propuesta preliminar de actuaciones econfianza 2010 · 2013-06-17 · otras fuentes como aimc...

28
SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID 1 PROPUESTA PRELIMINAR DE ACTUACIONES ECONFIANZA 2010 30 de mayo de 2008 1 INTRODUCCIÓN Y MOTIVACIÓN ................................................................................................................... 3 2 DIAGNÓSTICO PRELIMINAR DE LA SEGURIDAD Y LA CONFIANZA EN ESPAÑA ........................... 4 2.1 PARTICULARES / HOGARES ................................................................................................................................. 4 2.1.A Incidencias................................................................................................................................................ 4 2.1.B Medidas de seguridad implantadas .......................................................................................................... 5 2.2 EMPRESAS.......................................................................................................................................................... 7 2.2.A Incidentes.................................................................................................................................................. 7 2.2.B Medidas implantadas................................................................................................................................ 7 2.3 COMERCIO ELECTRÓNICO .................................................................................................................................. 9 2.4 BOTNETS Y SPAM ............................................................................................................................................. 11 2.5 CONCLUSIONES ................................................................................................................................................ 11 3 EVOLUCIÓN DE LA ESTRATEGIA INTERNACIONAL Y PRIORIDADES ............................................. 13 3.1 LÍNEAS DE ACTUACIÓN EN LA UNIÓN EUROPEA............................................................................................... 13 3.2 PRINCIPALES RECOMENDACIONES PRODUCIDAS EN FOROS MULTILATERALES.................................................. 14 3.3 ACCIONES IDENTIFICADAS COMO PRIORITARIAS EN EL CONTEXTO INTERNACIONAL ........................................ 14 3.3.A Políticas para mejorar la sensibilización y formación de los usuarios: ciudadanos y PYMES. Impulso de la cultura de seguridad ....................................................................................................................................... 15 3.3.B Políticas para prevenir y luchar contra las amenazas: capacidad de respuesta y riesgos emergentes . 15 3.3.C Políticas para la innovación centradas en tecnologías y servicios para la seguridad de la información y la confianza ........................................................................................................................................................... 16 4 NUEVO CONTEXTO ESTRATÉGICO PARA ECONFIANZA ..................................................................... 17 4.1 VISIÓN ............................................................................................................................................................. 17 4.2 ALCANCE ......................................................................................................................................................... 18 4.3 MISIÓN............................................................................................................................................................. 18 4.4 OBJETIVOS ....................................................................................................................................................... 18 5 PROPUESTA DE PLAN DE ACTUACIONES ECONFIANZA 2010.............................................................. 20 5.1 POLÍTICA #1 - SEGURIDAD Y CONFIANZA EN EL ENTORNO PERSONAL .............................................................. 20 5.1.A Objetivos................................................................................................................................................. 20 5.1.B Medidas .................................................................................................................................................. 20 5.2 POLÍTICA #2 - COMPETITIVIDAD EMPRESARIAL BASADA EN LA CONFIANZA .................................................... 20 5.2.A Objetivos................................................................................................................................................. 20 5.2.B Medidas .................................................................................................................................................. 20 5.3 POLÍTICA #3 - SERVICIOS DE REFERENCIA PARA LA CONFIANZA ...................................................................... 21 5.3.A Objetivos................................................................................................................................................. 21 5.3.B Medidas .................................................................................................................................................. 21 5.4 POLÍTICA #4 - INNOVACIÓN PARA LA CONFIANZA ............................................................................................ 21

Upload: others

Post on 09-Jul-2020

5 views

Category:

Documents


0 download

TRANSCRIPT

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

1

PROPUESTA PRELIMINAR DE ACTUACIONES ECONFIANZA 2010

30 de mayo de 2008

1 INTRODUCCIÓN Y MOTIVACIÓN ................................................................................................................... 3

2 DIAGNÓSTICO PRELIMINAR DE LA SEGURIDAD Y LA CONFIANZA EN ESPAÑA ........................... 4 2.1 PARTICULARES / HOGARES................................................................................................................................. 4

2.1.A Incidencias................................................................................................................................................ 4 2.1.B Medidas de seguridad implantadas .......................................................................................................... 5

2.2 EMPRESAS.......................................................................................................................................................... 7 2.2.A Incidentes.................................................................................................................................................. 7 2.2.B Medidas implantadas................................................................................................................................ 7

2.3 COMERCIO ELECTRÓNICO .................................................................................................................................. 9 2.4 BOTNETS Y SPAM ............................................................................................................................................. 11 2.5 CONCLUSIONES................................................................................................................................................ 11

3 EVOLUCIÓN DE LA ESTRATEGIA INTERNACIONAL Y PRIORIDADES............................................. 13 3.1 LÍNEAS DE ACTUACIÓN EN LA UNIÓN EUROPEA............................................................................................... 13 3.2 PRINCIPALES RECOMENDACIONES PRODUCIDAS EN FOROS MULTILATERALES.................................................. 14 3.3 ACCIONES IDENTIFICADAS COMO PRIORITARIAS EN EL CONTEXTO INTERNACIONAL........................................ 14

3.3.A Políticas para mejorar la sensibilización y formación de los usuarios: ciudadanos y PYMES. Impulso de la cultura de seguridad ....................................................................................................................................... 15 3.3.B Políticas para prevenir y luchar contra las amenazas: capacidad de respuesta y riesgos emergentes . 15 3.3.C Políticas para la innovación centradas en tecnologías y servicios para la seguridad de la información y la confianza ........................................................................................................................................................... 16

4 NUEVO CONTEXTO ESTRATÉGICO PARA ECONFIANZA ..................................................................... 17 4.1 VISIÓN ............................................................................................................................................................. 17 4.2 ALCANCE ......................................................................................................................................................... 18 4.3 MISIÓN............................................................................................................................................................. 18 4.4 OBJETIVOS ....................................................................................................................................................... 18

5 PROPUESTA DE PLAN DE ACTUACIONES ECONFIANZA 2010.............................................................. 20 5.1 POLÍTICA #1 - SEGURIDAD Y CONFIANZA EN EL ENTORNO PERSONAL .............................................................. 20

5.1.A Objetivos................................................................................................................................................. 20 5.1.B Medidas .................................................................................................................................................. 20

5.2 POLÍTICA #2 - COMPETITIVIDAD EMPRESARIAL BASADA EN LA CONFIANZA .................................................... 20 5.2.A Objetivos................................................................................................................................................. 20 5.2.B Medidas .................................................................................................................................................. 20

5.3 POLÍTICA #3 - SERVICIOS DE REFERENCIA PARA LA CONFIANZA ...................................................................... 21 5.3.A Objetivos................................................................................................................................................. 21 5.3.B Medidas .................................................................................................................................................. 21

5.4 POLÍTICA #4 - INNOVACIÓN PARA LA CONFIANZA ............................................................................................ 21

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

2

5.4.A Objetivo .................................................................................................................................................. 21 5.4.B Medidas .................................................................................................................................................. 21

