centre de seguretat de la informació de catalunya memòria 2014

CESIemòria 2013 / Pàg. 0

Centre de Seguretat de la Informació de Catalunya

Memòria 2014

CESICAT Memòria 2014 / Pàg. 0

® fundació privada CESICAT


Carrer de Salvador Espriu, 45-51

08908 L'Hospitalet de Llobregat

Maig 2015

Memòria CESICAT 2014 Índex


ÍNDEX

1. CARTA DEL DIRECTOR GENERAL ....................................................... 1

2. EL CESICAT EN EL 2014 ........................................................................ 3

2.1. ANTECEDENTS I CONTEXT DE L’EXERCICI 2014 .............................................................. 3 2.2. CONCRECIÓ DE L’ACTIVITAT ......................................................................................... 7 2.3. MADURESA DEL MODEL ORGANITZATIU ...................................................................... 12 2.4. ELS NOSTRES COMPTES ............................................................................................. 19

3. BALANÇ D’ACTUACIONS .................................................................... 21

3.1. ESTRATÈGIA DESENVOLUPADA EN EL DESPLEGAMENT DE L’ACTIVITAT .......................... 21 3.2. ACTIVITAT OPERATIVA DE SEGURETAT ......................................................................... 23 3.3. INTERNET SEGURA ..................................................................................................... 47

4. TENDÈNCIES I REPTES DEL 2014 ...................................................... 60

4.1. CONCLUSIONS DELS ATACS DURANT L’ANY 2014 ......................................................... 63

Memòria CESICAT 2014 Carta del Director General


1. Carta del Director General

En l’àmbit de les tecnologies de la informació, el 2014 ha esdevingut un any en el qual

s’ha observat –un any més- un important increment dels ciberatacs perpetrats

contra sistemes d’informació, tant en organismes i institucions públiques i privades

com a també en particulars, així com un agreujament de l’impacte que aquests atacs

han comportat, convertint-se en una tendència protagonista en les notícies d’abast

mundial.

L’expansió a nivell mundial de les xarxes de comunicació globals, com Internet, i l’ús

d’aquestes per l’intercanvi d’informació sensible així com l’administració de sistemes

estratègics, fa que les activitats relacionades amb el cibercrim s’hagin vist

incrementades durant l’any 2014 esdevenint amenaces cada cop més perjudicials per

organismes, institucions i entitats públiques i privades.

Els ciberatacs constitueixen una família de riscos tecnològics que poden suposar un

alt impacte en les organitzacions, i es poden produir amb alta probabilitat. Són, per tant,

riscos que cal que es tinguin en consideració i contra els quals cal estar preparats.

Els riscos i les amenaces que afecten la ciberseguretat de manera global, també ho fan

als actius del territori català, on el CESICAT és l’encarregat de vetllar per la seguretat

de la informació mitjançant les línies d’actuació establertes que es centren en la

prevenció, la protecció, la resiliència i la governança de la seguretat.

És per això que hem treballat durant tot aquest any per desplegar i millorar les mesures

necessàries per fer front a la creixent exposició a ciberatacs a l’administració pública

catalana. Caldrà que les actuacions endegades no només es despleguin

progressivament i de manera pautada, sinó que hauran de ser constants i resilients.

La maduresa assolida del Model Estàndard de Seguretat, conceptualitzat, definit i

impulsat per l’entitat, ens ha permès iniciar el seu desplegament a entitats i institucions

més enllà de la pròpia Administració de la Generalitat de Catalunya, acostant-nos a la

consecució de la visió que l’entitat té per definir un model exportable per a tota

l’administració pública del país.

L’Acord de Govern del 2 de desembre, estableix l’encàrrec a l’entitat per establir les

bases d’una agència governamental de ciberseguretat a Catalunya, i disposar així de la

forma jurídica adequada per a dur a terme les funcions, encàrrecs i activitats que el

Govern consideri adients per executar aquelles tasques que li siguin pròpies en

coherència amb l’estratègia de ciberseguretat del país. Aquest és un repte que l’entitat

ha afrontat amb il·lusió i responsabilitat, esdevenint alhora la darrera de les

transformacions que l’entitat ha anat consolidant des de començaments de l’any 2013.

Memòria CESICAT 2014 El CESICAT en el 2014


És per tot això que seguirem treballant amb la constància, tenacitat i vocació amb la que

ho hem fet per tal de seguir assumint els nous desafiaments que ens depara el futur i

dedicar l’esforç i treball requerit per tal d’assolir l’objectiu marcat, essent coneixedors de

la responsabilitat que suposa representar una peça clau i cabdal per assegurar el repte

que tenim com a societat, com a país.

Xavier Gatius i Garriga

Director General del Centre de Seguretat de la Informació de

Catalunya



2. El CESICAT en el 2014

2.1. Antecedents i context de l’exercici 2014

La tecnologia és un element inherent en l’activitat humana en diversos àmbits, com

el personal, el social, el professional i l’institucional, entre d’altres. Una mostra d’aquest

fet és l’augment continu en el nombre de dispositius, d’usuaris i usuàries, i de la

informació emmagatzemada, a la vegada que s’expandeix la connectivitat amb noves

tendències en l'ús de la mobilitat i les xarxes socials.

A la vegada, la introducció de tecnologies cada vegada més sofisticades, com és el cas

de la “Virtualització” i el “Cloud Computing” (on la informació no s’emmagatzema

localment als equips) alimenten la ciberdelinqüència i fan evolucionar les eines,

mètodes i talent emprats en els atacs.

D’aquesta manera, durant aquest any s’ha observat l’augment del nombre d’atacs en

matèria de ciberdelinqüència que demostra l’alt risc que es viu envers les tecnologies

de la informació, essent necessari protegir-se de fallides, atacs i incidents que

produeixin la caiguda de les infraestructures i, com a conseqüència, la fallida dels

serveis que ofereixen.

Un clar exemple de la necessitat de protegir les nostres tecnologies el trobem durant

aquest any on els atacs produïts van posar en perill la informació personal de

milions de persones i empreses, permetent als atacants accedir a arxius interns amb

informació confidencial, crítica, de negoci o de propietat intel·lectual.

L’impacte d’aquests incidents han fet reflexionar a la societat sobre el fet que la

seguretat no és només una qüestió de servidors, programari i dades de l'empresa, sinó

un assumpte de seguretat global, i és per això que la ciberseguretat esdevé un servei

crític i bàsic avui dia.

Aquests atacs no s’han produït només en grans empreses o en sectors concrets, sinó

que cap empresa o sector ha estat fora de perill, de manera que aquesta situació i

entorn, desafien i obliguen a l’Administració a treballar i garantir la seguretat tecnològica

en tot el seu àmbit.

És en aquest punt, on el Centre de Seguretat de la Informació de Catalunya

(CESICAT) participa i pren un paper rellevant en l’actualitat i en el dia a dia de la

Generalitat de Catalunya, els governs locals i la ciutadania des de la seva fundació l’any

2010, arran de l’acord de govern GOV/50/2009 del 17 de març.



Va ser l’acord de Govern del 16 d’octubre de 2012 el que es va refermar aquest valor

clau i estratègic de la seguretat TIC a nivell de país atorgant al CESICAT la

responsabilitat d’assumir les funcions en matèria de seguretat TIC de la Generalitat

de Catalunya, establint i fent seguiment dels programes d’actuació corresponents del

Pla nacional d’impuls de la seguretat TIC a Catalunya sota la direcció del Govern de la

Generalitat, i col·laborant amb les entitats del sector públic de l'administració de la

Generalitat, l'administració local, el sector privat i la ciutadania en general.

En base a l’encàrrec fet en aquell acord, es van establir la missió, visió i valors amb

els quals el CESICAT duria a terme la planificació, gestió i control de la seguretat de

la informació de la Generalitat, les administracions locals i ciutadania.

El CESICAT ha dissenyat i desplegat una estratègia de ciberseguretat

materialitzada aquest any 2014 a través de la prestació de serveis de seguretat

tecnològica que garanteixen la ciberprotecció dels actius i la informació de les

administracions públiques catalanes i dels seus ciutadans, en especial l’Administració de

la Generalitat de Catalunya i el seu Govern.

En aquest mateix sentit, el CESICAT ha continuat treballant en la contribució d’un

programa de difusió i conscienciació en matèria de ciberseguretat. Aquest programa

permet dotar d’una major maduresa al país com a societat de la informació, tot dedicant

una atenció particular als col·lectius més vulnerables, com ara menors, adolescents o

persones amb risc d’exclusió tecnològica.



La fundació ha mantingut els seus valors fixats el passat any per establir la seva

cultura i les seves pautes de comportament professional en l’especialització de les

seves funcions, la professionalització de l’activitat que exerceix i l’orientació de

l’organització envers als seus clients. En la següent il·lustració es mostren els principals

valors definits.

La finalitat del CESICAT és garantir una Societat de la Informació segura al conjunt

de la societat catalana i de la seva Administració Pública, amb la voluntat d’esdevenir un

referent a nivell nacional i internacional en matèria de ciberseguretat. Té el patrimoni, els

rendiments i els recursos dedicats a la realització de les finalitats d’interès general

previstes en els seus estatuts, si bé caldrà adequar les capacitats de l’entitat en tot

moment al repte creixent que la ciberseguretat suposa en les societats desenvolupades.

Conscient de la importància creixent i la necessitat de vetllar per la seguretat en els

sistemes de la informació, durant l’exercici anterior el CESICAT va abordar una

transformació organitzativa i funcional. En aquell moment, es va articular el Model

Estàndard de Seguretat (MES) que estableix el marc de referència per tal de desplegar

els serveis de manera homogènia i extensible a tota l’Administració Pública catalana,

començant per la Generalitat de Catalunya i el seu Sector Públic.

L’any 2014, la fundació ha mantingut les seves bases i objectius definits en exercicis

anteriors, i treballant per fer tangibles les seves activitats des del pragmatisme. En

aquesta línia, els serveis especificats l’any anterior en el model de seguretat han

evolucionat per millorar-se i adaptar-se a les noves tecnologies i la ciberdelinqüència.

A la vegada, s’ha realitzat un contacte directe i actiu per tal d’aprofundir el

coneixement en els diferents àmbits d’actuació i poder donar a conèixer els serveis

oferts pel CESICAT amb un discurs que prioritza els beneficis, l’impacte dels riscos i la

millora de la seguretat de la informació, podent separar-lo de la tecnologia.



Conjuntament a aquesta millora dels serveis i al treball en els diferents àmbits, durant

l’any 2014, el CESICAT ha establert els Programes de Seguretat que planifiquen el

desplegament del MES de manera personalitzada per cadascun dels departaments de la

Generalitat de Catalunya. Aquests programes s’han adaptat a les necessitats i prioritats

a través d’una estratègia dirigida pel màxim rendiment i eficàcia dels recursos.

