Beruflich Dokumente
Kultur Dokumente
de Tecnologías
de la Comunicación
En col·laboració amb:
ÍNDEX
Índex ............................................................................................................................................ 2
1 INTRODUCCIÓ ..................................................................................................................... 3
1.1 Sobre l’Estudi.............................................................................................................................. 3
2 METODOLOGIA DE L’ESTUDI............................................................................................ 5
4 CONCLUSIONS.................................................................................................................. 13
5 RECOMANACIONS............................................................................................................ 15
6 ANNEX ............................................................................................................................... 18
6.1 Llistat d’experts participants................................................................................................... 18
La presente publicación pertenece a Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está bajo una
licencia Reconocimiento-No comercial 2.5 España de Creative Commons, y por ello esta permitido copiar, distribuir y
comunicar públicamente esta obra bajo las condiciones siguientes:
• Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su
procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento
no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra.
• Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su
uso no tenga fines comerciales.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones
puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia
menoscaba o restringe los derechos morales de INTECO.
http://creativecommons.org/licenses/by-nc/2.5/es/legalcode.ca
PUNTS CLAU
• Més del 80% dels ajuntaments de municipis grans i mitjans accedeix a la xarxa a través de banda
ampla, mentre que en el grup de petits municipis la proporció es redueix al 50%. Més del 98% de les
entitats utilitza programes antivirus i aproximadament el 70%, tallafocs; la primera és pràcticament
l’única eina implantada en la majoria de les administracions dels municipis de mida reduïda per
protegir-se de possibles incidències de seguretat en la seva informació.
• La implantació de les principals mesures i pràctiques de seguretat mostra un índex mitjà superior al
50% per a tots els governs locals, a excepció dels de municipis amb menys població
• Una generosa aplicació de la pràctica totalitat de mesures disponibles per part dels governs de
municipis grans i mitjans, en contraposició als de les localitats més petites, que fan dependre
pràcticament tota la seva seguretat dels antivirus; en aquest grup d’entitats, la mesura de seguretat
següent, quant al seu nivell d’implantació (encriptat de comunicacions) difereix amb la primera en 30
punts percentuals (un 94,9% davant d’un 62,7%). Aquestes dades evidencien la necessitat
d’impulsar en els petits municipis l’ús de mesures de caràcter proactiu (ex. còpies de suport de
dades i del programari).
• La política de “taula buida i pantalla bloquejada” (pràctica considerada pels experts consultats com la
més important) està implantada en menys del 36% de les entitats locals espanyoles, si bé la segona
més valorada (control del terminal de l’usuari) es troba en més del 90% de les entitats consultades.
• Cal fer un esforç més gran en formació, en actualització constant i en inversions en nous processos i
tecnologies informàtiques (expansió de la signatura digital) per prevenir possibles riscos, en
col·laboració amb els principals proveïdors de mesures de seguretat. A més, també és
imprescindible complementar aquestes actuacions amb la implantació de protocols d’actuació i codis
de conducta enfocats al compliment de les pràctiques de seguretat essencials per aconseguir
l’objectiu de seguretat.
1 INTRODUCCIÓ
Amb l’objectiu de proporcionar una visió actualitzada de l’estat i les necessitats de seguretat i
confiança digital de les entitats públiques locals a Espanya, que identifiqui els principals riscos
als quals estan exposats els seus sistemes d’informació i comunicacions, l’Institut Nacional de
Tecnologies de la Comunicació (INTECO), a través del seu Observatori de la Seguretat de
la Informació presenta l’Estudi sobre la seguretat de la informació i e-confiança en l’àmbit
de les entitats locals.
L’objectiu general de l’Estudi és avaluar l’estat operatiu dels principals mitjans i sistemes
de seguretat implantats a les entitats locals i tractar d’identificar els riscos als quals
estan exposats els seus sistemes d’informació i comunicacions.
Concretament, aquest estudi tracta, d’una banda, d’establir un àmbit de referència per orientar
un pla integral d’adequació i modernització dels sistemes i mesures de seguretat, que
reforci l’e-confiança dels usuaris en els serveis d’administració electrònica, i, d’una altra, de
distingir nous àmbits i vies d’actuació per a la introducció d’avanços en les aplicacions i
eines de seguretat que millorin les condicions de seguretat de la informació en l’àmbit dels
governs locals i la seva relació amb altres agents.