6 DESCRIPCION DE LAS MEDIDAS PROPUESTAS ....................................................................................... 22 6.1 (M1.1) OFICINA DE SEGURIDAD DEL INTERNAUTA .......................................................................................... 22 6.2 (M1.2) CAMPAÑA PARA LA SEGURIDAD Y CONFIANZA DEL INTERNAUTA ....................................................... 22 6.3 (M2.1) PROGRAMA PARA IMPULSAR LA INCORPORACIÓN DE LA SEGURIDAD EN LA PYME ............................. 23 6.4 (M3.1) PLAN PARA POTENCIAR Y DESARROLLAR EQUIPOS DE ALERTA Y RESPUESTA ..................................... 23 6.5 (M3.2) ANÁLISIS DE LA DISPONIBILIDAD Y LA ROBUSTEZ DE INTERNET .......................................................... 24 6.6 (M4.1) CENTRO DE REFERENCIA SOBRE RIESGOS EMERGENTES Y TECNOLOGÍAS PARA LA SEGURIDAD ......... 25 6.7 (M4.2) ACCIÓN ESTRATÉGICA TIC PARA LA SEGURIDAD DE LA INFORMACIÓN................................................ 25 6.8 (M4.3) CENTRO DEMOSTRADOR DE TECNOLOGÍAS DE SEGURIDAD................................................................. 25

7 ALINEACIÓN DE LAS POLÍTICAS, MEDIDAS Y OBJETIVOS ................................................................. 27 7.1 OBJETIVOS Y MEDIDAS ECONFIANZA 2010.................................................................................................. 27 7.2 CONTINUACIÓN ECONFIANZA 2006-2007 EN ECONFIANZA 2010............................................................ 27

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

3

1 INTRODUCCIÓN Y MOTIVACIÓN El Plan Avanza 2006-2010 para la Convergencia con Europa y con las CCAA desarrolla, en la línea de actuación denominada ECONFIANZA, las políticas y medidas relacionadas con la seguridad de la información y la confianza para el desarrollo de la Sociedad de la Información. Durante los años 2006 y 2007, ECONFIANZA ha logrado alcanzar los objetivos iniciales tanto para ciudadanos como para empresas. De este modo, el 94,8% de los hogares (particulares) disponen ya de un antivirus, las incidencias en las empresas con más de 10 empleados han disminuido hasta un 15,9 % -siguiendo una tendencia claramente decreciente-, y el 97% de éstas además han tomado precauciones de seguridad. Para alcanzar estos objetivos, ECONFIANZA ha puesto en marcha un CERT para pymes y ciudadanos a través de INTECO, contribuyendo especialmente a sensibilizar y difundir herramientas y buenas prácticas de seguridad. El DNIe por otro lado cuanta ya con más de 3,6 millones de documentos expedidos en todo el territorio nacional. Desde ECONFIANZA se ha contribuido a completar el proceso de despliegue del DNIe permitiendo, de este modo, que todos los ciudadanos puedan disponer en 2008 del nuevo documento en el momento de la renovación del mismo, o en la primera expedición. Además, se ha facilitado que las empresas incorporen el DNIe como una oportunidad para su negocio y para la competitividad y, como complemento a lo anterior, se han elaborado los primeros perfiles de protección de seguridad para el DNIe destinados al desarrollo de productos que usen el DNIe. Otras medidas llevadas a cabo a través de INTECO, como son el Centro Demostrador de Tecnologías de Seguridad y el Observatorio de la Seguridad de la Información, han contribuido en especial a impulsar el desarrollo de productos de seguridad de la información y a la difusión de buenas prácticas en materia de seguridad de la información y a un mejor diagnóstico de la situación de la seguridad en hogares y las empresas. Tras estos dos años, se ha considerado conveniente realizar un análisis intermedio de ECONFIANZA con la intención de revisar los objetivos, políticas y medidas. De este modo, se podrá asegurar la continuidad y el impacto de las medidas actuales, identificar nuevas necesidades, y garantizar el correcto alineamiento internacional. Este nuevo plan revisado se denominará ECONFIANZA 2010. Así mismo, ECONFIANZA 2010 permitirá dar respuesta al “plan de mejora de los niveles de seguridad y confianza en Internet” previsto en la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información (BOE 29 diciembre 2007), que en su disposición adicional tercera establece que “el Gobierno elaborará, en un plazo de seis meses, un Plan, tecnológicamente neutro, para la mejora de los niveles de seguridad y confianza en Internet, que incluirá directrices y medidas para aumentar la seguridad frente a las amenazas de Internet y proteger la privacidad on line.” Por último, si fuera el caso, ECONFIANZA 2010 podría ser una contribución de valor desde la perspectiva de la prevención, y en el ámbito puramente Civil y de la Industria, en el desarrollo de posibles iniciativas nacionales en materia de Seguridad y Ciberseguridad similares a las realizadas por otros países referencia en materia de seguridad de la información y confianza.

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41

2 DIAGNÓSTICO PRELIMINAR DE LA SEGURIDAD Y LA CONFIANZA EN ESPAÑA A continuación se presenta un análisis preliminar sobre la situación de la seguridad de la información en España haciendo referencia a indicadores publicados por diferentes fuentes. NOTA: Hay que indicar, no obstante, que lo datos provienen de metodologías y muestras que impiden en general realizar comparaciones entre estudios. También es importante significar que los datos ofrecidos por EuroStat a través de los indicadores eEurope están actualizados a series de 2005, algunos 2006, por lo que se han descartado en este capítulo. 2.1 Particulares / hogares 2.1.A Incidencias El Panel de Hogares de INTECO ha realizado, en cada una de sus tres oleadas, análisis de más de 3000 equipos en hogares españoles, que permiten ver la serie evolutiva de la situación de seguridad, confianza y nivel de incidencias de seguridad de los usuarios de Internet. Obteniendo que el 72,6% (1ª oleada, dic06 - ene07), 77,1% (2º oleada, feb07 - abr07) y el 76.7% (3º oleada, may07 - jul07) de los equipos informáticos, y que se conectan habitualmente a Internet, presentan algún tipo de código malicioso (malware) en el sistema.

Este dato que se mantiene estable a lo largo de los sucesivos paneles tiene la siguiente distribución por tipología de malware:

E-28071 MADRID

4

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41

Si contrastamos esta información con lo declarado por el propio usuario observamos que las incidencias detectadas o conocidas por los usuarios no corresponden con los datos reales del estado de sus equipos. La explicación a este fenómeno ha de buscarse en la transformación de la naturaleza de los ataques que han pasado de estar motivados por el deseo de fama o reconocimiento, lo que lógicamente exigía de acciones de gran visibilidad pública, a otras motivadas por el deseo de acceder a la información o el dinero de terceros, lo que aconseja no ser descubierto. Por ejemplo, en la encuesta sobre Equipamiento y Uso de Tecnologías de la Información y Comunicación en los hogares del INE1 (Último dato 2007), se indica que el 24,9% de los usuarios han tenido algún problema de seguridad relacionado con virus. También en el Observatorio de Red.es por ejemplo, en su en la XVII oleada (Julio-Septiembre 2007) del Panel de Hogares, se indica que la incidencia sobre virus es del 55%, si bien se observa en general que hay una cierta tendencia a la baja, pero muy poco pronunciada.

Otras fuentes como AIMC arrojan resultados similares en tendencia. 2.1.B Medidas de seguridad implantadas El Panel de Hogares de INTECO (1ª oleada) ofrece resultados interesantes donde un 94,5 % de los hogares tiene un sistema antivirus instalado, y un 76% un sistema de cortafuegos, junto con otras medidas adicionales de seguridad como pueden apreciarse en las gráficas.