La cadena de valor establerta en aquest exercici emmarca les activitats del CESICAT

segons el seu objecte en les línies de prevenció, protecció, resiliència i governança

de la seguretat. Aquest enfocament ha permès a la fundació crear i tenir una visió

global del risc envers de la Seguretat de la Informació, tot valorant l’impacte que

aquests riscos poden comportar pels distints organismes.

Finalment l’any 2014, concretament el 2 de desembre, el Consell Executiu va dipositar,

una vegada més, la confiança en el CESICAT encarregant-li l’elaboració d’un

avantprojecte de llei per a la creació d’una agència governamental de la

ciberseguretat a Catalunya. Aquest acord alhora és coherent amb la resolució del

Parlament de Catalunya, la qual instava al Govern a presentar una proposta de

modificació dels estatuts del CESICAT pel que fa als objectius genèrics, l’estructura

interna i les tasques concretes que ha de complir, amb l’objectiu de reconvertir-lo en una

agència governamental.

No cal dir que el CESICAT aspira a convertir-se en l´organisme competent en matèria de

ciberseguretat a nivell de Catalunya i de la seva Administració Pública, essent també

actor de referència per a empreses i ciutadans com a únic CERT governamental del

país, amb interrelació a nivell europeu i internacional amb les organitzacions i entitats

que vetllen per a una estratègia conjunta enfront les ciberamenaces tot tenint un rol actiu

i reconegut.



2.2. Concreció de l’activitat

Durant el 2013 el CESICAT va definir el Model Estàndard de Seguretat, que es tracta

del marc de referència de seguretat TIC establert per donar resposta a l’encàrrec del

Govern en referència a la planificació, la gestió i el control de la seguretat de les TIC de

l’Administració de la Generalitat i el sector públic.

Aquest model defineix 73 serveis finals, que es troben classificats en 7 Marcs

(Normatiu, Organitzatiu, Sistemes d’informació, Xarxa, Auditoria, Continuïtat i

Infraestructures Crítiques i Informació) que engloben les principals línies de treball, i en 3

Nivells de Servei que es donen en funció de la penetració dels serveis (base, gestionat

i específic).

En concret, aquests marcs a l’hora de ser desplegats s’organitzen en tres grups

d’accions: planificació, implementació i validació. El primer grup, planificació, es

focalitza en desenvolupar els serveis de gestió interna d’informació, organització i

normatiu. El segon grup, implementació, consisteix en desplegar els serveis Tecnològics

de sistemes de la informació i xarxa. L’últim grup, validació, es basa en el desplegament

dels serveis de validació d’auditories tècniques i anàlisis i continuïtat i infraestructures

critiques.

Per altra banda, els nivells de servei del MES s’estableixen en funció del tipus de

relació necessària amb els clients. Com a base s’inclouen els serveis en els quals el

CESICAT pot executar-ne les activitats associades sense la interacció amb el client;

gestionat, aquells serveis que requereixen una interacció amb el client per tal de

realitzar les activitats; i específic, per als serveis que es sol·liciten de manera concreta

per donar resposta a necessitats puntuals per part dels clients.

Durant el 2014 s’ha seguit millorant aquest model i s’ha adaptat als 3 principals àmbits

d’actuació del CESICAT, Tecnologia, Organització i Formació, personalitzant-los i

enfocant-los a les necessitats de cadascun dels clients.

Per tal de poder desplegar els serveis del MES, ja en l’anterior exercici, es va establir la

figura del Responsable de la Seguretat de la Informació (RSI) com a nexe de

contacte entre el CESICAT i els departaments. Aquesta figura dedicada a explicar i oferir

els serveis en els clients ha permès obtenir el coneixement i la identificació de

necessitats específiques de primera mà.



D’aquesta manera, en el 2014 la fundació ha treballat per la definició de 12 Programes

de Seguretat personalitzats per a cadascun dels departaments de la Generalitat de

Catalunya, que consisteixen en la planificació del desplegament del MES prioritzant-ne

específicament els serveis per cada departament segons les seves necessitats. Entre

els serveis identificats com a més prioritaris en els programes trobem el servei

d’auditories associades a la protecció de dades (LOPD), el servei de Seguretat en

Projectes i l’organització i seguiment de les mesures de seguretat i proveïdors.

A través de la planificació establerta pels 12 Programes de

Seguretat per a la materialització dels diferents serveis

oferts en el MES, el CESICAT, durant aquest exercici ha

adaptat la seva cadena de valor per treballar en les

següents quatre línies d’acció: prevenció,

protecció, resiliència i governança. Aquesta

cadena de valor permet gestionar l’activitat de la

fundació articulant l’evolució del MES i la

definició d’aquests programes.

Cadascuna de les línies fixades en la

cadena de valor treballa envers a un pilar

diferent de la seguretat de la informació. Per

una banda, la prevenció treballa proactivament

per detectar i controlar els riscos. Per altra part, la protecció realitza accions

de manera reactiva per evitar i solucionar atacs. La resiliència per la seva part es

concentra en donar robustesa i capacitat de recuperació als sistemes d’informació en

front eventuals ciberatacs. Finalment, la governança de la ciberseguretat reforça les

línies d’acció prèvies proporcionant el control i guia necessaris per ampliar i millorar les

activitats de seguretat de la informació realitzades per part del CESICAT.

La prevenció i detecció d’amenaces es centra en l’establiment de

mesures destinades a controlar els riscos de seguretat de la

informació en els sistemes i actius de la Generalitat de

Catalunya i administracions locals. Aquesta línia d’acció

engloba activitats com són el compliment normatiu, la

detecció i l’anàlisi de riscos, la detecció de

vulnerabilitats i la seguretat proactiva.

Les principals activitats que realitza el CESICAT per

complir amb aquesta finalitat estan orientades primerament

en el control del compliment normatiu en matèria de

seguretat de les activitats que s’executen a les

infraestructures i sistemes de la Generalitat, per detectar i

analitzar-ne els riscos i posteriorment prioritzar i assegurar

que s’apliquen les mesures necessàries per reduir-los.



L’activitat de la fundació en la detecció de vulnerabilitats és fonamental tant per

verificar i revisar l’existència de potencials vulnerabilitats, com per preveure mecanismes

per inhibir-ne la seva explotació. En aquesta mateixa direcció, el CESICAT realitza

tasques periòdiques de seguretat proactiva que permeten evitar els efectes de

determinats ciberatacs, reduir-ne els riscos associats i el seu possible impacte en els

elements de la Generalitat o les administracions locals, mitjançant les activitats de

simulació i comprovació de les possibles escletxes de seguretat existents en els

sistemes d’informació i la infraestructura tecnològica de la Generalitat.

Un altre pilar fonamental per al CESICAT és la protecció i la

capacitat de reacció envers als incidents que finalment es

materialitzen. En aquest sentit, la protecció es centra en

l’anàlisi dels possibles atacs i les contramesures

aplicables abans i després de produir-se. Aquesta línia

d’acció compren les activitats de gestió d’alertes, de

gestió d’amenaces i la resolució d’incidents de

seguretat.

Amb la finalitat d’agilitzar la solució de possibles

incidents de seguretat en cas que s’hagin materialitzat

es realitza la gestió i la revisió de les alertes rebudes

tant per part de dispositius de seguretat com

comunicades per tercers.

Una altra vessant de la protecció és la gestió

d’amenaces en la que el CESICAT recull informació de

diferents fonts sobre les activitats, intencions i context de possibles ciberamenaces,

avaluant els riscos que suposen i notificant-los reactivament als diferents afectats.

Una vegada s’ha materialitzat un incident el CESICAT realitza l’activitat de resolució

d'incidents que es basa, per una banda, en un conjunt de tasques de resolució de

vulnerabilitats i amenaces identificades durant les activitats preventives o la informació

monitorada i rebuda de fonts de tercers, i per altra banda, la resolució d’aquells incidents

que es materialitzin i que provoquin una interrupció dels serveis, una reducció de la seva

qualitat o un problema de seguretat de la informació, com poden ser infeccions de virus

o pèrdua d’actius amb informació sensible.

Addicionalment, a causa de la detecció de noves necessitats s’ha iniciat en el 2014 una

nova activitat de projectes de seguretat que permet realitzar valoracions d’impacte

sobre els sistemes d’informació, definir i gestionar els processos de construcció de

solucions de seguretat. Aquests projectes fan possible la creació de nous serveis,

processos i solucions de seguretat que permeten gestionar les necessitats específiques

de cada cas amb terminis més estesos i planificats. En aquest aspecte, cal esmentar

una altra activitat que ha inclòs el CESICAT corresponent a la coordinació d’activitats

proactives de detecció i protecció en dates o esdeveniments que poden elevar la

probabilitat d'atac a la seguretat de la informació per tal d’evitar la materialització dels

possibles atacs.



Des de la fundació no només es treballa en la prevenció i la protecció si no que a més

es proporciona als actius la capacitat de resistir i recuperar-se davant de desastres o

caigudes de servei, donant resiliència als sistemes i millorant la resistència a les

adversitats. Durant 2014, s’ha treballat en aquesta línia per tal d'aconseguir

certificacions que garanteixen la preparació dels serveis per convertir-se en sistemes

robusts i resilients. Un exemple rellevant d’aquesta activitat és el del Servei 112 que ha

esdevingut el primer Servei d’Atenció i Gestió de trucades d’Emergència d’Europa en

obtenir la certificació ISO/IEC 22301: Gestió de la Continuïtat de Negoci. En aquesta

línia d’acció es recullen les activitats de suport a l’obtenció de certificacions, de

continuïtat del negoci i de formació.

El CESICAT amb la figura d’assessor i d’expert ha realitzat la implantació i manteniment

de Sistemes de Gestió de Continuïtat de Negoci en alguns dels departaments, aportant

una millora en els seus processos crítics pels organismes.

A banda de les activitats realitzades en els propis sistemes, la resiliència passa per

evitar o reduir els riscos d’atacs o de que puguin fallar els sistemes a través de la

intervenció humana i per tant, la formació té un paper clau. En aquesta línia el

CESICAT treballa en l'elaboració i prestació de formacions que es peticionin

específicament per la Generalitat de Catalunya i els seus departaments per tal de

millorar les seves competències i coneixements en matèria de seguretat TIC.

De manera addicional, el CESICAT, com a activitat de conscienciació, realitza la gestió i

la creació de continguts del Centre d'Internet Segura que té com a missió procurar un

entorn segur per als més joves en l’ús d’Internet, la telefonia mòbil i les Tecnologies de

la Informació i la Comunicació.

