos (LOPD) y el nuevo Reglamento de
Desarrollo de la LOPD (RDLOPD)
Estudio sobre el sector de la seguridad TIC en España. 18
19. Administraciones Públicas:
Estudio sobre la seguridad de la información y e-confianza
en el ámbito de las Entidades Locales.
Estudio sobre las iniciativas para la promoción y difusión
de la e-confianza y seguridad de la información por parte
de las Comunidades Autónomas.
Estudio sobre la seguridad de los datos de carácter
personal en el ámbito de las Entidades Locales españolas
Monográficos de seguridad:
Estudio sobre usuarios y profesionales de entidades
públicas y privadas afectadas por la práctica fraudulenta
conocida como phishing.
Estudio sobre la situación, naturaleza e impacto económico
del correo electrónico no deseado (spam) para ciudadanos
y empresas
Estudio sobre la problemática de la seguridad en las redes
móviles e inalámbricas y sus políticas de securización.
Estudio sobre el fraude a través de Internet
19
21. Objetivos
Fomentar y difundir el uso de tecnologías de seguridad
de la información
Catálogo de Empresas y Soluciones de
Seguridad TIC
Análisis de productos de seguridad
Formación a la PYME
Difusión e impulso de la tecnología de
seguridad
http://demostrador.inteco.es
21
22. Centro Demostrador de Tecnologías de la Seguridad
TAXONOMÍA DE SOLUCIONES DE SEGURIDAD TIC 2.0– INTECO
22
23. 3- Servicios a la AGE y sus Organismos
Públicos, como medio propio
23
24. Servicios de Seguridad
Auditorías técnicas de Seguridad.
Auditoría de Seguridad Perimetral.
Auditoría de Seguridad Interna.
Auditorías de Seguridad Web.
Auditorías de código de aplicaciones.
Auditorías de Seguridad sobre Activos de Información móviles.
Auditorías de Seguridad sobre redes y protocolos de comunicación.
24
25. Servicios de Seguridad
Bastionado de Sistemas.
Análisis forense de sistemas.
Análisis de riesgos.
25
26. Servicios de Seguridad
Sistemas de Gestión de la Seguridad de la Información y Planes directores
de seguridad. Adaptación al Esquema Nacional de Seguridad.
Seguridad gestionada.
26
27. Servicios de Accesibilidad
Informes de Auditoría de Accesibilidad Web. (WCAG 1.0/2.0 y UNE 139803:2004)
Soporte de Consultoría.
Implantación de un Módulo de Monitorización de Accesibilidad Web
Comparativa de Puntuación entre oleadas
Nivel I, Nivel II y Media Global.
10,00
9,00
7,6 8
8,00
7,2 3 7,3 0
7,14
6 ,9 2 6 ,8 5 6 ,9 1
7,00 6 ,56 6 ,59
6,00
5,00
4,00
3,00
2,00
1,00
0,00
Nivel I Nivel II Media
Oleada I - Enero 2007 7,14 6,56 6,85
Oleada II - Octubre 2007 7,68 6,92 7,30
Oleada III - Mayo 2008 7,23 6,59 6,91
TOTALES
Nivel A Nivel AA NV
10%
70%
20%
27
29. c
cl
o
ao
m
ls
e
i
Servicios de Calidad TIC
n
d
d
a
a
dt
c
Evaluación de la calidad de un producto software.
o
i
ds
o
e
n
lo
e
b
s
pt
re
d
on
e
di
ud
m
co
e
ts
j
o
o
r
a
Oficina Técnica de Calidad TIC.
Adquiridor Oficina Técnica Proveedor
29
31. Servicios de Investigación y Estudios
Diseño y ejecución de proyectos de investigación ad-hoc.
Panel de usuarios de Internet.
Elaboración de material de divulgación en colaboración con otras Entidades.
31
32. Formación
Formación en línea
Formación presencial
Manuales y guías
32
33. Recursos de INTECO
Recursos de INTECO
PERSONAS
• Plantilla propia formada por 72 especialistas, la mayoría
certificados ISO 27001, CISA, etc.
• 70 expertos de empresas externas que sirven de apoyo a las líneas
de actuación.
• Posibilidad de contratar nuevos activos de apoyo a proyectos
concretos.
INFRAESTRUCTURA TECNOLÓGICA
• Laboratorios de evaluación, testeo y desarrollo de soluciones TIC.
• Aulas de Formación, salón de actos, salas de videoconferencia...