1 http://www.ine.es/jaxi/menu.do?type=pcaxis&path=%2Ft25/p450&file=inebase&L=0

E-28071 MADRID

5

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41

Estos datos sí que coinciden con otros aportados por el INE, Red.es y AIMC, por lo que podemos entender que existe un elevado índice de implantación de medidas de seguridad. En este contexto general cabe destacar que la cultura de seguridad predominante sigue apostando por la medidas que se puedan automatizar, aquellas que podríamos denominar como de “instalar y olvidarse”, las medidas que requieren una participación más activa de los usuarios tienen una implantación menor, aunque las encuestas realizadas en hogares y empresas recogen una tendencia a utilizar dichas medidas en el futuro.

E-28071 MADRID

6

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

7

2.2 Empresas 2.2.A Incidentes Según los datos del INE en su encuesta sobre el uso de TIC y comercio electrónico en las empresas (datos 2006-2007), realizada sobre empresas de 10 o mas empleados, un 15,9% declara haber tenido algún problema de seguridad en los últimos 12 meses, porcentaje casi cuatro puntos inferior al registrado en el periodo precedente. El principal problema relacionado con la seguridad es el ataque de virus informáticos (14,9%). Estos datos contrastan a su vez con los proporcionados por INTECO en su estudio “Investigación sobre incidencias y necesidades de seguridad de la PYME”2, donde se indica que entre las incidencias de seguridad declaradas, y que han afectado a los sistemas de las empresas encuestadas, destacan los ataques de denegación de servicios, sufridos por un 89,9% de los encuestados, los troyanos informáticos (77,3%), la recepción de correo no deseado (58,7%) y los virus (42,7%). En el lado opuesto, entre las incidencias menos percibidas por las empresas se encuentran los fraudes relacionados con tarjetas de crédito y con cuentas bancarias online (ambos con incidencia en el 1,9% de las empresas consultadas), y el robo de ancho de banda Wi-Fi (1,6%). Estos recogen la opinión de no expertos que, en ocasiones, pueden estar respondiendo sin tener una correcta comprensión de la pregunta. No es creíble, por ejemplo, que el ataque de “denegación de servicio” ocupe el lugar que ocupa en las preocupaciones de las PYMEs salvo que éstas están hablando de otra cosa. Estas incidencias para un 91% de los encuestados no han supuesto una pérdida económica ni ha tenido una repercusión significativa (69,8%), aunque si ha supuesto una perdida de tiempo (17,8%) y ha obligado a realizar una reinstalación (30%) de equipos. Los motivos que las empresas identifican con más frecuencia como causantes de las incidencias de seguridad son la incorrecta configuración de los equipos (un 23,1%), su obsolescencia (19,8%) y la ineficacia y/o la ausencia de los sistemas de protección (ambas identificadas por un 19,0% de las empresas consultadas).

Otros estudios como los de Fundetec y Everis/AETIC muestran en general similares tendencias y datos cuantitativos. 2.2.B Medidas implantadas

2 Estos datos no pueden ser tomados en su literalidad ya que trasladan – ciertamente – las palabras de los entrevistados pero, a diferencia del estudio de hogares realizado por INTECO, en el estudio de PYMEs no pudo construirse un panel en el que la recogida de los datos del estado de seguridad en los equipos permitiera comparar el análisis realizado por una herramienta en los ordenadores y la opinión de los usuarios de los mismos. Las PYMEs, en general, se mostraron sumamente reacias a la instalación de este tipo de programas en sus ordenadores y, además, el número de PYMEs entrevistadas no era tan amplio como lo fue el de hogares.

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41

Según los datos del INE en su encuesta sobre el uso de TIC y comercio electrónico en las empresas (datos 2006-2007), realizada sobre empresas de 10 o mas empleados, los servicios de seguridad más empleados por las empresas con conexión a Internet son el software de protección o chequeo de virus (97%), los cortafuegos o firewalls (71%) y las copias de seguridad o back up de datos (61,7%). Un 82,4% de las empresas dice haber actualizado sus servicios de seguridad en los últimos tres meses. En este caso, sí que hay un elevado grado de coincidencia con los aportados por INTECO en su estudio “Investigación sobre incidencias y necesidades de seguridad de la PYME”, y que se reflejan en la siguiente gráfica donde se puede apreciar las medidas de seguridad empleadas por los diferentes sectores de actividad.

Un aspecto reseñable es el grado de implantación que tienen las herramientas asociadas a la protección de la navegación en Internet (antivirus, cortafuegos, antispam y antiespías), con tasas de uso declaradas superiores al 80%, llegando incluso al 98,9% en el caso de las herramientas antivirus, lo cual coincide con la encuesta del INE. En cambio, destacan como medidas menos utilizadas el cifrado de las comunicaciones (23,0%), los sistemas de control de accesos (27,1%) y la seguridad en el acceso remoto (31,3%).

E-28071 MADRID

8

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

9

Además, el estudio refleja que este elevado grado de sensibilización sobre las mismas, no tiene su equivalente en aquéllas relacionadas con técnicas de ingeniería social. Así, un 84,4% de los encuestados asegura conocer o ser un experto (conocimiento medio o alto) en materia de virus, mientras que un 42,8% desconoce completamente lo que es el pharming y más de la mitad (53,8%) tienen un conocimiento bajo o nulo del phishing. Analizando las estimaciones de actualización de los sistemas de seguridad instalados por las empresas consultadas es destacable el hecho de que el 78,5% de las empresas declara comprobar dichas actualizaciones al menos una vez al mes. Por el contrario, sólo el 5,0% declara realizar dichas actualizaciones menos de una vez al año. No obstante, la importancia de la actualización se concentra principalmente en medidas no se pueden automatizar, es decir aquellas que no pueden actualizarse automáticamente como sucede, entre otras con las herramientas antivirus. Así se explica que más de la mitad de los encuestados (55,9%) actualizan sus herramientas más de una vez al mes. Otros estudios como los de Fundetec y Everis/AETIC muestran en general similares tendencias y datos cuantitativos. 2.3 Comercio electrónico Diversos informes del INE, Red.es, AIMC, CMT, etc., coinciden en identificar la percepción de falta de seguridad por parte de los usuarios como una barrera para realizar comercio electrónico. En concreto, el Estudio sobre Comercio Electrónico B2C 2007 de Red.es identifica como barreras al comercio electrónico la desconfianza, la seguridad de los medios de pago, y la incidencia phishing. En este sentido, un 37,2% de los no compradores declaran que se debe mejorar la percepción de la seguridad de las transacciones, sin embargo, la desconfianza con las formas de pago pierde peso, pasando del 35,2% en 2005 al 23% en 2006. Estos datos además han tenido su reflejo en la encuesta EuroStat publicada con motivo del Safer Internet Day 2008, donde se indica que España en 2006 es el país de los EU27 donde mayor reparo se pone al comercio electrónico por motivos de seguridad y privacidad (27%). Además, según la 10ª encuesta AIMC a usuarios de Internet 2007 (febrero 2008), entre los internautas exististe una elevada percepción de seguridad de las transacciones por medios de pago bancarios, siendo la incidencia por uso fraudulento de la tarjeta de crédito de sólo el 0,6% sobre el conjunto de las incidencias reportadas. Por otro lado, el porcentaje de compradores que reciben correos de phishing ha pasado de 19,8% en 2005 a 23,2% en 2006 según AIMC, lo que convierte a este colectivo en un grupo más expuesto. No obstante, el hecho de que sea el grupo más experimentado con el medio, le permite disponer de mayor información sobre estas prácticas y, por tanto, tener mayor capacidad para evitarlas. En esta línea cabe destacar los datos aportados por IntecoNTECO en el estudio “Usuarios y profesionales de entidades públicas y privadas afectados por la práctica fraudulenta conocida como phishing”.