La línia d’actuació central del CESICAT i que permet gestionar les activitats que es

realitzen per tal de garantir la seguretat de la informació és la governança i la gestió de

la seguretat. Aquestes tasques es centren en reforçar el servei que s’ofereix a la

Generalitat de Catalunya i les administracions locals per a la millora i ampliació de la

seguretat de la informació a través de la relació amb el client i la definició i gestió de la

Identitat Digital i el marc normatiu i legal. La línia d’acció aplega les activitats de relació

amb clients, de identitat digital, de gestió del marc normatiu i de l’assessorament

legal en seguretat TIC.



Una de les principals activitats del CESICAT envers la governança

és la relació amb el client que es realitza mitjançant la figura

del RSI en els departaments i mitjançant l’Administració

Oberta de Catalunya en les administracions locals. Aquests

punts de contacte proporcionen un nexe de comunicació

entre el CESICAT i els departaments i les

administracions públiques per explicar i oferir

els serveis a través de la presentació i

ús del Programa de Seguretat

proposat per cadascun dels

organismes.

Com a part de les activitats de governança, des del CESICAT es realitza la gestió de la

Identitat Digital per tal d’assegurar la veracitat i confidencialitat de les dades referents a

un servidor o aplicació de la Generalitat o administracions locals a través de la gestió de

Certificats Digitals.

En aquest aspecte cal destacar que durant el 2014, el CESICAT ha esdevingut Entitat

de Registre, de manera que es reconeix la capacitat per comprovar la veracitat de les

dades introduïdes a la sol·licitud del certificat i la seva gestió.

D’altra banda, el CESICAT també realitza la gestió del marc normatiu. Aquesta

activitat permet especificar les necessitats tècniques i legals en matèria de seguretat TIC

dels tres àmbits amb que treballa l’Entitat: tecnologia, informació i organització. En

aquest cas, i per tal d’avaluar i garantir el compliment d’aquest marc normatiu en els

diferents sistemes d’informació de la Generalitat, es fa necessari ressaltar la gestió,

control i planificació d’auditories en els distints departaments de manera integrada en

una planificació anual o invocades sota demanda.

Finalment, dins la línia d’actuació de governança, el CESICAT proporciona

assessorament legal en Seguretat TIC per aclarir aquells dubtes que puguin sorgir als

departaments, les administracions locals i la ciutadania sobre les legislacions vigents en

matèria de seguretat informàtica, protecció de dades i propietat intel·lectual, basat en el

marc normatiu i en l’especialització de la normativa i legislació de la Seguretat de la

Informació.



2.3. Maduresa del Model Organitzatiu

Durant l’exercici 2014, el CESICAT ha treballat en la millora i adaptació de la

transformació realitzada en el 2013 per tal de madurar la seva estructura per avançar en

la professionalització, l’eficiència, la industrialització i el control de l’organització.

Partint de l’estructura establerta durant 2013, el CESICAT ha consolidat l’organització

envers a la Seguretat de la Informació i el beneficis dels clients. D’aquesta manera, la

fundació ha treballat per millorar la coordinació entre les seves àrees i potenciar

l’orientació a servei.

Amb aquests objectius, internament, s’ha treballat en la reordenació del catàleg de

serveis en Unitats de servei i Línies de servei amb la figura de Responsable de Línia de

Servei i Coordinador de Servei. Les línies de servei permeten oferir de manera clara i

entenedora les activitats del CESICAT als clients de forma que la penetració dels serveis

s’ha pogut potenciar encara més durant 2014.

Per tal d’incrementar l’eficàcia de la gestió i el control de la despesa derivada de la

demanda dels serveis prestats, s’ha enriquit el model organitzatiu amb la unitat de

Control de Gestió dins l’Àrea d’Administració i Suport a la DG, que concentra en una

mateixa unitat la gestió pròpia del CESICAT.

De la mateixa manera, la unitat d’Evolució i Transformació s’ha inclòs dins de l’Àrea

d’Operacions per a la definició i lideratge en el desplegament de solucions i

projectes tècnics per la millora de la prestació dels serveis.



Durant l’any 2014 s’ha remarcat la gestió, col·laboració i prestació de serveis amb el

CTTI, millorant els propis serveis i apropant l’activitat i les infraestructures de suport i de

redundància del CESICAT a la seu central de l’Hospitalet de Llobregat per poder tenir

equips de treball que treballin conjuntament amb el CTTI i millorar el servei operatiu.

Després de les millores realitzades a l’organització transformada en 2013, s’estableix

l’estructura actual que permet assumir i obtenir una visió global del risc alhora que una

actuació especialitzada als clients.

L’organigrama d’alt nivell de l’Entitat que suporta aquesta consolidació es mostra a

continuació:

L’estructura organitzativa es basa en sis àrees de dependència directa de la Direcció

General. Aquestes sis àrees a la vegada consoliden la coordinació entre elles per a la

millora del servei.

Per una part, es disposa de les àrees que es concentren en la pròpia activitat operativa

(Assessorament legal i Formació, Operació de la Seguretat i Relació amb Clients) i per

altra part, les creades per suport, control i evolució del CESICAT i les seves activitats

(Seguretat Corporativa, Administració i Suport a la DG i Estratègia de la Seguretat).

Així doncs, l’àrea d’Assessorament legal i Formació s’encarrega de donar suport a

aspectes de seguretat de la informació amb base legal, accions legals, compliment legal

i normatiu, entre d’altres; es desenvolupa el marc legal i normatiu vigent a més de

planificar i executar auditories del mateix. Aquesta àrea també gestiona i porta a terme

la formació, la divulgació i la conscienciació en seguretat de la informació per a la

ciutadania i l’Administració Pública de Catalunya amb l’objectiu d’incrementar la seva

confiança i protecció.

L’àrea d’Operació de la Seguretat porta a terme la prestació tècnica dels serveis de

seguretat vinculats a les funcions de protecció, detecció i gestió d’incidents de seguretat

en la seva vessant més operativa.



L’àrea de Relació amb Clients té les funcions de gestió dels clients i del desplegament

del Model Estàndard de Seguretat (MES) a partir de les necessitats de cadascun dels

àmbits. Des d’aquesta àrea es coordinen les actuacions i els projectes que s’han de dur

a terme amb els responsables de cada departament i de l’Àrea TIC del Centre de

Telecomunicacions i Tecnologies de la Informació.

Com ja s’ha comentat anteriorment, l’Àrea d’Administració i Suport a la DG concentra

la gestió, control i assessorament en temes de pressupost, finances i la gestió de

persones. A més, com a part de l’àrea i suport a la Direcció General, s’inclou la part de

Comunicació Corporativa que gestiona tota la comunicació de la fundació cap a

l’exterior.

Per l’altra banda, l’àrea de Seguretat Corporativa centra la seva activitat en la definició

i l’aprovació de polítiques internes de seguretat del CESICAT i l’avaluació del seu

compliment. Aquestes tasques s’emmarquen en el programa de seguretat corporativa

denominat Model de Seguretat Corporativa (MSC).

Per últim, però no menys rellevant, l’àrea d’Estratègia de la Seguretat té la missió de

vetllar per l'alineament dels productes i serveis del CESICAT amb les experiències

internacionals de referència mitjançant l’anàlisi de tendències en la ciberseguretat per

tal de poder evolucionar el MES i interpretar el risc en seguretat de la informació de la

Generalitat de Catalunya, de l’Administració Pública local i de la societat civil.

2.3.1. Industrialització de l’activitat

A part dels canvis efectuats a la pròpia organització per millorar la prestació del servei,

s’han de destacar activitats portades a terme per tal de millorar internament i oferir

serveis de més qualitat. Aquestes activitats es concentren des de la millora dels

processos fins les activitats de gestió del CESICAT per a l’eficiència i industrialització

de l’activitat del mateix.

Per una part, s’ha treballat en la fomentació dels sistemes de gestió del pressupost i

de les capacitat dels actius, millorant processos com la facturació i l’eficiència dels

propis serveis a través de la gestió de les peticions amb la tecnologia implantada durant

2013.

Així mateix, s’ha de destacar l’esforç executat per industrialitzar els serveis en punts

com l’automatització d’activitats per a la generació d'informes de resultats, l'eficiència de

les revisions i auditories de manera que permetin una reducció d'esforços en

l'elaboració dels mateixos i permetent la seva estandardització i maduresa.

D’altra banda, el CESICAT ha avançat per garantir la disponibilitat dels serveis

envers a possibles incidents, problemes i contingències de manera interna. Entre alguns

dels exemples d’aquestes activitats tenim la creació de l’inventari dels actius de la

fundació.



Per garantir l’activitat de la fundació s’ha continuat amb l’aplicació del Pla de Seguretat

del CESICAT per tal d’assegurar la seguretat tant física com lògica dins del CESICAT i

així garantir l’accés només a personal autoritzat, les accions realitzades per a impulsar

la seguretat interna a través d’estudis d’espais físics, de la millora de la continuïtat del

propi CESICAT o de l’optimització de la seguretat lògica interna.

Per tal de realitzar el desplegament del MES en l’Administració de la Generalitat i el seu

sector públic, amb les millores esmentades, el CESICAT ha continuat millorant el seu

mapa de processos definit l’any 2013, per aconseguir una millor eficiència a partir de la

industrialització dels mateixos.

El mapa de processos que es mostra a continuació és el consolidat en el 2014 per servir

com a referència pel treball per l’organització. En comparació amb el mapa de processos

anterior, el nou mapa de processos presenta un nivell de detall superior i reorientat a

les necessitats detectades pel CESICAT encarades a l’eficiència i industrialització

de l’activitat per la millora del servei.

Com es pot comprovar en la figura anterior, es manté l’estructura d’alt nivell fixada

inicialment on s’estableixen tres capes en funció dels objectius dels processos que

contenen: processos estratègics, processos operatius i processos de suport.

La primera capa dels processos estratègics de l’Entitat té com a eix vertebrador el

quadre de comandament de l’Entitat, que dóna suport a la presa de decisions

proporcionant informació periòdica sobre el nivell d’acompliment dels objectius

prèviament definits i acordats a través dels seus indicadors.

La segona capa comprèn l’establiment dels processos operatius de l’Entitat atenent la

gestió de la demanda instanciada pel MES, així com de la provisió i lliurament dels

mateixos.



Finalment, la capa de processos de suport inclou tant els processos de gestió

administrativa, econòmico-financera, o d’aprovisionament, entre d’altres, com els de

gestió d’aprovisionament del servei (gestió de la capacitat i planificació), amb l’enllaç del

Control de Gestió per tal de proporcionar a l’organització el suport necessari per a la

seva activitat.

