Documente Academic
Documente Profesional
Documente Cultură
de Tecnologías
de la Comunicación
En colaboración con:
ÍNDICE
Índice ........................................................................................................................................... 2
1 INTRODUCIÓN ..................................................................................................................... 3
1.1 Sobre o Estudo ........................................................................................................................... 3
4 CONCLUSIÓNS.................................................................................................................. 13
5 RECOMENDACIÓNS ......................................................................................................... 15
6 ANEXOS ............................................................................................................................. 18
6.1 Listaxe de expertos participantes........................................................................................... 18
La presente publicación pertenece a Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está bajo una
licencia Reconocimiento-No comercial 2.5 España de Creative Commons, y por ello esta permitido copiar, distribuir y
comunicar públicamente esta obra bajo las condiciones siguientes:
• Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su
procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento
no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra.
• Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su
uso no tenga fines comerciales.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones
puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia
menoscaba o restringe los derechos morales de INTECO.
http://creativecommons.org/licenses/by-nc/2.5/es/legalcode.gl
PUNTOS CLAVE
• Máis do 80% dos Concellos de grandes e medianos municipios accede á Rede a través de banda
ancha, mentres que no grupo de pequenos municipios a proporción se reduce ao 50%. Máis do 98%
das entidades utiliza programas antivirus e aproximadamente un 70%, barreiras de control, sendo a
primeira practicamente a única ferramenta implantada na maioría das administracións dos
municipios de reducido tamaño para protexerse de posibles incidencias de seguridade na súa
información.
• A implantación das principais medidas e prácticas de seguridade mostra un índice medio superior ao
50% para todos os gobernos locais, a excepción dos de municipios de menor poboación.
• Unha xenerosa aplicación da práctica totalidade de medidas dispoñibles polos gobernos de grandes
e medianos municipios, en contraposición aos das localidades de menor tamaño, que fan depender
practicamente toda a súa seguridade dos antivirus; neste grupo de entidades, a seguinte medida de
seguridade en canto ao seu nivel de implementación (cifrado de comunicacións) difire coa primeira
en 30 puntos porcentuais (un 94,9% fronte a un 62,7%). Estes datos evidencian a necesidade de
impulsar nos pequenos municipios o uso de medidas de carácter proactivo (ex. copias de apoio de
datos e do software).
1 INTRODUCIÓN
O obxectivo xeral do Estudo reside en avaliar o estado operativo dos principais medios e
sistemas de seguridade implantados nelas tratando de identificar os riscos aos que
están expostos os seus sistemas de información e comunicacións.
Concretamente este estudo trata, por un lado, de establecer un marco de referencia para
orientar un plan integral de adecuación e modernización dos sistemas e medidas de
seguridade, que reforce a e-confianza dos usuarios nos servizos de Administración
Electrónica, e por outro, de distinguir novos campos e vías de actuación para a
introdución de avances nas aplicacións e ferramentas de seguridade que melloren as
condicións de seguridade da información no ámbito dos gobernos locais e a súa relación con
outros axentes.
Por último, e para mellorar a seguridade da información neste contexto, resulta imprescindible
crear conciencia sobre a importancia da formación dos profesionais e técnicos en
seguridade da información dos Concellos, Deputacións, Consells e Cabidos Insulares.
O estudo ofrece unha análise única e inédita ata o momento da situación actual de
seguridade na Administración Local española, avaliando e valorando o nivel de
implantación nela das ferramentas e medidas de seguridade máis importantes dispoñibles na
actualidade, así como o grao de implantación das mellores prácticas para a xestión da
seguridade da información identificadas na Normativa Internacional ISO/IEC 27002:2007. Así
mesmo, o informe recolle as principais recomendacións e liñas de actuación achegadas polos
distintos axentes que colaboraron na realización deste estudo, baixo a premisa de previr
posibles incidencias que poidan afectar a seguridade da información e, se é o caso, obrar en
consecuencia mediante o establecemento dun protocolo de actuación que resulte propicio para
a defensa da organización ante as múltiples ameazas informáticas existentes hoxe en día.
A partir dos resultados das enquisas realizadas a unha ampla mostra de gobernos locais e das
entrevistas persoais a expertos no sector das Tecnoloxías da Información e a Comunicación, o
estudo propón as prácticas de xestión da seguridade e e-confianza que se deberían adoptar
para garantir a confidencialidade, integridade e dispoñibilidade da información de cidadáns e
empresas.