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41

En el mismo estudio se puede apreciar que el 29,9% de los usuarios reconocen haber sufrido algún intento de fraude online, aunque sólo reconocen haber sufrido un perjuicio económico el 2,1% de los usuarios españoles de Internet, como se puede apreciar en el siguiente gráfico3.

No obstante un dato reseñable es que ante un intento de fraude, un 80,2% de los usuarios de Internet no modifican sus hábitos de uso de la banca online, y un 73,1% no modifican sus hábitos de compra. Incluso cuando dicho intento conlleva un perjuicio económico, no se produce un abandono masivo de los servicios de banca ni compra online: dichos servicios se consideran irrenunciables ya que sus ventajas se valoran mucho más que la posibilidad o certeza de un perjuicio. Aunque el daño medio cuantificado es de 593€, la mayoría de los fraudes no representan cantidades económicas elevadas. En España, algo más de 2 de cada 3 fraudes online conllevan un perjuicio económico inferior a los 400€ (cantidad límite entre delito y falta), y un 24,8% ni siquiera alcanza los 50€. Por último, indicar que los propios agentes y sectores afectados reclaman la presencia de una figura imparcial (la de la Administración) que dinamice y coordine todo el proceso de mejora de la seguridad en Internet y se aúnen esfuerzos en la misma dirección tanto preventivos como reactivos. 3 Como siempre dichos datos han de ser tomados con las premisas de que gran parte del usuario doméstico y profesional (PYMES) desconoce las diversas modalidades de fraude, siendo un gran porcentaje de ellas el phishing, el envío de mensajes de spam de venta de productos falsos y mensajes referentes a loterías y subastas.

E-28071 MADRID

10

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

11

2.4 Botnets y spam En España, la incidencia de los botnets no es despreciable aunque carecemos de datos fiables sobre la verdadera dimensión del número de equipos comprometidos a nivel nacional. Según Ciphertrust, en España había detectados casi 150.000 equipos comprometidos en el mes de diciembre de 2007, casi el 3% del censo mundial. Por otro lado, otro proveedor de datos sobre redes de este tipo, Shadowserver, reporta casi 800 equipos comprometidos en España activos por día. La OCDE4 sin embargo ha reportado un 4,7% de los usuarios de banda ancha, siendo España el segundo país en número de incidencias entre los miembros de la OCDE. Respecto al spam, tampoco hay datos fiables pero según Symantec, España ocupa el 9º lugar en el mundo como generador de spam con un 3% del total. 2.5 Conclusiones

• En general, el usuario particular dispone de medidas de seguridad implantadas en su equipo como son antivirus (94,5%) y cortafuegos (76%). Sin embargo, el 72,6% de los equipos que se conectan a Internet tienen algún malware no detectado, y el 24,9% de los usuarios dice haber tenido un problema con virus. Esta situación puede deberse, entre otras causas, al uso de sistemas operativos sin actualizar, a productos de seguridad ineficaces o inadecuados, mal configurados, o sin actualizar, a prácticas de riesgo en la navegación, o incluso a falta de conocimiento y concienciación. Existe por tanto una percepción de seguridad que no se corresponde con el estado de los equipos y una visión excesivamente “tecnológica” de la seguridad que tiende minusvalorar el papel que representa un comportamiento prudente y socialmente responsable. Por todo ello, se hace evidente la necesidad de continuar avanzando en la capacitación del usuario para el correcto uso de las medidas de seguridad y en la puesta en práctica de las recomendaciones básicas para un uso seguro y responsable de Internet.

• En cuanto a las empresas, también existe una generalización importante en la

implantación de medidas de seguridad (97% antivirus y 71% cortafuegos). Sin embargo, parece que tampoco son suficientemente eficaces según los elevados niveles de incidencias de seguridad detectados (15,9%). En general, puede deducirse que las empresas afrontan la seguridad desde la implantación de medidas técnicas de seguridad concretas, pero no desde un enfoque estratégico basado en una adecuada gestión de la seguridad de la información.

• Respecto al comercio electrónico, especialmente entre no compradores, se observa que

hay una percepción de inseguridad general (37,2%) que constituye una barrera ciertamente más psicológica que real, dado que los usuarios compradores no lo consideran así.

4 http://oberon.sourceoecd.org/vl=2942222/cl=20/nw=1/rpsv/sti2007/ge4-4.htm

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

12

• La incidencia de los equipos comprometidos en España es elevada. Estos equipos son responsables de la mayor parte del spam generado desde España, además dichos equipos pueden estar implicados en ataques distribuidos que afectan a terceros más allá de nuestras fronteras así como ser blancos o fuentes de fraudes online. Como se ha comentado en la primera conclusión, este nivel de equipos comprometidos es producto, entre otros factores, del número de equipos infectados por malware que hay en España a pesar del elevado nivel de implantación de medidas de seguridad.

• En general, los diferentes estudios e informes ponen de manifiesto que existe un déficit

importante de conocimiento sobre seguridad de la información tanto en particulares como en empresas, así como ciertas cautelas sobre su reporte por parte de los afectados. Todo ello introduce ciertas distorsiones en los datos obtenidos que pueden afectar a la calidad de los mismos, y al análisis de las tendencias e impacto de los incidentes. Es un hecho sobre el que es muy necesario reflexionar para poder establecer políticas de comunicación eficaces. Una conclusión, y esta si que puede afirmarse con rotundidad, es que es necesario dejar de hablar en “inglés” y menos aún en “inglés técnico” si queremos extender una cultura de seguridad.

• Los problemas de seguridad de hoy no son los de ayer, evolucionan con una enorme

rapidez y es necesario obtener y difundir con idéntica velocidad el diagnóstico de los nuevos problemas y las posibles soluciones a los mismos.