2.3.2. Òrgans de control

Per tal d’administrar i controlar l’activitat del CESICAT, els òrgans de Govern i Gestió

Interna de la fundació mantinguts durant 2014 segueixen l’estructura emprada en

anteriors exercicis.

Òrgans de Govern

Els Òrgans de Govern del CESICAT són els responsables de l’administració de la

fundació. Aquests òrgans són el Patronat de la Fundació i la seva Comissió Executiva.

El Patronat de la Fundació constituït i reunit per primer cop la data de constitució de la

fundació (2 de febrer de 2010), format actualment pels següents patrons:

El Director General de Telecomunicacions i Societat de la Informació de la

Generalitat de Catalunya

El Cap de Servei de la Societat del Coneixement de la Generalitat de Catalunya

El Secretari General del Departament de Governació i Relacions Institucionals

El Centre de Telecomunicacions i Tecnologies de la Informació

El Director General d’Administració de Seguretat del Departament d’Interior

El Director General de Recerca del Departament d’Economia i Coneixement

El Director Gerent del Consorci Administració Oberta de Catalunya

El Vicepresident de la Comissió Executiva del Consorci Administració Oberta de

Catalunya

El Centre d’Innovació i Desenvolupament empresarial de la Generalitat de

Catalunya

L’Ajuntament de Reus

La Fundació Barcelona Digital Centre Tecnològic

Patronat de la

Fundació

Comissió Executiva

del Patronat



La Comissió Executiva del Patronat constituïda per representar un òrgan simplificat

amb delegació de funcions del Patronat que es reuneix de manera puntual i sota

demanda per agilitzar l’administració de la fundació i està composat pels següents

membres:

El Cap de Servei de la Societat del Coneixement de la Generalitat de Catalunya

El Centre de Telecomunicacions i Tecnologies de la Informació

El Director General d’Administració de Seguretat de la Generalitat de Catalunya

El Director Gerent del Consorci Administració Oberta de Catalunya

El Director General de Telecomunicacions i Societat de la Informació de la

Generalitat de Catalunya

Òrgans de Gestió Interna

El CESICAT s’estructura entorn als Òrgans de Gestió Interna que són els

responsables de la gestió directiva i de prestació dels serveis de la fundació adaptats a

l’activitat operativa. Aquests òrgans són els comitès Executiu, Operatiu, de Relació amb

Clients i de Serveis Corporatius.

El Comitè Executiu és l’òrgan constituït per vetllar per l’impuls i l’activitat del CESICAT,

alineat al seu reglament i a la execució de les seves atribucions. Aquest comitè

comunica els progressos de la fundació al President del Patronat, i té com a principals

objectius, el seguiment pressupostari, la presa de decisions, el seguiment del Pla

Estratègic del CESICAT i dels projectes estratègics, i en cas que escaigui, altres accions

institucionals rellevants. Aquest comitè té una periodicitat mensual, i està format per:

Presidència del Patronat

Direcció General

Administració i Suport a la Direcció General

i eventualment, Direccions d’Àrea

Comitè Executiu

Comitè Operatiu

Comitè Relació

amb Clients

Comitè Serveis

Corporatius



El Comitè Operatiu realitza el seguiment operatiu de l’activitat diària del CESICAT.

Aquest comitè té com objectiu el seguiment dels plans operatius, els plans d’acció, la

planificació trimestral i la gestió dels equips i persones. El comitè és bimensual, i està

format per:

Direcció General

Direccions d’Àrea

Control de Gestió

Direcció de Seguretat Corporativa

El Comitè de Relació amb Clients és l’òrgan encarregat de la coordinació i alineació de

les activitats amb els Responsables de Seguretat de la Informació assignats als diferents

departaments i entitats amb l’estratègia de desplegament del Model de Seguretat.

Aquest comitè és constituït amb l’objectiu de definir i coordinar el desplegament de

l’activitat del CESICAT als clients, el seguiment dels indicadors d’activitat, l’anàlisi del

risc en ciberseguretat, i el seguiment dels projectes iniciats. La periodicitat del comitè de

Relació amb Clients és quinzenal, i està format per:

Direcció General

Direcció d’Àrea de Relació amb Clients

Responsables de Seguretat de la Informació

Control de Gestió

i eventualment, altres Direccions d’Àrea

El Comitè de Serveis Corporatius és l’encarregat de traslladar a la Direcció General la

situació de la gestió interna en termes de seguiment pressupostari, situació econòmica i

financera de l’Entitat, així com comunicar, entre d’altres qüestions, aquells aspectes de

seguretat corporativa que siguin rellevants. El Comitè es reuneix bimensualment, i està

format per:

Direcció General

Responsable d’Administració

Direcció de Seguretat Corporativa

Control de Gestió

i eventualment, altres Direccions d’Àrea



2.4. Els nostres comptes

Pressupost

INGRESSOS 4.944.571

319.0009 Prestació d’altres serveis a entitats del sector públic 3.828.663

410.0021 Ingressos del Departament d'Empresa i Ocupació 765.000 442.7210 Consorci Administració Oberta de Catalunya 120.000

460.0009 Altres transferències d'Ajuntaments 200.000

493.0009 Altres transferències corrents de la UE 30.908

DESPESES 4.944.571

DESPESES CORRENTS 4.489.571

Capítol 1. Remuneracions del Personal 1.375.682

132.0002 Personal laboral 1.052.447

160.0001 Seguretat Social 315.734

160.0004 Altres règims de previsió social 7.500

Capítol 2. Despeses de béns corrents i serveis 3.108.890

213.0001 Cons., rep. i manteniment altre immobilitzat material 165.000

220.0001 Material ordinari no inventariable 12.000

222.0001 Despeses postals missatgeria i altres similars 10.000

222.0003 Comunic. mitjançant serveis de veu i dades adquirits a altres ent. 45.000

224.0001 Despeses d'assegurances 18.000

225.0001 Tributs 2.000

226.0003 Publicitat, difusió i campanyes institucionals 160.590

226.0005 Organització de reunions, conferències i cursos 30.000

226.0011 Formació de personal propi 20.000

226.0089 Altres despeses diverses 45.000

227.0013 Treballs tècnics-Adequació Oficina 30.000

227.0089 Altres treballs realitzats per persones físiques o jurídiques 2.543.300

230.0001 Dietes, locomoció i trasllats personals 28.000

340.0001 Despeses financeres derivades de la gestió de pagaments 5.000

INVERSIONS 455.000

Capítol 6. Inversions reals 455.000

620.0001 Petit material informàtic 155.000

640.0001 Inversions en mobiliari i estris per compte propi 20.000

650.0001 Inversions en equips de procés de dades 120.000

680.0002 Manteniment eines i programari 160.000



Durant l’exercici 2014, tot i la consolidació i augment de l’activitat operativa de l’entitat, el

pressupost de la Fundació s’ha mantingut estable respecte l’any anterior. La previsió

inicial de creixement del 9%, fet degut principalment a la millora del Conveni de

col·laboració amb el CTTI i la voluntat de cooperar amb l’Ajuntament de Barcelona en

l’exercici 2014, ha estat ajustada entorn al 5%, s’ha minorat en 160.000 euros en relació

a les previsions.

Aquest increment ha permès però incrementar de forma neta la prestació de servei als

diferents àmbits encomanats a l’entitat, a través del desplegament del programa de

seguretat del CESICAT. Es preveu també, amb la finalitat de millorar el servei invertir en

eines i solucions de seguretat.

Memòria CESICAT 2014 Balanç d’Actuacions


3. Balanç d’Actuacions

A continuació es descriuen les activitats de 2014 a través de la seva estratègia de

desplegament, les línies d’actuació definides pel CESICAT en matèria de detecció

d’amenaces, capacitat de reacció, resistència a l’adversitat i la gestió de la seguretat, i

finalment, la descripció del projecte Internet Segura.

3.1. Estratègia desenvolupada en el

desplegament de l’activitat

El CESICAT, en el 2014, ha adoptat una estratègia de focalització dels esforços en

aquells aspectes on es fa més necessari o prioritari treballar per tal d’aconseguir els

resultats més eficients i eficaços envers a l’activitat dedicada a la Generalitat de

Catalunya i els seus departaments.

Per una banda, a través de la relació dels Responsables de Seguretat de la Informació

(RSI) amb els departaments i mitjançant la governança de la seguretat s’han pogut

identificar les necessitats més requerides per part dels clients. A més, aquesta activitat

s’ha potenciat a partir de la introducció de la celebració de comitès dedicats a la

seguretat de la informació.

Aquesta governança ha ajudat en l’adaptació del perímetre per ajustar-lo a les

necessitats reals més prioritàries i concentrar els recursos del CESICAT en les

accions que realment aporten més beneficis a la Generalitat de Catalunya de manera

eficaç, i sobretot eficient.

Addicionalment, com a resultat d’aquesta

relació amb els departaments, el CESICAT ha

obtingut el reconeixement per consolidar-se

com a la figura d’interlocutor de referència

per la seguretat de la informació, alhora que

ha proporcionant una opinió qualificada

respecte les tendències i esdeveniments

rellevants sobre la seguretat de la informació que afecten, o

poden afectar, a l’interès de CESICAT, a la Generalitat o fins i

tot a la ciutadania que han permès augmentar les prestacions de serveis.

Per altra banda, el CESICAT ha adequat el perímetre per a protegir els sistemes

d’informació de la Generalitat de Catalunya i els seus departaments orientats al Nou

Model TIC en termes de seguretat i continuïtat. Aquest objectiu s’ha portat a terme amb

el treball conjunt i la coordinació amb el Centre de Telecomunicacions i Tecnologies de

la Informació (CTTI) mitjançant un estudi del total d’aplicacions organitzat per

prioritats i criticitat segons el negoci, on s’inclouen més de 2.000 aplicacions. El

CESICAT ha previst proporcionar una especial atenció a aquelles aplicacions per les

que per la seva naturalesa o funció, fan necessàries més actuacions.



A part de focalitzar els esforços en l’eficiència del servei orientat a negoci, aquest

any 2014 s’ha col·laborat amb el CTTI i els seus proveïdors per potenciar i millorar el

seguiment de la seguretat de la informació en els seus serveis i projectes. D’aquesta

manera es treballa en l’increment de mesures i controls per protegir els sistemes tant de

cara a la protecció, millora i contingència dels sistemes com al compliment normatiu

d’aquests.

De cara a l’àmbit de les administracions locals, el CESICAT ha col·laborat amb

l’Associació Oberta de Catalunya (AOC) per tal de canalitzar la prestació del servei de

la manera més eficient. El fet d’aprofitar les sinergies amb l’AOC ha permès un major

abast i un augment del número d’administracions locals a les que es presta el servei

sense haver d’incrementar de manera significativa els esforços propis del CESICAT.

