Este documento describe las actuaciones de INTECO en materia de seguridad y calidad TIC. INTECO trabaja en áreas como e-Confianza, seguridad de la información, calidad del software, promoción de estándares y normalización. Ofrece servicios como el CERT para pymes y ciudadanos, la Oficina de Seguridad del Internauta, y el Centro Demostrador de Tecnologías de Seguridad. El objetivo es fomentar la confianza en las TIC y minimizar los riesgos de incidentes de seguridad.
2. Actuaciones en e-Confianza de INTECO
¿Qué es INTECO?
Instituto Nacional de Tecnologías de la Comunicación
Sociedad estatal adscrita al MITYC a través de SETSI
Instrumento del Plan Avanza para el desarrollo de la S.I
Pilares: Investigación aplicada, prestación de servicios y formación
OBJETIVOS
Convergencia de España con Europa
Crear en León un "Cluster-TIC" con alta capacidad de innovación.
Transversalidad tecnológica entre sectores y áreas de conocimiento TIC
Alta localización de conocimiento intensivo y conexión con otros centros
internacionales.
2
3. Actuaciones en e-Confianza de INTECO
2. Líneas estratégicas de actuación
e-Confianza
Calidad TIC Accesibilidad
(Seguridad)
Centro de Respuesta Centro de
a Incidentes en Referencia en
Tecnologías de la
Laboratorio Accesibilidad y
Información para PYMEs Nacional de Calidad
Estándares Web
y Ciudadanos SW
Formación Centro Nacional de
Oficina de Seguridad Tecnologías de la
el Internauta
Promoción de Accesibilidad
Centro Demostrador proyectos TIC
de Tecnologías de la Área de I+D+i en
Seguridad Promoción de Accesibilidad Web.
estándares y
Observatorio de normalización
Centro de Gestión
Seguridad de la de servicios públicos
Información interactivos - TDT
Ciudadanía e Internet
Innovación TIC y Competitividad PYME
3
4. Actuaciones en e-Confianza de INTECO
Modelo e-Confianza
INTECO-CERT para
PYMES y Ciudadanos
POLITICA PUBLICA
1 Sentar las bases de coordinación de
iniciativas públicas entorno a la Seguridad
Oficina de seguridad del
Internauta
Informática
Observatorio de la
Seguridad de la información
FORMACIÓN
EXTERNA
Creando conocimiento necesario para
2 alcanzar la excelencia en Seguridad TIC.
Curso de Técnicos de
Seguridad CSIRT - TRANSITS
(Training of Network Security
INTERNA Incident Teams Staff). TERENA.
CISSP Certified Information Systems Máster Profesional en
Security Professional Tecnologías de Seguridad de la
información.
Programa de Formación de Especialistas
Programa de Formación de
Implantadores y Auditores SGSI Especialistas Implantadores y
Taller de Especialista en Auditorías LOPD Auditores SGSI
4
5. Actuaciones en e-Confianza de INTECO
Motivación: la Sociedad de la Información
En España: 24 millones de internautas.
Las TIC son de uso cotidiano a todos los niveles.
Fuente: ONTSI: Evolución de los usos de internet en España 2009.
http://www.ontsi.red.es/hogares-ciudadanos/articles/id/3650/evolucion-los-usos-internet-espana-2009.html
5
6. Actuaciones en e-Confianza de INTECO
Motivación: la Sociedad de la Información
Fuente: ONTSI: Evolución de los usos de internet en España 2009.
http://www.ontsi.red.es/hogares-ciudadanos/articles/id/3650/evolucion-los-usos-internet-espana-2009.html
6
7. Actuaciones en e-Confianza de INTECO
Motivación: Cultura de seguridad del usuario.
El conocimiento sobre los riesgos que existen en Internet está por debajo de la
media de la Unión Europea.
España es el país que menos seguro se siente a la hora de realizar transacciones.
Fuente: Confidence in the Information Society.
The GallupOrganization. Eurobartometer. Mayo 2009.
7
9. El Centro de Respuesta a Incidentes de
Seguridad, INTECO – CERT, http://cert.inteco.es
9
10. INTECO-CERT
Objetivos
Impulsar la confianza en las nuevas tecnologías promoviendo su uso
de forma segura y responsable
Minimizar los perjuicios ocasionados por incidentes de seguridad,
accidentes o fallos facilitando mecanismos de prevención y reacción
adecuados
Prevenir, informar, concienciar y formar a la pyme y el ciudadano
proporcionando información clara y concisa acerca de la tecnología y el
estado de la seguridad en Internet.