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

13

3 EVOLUCIÓN DE LA ESTRATEGIA INTERNACIONAL Y PRIORIDADES En 2005, con motivo de la elaboración del borrador para el Plan de Convergencia que dio lugar al Plan Avanza, se realizó un análisis internacional que sirvió de referencia para identificar las principales políticas y medidas en relación con la seguridad de la información y la confianza. Tres años después, la seguridad de la información en el contexto internacional ha evolucionado en sus prioridades y enfoques, produciéndose además un cierto grado de convergencia en los principales foros internacionales de referencia. El objetivo de este capítulo es analizar la líneas estratégicas identificadas en dichos foros y tratar de establecer un marco de referencia para las políticas y medidas propuestas para ECONFIANZA 2010, garantizando al menos una alineamiento suficiente. 3.1 Líneas de actuación en la Unión Europea La iniciativa i2010, enmarcada a su vez en la Estrategia de Lisboa, tiene como objetivo la creación del espacio europeo de información basado en las TIC donde la seguridad de las redes y de la información tiene una especial relevancia. En este contexto estratégico, la gran novedad ha sido la Resolución del Consejo, de 22 de marzo de 2007, sobre una estrategia para una Sociedad de la Información segura en Europa (2007/C 68/01). Esta resolución refuerza y actualiza las anteriores resoluciones de 2001 y 2002, incorporando además las propuestas y planes de acción de la Comisión Europea que han sido presentados en diferentes comunicaciones, como son la Comunicación relativa a una estrategia de seguridad para Europa (COM 251/2006), la Comunicación sobre la lucha contra el spam, el spyware y el malware (COM 688/2006), y la Comunicación sobre la lucha contra la ciberdelincuencia (COM 267/2007). En su conjunto, tanto la Resolución como las Comunicaciones mencionadas, establecen la necesidad de abordar políticas e iniciativas centradas en la prevención y la lucha contra las amenazas, el refuerzo de la capacidad de respuesta y de las infraestructuras y servicios de seguridad, y el apoyo a la formación y sensibilización de los usuarios. También, ponen de manifiesto la necesidad de promover la cooperación mutua y el impulso a la innovación en seguridad de la información, en especial, en las áreas de Trusted Computing y RFID. Por otro lado, como complemento a las anteriores y con objeto de asegurar medidas de protección para las infraestructuras críticas de la información, la Comisión ha puesto en marcha un Plan Europeo para la Protección de las Infraestructuras Críticas y ha propuesto una Directiva para la identificación de las infraestructuras críticas Europeas, directiva donde el sector TIC es considerado de especial prioridad.

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

14

Por último, cabe mencionar el trabajo desarrollado por ENISA con el objetivo de apoyar la puesta en marcha de estas políticas y contribuir al fortalecimiento de la seguridad de la información en Europa. Por estos motivos, ENISA ha diseñado su plan de trabajo para 2008 en torno a cuatro grandes actuaciones prioritarias como son la robustez y disponibilidad de las redes y servicios de comunicaciones electrónicas, la promoción de modelos de cooperación, el estudio de los riesgos emergentes y, como estudio preparatorio, la seguridad de la información en el contexto de las microempresas europeas. 3.2 Principales recomendaciones producidas en foros multilaterales La OCDE aborda la seguridad de la información y la confianza desde una perspectiva económica donde las TIC e Internet son motores indiscutibles para el crecimiento de los países miembros. A través del Working Party on Information Security and Privacy, la OCDE analiza los posibles efectos o ineficiencias que sobre dichos objetivos pudieran tener los aspectos relacionados con la seguridad de la información y la privacidad. Desde esta perspectiva, el WPISP ha planteado recientemente como prioridades la definición de políticas y recomendaciones en materia de protección de las infraestructuras críticas de la información, la lucha contra el malware, la cooperación internacional en la persecución del fraude y del cibercrimen, y la identificación temprana de riesgos emergentes en áreas tecnológicas como son la identidad digital, las tecnologías RFID y las redes de sensores. La UIT por otro lado, en línea con los resultados de la Cumbre Mundial de la Sociedad de la Información y la Agenda de Túnez, ha desarrollado una Estrategia Global para la Ciberseguridad cuyo objetivo principal es contribuir al desarrollo de una Sociedad de la Información segura y confiable. Para ello, la UIT está desarrollando guías y recomendaciones para facilitar a los países miembros la definición o la mejora de las estrategias nacionales en ciberseguridad. Entre las prioridades destacan también la protección de las infraestructuras críticas, la lucha contra las redes de equipos comprometidos generadores de gran parte de los incidentes globales de ciberseguridad, un toolkit para el desarrollo de estrategias nacionales en ciberseguridad, y el estudio sobre los riesgos emergentes de las nuevas tecnologías. 3.3 Acciones identificadas como prioritarias en el contexto internacional Las principales estrategias en el contexto de la Unión Europea (Consejo, Comisión y ENISA), y las recomendaciones realizadas en foros internacionales de la OCDE y de la UIT, identifican primeramente la conveniencia de proseguir con el debate estratégico (por ejemplo, marco estratégico i2010 en Europa), tomando en consideración el desarrollo en curso de la sociedad de la información. Para ello, identifican como necesario garantizar siempre un enfoque coherente en las diferentes dimensiones: normalización, co-regulación, investigación y desarrollo, comunicación y formación. Respecto a las políticas e iniciativas específicas en el contexto internacional, existen suficientes elementos comunes y coincidencias en las prioridades. Todo esto ha permitido identificar con facilidad tres grandes líneas comunes y prioritarias de políticas públicas que se describen a continuación de forma más detallada.

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

15

3.3.A Políticas para mejorar la sensibilización y formación de los usuarios: ciudadanos y

PYMES. Impulso de la cultura de seguridad En general, se identifica la necesidad de apoyar los programas de formación y mejorar la sensibilización en relación con la seguridad de las redes y de la información, por ejemplo, mediante campañas de información sobre la seguridad de las redes y de la información, destinadas a todos los ciudadanos, usuarios y sectores de la economía, en particular, la PYME y los usuarios finales con necesidades especiales o escasamente sensibilizados. En materia de sensibilización cabe destacar los trabajos de ENISA que ha propuesto guías y recomendaciones para realizar campañas eficaces de comunicación sobre seguridad de la información y protección del menor en Internet. También ENISA ha favorecido el intercambio de buenas prácticas y experiencias internacionales. Por todo ello, las actuaciones que se lleven a cabo tienen la oportunidad de compartir una importante experiencia y casos de éxito que seguro ayudarán a conseguir el impacto deseado. Respecto a la formación, es preciso facilitar a los usuarios finales y las PYMES instrumentos para asegurar la correcta utilización de las herramientas de seguridad de la información con el objeto de contribuir a la creación de confianza. En particular, en las PYMES es preciso hacer frente a la necesidad de que éstas adapten e incorporen adecuadamente las prácticas de gestión de la seguridad, prácticas que ya son de uso relativamente generalizado en empresas de mayor tamaño. Por tanto, el objetivo es sensibilizar a los usuarios, proporcionarles herramientas y recomendaciones, y asegurar que por parte de éstos se realiza un uso seguro y responsable de las tecnologías de la información. En definitiva, capacitar al usuario en materia de seguridad de la información y para la generación de confianza. 3.3.B Políticas para prevenir y luchar contra las amenazas: capacidad de respuesta y riesgos

emergentes El objetivo es prevenir y luchar contra amenazas nuevas y existentes contra la seguridad de las redes de comunicación electrónica, incluida la interceptación y explotación ilícita de datos, el spam, los programas espía y los programas maliciosos. Para ello es preciso reconocer y abordar los riesgos relacionados con dichas amenazas y promover el intercambio efectivo de información y la cooperación entre los organismos y agencias pertinentes a nivel nacional como internacional. En este sentido, es preciso identificar de forma temprana los riesgos emergentes derivados de las nuevas tecnologías. También es necesario promover un entorno que anime a los proveedores de servicios y a los operadores de redes a prestar servicios fiables a sus clientes, garantizando la capacidad de adaptación y ofreciendo a los consumidores posibilidades de elección de servicios y soluciones en el ámbito de la seguridad. En esta línea, promover y, llegado el caso, exigir a los operadores de redes y a los proveedores de servicios que garanticen a sus clientes un nivel adecuado de seguridad de las redes y de la información. En aquellas infraestructuras especialmente críticas es necesario establecer medidas de protección que aumenten su fortaleza y disponibilidad.