Tanmateix, i de manera anàloga a l’estratègia desplegada a la Generalitat, en aquest

col·lectiu també s’ha realitzat una focalització de l’activitat, identificant-hi les principals

necessitats per prioritzar els serveis oferts amb la millor estratègia. Els serveis oferts a

les administracions locals es troben dins un catàleg propi adaptat a les característiques i

necessitats d’aquestes.

Finalment, de cara a l’àmbit de la ciutadania, el CESICAT durant 2014 ha fet èmfasi en

l’activitat en matèria de conscienciació ciutadana per tal d’arribar a les noves

generacions. La necessitat de continuar amb aquesta tasca any rere any ve donada per

l’ús cada vegada més precoç de les TIC i de la ràpida evolució de la tecnologia i la

connectivitat.

Per aquest motiu és necessària la constant actualització i manteniment de les

activitats de conscienciació entre els menors per evitar generacions perdudes de

conscienciació, recolzant-se i fent partícips aquelles persones que tenen contacte amb

ells, siguin mares i pares, educadors o altres professionals.

En aquesta línia, s’ha continuat amb el projecte “Internet segura” treballant en aquesta

conscienciació, donant prioritat a aquells col·lectius vulnerables a la xarxa com són els

nens, nenes i joves. Aquesta activitat es desenvolupa per tal d’augmentar el

coneixement de la seguretat de la informació i la protecció d’aquests col·lectius de

manera contínua.



3.2. Activitat operativa de seguretat

L’activitat operativa que ha desenvolupat el CESICAT durant el 2014 per vetllar per la

seguretat de la informació i els actius tecnològics en l’àmbit del Govern i l’Administració

Local de Catalunya es mostra atenent a les línies de treball exposades a continuació:

prevenció, protecció, resiliència i governança.

3.2.1. Prevenció

Com s’ha comentat anteriorment, l’activitat portada a terme dins del CESICAT té un dels

seus pilars dedicats a la prevenció i detecció d’amenaces. En aquest aspecte, la

prevenció es centra en l’establiment de mesures destinades a disminuir els riscos

derivats de les amenaces de ciberseguretat dirigides sobre els actius de la Generalitat

de Catalunya i administracions locals.

El CESICAT, com a encarregat de vetllar per la seguretat i la continuïtat dels sistemes

d’informació de la Generalitat de Catalunya, realitza un seguit d’activitats orientades a la

prevenció i la detecció de totes aquelles amenaces que poden posar en perill el correcte

desenvolupament de les tasques que fan ús dels sistemes d’informació. Aquesta línia de

treball és l’encarregada de reunir activitats com són el compliment normatiu, la

detecció i l’anàlisi de riscos, la detecció de vulnerabilitats i la seguretat proactiva.

En aquest aspecte, el CESICAT mitjançant la col·laboració directa amb el CTTI, els

departaments de la Generalitat de Catalunya i les Administracions Locals, realitza un

seguiment del compliment normatiu en matèria de seguretat en els projectes que es

porten a terme en les infraestructures dels sistemes de la Generalitat, per tal de

prioritzar i assegurar que s’apliquen les mesures necessàries per mantenir un correcte

nivell de seguretat de la informació.



Aquest seguiment permet detectar i analitzar els riscos de seguretat, per tal d'escalar-

los i gestionar-los de la manera més adient. Així mateix aquesta activitat és fonamental

per entendre i tenir una visió global de la infraestructura, els sistemes i les aplicacions de

la Generalitat i de les administracions locals, així com poder identificar i conèixer les

interrelacions de tots els actors per poder aprofitar les sinergies que existeixen entre ells.

El control dels proveïdors que realitza el CESICAT es basa en la identificació i la gestió

dels incompliments dels proveïdors respecte als acords de servei signats que poden

suposar un risc en matèria de seguretat informàtica. Aquest control permet assegurar

l'aplicació del marc normatiu per part dels proveïdors en els projectes de transformació

de les infraestructures de la Generalitat i les administracions locals per tal de confiar en

les mesures de seguretat de la informació en aquests.

Aquesta tasca ha pres rellevància durant el 2014 ja que des de l’aplicació del nou model

TIC, els diferents proveïdors TIC de la Generalitat de Catalunya tenen un paper

fonamental en la seguretat de la informació i els actius informàtics de la Generalitat de

Catalunya i per tant cal assegurar una forta implicació i responsabilitat de cadascun

d’ells en base als serveis acordats.

Per una altra banda dins la prevenció, es realitza la gestió de les vulnerabilitats que és

indispensable tant per verificar i revisar l’existència de punts sensibles i propensos a ser

atacats com per descartar-ne els falsos positius que s’hagin detectat del conjunt d’actius

de l’organització en els que s’hi identifiquin la necessitat d’anàlisis i en els que es

consideren necessàries accions de millora, ja sigui per vulnerabilitats potencials o

futures. En conjunt, es treballa en proporcionar seguretat proactiva per evitar atacs o

reduir-ne els riscos associats i el seu possible impacte en els elements de la Generalitat

o les administracions locals. D’aquesta manera, també es duen a terme activitats com

revisions i anàlisis de codi automàtiques o manuals i auditories preventives.

Per tal de donar resposta als objectius d’aquesta línia d’activitat, a continuació es

detallen les principals activitats orientades envers a la detecció d’amenaces.

El control del Compliment Normatiu de la seguretat de la informació s’aplica tant en

relació amb els projectes de Transformació del Nou Model TIC com en nou sistemes

d’informació mitjançant una metodologia de Seguretat en el Desenvolupament de

Sistemes d’informació (SDSI) pròpia, adaptada a la idiosincràsia de l’Administració

Pública catalana.

Aquesta activitat es realitza durant tot el cicle de vida d’un projecte TIC, des de la fase

de presa de requeriments fins al desplegament i manteniment de la solució

desenvolupada, per tal d’identificar i valorar els riscos per tal de definir les mesures

de seguretat i continuïtat que s’han d’aplicar en un projecte, així com dur a terme la

gestió dels riscos associats al seu incompliment i la coordinació d’activitats i

assessorament als responsables per la seva mitigació.

D’aquesta manera es pot garantir que es contempla la seguretat com un element

rellevant en els projectes i que s’apliquen les mesures de seguretat necessàries per

reduir-ne els riscos associats.



A la vegada, l’any 2014 ha servit per desplegar la metodologia de gestió de la

seguretat en el desenvolupament de sistemes d’informació en les diferents tipologies de

projectes i adquirir l’experiència necessària per tal d’optimitzar el procés, identificant els

punts que cal potenciar, la integració amb els diferents serveis dins del CESICAT i

aquells aspectes que poden ser millorats.

La metodologia ha permès obtenir un marc de referència comú per tal d’objectivar els

nivells de compliment pel que respecta a la seguretat i la continuïtat en les diferents

iniciatives que s’han emprès, independentment de les característiques de cada projecte.

D’aquesta manera, s’ha pogut obtenir una versió inicial d’indicadors agregats que han

de millorar la governança de la seguretat tant des del punt de vista dels proveïdors

com des del punt de vista dels clients.

El CESICAT ha aplicat aquesta metodologia en 48 iniciatives durant l’exercici 2014. A

continuació es troben distribuïdes per tipologies:

A més, el CESICAT té com a funció mantenir una comunicació constant amb els

proveïdors dels lots assignats amb la finalitat de vetllar per al control de la seguretat

de la informació i els actius informàtics de la Generalitat de Catalunya en base al

plec de cadascun d’aquests proveïdors.

Aquesta comunicació constant amb els proveïdors, permet al CESICAT concentrar els

temes de seguretat i de continuïtat que tenen a veure amb el marc dels controls

estipulats en els plecs de cadascun dels proveïdors, podent aconsellar-los en el

manteniment i/o millora d’aquesta seguretat de la informació, tant en els projectes que

és realitzen en l’actualitat, com en els projectes que s’iniciïn.

El CESICAT ha identificat un conjunt de riscos de seguretat i per la continuïtat que

han estat reportats de manera efectiva i que han sigut essencials per a mitigar-los degut

al fet de tenir un coneixement ampli de la seguretat i els projectes desenvolupats.



En aquesta línia, és rellevant l’activitat del CESICAT en l'estandardització dels

programaris, maquinaris i permisos dels ordinadors de la xarxa de la Generalitat

que augmenten l’eficiència en el manteniment i el control de les màquines dels

departaments per tal d’ampliar la seguretat de la xarxa i els sistemes d’informació.

Altre fet a destacar és el control de seguretat realitzat en cadascun dels CPDs dels

diferents proveïdors de la Generalitat de Catalunya, on s’han pogut identificar els punts

de millora i el grau de seguretat que aquests ofereixen tant a nivell físic com lògic.

Per tal de complir amb aquestes activitats el CESICAT ha realitzat les següents tasques:

15.000 controls de seguretat revisats.

600 consultes tècniques de seguretat resoltes.

15 auditories de seguretat dels CPDs dels proveïdors de la Generalitat

14 anàlisis de seguretat de les maquetes dels proveïdors de Lloc de Treball

Revisió periòdica dels documents tècnics presentats pels proveïdors del Nou

Model TIC.

Desenvolupament de 14 anàlisis de riscos vinculades al Nou Model TIC.

La interlocució amb els diferents responsables de seguretat i continuïtat dels proveïdors

TIC de la Generalitat de Catalunya ha permès l’inici d’una metodologia de control de

proveïdors que permet nodrir al CESICAT de la informació necessària per tal de

identificar riscos i proposar accions preventives i correctives en la transformació cap al

nou model TIC, així com adquirir experiència per tal d’optimitzar el procés d’integració

d’aquesta informació amb els diferents serveis dins del CESICAT.

Aquesta metodologia ha permès obtenir un marc de referència comú per tal d’objectivar

els nivells de compliment pel què respecta a la seguretat i la continuïtat de la totalitat

dels proveïdors TIC de la Generalitat de Catalunya.

Addicionalment s’ha obtingut una versió inicial d’indicadors de compliment dels diferents

proveïdors que fa palès la necessitat d’impulsar una major implicació i conscienciació

dels proveïdors envers la seguretat de les TIC.

Una altra activitat fonamental del CESICAT és la detecció de vulnerabilitats de

seguretat, que permet analitzar la robustesa dels actius davant un atac, sent una

pràctica de seguretat orientada a la reducció proactiva de l’explotació de

vulnerabilitats de productes tecnològics que s’utilitzen en les organitzacions, el que

redueix el nombre d’incidents de seguretat. Aquesta activitat s’organitza mitjançant

l’anàlisi de possibles escenaris d’atacs, la identificació dels riscos existents, la

identificació de les falles de seguretat dels sistemes i entorns actius en els clients, i el

disseny de plans de treball per poder explotar aquests escenaris.