10
11. INTECO-CERT
Servicios en materia de seguridad: http://cert.inteco.es
Servicios de Información:
• Boletín de Actualidad: notas, nuevos virus, noticias y eventos.
• Boletines de Alertas y Avisos de seguridad: notificaciones tempranas sobre nuevas
amenazas (fraudes, vulnerabilidades, virus, etc.). Orientados por perfiles, Técnico
y no Técnico.
• Estadísticas propias de virus propagados por correo, spam y fraude.
Servicios de Formación: buenas practicas, guías, artículos y cursos online
Servicios de Protección: recomendaciones de uso, manuales y útiles gratuitos.
Servicios de Respuesta y Soporte:
• Gestión y resolución de Incidencias
• Gestión de Malware o código malicioso
• Fraude electrónico
• Asesoría Legal
• Foros
11
12. INTECO-CERT
Servicios de Información: Virus en el correo
electrónico. Red de sensores de Virus.
Más de 170 sensores más de 100 millones de correos procesados al día.
0,40% de detección de correos infectados de virus informáticos en más de 40.000
millones de correos analizados.
Información de detecciones de malware en correo en https://ersi.inteco.es
12
13. INTECO-CERT
Servicios de Información: Mapa nacional de
infecciones de Virus en el correo electrónico
De los 170 sensores más de 120
sensores con distribución geográfica
más de 12 millones de correos
analizados al día.
Desglose por comunidad autónoma de la
detección de virus.
Indicación por colores del estado del
correo electrónico en cada comunidad
13
14. INTECO-CERT
Servicios de Información: SPAM. Red de
sensores de SPAM.
Sensores distribuidos para captura de
SPAM (35 millones diarios de correos
basura) y direcciones IP origen de
SPAM análisis del correo emitido
desde más de 7-8 millones de
direcciones IP al día
Objetivos:
• Estudiar evolución del SPAM.
• Establecer relaciones con la
distribución de malware y fraude
• Contribuir a la mejora del servicio de
correo electrónico
• Ampliar datos sobre la Red de
Sensores de Seguridad
14
15. INTECO-CERT
Servicios de Respuesta y Soporte.
Herramientas propias: CONAN. Configuración y
Análisis.
Elaboración de
Los usuarios se descargan la Se analiza la Estadísticas
herramienta CoNan información y se internas
identifican los
elementos
maliciosos
Ejecución de CoNan en el BBDD
PC de usuario
La información obtenida se envía La información Se muestra al
al servidor de forma automática. recibida se usuario final el
Esta información se envía de almacena en la resultado del análisis
forma cifrada. Base de Datos. del equipo
15
16. INTECO-CERT
Servicios de Respuesta y Soporte.
Lucha contra el Fraude. Grupos de trabajo
Grupos de Trabajo:
- Grupo de trabajo de FCSE
- Grupo de trabajo de entidades financieras.
16
18. OSI
Servicios de la Oficina de Seguridad del Internauta
Portal Web, http://www.osi.es , de fácil acceso con herramientas,
información útil y sistemas de ayuda al internauta sobre temas de seguridad:
Contenidos en materia de seguridad (guías, manuales, buenas
prácticas, preguntas frecuentes, etc.).
Catálogo de herramientas y útiles de seguridad.
Actualidad, noticias y eventos.
Servicio online de consultas guiadas y formularios de consulta.
Foros de seguridad.
Atención de consultas al internauta:
Telefónicas (901 111 121).
Web: foros y correo electrónico.
Horario: L-V 9:00-19:00, Sábados 9:00-14:00
18
19. Centro Demostrador de Tecnologías de la Seguridad
Catálogo de empresas y soluciones
Catalogación de todos los actores
del mercado, datos de proveedor.
Catalogación de los productos que
ofrecen, datos de producto.
Catalogación de los servicios que
ofrecen, datos de servicio.
Catálogo impreso
19
20. Difusión e impulso del DNIe,
http://www.inteco.es/Seguridad/DNI_Electronico/
20
21. Difusión e Impulso del DNI-e
Los Perfiles de Protección son
documentos que especifican una Van a servir para desarrollar y
solución de seguridad: la creación y certificar aplicaciones de
firma con DNIe con garantías
verificación de firma electrónica con
de seguridad:
DNIe:
Tipo 1: para plataformas TDT,
adoptan la legislación y normativa PDA’s o teléfonos móviles
nacional y europea Tipo 2: para ordenadores
definen el nivel de garantía de personales con S.O. de propósito
seguridad que ofrece una aplicación general
certificada que cumpla con el perfil
Unas Guías que facilitarán a los
Los niveles de garantía de seguridad desarrolladores el
EAL1 y EAL3 indican la profundidad y cumplimiento con los
rigor exigido en la evaluación de las perfiles se podrán descargar
aplicaciones que se quieran certificar. del Portal del DNIe de
INTECO
21
22. Difusión e Impulso del DNI-e
Perfiles de protección. Primer Perfil (PP1) – EAL1
Se centra en los requisitos de los medios de firma que tengan un completo
control de todos sus componentes hardware y software.