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

16

Otra de las prioridades es reforzar la cooperación mutua con el fin de determinar prácticas efectivas e innovadoras para mejorar la seguridad de las redes y de la información y ampliar la difusión de dichas prácticas para su utilización sobre una base voluntaria. Finalmente, es preciso fomentar la continua mejora de los organismos nacionales de respuesta en caso de emergencia informática. 3.3.C Políticas para la innovación centradas en tecnologías y servicios para la seguridad de la

información y la confianza En esta política la prioridad es incrementar la contribución a favor de la Investigación y Desarrollo en el ámbito de la seguridad y mejorar las posibilidades de utilización y la difusión de los resultados consiguientes. También es necesario fomentar el desarrollo de asociaciones innovadoras para incentivar el crecimiento del sector europeo relacionado con la seguridad de las TIC, y mejorar la rápida utilización de nuevas tecnologías y servicios de seguridad de las redes y de la información para darles un impulso comercial. En todos los sectores, pero en especial en la administración electrónica, promover soluciones interoperables de gestión de la identidad y emprender todos los cambios adecuados en la organización del sector como ejemplo de buenas prácticas en la promoción de servicios seguros.

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

17

4 NUEVO CONTEXTO ESTRATÉGICO PARA ECONFIANZA 4.1 Visión Las principales referencias internacionales ponen de manifiesto que las TIC se han convertido en uno de los motores para el desarrollo económico y social (Internet Economy), y que uno de los objetivos estratégicos debe ser garantizar su estabilidad y sostenibilidad a largo plazo. Uno de los factores que contribuyen a la estabilidad y sostenibilidad de este modelo económico basado en las TIC es la generación de confianza, es decir:

1. garantizar la seguridad de la información y de las redes que hacen posible que las TIC sean claves para el desarrollo económico y social.

2. salvaguardar los derechos fundamentales como son la privacidad, la infancia, y la

propiedad intelectual.

3. proteger a los usuarios y a los consumidores frente a fraudes, contenidos nocivos / ilegales, y el cibercrimen.

4. gestionar el riesgo que supone la cada vez mayor dependencia de la economía respecto a

las TIC, en particular, analizando las vulnerabilidades, el impacto y la criticidad. La consecución de esta visión exige el compromiso y la participación de todos los agentes desde los poderes públicos, las administraciones, la industria, y los usuarios, primando la coordinación y la eficacia a nivel nacional. Las amenazas a las que estamos expuestos son muy variadas como ponen de manifiesto la mayoría de los estudios e informes disponibles. Sin embargo, lo que las hace que sean objeto de especial preocupación es el hecho de la creciente criminalización de las mismas, es decir, la motivación de los atacantes esconde un nuevo modelo criminal donde el rédito económico es significativo, y tanto la impunidad como el riesgo son prácticamente inexistentes. Es preciso conocer la amenaza y generar mecanismos de alerta temprana para anticipar los ataques y poder preparar los mecanismos reactivos adecuados. La participación ciudadana puede ser fundamental en la respuesta temprana y la colaboración en la resolución de los incidentes, agravados en muchos casos por el desconocimiento del usuario de que está siendo blanco o fuente de un ataque. Estas acciones cobran especial trascendencia si la motivación del atacante trasciende a los puramente criminales y se aproximan más a los terroristas. La prevención y la persecución deben tener en cuenta que las principales amenazas, y gran parte de los efectos negativos de su impacto, transcienden las fronteras nacionales. La generación de confianza debe por tanto integrarse además en un contexto global de cooperación internacional que permita hacer frente a dichas amenazas y perseguir los delitos cometidos empleando las TIC como medio o como fin.

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

18

Finalmente, la dependencia de las TIC es cada vez mayor en los sectores críticos o esenciales de un país pudiendo afectar de forma severa a la economía, la seguridad nacional y la defensa. En este escenario, la protección de las infraestructuras críticas de la información se hace especialmente necesaria para minimizar los riesgos de una degradación significativa de la confianza. 4.2 Alcance La confianza por tanto es un objetivo compartido de la política nacional en materia TIC y de Industria, pero también de innovación, de protección del consumidor, de protección de datos personales y privacidad, de protección de la infancia y la juventud, y por último de seguridad y defensa. En este contexto, ECONFIANZA 2010 se centrará exclusivamente en políticas públicas para la seguridad de la información y la confianza en las TIC orientadas a ciudadanos, empresas y la Industria, contribuyendo al resto de políticas nacionales para la construcción de la confianza desde la cooperación y la cooperación. 4.3 Misión La misión de ECONFIANZA 2010 será impulsar la construcción de la confianza para fortalecer el desarrollo de la Sociedad de la Información desde políticas proactivas de prevención centradas en los ciudadanos, las empresas y la Industria. Para ello, ECONFIANZA pondrá en marcha políticas públicas para reforzar la seguridad de la información de los ciudadanos y de las empresas y potenciar la innovación en tecnologías para la seguridad. Por otro lado, ECONFIANZA 2010 se coordinará y cooperará con los agentes competentes en cada caso con el objeto de contribuir activamente a la política nacional en materia de ciberseguridad y confianza, en particular en las políticas públicas destinadas a la lucha contra el fraude online, la protección del consumidor, la protección de la privacidad, la protección de la infancia, y la protección de las infraestructuras críticas. 4.4 Objetivos Los objetivos para la consecución de la misión de ECONFIANZA 2010 serán tres: Objetivo #1 CAPACITACIÓN EN SEGURIDAD Descripción Implantar una cultura de la seguridad en ciudadanos y empresas que

permita mejorar los niveles de seguridad y confianza. Objetivo #2 COMPETENCIA EN SEGURIDAD

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

19

Descripción Impulsar el desarrollo de infraestructuras y servicios para la seguridad y la generación de confianza

Objetivo #3 INNOVACIÓN INDUSTRIAL Descripción Promover el aprovechamiento por parte de la Industria de las oportunidades

generadas en el proceso de construcción de la confianza, detectando nuevos nichos de mercado que sirvan de catalizador de nuevas tecnologías enfocadas a la seguridad de la información, la privacidad del usuario, etc.

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

20

5 PROPUESTA DE PLAN DE ACTUACIONES ECONFIANZA 2010 Siguiendo el modelo del Plan Avanza, se presentan a continuación las políticas y las medidas propuestas para llevar a cabo los objetivos y misión descritos. 5.1 Política #1 - Seguridad y confianza en el entorno personal 5.1.A Objetivos Elevar los niveles de seguridad y confianza en el entorno personal de actuación de los usuarios, especialmente en el hogar, la escuela, favoreciendo el desarrollo y la adopción de comportamiento y hábitos de uso seguro y responsable. Las medidas que la implementen deberían estar orientadas a:

• Reducir el diferencial percepción / realidad del nivel de seguridad. • Disminuir las incidencias de seguridad, fraudes, etc. • Elevar las medidas de seguridad implantadas. • Impulsar el uso de la identidad digital y de la firma electrónica: DNIe.