En la gràfica que es mostra a continuació es pot observar la volumetria d’actius

analitzats de manera mensual. El 2014 la seva totalitat va ascendir a 12.769 actius:

Per a les aplicacions que les seves característiques ho permeten, es va utilitzar la

metodologia d’anàlisi OWASP (Open Web Application Security Project). En la gràfica

següent es pot observar la volumetria d’anàlisis realitzats de manera mensual durant

2014 que en la seva totalitat va arribar a 73 anàlisis:

Així mateix, en les revisions de codi font de les aplicacions, es combina l’anàlisi

automatitzat i les proves unitàries, amb la revisió manual, prestant especial atenció a la

interacció de l’aplicació amb els components externs. En aquest cas, el número de

revisions de codi font realitzades en 2014 ascendeix a un volum de 49.

Durant 2014, l’activitat d’anàlisi de seguretat s’ha industrialitzat proporcionant informes

de vulnerabilitats automàtics de manera preventiva i homogeneïtzant els informes de

manera que es dóna suport a un nombre més elevat d’entitats sense recórrer a

manualitats en la generació d’informes de resultats.



3.2.2. Protecció

Tot i les tasques de prevenció que es realitzen, la complexitat de l’entorn i de les

necessitats d’usabilitat dels sistemes d’informació, no es pot evitar que algunes

d’aquestes amenaces es materialitzin. En aquest aspecte el CESICAT té un paper

fonamental en les tasques de protecció i en la capacitat de reacció.

En aquest sentit, la protecció es centra en l’anàlisi de possibles atacs i les

contramesures aplicables abans i després de produir-se a través de les activitats de la

gestió d’alertes, la gestió d’amenaces, la resolució d’incidents i els projectes de

seguretat.

El CESICAT té com a objectiu augmentar la gestió i les revisions de les alertes

rebudes ja siguin detectades pels dispositius de seguretat, o bé siguin comunicades per

tercers, amb l’objectiu de detectar possibles incidents de seguretat de manera que es

puguin evitar o es pugui agilitzar la seva solució en cas que s’hagin materialitzat.

Dins d’aquesta activitat s’assegura i es protegeix tant el perímetre de seguretat i les

infraestructures sensibles de la Generalitat com de les administracions locals per tal

d'evitar atacs, com per exemple intrusions o fuita d'informació, a través tant de la millora

dels sistemes securitzats de detecció i control a la xarxa com del flux de tràfic

d'aquestes mitjançant el coneixement dels àmbits protegits i la investigació de la

intencionalitat dels atacs a través de la documentació i el registre d’històrics.

Aquest estudi permet la millora de les polítiques de seguretat per tal d'evitar forats de

seguretat i conèixer quin tràfic de dades de la xarxa ha de ser ofuscat pel proveïdor per

prevenir fuites d’informació.



Investigar i fer seguiment preventiu de les possibles amenaces informàtiques també és

una altra activitat que realitza el CESICAT, l’objectiu de la qual és evitar incidents i

vulnerabilitats de seguretat que puguin afectar negativament als actius de la Generalitat

o les administracions locals, com per exemple assalts, intrusions o fuita d'informació en

sistemes informàtics.

L’objectiu d’aquesta gestió d’amenaces és recollir informació de fonts obertes i

tancades sobre les activitats, intencions i context de possibles ciberamenaces, avaluant

els riscos que suposen i notificant-los reactivament als diferents destinataris de la

informació.

L’activitat del CESICAT envers la resolució d'incidents es basa en un conjunt de

tasques proactives respecte a vulnerabilitats i incidents identificats durant les activitats

preventives i de qualsevol informació monitorada o rebuda de fonts terceres que no

formi part del desenvolupament habitual de l’activitat del CESICAT i que causen, o

poden causar, una interrupció dels serveis o una reducció de la seva qualitat.

Respecte la resolució d’incidents també es dóna suport reactiu mitjançant la recepció de

peticions per part de les pròpies comunitats usuàries, donant suport en la resolució

d'incidents, com per exemple en els casos de necessitat de desinfecció de virus. A més,

amb aquesta activitat, s’amplien els coneixement dels problemes de seguretat de la

informació a través de la documentació, establiment de protocol de comunicació i

coordinació dels processos i procediments operatius per tal de millorar el servei i

l'experiència de les usuàries i els usuaris.

D’aquesta manera, el CESICAT, dins de la seva activitat, té com a objectiu l’establiment

i millora dels models de relació i comunicació entre els diferents actors i equips

involucrats en la resolució d'incidents per tal de formalitzar i modelitzar la resposta

d’aquests incidents.

Durant 2014, s’han establert laboratoris temporals de proximitat i de contingència en

casos de indisponiblitat del laboratori central per tal de reduir els temps de resposta,

millora dels processos i recopilació d'evidències.

Degut a la detecció de noves necessitats en els àmbits estratègic, correctiu, evolutiu i de

transformació i que tenen un component tècnic notable el CESICAT a iniciat en 2014

una nova activitat en projectes de seguretat.

Aquesta nova activitat permet definir i gestionar els processos de construcció de

solucions de seguretat, així com la valoració de l’impacte sobre altres sistemes

d'informació amb l’objectiu de generar un nou producte, servei, procés o solució de

seguretat de manera que es puguin tractar les necessitats específiques de cada solució

amb terminis més estesos i amb una planificació de les tasques.

L’objectiu amb aquests projectes és desenvolupar solucions de seguretat que, degut a la

seva complexitat o morfologia, s’hagin de tractar com a projectes i garantir la seva

execució mitjançant el control i bones practiques de gestió en termes de temps, de cost i

d’abast.



Altrament, el CESICAT té com a objectiu augmentar les activitats proactives de protecció

en dates o esdeveniments que poden elevar la probabilitat d'atac als actius de la

informació, com per exemple denegacions de servei (DoS) o la intrusió en els sistemes.

Amb la finalitat de complir amb els objectius esmentats, es detallen a continuació les

principals activitats orientades envers a la protecció i capacitat de reacció.

Entre les activitats més rellevants que es porten a terme en aquesta línia d’acció es

troben la gestió i les revisions de les alertes de seguretat. En aquest aspecte, el

CESICAT durant el 2014, ha detectat més de 220 milions d’alertes de seguretat. En el

següent gràfic es pot observar l’augment del nombre d’alertes gestionades pel CESICAT

i que ha consistit en la revisió i gestió proactiva d’aquestes alertes rebudes:

Els dos tipus d’alertes detectades es divideixen en:

Incompliment de polítiques: són aquelles alertes que el sistema genera quan

aquest detecta que un subjecte (sistema o persona) està realitzant una acció no

permesa pel conjunt de normes i polítiques de la Generalitat de Catalunya, com per

exemple l’ús de protocols no segurs, l’accés a pàgines no permeses, etc.

Atacs rebuts: són les alertes que el sistema genera quan aquest detecta que un

subjecte (sistema o persona) està intentant realitzar un atac, mitjançant l’explotació

d’alguna possible debilitat del sistema entre d’altres, l’accés il·lícit o l’ús no autoritzat

de recursos.



Segons aquesta classificació, s’han detectat les següents alertes:

La severitat de les alertes detectades ha estat la que es presenta a continuació, es

destaca el baix número d’alertes de severitat alta:



En la següent taula es veuen descrites les principals categories d’atacs rebuts en

2014:

Categoria d’atacs Descripció Impacte

Malware Tràfic generat per codi maliciós o no autoritzat

Possible infecció de maquinari, posant en risc d'infecció la xarxa on es troba ubicada la màquina

Exploits Intent d'aprofitar una vulnerabilitat coneguda d'un sistema per tal d'aconseguir accés no autoritzat

Tenir accés complert al sistema i a les dades que emmagatzema, posant en risc la integritat de la informació

Atacs de reconeixement

Acció encaminada a identificar sistemes, serveis oberts i vulnerabilitats de la teva xarxa per tal de ser atacada més tard de forma específica

En el cas que s'identifiqui un sistema vulnerable, podria permetre a un atacant agafar el control de forma remota del sistema atacat

Denegació de servei Increment anòmal del volum de tràfic de la xarxa contra un mateix sistema

Pot provocar inestabilitat en el servei atacat i fins i tot blocar-lo completament sense donar resposta

Per altra banda, les investigacions dutes a terme en l’activitat de gestió d’amenaces,

permeten analitzar informació i generar informes sobre ciberamenaces que puguin

esdevenir un potencial incident de seguretat en cas de ser dirigit sobre actius TIC de la

Generalitat de Catalunya, el seu sector públic i les Administracions Locals.

Els informes es realitzen a partir de la recerca i correlació de la informació existent en

totes aquelles fonts accessibles pel CESICAT i serveixen de base per fer un seguiment i

històric de les amenaces detectades.

En el període de 2014 s’han realitzat un total de 104 investigacions i 119 seguiments

d’amenaces. En el gràfic que es mostra a continuació es pot observar el volum mensual

de l’activitat duta a terme al llarg de 2014:



L’activitat duta a terme per el CESICAT envers la resolució d'incidents durant el

període de 2014 ha suposat la recepció de prop de 9 mil incidents. A continuació es

mostra l’evolució mensual d’aquesta gestió.

Com es pot observar en el gràfic el volum d’incidents de seguretat va patir un augment

considerable en l’últim trimestre de l’any, degut a un increment significatiu d’atacs de

codi maliciós.

A continuació es mostra la distribució d’aquests incidents a l’exercici segons la tipologia

d’atac. Es pot observar que els atacs majoritàriament són de codi maliciós mentre que

la següent tipologia d’atacs són d’intrusió. La resta d’incidents suposen una minoria que

engloba tipologies com frau, contingut abusiu o robatori d’informació, entre d’altres.



L’activitat de projectes de seguretat s’ha iniciat en 2014 per tal d’assegurar i portar a

terme casos de negoci/necessitats en termes de seguretat de la informació dins del

CESICAT de manera que es puguin tractar les necessitats específiques detectades per

protegir els actius de la Generalitat, així com podria ser la fortificació d'entorns dels

aplicatius, la securització de la confidencialitat de les comunicacions o la gestió de la

possibilitat de perdre informació rellevant.

Aquesta activitat defineix els projectes amb les següents tipologies d’àmbit:

Projectes correctius: aquells projectes que se centren en la correcció de

defectes i mancances en eines i plataformes existents.

Projectes estratègics: aquells projectes que es considerin de màxima

importància o prioritat per part de la Direcció del CESICAT.

Projectes evolutius: aquells projectes que tracten la millora o actualització

d’eines, plataformes o serveis existents.

Projectes de transformació: aquells projectes que milloren o canvien les eines

cap a noves plataformes o eines.