2 METODOLOXÍA DO ESTUDO
Esta dobre vertente permite analizar e confrontar os estados real e formal dos elementos
intervenientes.
3 PRINCIPAIS RESULTADOS
En canto aos sistemas de conexión a Internet, máis do 80% dos Concellos de grandes e
medianos municipios accede á Rede a través de banda ancha, mentres que no grupo de
pequenos municipios a proporción se reduce, sen chegar a acadar, en certos estratos, o 50%;
neste grupo, os métodos de acceso máis tradicionais, como a rede de telefonía básica, son os
máis frecuentes.
Antivirus 98,1%
Antispam 70,8%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Fonte: INTECO
Pola súa parte, a medida de seguridade informática máis estendida é o uso de programas
antivirus, implantada na práctica totalidade de entidades públicas locais (98%), seguida de
barreiras de control (74,7%), os dispositivos de autenticación e control de acceso, os
programas contra a recepción do correo lixo e o cifrado de comunicacións, ferramentas cun
índice de penetración superior ao 70%. Pola contra, medidas como a sinatura electrónica e/ou
a execución de copias de seguridade de datos presentan índices de adopción inferiores ao
50%. As VPN para acceso remoto 1 ao sistema son as medidas menos seguidas.
1
A VPN (do inglés Virtual Private Network) ou RPV (Rede Privada Virtual en español) é unha tecnoloxía que permite a unha rede
local de equipos poder conectarse dende unha rede pública, ou ampliar a rede sobre a mesma rede pública. O caso máis habitual
consiste na conexión dende un equipo público (ex.: a través de Internet) a unha rede ou equipo local).
Por outro lado, a comparativa das medidas de seguridade dos Gobernos Locais e os fogares
españois por índice de penetración 2 determina que os Gobernos Locais proxectan unha
maior preocupación pola salvagarda dos controis de accesos á información (medios de
autenticación/control de acceso). A utilización doutros sistemas de protección fronte aos
códigos maliciosos (malware) tamén ocupa as primeiras posicións en ambas as listas.
Fonte: INTECO
Finalmente, nos fogares, a protección individual dun equipo reflíctese en medidas máis
particulares enfocadas ao propio sistema, sendo nas Entidades Locais onde só teñen
sentido medidas como as VPN. Tamén na Administración Local teñen máis preponderancia
medidas como o cifrado de comunicacións ou a sinatura electrónica, accións de carácter máis
técnico que non están habitualmente ao alcance dun usuario doméstico, que as coloca en
último lugar (encriptación de documentos).
2
INTECO: Estudo sobre a Seguridade da Información e e-Confianza dos fogares españois (1ª Vaga: Dec-Xan 07)- www.inteco.es
En canto á metodoloxía utilizada para a valoración de cada área, agrupáronse os estratos nos
grupos nos que se segmentaron as Administracións Locais segundo o tamaño dos municipios
dos que dependen (pequenos, medianos e grandes) e as Deputacións, Consells e Cabidos
Insulares. Posteriormente, separáronse para cada grupo os distintos conceptos dentro de cada
área de seguridade sobre a que foron enquisados. O resultado é unha disgregación para cada
grupo de Gobernos Locais dos conceptos incluídos en cada área. Finalmente, realizouse unha
homoxeneización estatística para agrupar os valores dos distintos conceptos nos diferentes
estratos dentro de cada grupo e calculouse un indicador medio para cada grupo e área de
seguridade estudada.
0,0%
Clasificación e/ ou etiquetaxe 37,0%
da Información 32,1%
31,9%
Fonte: INTECO
aínda que, nesta área, o grupo máis avanzado é o de gobernos de localidades de tamaño
mediano, cun grao de asimilación do 60%.
• O inventariado de activos
Estas prácticas dan unhas porcentaxes que, ao igual que na maioría das áreas consideradas,
son superiores nos grupos de Concellos de grandes municipios e entidades locais provinciais
(62% e 59%, respectivamente). Novamente, os gobernos dos municipios máis pequenos
ofrecen o menor índice de aplicación destas prácticas (29%).
Protección de áreas privadas con controis de acceso apropiados para asegurar que só
acceda persoal autorizado nas EE.LL. (%)
Fonte: INTECO
Neste caso, danse menores índices de implantación xeral; oscilan entre o 15% e o 38%
correspondentes, respectivamente, a Concellos de pequenos e grandes municipios.