5.1.B Medidas Las medidas propuestas inicialmente y cuyo desarrollo se detalla en el siguiente capítulo son:

M1.1 Oficina de Seguridad del Internauta M1.2 Campaña para la seguridad y confianza del internauta

5.2 Política #2 - Competitividad empresarial basada en la confianza 5.2.A Objetivos Estimular y motivar a la empresa, en especial a la PYME, para que perciba la seguridad y la confianza como una oportunidad para mejorar la competitividad de sus procesos, de sus productos y de sus servicios. Impulso del DNIe. 5.2.B Medidas

M2.1 Programa para impulsar la incorporación de la seguridad en la PYME

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

21

5.3 Política #3 - Servicios de referencia para la confianza 5.3.A Objetivos

• Reforzar la capacidad de prevención y respuesta nacionales para la lucha contra el malware y los incidentes relacionados.

• Elevar los niveles de disponibilidad y robustez de Internet para contribuir a la protección de las infraestructuras críticas nacionales.

• Contribuir a la estrategia nacional sobre ciberseguridad en cuanto a la cooperación internacional y en la persecución del spam, los fraudes online, la protección del menor, y la lucha contra el cibercrimen.

5.3.B Medidas

M3.1 Plan para potenciar y desarrollar Equipos de Alerta y Respuesta M3.2 Análisis de la disponibilidad y la robustez de Internet

5.4 Política #4 - Innovación para la confianza 5.4.A Objetivo Impulsar la generación de una demanda temprana de productos y servicios de seguridad y confianza, facilitando el aprovechamiento de las oportunidades por parte de la Industria. 5.4.B Medidas

M4.1 Centro de Referencia sobre Riesgos Emergentes y Tecnologías para la Seguridad M4.2 Acción estratégica TIC para la seguridad de la información M4.3 Centro Demostrador de Tecnologías de Seguridad

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

22

6 DESCRIPCION DE LAS MEDIDAS PROPUESTAS 6.1 (M1.1) Oficina de Seguridad del Internauta La Oficina de Seguridad del Internauta es un servicio público que proporcionará a los ciudadanos que navegan por la red la confianza necesaria para sortear los posibles incidentes de seguridad por los que se puedan ver afectados. Su misión principal consistirá en ofrecer, de modo gratuito, asesoramiento especializado, herramientas y gestión ante posibles dudas o incidencias sobre temas de seguridad en la red. Atenderá al primer nivel de incidencias generadas por los usuarios. Para ello contará con una línea de atención telefónica gratuita, un portal web de información, accesible y estructurado, sobre los principales canales de acceso del usuario, así como atención mediante correo electrónico y foros de consulta. El segundo nivel de atención a incidentes será atendido por profesionales de seguridad especializados del INTECO-CERT. En los casos que así se requiera, guiará y dará soporte al ciudadano en el proceso de contacto con las Fuerzas y Cuerpos de Seguridad del Estado en caso de que sea necesaria la tramitación de incidencias de seguridad que puedan incurrir en un delito informático o de fraude y supongan una agresión o perjuicio económico o personal para el ciudadano. Asimismo, impulsará, mediante campañas de promoción de los diversos servicios a través de diferentes canales, la detección y denuncia de nuevas amenazas en la red, fraudes y estafas online y otros tipos de ataques de seguridad informática. También, prestará al ciudadano la información y el asesoramiento necesario en materia legal sobre Internet y las tecnologías relacionadas. Esta medida ha sido aprobada el 21 de diciembre de 2007 en acuerdo de Consejo de Ministros y a propuesta del Ministro de Industria, Turismo y Comercio. La “Oficina de Seguridad del Internauta” será gestionada por INTECO.

6.2 (M1.2) Campaña para la Seguridad y Confianza del Internauta La medida consiste en una campaña intensiva de sensibilización, difusión y formación destinada a usuarios domésticos en la que deberán participar y colaborar todos los agentes públicos y privados implicados. Esta medida pretende ser la continuación de las campañas ya realizadas en ECONFIANZA pero con algunas novedades que aseguren su continuidad y sobre todo su impacto. Para garantizar el suficiente impacto, el desarrollo de la campaña deberá necesariamente contar con un Acuerdo Marco de Actuación entre los partes implicadas liderado por la SETSI, en el que participen las Administraciones Públicas, los operadores de telecomunicaciones, los principales prestadores de servicios de la sociedad de la información, la banca, la Industria, los usuarios de Internet, y las entidades responsables de la protección de los menores en Internet. Este Acuerdo servirá de marco de referencia para el diseño y ejecución de las medidas, así como para la evaluación del impacto y éxito de las mismas.

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

23

En el contexto del Acuerdo se diseñará el Plan de Comunicación y se designarán a los responsables de su ejecución. Entre las acciones a realizar deberán al menos establecerse instrumentos que faciliten:

• la sensibilización y la formación de los usuarios en el uso seguro y responsable de Internet, en especial para el colectivo de menores, y la protección de la privacidad.

• la difusión y promoción de herramientas seguridad de la información, guías y recomendaciones para evitar fraudes online y el acceso a contenidos nocivos para menores.

• el impulso de la identidad digital y la firma electrónica, entre otros, a través del DNIe. • la colaboración de los usuarios (y las entidades participantes) en la denuncia de

actividades delictivas ante las FCSE y otros agentes competentes. La campaña se llevará a cabo desde la SETSI a través de INTECO, y con la colaboración de los agentes adheridos al Acuerdo. Con el objeto de sumar esfuerzos, la campaña deberá coordinarse y cooperar con las campañas puestas en marcha por otros agentes y con las llevadas a cabo por las CCAA. 6.3 (M2.1) Programa para impulsar la incorporación de la seguridad en la PYME Se propone poner en marcha un Programa para impulsar la incorporación de la seguridad en la PYME que promueva la adopción de medidas de seguridad de la información en el negocio y, en su caso, la certificación de la gestión de la seguridad de la información. El programa contará con instrumentos para la sensibilización, la formación de profesionales, y la ayuda a la implantación y certificación de sistema de gestión de la seguridad de la información. El programa identificará incentivos para la incorporación de la seguridad en la PYME, desarrollará y divulgará herramientas y guías para la seguridad y la confianza, en especial guías destinadas a la implantación de sistema de gestión de la seguridad de la información en entornos PYME y al análisis y gestión de riesgos. Además, el programa promoverá la incorporación del DNIe como herramienta de seguridad y confianza para los servicios de las empresas destinados a ciudadanos españoles. En este particular es muy necesario usar la gran capilaridad y difusión que va a tener el DNIe para convertirlo en la principal herramienta de uso de los servicios electrónicos del sector privado (comercio electrónico, banca online, identificación en otros ámbitos no empresariales como el ocio y la comunicación, etc.). El programa se coordinará con otros programas destinados a la PYME de la SETSI como son Avanza PYME, y en especial con las actuaciones de las CCAA en estas materias. 6.4 (M3.1) Plan para potenciar y desarrollar Equipos de Alerta y Respuesta Esta medida tiene por objeto reforzar la capacidad de alerta y respuesta nacionales.

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

24

La medida se compone de las siguientes actuaciones todas ellas muy relacionadas:

• Creación y puesta en marcha de un Sistema Nacional del Alerta Temprana (EWS) que sirva de fuente de información para los CERTs en España, y punto de coordinación con sistemas similares en el contexto internacional.