En el gràfic següent es pot observar el volum de projectes gestionats per cadascuna

d’aquestes tipologies:



3.2.3. Resiliència

En el moment que el CESICAT no només treballa en la prevenció i la protecció sinó que

a més proporciona als actius la capacitat de resistir i recuperar-se davant de desastres o

caigudes de servei, significa que es treballa per la resiliència dels sistemes i la

resistència a l’adversitat d’aquests, creant una organització robusta que pot respondre

ràpidament als atacs.

En aquest sentit, si els sistemes són capaços de resistir tot tipus de circumstancies

sense que afecti el seu nivell de servei, llavors es pot dir que es tracta d’un sistema

robust. Quan el sistema no és capaç de vèncer una situació adversa, però pot adaptar-

se per disminuir-les i continuar oferint el servei, llavors es tracta d’un sistema resilient.

Per garantir que els sistemes d’informació i els actius del Govern i les administracions

locals tinguin el correcte nivell de resiliència, s’han de potenciar capacitats

d’identificació, detecció, prevenció, contingència, recuperació i millora davant les

amenaces, atacs o desastres. Les següents activitats treballen amb aquest objectiu:

certificacions, continuïtat del negoci i formació.

Durant 2014, el CESICAT ha progressat en aquesta línia mitjançant el treball conjunt

amb els equips gestors dels sistemes per tal d'aconseguir certificacions que

garanteixen la preparació dels serveis per convertir-se en sistemes robusts i resilients.

Aquest treball conjunt ha passat tant per accions per proveir als clients del CESICAT de

la informació i experiència dels seus professionals com per assessorar-los i

proporcionar-los informació clau per entendre de quina manera està exposada

l’organització a possibles amenaces que li puguin afectar.



Com a part del procés de millora contínua, el fet de mantenir i aconseguir certificacions,

com la ISO/IEC 22301, implica que els sistemes es veuran millorats, ja sigui, reduint

temps de recuperació de processos significatius pel negoci com incrementant l’eficiència

en la presa de decisions en situacions de crisi, etc.

La implantació/manteniment de Sistemes de Gestió de Continuïtat de Negoci aporta

una millora en els processos crítics (ja sigui en eficiència, com en presa de decisions,

etc) dels organismes, així com reconeixement com a organitzacions de referència en el

seu sector. El CESICAT ha pogut desenvolupar aquestes activitats gràcies a la seva

visibilitat i imatge, dins la figura d’expert i assessor per qualsevol organisme pertanyent a

la Generalitat de Catalunya.

El CESICAT realitza les següents activitats de consultoria de continuïtat previstes dins la

norma ISO 22301 per tal de cobrir les necessitats puntuals dels seus clients en aquesta

matèria, com anàlisi d’impacte al negoci (BIA), anàlisi de riscos (AR) i plans de

recuperació de desastres (PRD).

Amb els anàlisi d’impacte al negoci es tracta d’establir una priorització de recuperació

dels processos més significatius i definir uns actius mínims que donin suport a aquests

processos en cas d’ocurrència d’un incident disruptiu.

Els anàlisi de riscos permeten identificar i gestionar els riscos d'una organització, en

matèria de continuïtat, per tal d’evitar la seva materialització proporcionant una visió

transversal dels riscos detectats i, per tant, oferint als seus clients un servei que aporta

valor sobre decisions estratègiques a prendre, o fins i tot operatives, donat el nivell

d’especialització que s’ofereix.

A través del suport i l’auditoria de les proves de recuperació de desastres s’aporta

credibilitat i rigorositat a les proves realitzades, respecte l’assoliment dels objectius

plantejats, la validesa de la pròpia prova davant l’escenari plantejat, la correcta

distribució de les tasques a realitzar entre tots el participants, la validació de les passes

a seguir, etc. D’aquesta manera es controla el manteniment dels plans de recuperació

per evitar indisponiblitats indesitjables durant la caiguda dels serveis, infraestructures o

aplicacions no planificades a la Generalitat i a les administracions locals.

A banda de les activitats realitzades en els propis sistemes, la resiliència tracta d’evitar

els riscos d’atacs o de fallida dels sistemes a causa de la intervenció humana; i per tant,

la formació n’és un paper clau.

Les activitats de formació que es realitzen per part del CESICAT consisteixen en

l'elaboració i prestació d’aquestes formacions que es peticionen específicament per la

Generalitat de Catalunya i els seus departaments per tal de millorar les seves

competències i coneixements en matèria de seguretat TIC. Aquesta formació podrà

versar sobre els principals elements: tècnics, legals i organitzatius.



Així doncs, s’engloben xerrades formatives i de conscienciació, preparació de material

docent, de guies i notícies, organització d’esdeveniments i avaluació dels continguts a

transmetre pels diferents establerts. També es proporcionen coneixements sobre la

seguretat de les TIC a empleades i empleats públics per tal de ser capaços d’aplicar

aquests coneixements en l'àmbit professional o per formar a professionals que puguin

transmetre’ls a altres treballadores i treballadors de l’àmbit públic.

El principal objectiu és informar i educar a les usuàries i els usuaris d'una organització,

augmentant la sensibilitat i la consciència enfront les bones pràctiques i amenaces

relacionades amb la seguretat de la informació. És necessari dur a terme una tasca de

sensibilització de les àrees usuàries (departaments i organismes dependents de

l’Administració de la Generalitat de Catalunya) i els responsables de procés, per tal

d’aconseguir disposar d’una infraestructura en ple funcionament.

A partir dels objectius que s’han definit envers a la resiliència per part del CESICAT, es

mostren les activitats portades a terme durant el 2014.

L’Entitat ha executat certificacions de la norma ISO/IEC 22301 durant l’any 2014 en

dos organismes públics:

Entitat Autònoma del Diari Oficial i de Publicacions

Servei d’emergències 112

El resultat de les auditories externes realitzades sobre aquests dos organismes han

estat satisfactoris. Cal destacar que, el cas del 112 és la primera certificació ISO/IEC

22301 que s’obté des d’un servei d’Atenció i Gestió de trucades d’Emergència a

nivell d’Europa.

El procés d’implantació i manteniment de les certificacions ha obtingut una resposta molt

positiva per part dels organismes certificats, motiu que ens permet millorar la

col·laboració amb els organismes i treballar per optimitzar els seus processos interns.

Com a part de les activitats que es realitzen des del CESICAT per assegurar els

sistemes, també s’inclouen aquelles que es fan per garantir que els canvis necessaris en

les infraestructures, degut a les modificacions fetes pel Nou Model TIC, s’executen de

manera correcta, a través de l’elaboració de les guies per garantir les mesures a

aplicar en els trasllats de CPDs.

Per altra banda, dins aquest àmbit es realitza la coordinació de l’execució de les

proves de PRD, auditant tot el procés, prenent nota de tots els incidents i desviacions

ocorregudes i documentant-ho degudament. Es pretén que, a mesura que s’avanci en la

transformació del nou model TIC dels diferents sistemes d’informació, es puguin

executar PRD d’un nombre significatiu de sistemes.

El CESICAT s’encarrega de coordinar els proveïdors, els contactes amb el departament

afectat, així com d’altres organismes involucrats en la realització de les proves de PRD

per la definició de les tasques a realitzar a nivell tècnic i de manera detallada dins de la

prova.



Un cop es finalitza la prova de PRD, el personal designat a auditar la prova analitza el

risc que comporta cadascuna de les incidències i desviacions detectades durant el

procés provat. A partir de l’anàlisi s’exposen els resultats de la prova, indicant el nivell de

risc de les troballes detectades i proposant accions per corregir-les. Les accions

acordades són registrades al pla d’acció per tal de realitzar-ne un correcte seguiment

que permeti assolir el grau objectiu o de referència marcat en la pròpia auditoria per a

aquell procés o sistema.

Durant aquest any 2014 s’ha realitzat la coordinació de 4 PRD sobre els següents

sistemes:

CAT112

Infància Respon (Benestar Social i Família)

SAU – Prova de redirecció comunicacions

Host – Recuperació Host en Centre Secundari

Com a part de les activitats que garanteixen la continuïtat de Negoci prestades pel

CESICAT, s’inclou la creació de BIAs que aporten valor afegit als clients, ja que

permeten prendre decisions estratègiques, validar funcionalitats de seguretat de les

infraestructures i temps de recuperació requerit pel propi negoci o regulació.

Durant l’execució d’aquests projectes s’ha generat la totalitat de la documentació

(formularis, plantilles, procediments, annexes, presentacions, quadres de comandament,

etc.), en base a la informació obtinguda en reunions amb les persones clau del negoci.

El plantejament emprat per aquest tipus d’escenaris consta de 4 fases seguint el model

de millora contínua Plan-Do-Check-Act (PDCA). Els BIAs realitzats durant 2014 han

estat 3, entre els quals es troba el de la base de dades de l’Administració Electrònica.

Pel que fa a la formació dels diferents àmbits en matèria de seguretat es concentra en

la generació de continguts formatius en seguretat de la informació per formacions a

empleades i empleats públics en els diferents departaments i la realització de les

mateixes. Entre els materials de suport que es generen es troben presentacions

PowerPoint, guies de formador, vídeos resum i de sensibilització, material de resum pels

assistents i enquestes de valoració.

Les sessions realitzades durant 2014 es divideixen entre aquelles que es consideren de

nivell bàsic i les que són específiques per algun dels àmbits de seguretat de la

informació.

Entre les formacions bàsiques es troben:

Curs de Seguretat de la Informació per usuàries i usuaris clau i responsables de

serveis de l’Organisme Pagador pel Departament d'Agricultura, Ramaderia,

Pesca, Alimentació i Medi Natural (2 sessions per 110 assistents)

Formació sobre la protecció de dades de caràcter personal, la seguretat de la

Informació i l’ús de les TIC pel Departament d'Economia i Coneixement (21

sessions per 1.080 assistents)



Formativa bàsica sobre protecció de dades de caràcter personal, la seguretat de

la Informació i l’ús de les TIC pel Departament de Governació i Relacions

Institucionals (2 sessions per 67 assistents)

Jornades sobre Protecció de dades de Caràcter Personal i Seguretat de la

Informació - Bones pràctiques de la seguretat de la informació i els recursos

tecnològics pel Departament de Benestar Social i Família (4 sessions per 136

assistents)

Formació en mesures de seguretat personal Registre de catalans i catalanes

residents a l’exterior pel Departament de la Presidència (10 assistents)

Per la part de formacions específiques, es van realitzar les següents sessions:

Formació específica sobre la protecció de dades de caràcter personal, la

seguretat de la Informació i l’ús de les TIC pel Departament d'Economia i

Coneixement (2 sessions per 65 assistents)

Formació per a responsables funcionals sobre la protecció de dades de caràcter

personal, la seguretat de la Informació i l’ús de les TIC pel Departament de

Governació i Relacions Institucionals (17 assistents)

Formació específica sobre la protecció de dades de caràcter personal, la

seguretat de la Informació i l’ús de les TIC pel Servei d’Ocupació de Catalunya -

Departament d’Empresa i Ocupació (3 sessions per 46 assistents)

Sessió sensibilització en mesures de seguretat TIC per a Delegats de Govern a

l'Exterior i a la UE pel Departament de la Presidència (8 assistents)

En resum, durant l’any 2014 s’ha fet formació a més de 1.400 empleades i empleats

públics en mesures bàsiques de seguretat TIC. Addicionalment, 136 responsables

funcionals han rebut

formació en mesures

específiques. El propi

personal intern del

CESICAT ha estat format

durant aquest any en la

protecció de dades de

caràcter personal, mesures

de seguretat de la

Informació i l’ús de les TIC

pel CESICAT, així com

amb la difusió de les

circulars internes de

mesures de seguretat

específiques de la

informació i l’ús de les TIC.