L’estudi ofereix una anàlisi única i inèdita fins ara de la situació actual de seguretat en
l’administració local espanyola, amb l’avaluació i la valoració del nivell d’implantació de les
eines i mesures de seguretat més importants disponibles en l’actualitat, i el grau
d’implementació de les millors pràctiques per a la gestió de la seguretat de la informació
identificades en la normativa internacional ISO/IEC 27002:2007. A més, l’informe recull les
principals recomanacions i línies d’actuació aportades pels diferents agents que han col·laborat
en la realització d’aquest estudi, sota la premissa de prevenir possibles incidències que puguin
afectar la seguretat de la informació i, si escau, obrar en conseqüència, amb l’establiment d’un
protocol d’actuació que resulti propici per a la defensa de l’organització davant les múltiples
amenaces informàtiques existents avui dia.
A partir dels resultats de les enquestes realitzades a una àmplia mostra de governs locals i de
les entrevistes personals a experts en el sector de les tecnologies de la informació i la
comunicació, l’estudi proposa les pràctiques de gestió de la seguretat i l’e-confiança que
haurien d’adoptar-se per garantir la confidencialitat, integritat i disponibilitat de la informació de
ciutadans i empreses.
2 METODOLOGIA DE L’ESTUDI
En aquest estudi s’ha emprat una metodologia centrada en l’obtenció d’informació primària, pel
caràcter inèdit de la seva temàtica, sota l’objectiu d’obtenir una visió completa de l’estat de la
seguretat de la informació i l’e-confiança dintre de les entitats públiques locals.
• D’una banda, la generació d’informació des d’una perspectiva tècnica i legislativa, amb
entrevistes personals a experts/professionals en la matèria, tant del sector públic
com del privat, que han col·laborat en la identificació de les millors pràctiques de gestió
de la seguretat i l’e-confiança per als governs locals.
• D’una altra, s’han fet enquestes a càrrecs polítics, personal laboral administratiu,
tècnics i usuaris en general dels sistemes d’informació dels governs locals dels
municipis espanyols, tenint en compte les seves característiques diferencials, en
funció de la mida dels municipis respectius (nombre d’habitants) i l’àmbit competencial
territorial, en el cas de les diputacions, consells, "cabildos" insulars i ciutats autònomes.
Aquesta doble vessant permet analitzar i confrontar els estats real i formal dels elements que hi
intervenen.
3 PRINCIPALS RESULTATS
Pel que fa als sistemes de connexió a Internet, més del 80% dels ajuntaments de municipis
grans i petits accedeix a la xarxa a través de banda ampla, mentre que en el grup de petits
municipis la proporció es redueix, sense arribar, en certs estrats, al 50%; en aquest grup, els
mètodes d’accés més tradicionals, com la xarxa de telefonia bàsica, són els més freqüents.
Antivirus 98,1%
Tallafocs 74,7%
Antispam 70,8%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Font: INTECO
Cal destacar que la mesura de seguretat informàtica més estesa és l’ús de programes
antivirus, implementada en la pràctica totalitat d’entitats públiques locals (98%), seguida del
tallafocs (74,7%), els dispositius d’autenticació i control d’accés, els programes contra la
recepció del correu brossa i l’encriptació de comunicacions, eines amb un índex de penetració
superior al 70%. Per contra, mesures com la signatura electrònica o l’execució de còpies de
seguretat de dades presenten índexs d’adopció inferiors al 50%. Les VPN per a accés remot 1 al
sistema són les mesures menys seguides.
1
La VPN (de l'anglès Virtual Private Network) o XPV (Xarxa Privada Virtual en català) és una tecnologia que permet que una xarxa
local d'equips es pugui connectar des d'una xarxa pública, o ampliar la xarxa sobre la mateixa xarxa pública. El cas més habitual
consisteix en la connexió des d'un equip públic (ex.: a través d'Internet) a una xarxa o equip local).