Todas as categorías de administracións locais alcanzan neste caso o seu valor máximo
respecto ao resto das áreas analizadas, con porcentaxes de implantación entre o 47%
(administracións locais de pequenos municipios) e o 79% (no caso dos medianos municipios).
Os grandes Concellos e as Deputacións, Consells e Cabidos Insulares superan o 70% e
diferéncianse tan só nunha décima.
A área de Seguridade dos Accesos e Datos apóiase entre outras, nas seguintes prácticas:
Os valores medios neste campo acadan só o 25% no caso dos gobernos das localidades
pequenas, chegan ao 60% no dos medianos e superan o 70% nos Concellos de grandes
municipios e nas entidades locais provinciais, con menos dun punto porcentual de diferenza
entre eles.
Execútanse de forma efectiva en tres de cada catro Deputacións, Consells e Cabidos Insulares
e case un 70% de media entre os entes locais dos grandes municipios.
100%
Realización do acceso remoto
88,9%
á rede mediante un proceso de
81,1%
identificación seguro.
91,5%
100%
Control de que a configuración 100%
dos sistemas operativos só a
92,5%
realice para persoal autorizado.
91,5%
25,0%
Restricións para o uso de
37,0%
aplicacións de alto risco fóra
34,0%
de horario de oficina.
42,6%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Concellos m unic. De m áis de 500
Concellos m unic. De 100 a 500
Concellos m unic. De 50 a 100
Deputacións, Consells e Cabidos Insulares
Fonte: INTECO
Estas prácticas están implantadas en menos do 50% das entidades locais. O valor máis
pequeno correspóndese, de novo, cos Concellos de municipios de tamaño máis pequeno,
aínda que tamén cómpre salientar que só un de cada catro entes públicos de grandes
municipios cumpren as normas e practicamente ningún deles realiza auditorías sobre
seguridade.
90%
78,4
80% 74,0
72,9
75,2
70% 62,3 61,9
73,2 68,5
72,8
60% 59,6 48,4
52,8
50%
53,8 37,8 50,9
40% 46,8 44,2
46,8
33,5
30% 35,9 29,0
23,3
20% 29,4
15,5 24,9
10% 7,8
0%
Organización e Seguridade dos Seguridade dos Seguridade das Seguridade dos Cumprimento Seguridade das
xestión da Activos. Recursos Redes e Accesos e Normativo e aplicacións.
seguridade. Humanos. Operacións. Datos. continuidade do
negocio.
Concellos pequenos m unic. (m enos de 2.000 hab.)
Concellos m edianos m unic. (de 2.000 a 50.000 hab.)
Concellos grandes m unic. (m áis de 50.000 hab.)
Deputacións, Consells e Cabidos Insulares.
Fonte: INTECO
4 CONCLUSIÓNS
Os datos obtidos nas enquisas e entrevistas a expertos definen unha situación da seguridade
da información no ámbito das administracións públicas locais caracterizada por:
• Unha maior preocupación pola salvagarda dos controis de acceso aos equipos e a
información que nos fogares, máis interesados na protección dos propios equipos.
As áreas de seguridade máis valoradas polos expertos consultados e que, por iso, han
constituír a base sobre a que se asenten as demais son as de Seguridade dos Activos e
Seguridade dos Datos. Dentro destas áreas, as prácticas de seguridade consideradas máis
relevantes foron a de mesa despexada, facendo uso de medios de almacenamento removibles,
e a pantalla bloqueada para reducir o risco de acceso non autorizado (Activos), presente en
menos do 36% das entidades locais, así como o control do terminal do usuario (Accesos e
Datos), implantada en máis do 90% destes e relacionada coa xestión de contrasinais e
autenticación do usuario.
Fonte: INTECO
5 RECOMENDACIÓNS
• Apoio público para garantir o acceso electrónico dos cidadáns aos servizos públicos.
Para iso precísase un financiamento suficiente, preferiblemente mediante axudas
directas.
Pola súa parte, a FEMP apunta que o desenvolvemento e implantación das novas tecnoloxías
resulta imprescindible nas entidades locais, dada a súa dimensión de administración pública
máis próxima á cidadanía. Así, a xestión dos intereses deste colectivo de forma rápida, áxil e
eficaz e con plenas garantías dos seus dereitos hase de facer nun medio de total transparencia
de xeito que se facilite a participación cidadá na toma de decisións por parte dos poderes
públicos. Para iso, a FEMP considera que existen tres liñas estratéxicas de actuación:
formación do persoal, mediante organización de cursos con especial atención á reciclaxe e á
aprendizaxe continuada; dotación de medios técnicos e formación para a súa utilización polo
persoal que os teña que empregar; e mecanismos de control internos, tales como protocolos de
actuación para o tratamento de datos de carácter persoal, con especial seguimento aos
avances que neste ámbito se producen na industria tecnolóxica.