EDIFICIO INTECO
• 9.000 metros cuadrados de oficinas e instalaciones equipadas con los
medios técnicos más avanzados.
Sede Principal:
Edificio INTECO.
Avenida José Aguado, nº 41.
24005. León
Oficina de Madrid:
Edificio Bronce.
Plaza Manuel Gómez Moreno, s/n.
28020. Madrid. 33
34. 4- ¿Cómo va a orientar INTECO sus
servicios para atender a los objetivos de
Confianza y seguridad de la Agenda Digital
Europea?
34
35. 1. La Agenda Digital Europea (ADE)
recoge tanto acciones que llevará a
cabo la Comisión, como las que
deberían llevar a cabo los Estados
miembros. La perspectiva de esta
presentación es la de un Estado
miembro.
2. En el caso español, estas acciones se
enmarcan en la Estrategia 2011-2015
del . Eje “Confianza y
Seguridad”
35
36. Medidas previstas
Extender la cultura de la
seguridad a la ciudadanía y a la
PYME.
Gestionar la privacidad de forma
equilibrada.
Generalizar el uso del DNIe, así
como la identidad y firma digital.
Responder proactivamente a los
incidentes de seguridad.
36
37. Objetivos concretos
Consolidar al Instituto Nacional
de Tecnologías de al Comunicación
(INTECO) como un centro de
excelencia y soporte al ciudadano
en materia de confianza en la
Sociedad de la Información.
Lograr que en 2013 el número de
accesos a servicios de confianza en la
Sociedad de la Información de
INTECO alcance la cifra de 5.000.000.
37
38. Red de CERT a nivel nacional:
Intensificar la coordinación con los restantes
CERT nacionales. En particular el CCN CERT.
Puesta a disposición de sus servicios, tecnologías
y equipo de profesionales para extender de un
modo rápido y eficiente en el coste las capacidades
de respuesta ante incidentes, mediante la creación
de CERT sectoriales o de ámbito regional.
Simulación de ataque a gran escala:
Disponibilidad a participar.
Apoyo a la preparación de la Administración
General del Estado mediante sus servicios de
seguridad: adecuación al Esquema Nacional de
Seguridad.
38
39. Números de teléfono para notificar contenidos
ofensivos o nocivos en línea: posibilidad de incorporar
este nuevo servicio a los que ya presta la OSI.
Campañas de sensibilización a los niños sobre la
seguridad en línea:
Creación de una sección específica de menores de
la OSI que incluya también contenidos formativos
para tutores.
Desarrollo acciones de sensibilización en las
propias escuelas en materia de uso seguro de las
nuevas tecnologías.
Intensificación del uso de las redes sociales.
39
41. Colaboración para el ENS (1)
Elaboración de Políticas de Seguridad (Art. 11
R. D. 3/2010). Implantación interna y externa de
SGSI, de acuerdo con ISO 27001.
Análisis y gestión de riesgos (Art. 13).
Experiencia en MAGERIT-PILAR.
Formación de personal en deberes y
obligaciones en materia de seguridad (Art. 14).
Contenidos y plataforma e-learning propia.
Profesionalidad (Art. 15). Certificación ISO
27001 y pertenencia a los foros internacionales
de más prestigio en este ámbito.
Adquisición de productos de seguridad (Art.
18). Catálogo de empresas y soluciones de
seguridad TIC.
41
42. Colaboración para el ENS (2)
Recuperación y conservación a largo plazo
de documentos electrónicos(Art. 21 R. D.
3/2010). Participación en el proyecto APEnet
(Archivos Públicos Europeos en red).
Prevención ante sistemas de información
interconectados (Art. 22). Auditorías de
seguridad perimetral.
Incidentes de seguridad (Art. 24). Servicios
del INTECO-CERT.
Auditoría de la seguridad (Art. 34 y Anexo III).
Catálogo de auditorías técnicas: web,
perimetral, interna.
Informe del estado de la seguridad (Art. 35).
Paneles de seguridad en los hogares y en las
PYME. 42
43. Colaboración para el ENS (3)
Proyectos de I+D+i (Disposición adicional 2ª)
“El INTECO, como centro de excelencia promovido por el
MITYC para el desarrollo de la sociedad del conocimiento,
podrá desarrollar proyectos de innovación y programas
de investigación dirigidos a la mejor implantación de las
medidas de seguridad contempladas en el presente R.D.”
Herramienta CONAN: Análisis de
Configuración.
Herramienta JENNINGS: Análisis de malware.
Solución CIAM: Paquetización de servicios
CERT
Red de Sensores.
43