D’altra banda, la comparativa de les mesures de seguretat dels governs locals i les llars
espanyoles per índex de penetració 2 determina que els governs locals projecten una
preocupació més gran per la salvaguarda dels controls d’accessos a la informació
(mitjans d’autenticació/control d’accés). La utilització d’altres sistemes de protecció davant dels
codis maliciosos (malware) també ocupa les primeres posicions en ambdues llistes.
Font: INTECO
Finalment, a les llars, la protecció individual d’un equip es reflecteix en mesures més
particulars enfocades al mateix sistema, i és a les entitats locals on només tenen sentit
mesures com les VPN. També en l’administració local tenen més preponderància mesures com
l’encriptació de comunicacions o la signatura electrònica, accions de caràcter més tècnic que
no estan habitualment a l’abast d’un usuari domèstic, que les col·loca en últim lloc (encriptació
de documents).
2
INTECO: Estudi sobre la seguretat de la informació i e-confiança de les llars espanyoles (1ª onada: desembre–gener 07)-
www.inteco.es
Quant a la metodologia utilitzada per a la valoració de cada àrea, s’han agrupat els estrats en
els grups en els quals s’han segmentat les administracions locals, segons la mida dels
municipis dels quals depenen (petits, mitjans i grans) i les diputacions, consells i "cabildos"
insulars. Posteriorment, s’han separat per a cada grup els diferents conceptes dintre de cada
àrea de seguretat sobre la qual van ser enquestats. El resultat és una disgregació per a cada
grup de governs locals dels conceptes inclosos en cada àrea. Finalment, s’ha fet una
homogeneïtzació estadística per agrupar els valors dels diferents conceptes en els diferents
estrats dintre de cada grup i s’ha calculat un indicador mitjà per a cada grup i àrea de seguretat
estudiada.
0,0%
Classificació i/ o etiquetatge de 37,0%
la informació 32,1%
31,9%
Font: INTECO
Els ajuntaments de petits municipis presenten en aquesta àrea un nivell d’adopció deficient:
només el 35% dels governs locals d’aquest grup ha implantat aquestes mesures. Els índexs
pugen en el cas de diputacions, consells i "cabildos" insulars (47%) i ajuntaments de grans
municipis (52%), si bé, en aquesta àrea, el grup més avançat és el de governs de localitats de
mida mitjana, amb un grau d’assimilació del 60%.
• L’inventariat d’actius
Aquestes pràctiques llancen uns percentatges que, igual que en la majoria de les àrees
considerades, són superiors en els grups d’ajuntaments de grans municipis i entitats locals
provincials (62% i 59%, respectivament). Un cop més, els governs dels municipis més petits
ofereixen l’índex més baix d’aplicació d’aquestes pràctiques (29%).
Protecció d’àrees privades amb controls d’accés apropiats per assegurar que només hi
accedeixi personal autoritzat a les EL. (%)
Font: INTECO
En aquest cas, hi ha índexs més baixos d’implementació general; Oscil·len entre el 15% i el
38% corresponents, respectivament, a ajuntaments de petits i grans municipis.
L’àrea de Seguretat de les Xarxes i Operacions implica, entre d’altres, accions com:
Totes les categories d’administracions locals aconsegueixen en aquest cas el seu valor màxim
respecte a la resta de les àrees analitzades, amb percentatges d’implantació entre el 47%
(administracions locals de municipis petits) i el 79% (en el cas dels municipis mitjans). Els grans
ajuntaments i les diputacions, els consells i els "cabildos" insulars superen el 70% i es
diferencien només en una dècima.
L’àrea de Seguretat dels Accessos i Dades es basa, entre d’altres, en les pràctiques
següents:
100%
Realització de l’ accés remot a
88,9%
la xarxa a través d’ un procés
81,1%
d’ identificació segur
91,5%
100%
Control que la configuració 100%
dels sistemes operatius només
92,5%
la faci personal autoritzat
91,5%
25,0%
Restriccions per a l’ ús
37,0%
d’ aplicacions d’ alt risc fora
34,0%
d’ horari d’ oficina
42,6%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Aj. m unic. de m és de 500
Aj. m unic. de 100 a 500
Aj. m unic. de 50 a 100
Diputacions, consells i “cabildos” insulars
Font: INTECO
Els valors mitjans en aquest àmbit assoleixen només el 25%, en el cas dels governs de les
localitats petites, arriben al 60% en el dels mitjans i superen el 70% en els ajuntaments de
grans municipis i en les entitats locals provincials, amb menys d’un punt percentual de
diferència.