Pola súa parte, a industria, segundo INTECO, ben sexan os fabricantes e distribuidores de
solucións, as consultoras especializadas ou os integradores de sistemas de información e
provedores de servizos externalizados, teñen unha grande oportunidade de negocio no ámbito
das Administracións Públicas Locais, permitindo co seu apoio lograr con éxito a implantación
de solucións e das mellores prácticas de seguridade e confianza dixital identificadas. É por iso
que neste sentido a industria tería que colaborar máis neste tipo de iniciativas públicas
personalizando a súa oferta, achegando o seu coñecemento, recursos e experiencia en
programas similares de éxito, internacionais ou locais, en programas de difusión, divulgación e
comunicación de confianza na seguridade das Tecnoloxías da Información e as
Comunicacións. Así mesmo, haberían de personalizar a súa oferta ás necesidades das
Entidades Locais españolas, achegando os seus recursos técnicos e humanos e a súa
capacidade de distribución, implantación e posvenda en distintas accións de mercado como a
posta en marcha de programas de actualización e/ou renovación tecnolóxica.
Pola súa parte, McAfee incide en que tamén as entidades administrativas locais son
vulnerables á ameaza de posibles atacantes. A súa infraestrutura tecnolóxica e as súas
aplicacións ou servizos corporativos poden perigar e dado o volume de información persoal que
manexa do cidadán, considera preciso que o fabricante de seguridade teña que elaborar
produtos adaptados ás necesidades das Entidades Locais, tendo en conta requisitos de
simplicidade e custo e grao de especialización nestas coa finalidade de mitigar impactos ou
evitar fugas de información, e de auditoría. Tamén recoñece a importancia da concienciación,
sensibilización e da formación que posibilite a implantación das medidas de seguridade
necesarias.
Symantec aposta, para evitar graves crises institucionais e empresariais, danos na reputación
causados por suplantacións de identidade ou perdas de negocios por fallos en sistemas, por
levar a cabo un gran labor de concienciación e investimento, ante a actual situación de
descoñecemento dos perigos que corren hoxe en día os sistemas informáticos, os cales se
deben xestionar axeitadamente tendo en conta a súa orixe, para o que se deberán combinar
procesos, persoal, tecnoloxía e información, e os custos que a súa prevención implica. Por
último, consideran pertinente a necesidade de crear unha gran capacidade institucional que
apoie a satisfacción de todas estas necesidades.
Finalmente, Trend Micro fai fincapé en que os altos volumes de información que manexan
estas entidades precisan, en función do seu carácter, público ou privado, distintos tipos de
tratamento e procesos de xestión que manteñan a confidencialidade e integridade da
información. Así, han de contar con políticas, procedementos, infraestruturas e recursos
tecnolóxicos que axuden a asegurar a dispoñibilidade dos servizos e da información, que
permitan axilizar os trámites e fomentar o intercambio de información nun medio seguro. En
todo iso, Trend Micro considera que o papel da industria se debe enfocar a ofrecer ferramentas
que permitan prestar un servizo de maior calidade e máis próximo ao cidadán que utiliza as
novas tecnoloxías.
6 ANEXOS
• Federico Serrano Paricio. Diputado delegado del Área de Nuevas Tecnologías de la Diputación
Provincial de Teruel
• José Luís Tudela Castrando. Jefe del Centro Municipal de Informática del Ayuntamiento de
Zaragoza
• José Manuel Pazos González. Jefe del Servicio de Sistemas de Información del Ayuntamiento
de Gijón
• José Miguel Galán Bueno. Gerente Aragonesa de Servicios Telemáticos. Gobierno de Aragón
• Josep Clotet. Gerente Accés Institut Municipal de Informática y Vocal del Consejo Asesor de
Nuevas Tecnologías de la FEMP
• Lluis Olivella. Gerente del Instituto Municipal de Informática del Ayuntamiento de Barcelona
• Miguel Ángel Amutio. Jefe del Área de Planificación y Explotación del Ministerio de
Administraciones Públicas
• Miguel Rego Fernández. Comité Ejecutivo del Área Seguridad del Ministerio de Defensa