• Apoyado en el anterior, puesta en marcha de un Sistema de Detección de Equipos

Comprometidos que permita informar a los titulares de las conexiones afectadas la circunstancia y riesgo de la situación en que se encuentra su equipo. El Sistema servirá de fuente de información para operadores, ISP y otros agentes públicos y privados que tengan interés en ofrecer servicios de asesoría y reparación al usuario afectado.

• Puesta en marcha de un Sistema de Prevención del Fraude Online que permita informar a

los usuarios y agentes implicados sobre nuevas amenazas y ataques, facilitando información para su persecución por las FCSE.

• Programa para la creación y refuerzo de equipos de respuesta de ámbito general o

sectorial (modelo WARP). En el caso específico de España, se hace necesaria la creación de una red de centros de seguridad informática capaces de abordar con la máxima capilaridad posible el impacto ocasionado por incidentes de seguridad que puedan afectar en gran medida a ciudadanos y empresas. El objetivo es por tanto fomentar la creación de centros de seguridad o pequeños equipos de respuesta a incidentes de alcance general, sectorial, regional o incluso local, que coordinados con los centros de referencia nacionales en materia de seguridad de la información, pudiesen dar respuesta a los incidentes de forma rápida y eficaz, haciendo uso de los servicios clásicos de reacción ante un incidente, información y prevención, formación y sensibilización, fomento del uso de herramientas de seguridad, coordinación de incidentes, etc.

• Estudio para la mejora de la coordinación y eficacia de los equipos de respuesta en

España, y para la articulación de mecanismos para identificar problemas y nuevas necesidades.

• Apoyo a los CERTs para que contribuyan y refuercen los mecanismos de cooperación con

las FCSE en materia de persecución del cibercrimen en el ámbito nacional, y contribuyan con eficacia en el ámbito de cooperación internacional entre CSIRT.

• Apoyo al Observatorio de Seguridad de la Información de INTECO en la elaboración del

diagnóstico de seguridad e indicadores necesarios para evaluación y valoración del impacto de las distintas medidas así como la identificación y detección de nuevas necesidades de forma dinámica.

6.5 (M3.2) Análisis de la disponibilidad y la robustez de Internet

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

25

Esta medida permitirá analizar e identificar medidas específicas de seguridad de la información cuya implantación contribuya al fortalecimiento y disponibilidad de Internet y los servicios de la Sociedad de la Información. Para ello, se impulsarán mecanismos autorregulados para los agentes implicados. La medida podrá contribuir al trabajo que los agentes competentes en materia de Protección de Infraestructuras Críticas (CNPIC, CCN, FCSE) desarrollen, y con las medidas específicas que desde el Ministerio del Interior se establezcan en el Plan Nacional de Protección de las Infraestructuras Críticas aplicado al Sector TIC. 6.6 (M4.1) Centro de Referencia sobre Riesgos Emergentes y Tecnologías para la

Seguridad Creación del Centro de Referencia sobre Riesgos Emergentes y Tecnologías para la Seguridad cuya función será el estudio de nuevas amenazas y vulnerabilidad tecnológicas en el largo plazo, y la generación de demanda temprana en productos y servicio. Prestará especial atención a las tecnologías IDM, Trusted Computing, RFID, y al análisis de vulnerabilidades y amenazas sobre el DNIe, tendencias y evolución del malware, impacto en infraestructuras y servicios que pudieran ser calificados de críticos, y a la interoperabilidad. El Centro deberá coordinarse con la medida M4.2 y M4.3 y con otros agentes competentes del sector, plataformas tecnológicas y el mundo académico, y podrá colaborar con éstos en los proyectos que se les demanden. 6.7 (M4.2) Acción estratégica TIC para la seguridad de la información Como complemento, se reforzará la Acción Estratégica TIC para el fomento de la innovación en materia de seguridad de la información que se instrumentalizará a través de diferentes programas como Avanza I+D y Avanza Pyme. Para ello se fomentará el I+D+i en productos y servicios de seguridad de la información, la protección de la privacidad, la lucha contra los contenidos ilícitos, etc. Esta medida se coordinará con el Centro de Referencia sobre Riesgos Emergentes y Tecnologías para la Seguridad (M4.1), y tendrá en cuenta por tanto los objetivos estratégicos de los Programas Marco Europeos y del Plan Nacional de I+D+i. 6.8 (M4.3) Centro Demostrador de Tecnologías de Seguridad Así mismo se reforzará el Centro Demostrador de INTECO para aumentar su capacidad y potenciar las acciones de promoción, así como su papel de sensibilizador para la certificación de productos de seguridad de la información.

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

26

Así mismo seguirá impulsando la elaboración de perfiles de protección para el uso del DNIe en diversas tecnologías y servicios de cara a dinamizar por un lado el uso de dichas tecnologías y por otro la industria generadora de productos que se apoyen en el DNIe.

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

27

7 ALINEACIÓN DE LAS POLÍTICAS, MEDIDAS Y OBJETIVOS 7.1 Objetivos y medidas ECONFIANZA 2010 CAPACITACIÓN COMPETENCIA INNOVACION#1 Seguridad y confianza en el entorno personal

M1.1 Oficina de Seguridad del Internauta XXX XX M1.2 Campaña para la seguridad y confianza del internauta

XXX

#2 Competitividad empresarial basada en la confianza

M2.1 Programa para impulsar la incorporación de la seguridad en la PYME

XXX XX X

#3 Servicios de referencia para la confianza

M3.1 Plan para Potenciar y Desarrollar Equipos de Alerta y Respuesta

XXX XX

M3.2 Análisis de la disponibilidad y la robustez de Internet

X XXX

#4 Innovación para la confianza M4.1 Centro de Referencia sobre Riesgos Emergentes y Tecnologías para la Seguridad

XX XXX

M4.2 Acción estratégica TIC para la seguridad de la información

XXX

M4.3 Centro Demostrador de Tecnologías de Seguridad

X XX XXX

XXX = Contribuye directamente al objetivo X y XX = Contribuye con menor intensidad al objetivo 7.2 Continuación ECONFIANZA 2006-2007 en ECONFIANZA 2010

ECONFIANZA 2010 ECONFIANZA 2006-2007 #1 Seguridad y confianza en el entorno personal

M1.1 Oficina de Seguridad del Internauta SEG.04 M1.2 Campaña para la seguridad y confianza del internauta

SEG.O1

#2 Competitividad empresarial basada en

SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN

DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN

MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO

SUBDIRECCIÓN GENERAL DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

ECONFIANZA 2010 CAPITAN HAYA, 41 E-28071 MADRID

28

la confianza M2.1 Programa para impulsar la incorporación de la seguridad en la PYME

SEG.01

#3 Servicios de referencia para la confianza

M3.1 Plan para Potenciar y Desarrollar Equipos de Alerta y Respuesta

SEG.04

M3.2 Análisis de la disponibilidad y la robustez de Internet

SEG.08 / SEG.09/10

#4 Innovación para la confianza M4.1 Centro de Referencia sobre Riesgos Emergentes y Tecnologías para la Seguridad

SEG.06 / SEG.08

M4.2 Acción estratégica TIC para la seguridad de la información

SEG.05 / SEG.07

M4.3 Centro Demostrador de Tecnologías de Seguridad

SEG.05 / SEG.07

Las medidas SEG.03 (DNIe) y SEG.06 (Impulso identidad y la firma electrónica) se consideran concluidas.