Es duen a terme de manera efectiva en tres de cada quatre diputacions, consells i "cabildos"
insulars i gairebé en un 70% de mitjana entre els ens locals dels grans municipis.
Aquestes pràctiques estan implantades en menys del 50% de les entitats locals. El valor més
petit correspon, de nou, amb els ajuntaments de municipis de mida més petita, encara que
també cal destacar que només un de cada quatre ens públic de grans municipis compleix les
normes i que pràcticament cap no fa auditories sobre seguretat.
90%
78,4
80% 74,0
72,9
75,2
70% 62,3 61,9
68,5
72,8 73,2
60% 59,6 48,4
52,8
50%
53,8 37,8 50,9
40% 46,8 44,2
46,8
33,5
30% 35,9 29,0
23,3
20% 29,4
15,5 24,9
10% 7,8
0%
Organització i Seguretat dels Seguretat dels Seguretat de Seguretat dels Compliment Seguretat de
gestió de la actius recursos les xarxes i accessos i normatiu i les
seguretat humans operacions dades continuïtat del aplicacions
negoci
Aj. petits m unic. (m enys de 2.000 hab.)
Aj. m itjans m unic. (de 2.000 a 50.000 hab.)
Aj. grans m unic. (m és de 50.000 hab.)
Diputacions, consells i “cabildos” insulares
Font: INTECO
A la banda contrària, els professionals han identificat una sèrie d’oportunitats de millora sobre
les quals les entitats locals han de treballar:
4 CONCLUSIONS
Com es va dir a l’epígraf inicial, el propòsit d’aquest informe és determinar el nivell de seguretat
de la informació i l’e-confiança en les entitats públiques locals a Espanya. Cal destacar el
caràcter inèdit de l’estudi, ja que cap de les matèries referides havia estat objecte d’anàlisi amb
anterioritat a aquesta investigació de l’Observatori d’INTECO.
Les dades recaptades en les enquestes i entrevistes a experts defineixen una situació de la
seguretat de la informació en l’àmbit de les administracions públiques locals caracteritzada per:
• Una preocupació més gran per la salvaguarda dels controls d’accés als equips i la
informació que a les llars, més interessades en la protecció dels equips.
• Reforçar les àrees de seguretat relatives a Xarxes i Operacions (controls contra codis
maliciosos i còpies de seguretat, entre altres pràctiques), Accessos i Dades (restricció i
control de privilegis o autenticació de connexions remotes) i Actius (esborrament dels
equips previ al seu reciclatge), davant de les àrees de Seguretat dels Recursos
Humans (acords de confidencialitat o establiment de rols i responsabilitats), Continuïtat
Operativa (pla de represa de l’activitat davant de qualsevol incidència que afecti la
seguretat) i Compliment Normatiu (de les lleis de protecció de dades, entre d’altres),
que registren més debilitat i, per tant, cal potenciar.
Les àrees de seguretat més valorades pels experts consultats i que, per això, han de
constituir la base sobre la qual es consolidin les altres són les de Seguretat dels Actius i
Seguretat de les Dades. Dintre d’aquestes àrees, les pràctiques de seguretat considerades
més rellevants han estat la de taula buida, fent ús de mitjans d’emmagatzematge amovibles, i
la pantalla bloquejada per reduir el risc d’accés no autoritzat (Actius), present en menys del
36% de les entitats locals, i el control del terminal de l’usuari (Accessos i Dades), implantat en
més del 90% de les entitats i relacionat amb la gestió de contrasenyes i autenticació de l’usuari.
8 Àrees de seguretat protegides per controls d’entrada 62,1% Seguretat dels actius
Font: INTECO
5 RECOMANACIONS
• Suport públic per garantir l’accés electrònic dels ciutadans als serveis públics. Per això
cal un finançament suficient, preferiblement a partir d’ajudes directes.