El perfil de protección se espera que se utilice para certificar medios de firma
asociados a plataformas TDT, dispositivos portátiles tipo PDA o teléfonos
móviles.
22
24. Servicios
Líneas del Laboratorio
LABORATORIO NACIONAL DE CALIDAD DEL SOFTWARE
SENSIBILIZACIÓN, SERVICIOS y
DIFUSIÓN Y HERRAMIENTAS
FORMACIÓN
Seminarios. Servicio Autodiagnóstico
Teleformación y cursos. Servicio Herramientas
Guías y plantillas. Servicio Artefactos
24
25. Promoción de estándares y normalización
Generación módulos SW XBRL.
Taxonomías PGC2007, LENLOC, etc.
1. Análisis, diseño, construcción e integración
2. Validación y adaptación con proveedores
herramientas contables y ERPs
3. Evaluación de implantación
4. Fase de soporte
Promoción de estándares, normalización y certificación
Elaborar normas y documentos técnicos sectoriales
Coordinación de acciones difusión y fomento de aplicación de las normas
Oficina de apoyo a la calidad que garantice:
Calidad del software como producto terminado
Capacidad de empresas en el proceso de desarrollo y servicios de calidad
Asistencia en normalización y certificación TIC en colaboración con AGE
Participación en Comités Técnicos de Normalización, grupos de trabajo AENOR, convenios y colaboración
asociaciones, sector privado y universidades. AEC, UPM, ESI
25
26. Seminarios y formación
Impartición de seminarios
Gestión de la convocatoria, logística y agenda
Ejecución de seminarios por toda la geografía
española
Generación de informes de resultados
Formación
Impartición de módulos de calidad del software en
cursos de formación tecnológica de INTECO
26
29. Servicios online
SERVICIO AUTODIAGNÓSTICO DE EMPRESAS
Objetivo:
Realizar procesos de auto-evaluación basados en áreas de proceso de un
modelo de calidad en base a cuestionarios que analizan la situación de la
empresa.
Beneficios:
Permite a las empresas realizar no sólo un ejercicio crítico de revisión, sino
también un seguimiento del mismo con capacidad analítica y comparativa de
tendencias y líneas base.
Ofrece una serie de recomendaciones en tres ámbitos que ayudarán a mejorar
en las áreas de proceso en las que se hayan encontrado debilidades:
• Prácticas y actividades.
• Artefactos.
• Herramientas.
29
33. OPORTUNIDAD PARA LA INDUSTRIA
El Real Decreto 3/2010, de 8 de enero (BOE de 29 de enero), por el que se regula el Esquema
Nacional de Seguridad en el ámbito de la administración electrónica, regula el citado Esquema
previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los
ciudadanos a los Servicios Públicos. Su objeto es establecer la política de seguridad en la
utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos
que permitan una protección adecuada de la información.
El 31 de marzo se presentó el Proyecto de Real Decreto sobre Protección de Infraestructuras
Críticas y se puso a disposición del Consejo Europde los interesados en virtud del art. 24 de la
Ley 50/1997 de 27 de noviembre, del Gobierno. Este proyecto tiene por finalidad el
establecimiento de medidas de protección de aplicación a las infraestructuras críticas, que
proporcionen una base adecuada sobre la que se asiente una eficaz coordinación de las
Administraciones Públicas y de las entidades y organismos gestores o propietarios de
infraestructuras que presten servicios públicos esenciales para la sociedad, con el fin de lograr
una mejor seguridad para aquellas.
Sobre esta base se sustentarán el Catálogo Nacional de Infraestructuras Estratégicas y el Plan
Nacional de Protección de Infraestructuras Críticas, como principales herramientas en la gestión
de la seguridad de nuestras infraestructuras. Por otra parte, el futuro Real Decreto vendrá a
transponer a la legislación nacional la Directiva 2008/114 eo, de 8 de diciembre de 2008, sobre la
identificación y designación de Infraestructuras Críticas Europeas y la evaluación de la necesidad
de mejorar su protección.
33