D’altra banda, la indústria, segons INTECO, ja siguin els fabricants i distribuïdors de solucions,
les consultores especialitzades o els integradors de sistemes d’informació i proveïdors de
serveis externalitzats, tenen una gran oportunitat de negoci en l’àmbit de les administracions
públiques locals, i amb el seu suport permeten que s’assoleixi amb èxit la implantació de
solucions i de les millors pràctiques de seguretat i confiança digital identificades. És per això
que en aquest sentit la indústria hauria de col·laborar més en aquest tipus d’iniciatives
públiques, personalitzant la seva oferta, aportant el seu coneixement, recursos i experiència en
programes similars d’èxit, internacionals o locals, en programes de difusió, divulgació i
comunicació de confiança en la seguretat de les tecnologies de la informació i les
comunicacions. A més, haurien de personalitzar la seva oferta a les necessitats de les entitats
locals espanyoles, aportant els seus recursos tècnics i humans i la seva capacitat de
distribució, implantació i postvenda en diferents accions de mercat, com la posada en marxa de
programes d’actualització i/o renovació tecnològica.
Per part seva, McAfee incideix en el fet que també les entitats administratives locals són
vulnerables a l’amenaça de possibles atacants. La seva infraestructura tecnològica i les seves
aplicacions o serveis corporatius poden perillar i, a causa del volum d’informació personal del
ciutadà que maneja, considera necessari que el fabricant de seguretat hagi d’elaborar
productes adaptats a les necessitats de les entitats locals, tenint en compte requisits de
simplicitat i cost i grau d’especialització, amb la finalitat de mitigar impactes o evitar fuites
d’informació, i d’auditoria. També reconeix la importància de la conscienciació, la sensibilització
i la formació, que faci possible la implementació de les mesures de seguretat necessària.
Symantec, per evitar greus crisis institucionals i empresarials, danys en la reputació causats
per suplantacions d’identitat o pèrdues de negocis per fallades en sistemes, aposta per dur a
terme una gran tasca de conscienciació i inversió, davant l’actual situació de desconeixement
dels perills que corren avui dia els sistemes informàtics, els quals han de gestionar-se
adequadament, tenint en compte el seu origen, per això caldrà combinar processos, personal,
tecnologia i informació, i els costos que la seva prevenció implica. Per últim, consideren
pertinent la necessitat de crear una gran capacitat institucional que doni suport a la satisfacció
de totes aquestes necessitats.
Finalment, Trend Micro destaca que els alts volums d’informació que manegen aquestes
entitats exigeixen, en funció del seu caràcter, públic o privat, diferents tipus de tractament i
processos de gestió que mantinguin la confidencialitat i la integritat de la informació. Així, han
de tenir polítiques, procediments, infraestructures i recursos tecnològics que ajudin a assegurar
la disponibilitat dels serveis i de la informació, que permetin agilitar els tràmits i fomentar
l’intercanvi d’informació en un entorn segur. En tot això, Trend Micro considera que el paper de
la indústria ha d’enfocar-se a oferir eines que permetin prestar un servei de més qualitat i més
proper al ciutadà que utilitza les noves tecnologies.
6 ANNEX
• Federico Serrano Paricio. Diputado delegado del Área de Nuevas Tecnologías de la Diputación
Provincial de Teruel
• José Luís Tudela Castrando. Jefe del Centro Municipal de Informática del Ayuntamiento de
Zaragoza
• José Manuel Pazos González. Jefe del Servicio de Sistemas de Información del Ayuntamiento
de Gijón
• José Miguel Galán Bueno. Gerente Aragonesa de Servicios Telemáticos. Gobierno de Aragón
• Josep Clotet. Gerente Accés Institut Municipal de Informática y Vocal del Consejo Asesor de
Nuevas Tecnologías de la FEMP
• Lluis Olivella. Gerente del Instituto Municipal de Informática del Ayuntamiento de Barcelona
• Miguel Ángel Amutio. Jefe del Área de Planificación y Explotación del Ministerio de
Administraciones Públicas
• Miguel Rego Fernández. Comité Ejecutivo del Área Seguridad del Ministerio de Defensa