3.2.4. Governança

Totes les activitats operatives del CESICAT han de gestionar-se de cara a garantir la

seguretat de la informació. D’aquesta manera, hi ha activitats dedicades a governar la

gestió de la seguretat.

Les tasques de governança es centren en reforçar el servei que s’ofereix a la Generalitat

de Catalunya i les administracions locals i en els esforços que el propi CESICAT fa per

millorar i ampliar la seguretat de la informació mitjançant activitats com la relació amb

clients, la identitat digital, la gestió del marc normatiu i l’assessorament legal en

seguretat TIC.

Un dels pilars del CESICAT per reforçar la seguretat dels àmbits és la potenciació de la

relació amb el client a través de la figura del RSI en els Departaments i l’Administració

Oberta de Catalunya per les administracions locals.

Aquests punts de contacte proporcionen un nexe de comunicació entre els

departaments i les administracions públiques, i el CESICAT per explicar i oferir els

serveis a través de la presentació i ús del Programa de Seguretat proposat per l’Entitat,

cobrint així les necessitats d’aquests organismes en Seguretat de la informació. Així

mateix, aquestes figures de referència proporcionen consell, guia i informació sobre els

temes que sorgeixen en matèria de seguretat d'informació als departaments.



De cara a incrementar la governança de la seguretat TIC, des del CESICAT s’ha

treballat en la gestió de la Identitat Digital per tal d’assegurar la veracitat i

confidencialitat de les dades referents a un servidor o a una aplicació de la Generalitat o

administracions locals a través del desplegament de Certificats Digitals i a la seva gestió

del cicle de vida (alta, renovació, revocació o suspensió). D’aquesta manera es gestiona

la relació amb les diferents entitats certificadores (CA) de manera que s'agilitza la gestió

de la seva elaboració.

Per altra banda, el CESICAT treballa per la gestió d’un marc normatiu que permeti

especificar les necessitats tècniques i legals en matèria de seguretat TIC dels tres pilars

bàsics en que treballa el CESICAT, tecnologia, informació i organització.

Aquesta gestió comença per la creació, revisió i actualització d’aquest marc a partir de

les normes i lleis de manera que aquells projectes que s'hagin d'executar dins la

legislació vigent assegurin l'aplicació de les bones pràctiques i el bon ús de les TIC. Una

vegada establert aquest marc també es treballa en l’auditoria per revisar l'aplicació

d’aquest i així assegurar la correcta implementació de les mesures de seguretat

establertes i el compliment legal en els sistemes d’informació dels departaments.

Per tant, també es treballa en la gestió, control i planificació de les auditories

necessàries en el mapa dels sistemes de la Generalitat de manera integrada dins una

planificació anual o invocades sota demanda.

El canvi del Nou Model TIC fa necessari el control i auditoria dels proveïdors de manera

que es garanteixi l’aplicació dels controls de seguretat que s’especifiquen a nivell tècnic.

A més, la col·laboració amb els RSI ha permès una gestió proactiva i coordinada de les

auditories amb els departaments.

Les auditories normatives es focalitzen en els marcs normatius legals, els quals són

d’obligat compliment pel client i que afecten en més o menys grau a tots els processos

de gestió, als sistemes d’informació en els quals es sustenten i en els grups que

gestionen i operen aquests sistemes d’informació. Es documenten i presenten els

resultats de les següents tipus d’auditories:

o Auditories de revisió LOPD Biennal

o Auditories d’adequacions LOPD

o Auditories ENS

Com a punt de governança d’aquest marc normatiu de la seguretat de la Generalitat de

Catalunya s’ha establert la gestió i el control de qualsevol incompliment temporal

(excepció) que pugui produir-se, identificant el seu risc i escalant-lo a cada un dels

afectats per actuar de la millor manera.



A partir de la gestió del marc normatiu i l’especialització en la normativa i la legislació de

la seguretat de la informació, es dóna un servei d’assessorament legal en Seguretat

TIC per aclarir aquells dubtes que puguin sorgir als departaments, administracions locals

i ciutadania sobre les legislacions vigents en matèria de seguretat informàtica, protecció

de dades i propietat intel·lectual de manera que s'asseguri la correcta aplicació

d'aquestes i garanteixi un correcte ús de les dades privades de la societat catalana en

els sistemes de la Generalitat de Catalunya i les administracions locals. Aquest

assessorament en matèria legislativa sobre les TIC es proporciona al propi CESICAT

per assegurar que el desenvolupament de les seves activitats es manté sota el marc

legal establert.

En línia als objectius establerts per la governança de la seguretat durant 2014 s’ha

treballat en les activitats que es descriuen a continuació.

De cara a mantenir la relació amb els clients, a principis del 2014 el coneixement per

part del CESICAT i la participació en el govern de la seguretat de la informació de

cadascun ha avançat fins a assolir una visió d’alt nivell de l’organització, un canal de

comunicació amb alguns dels actors importants del departament i una visió d’alt nivell

dels processos crítics i aplicacions associades del departament. D’aquesta manera s’ha

pogut establir un Programa de Seguretat adient a les necessitats i prioritats de cada

departament.

A banda de la pròpia comesa dels RSIs com a experts dedicats als departaments, s’han

establert i celebrat els comitès de seguretat de la informació que permeten presentar

la situació d’aquesta en cadascun dels departaments per tal de presentar resultats de

compliment i accions executades, elevar riscos, assessorar per la presa de decisions i

establiment de properes passes.

Per tal de mantenir una comunicació permanent i auto-consumible, també s’ha treballat

en l’impuls del portal de seguretat que permet mostrar i mantenir actualitzada la

informació, els riscos i l’estat dels departaments i els seus aplicatius en matèria de

seguretat TIC per a que la informació estigui actualitzada i sigui de fàcil consulta.

De manera paral·lela s’ha treballat en oferir un catàleg de serveis especialitzat per les

administracions locals per tal de cobrir les necessitats més prioritàries i de poder

incrementar la penetració d’aquests serveis a totes les administracions locals del territori

a través del nexe de comunicació de l’Administració Oberta de Catalunya (AOC).

Durant 2014, el CESICAT ha esdevingut Entitat de Registre, de manera que té la

capacitat de validar la veracitat de les dades introduïdes a la sol·licitud del certificat i la

seva gestió. La gestió de la Identitat Digital tracta principalment certificats de dues

entitats (CATCERT i Verisign en menor quantitat) i es controla tant l’expedició, com el

control de la seva caducitat i la revocació en aquells casos que sigui necessari.



L’activitat, principalment, recau en la gestió de les expedicions dels certificats amb un

total de 410 certificats. En el següent gràfic s’observa l’evolució de les expedicions

realitzades durant l’any:

La proporció de certificats expedits segons entitat certificadora és el següent:



En la següent gràfica es mostra l’estat de revisió i elaboració de les polítiques, les

normes, les guies i la documentació de suport que formen part del Marc Normatiu de la

Generalitat a finals del 2014.

En concret durant el 2014, l’activitat de creació i revisió del marc normatiu ha treballat en

45 estàndards, dels quals s’han publicat 12 i la resta es troben pendents de revisió.

En el 2014 s’han concentrat els esforços per tal de garantir el compliment legal i

normatiu a través d’auditories i d’adequacions de la Llei Orgànica de Protecció de

Dades (LOPD) en els departaments, executant 17 auditories al llarg de l’any per

assegurar la correcta implementació de les mesures de seguretat establertes i el

compliment legal en els sistemes i aplicacions dels departaments.



L’assessorament legal proporcionat des del CESICAT té com abast les TIC en matèria

legal tant sigui de normatives existents com de nova existència a través d'informes i

d’estudis jurídics. Durant l’any 2014, per aquesta activitat es destaca l’elaboració de

l’estudi sobre la normativa de signatura biomètrica en les administracions i l’informe de

copia, digitalització i emmagatzematge de documents digitals.

El número de peticions d’assessorament rebudes en 2014 ha estat de 167 peticions,

les temàtiques de les quals es divideixen de la següent manera:

A partir de juny del 2014, s’ha treballat en la definició i elaboració dels procediments

necessaris per gestionar els incompliments temporals (excepcions) i aportar una

metodologia de treball estàndard i repetible, a partir de la identificació de les tipologies

d’excepcions sol·licitades.

La gestió d’una excepció de seguretat consisteix en la valoració dels riscos que suposa

l’assumpció d’aquesta a partir dels motius i justificacions pels quals es sol·licita,

s’analitza el seu context i s’identifica quines són les mesures que s’aplicaran per mitigar

els riscos que suposen assumir-la. Una vegada estudiada la petició s’atorga un nivell de

risc a aquesta en base al grau d’incompliment del marc normatiu al qual es fa referència

i es notifica la valoració del nivell de risc identificat pel CESICAT per a que el negoci

accepti o no.



Durant 2014 el volum de peticions gestionades ha arribat a 848 sol·licituds, de les

quals, suposaven excepcions realment 170. La distribució de la demanda durant l’any

s’ha fet de la següent manera:

El nivell de risc d’una petició d’excepció es determina en base al grau d’incompliment

del marc normatiu al qual es fa referència. El nivell dels riscos associats a les

excepcions gestionades ha estat el següent:



3.3. Internet segura

El Centre d'Internet Segura, que té com a principal tasca procurar un entorn segur per

als més joves en l’ús d’Internet i les tecnologies de la Informació i la Comunicació (TIC)

en general, amb la col·laboració del Safer Internet Programme de la Comissió Europea

ha seguit desenvolupant les activitats d’anys anteriors en matèria de conscienciació i

prevenció..

El Centre d'Internet Segura treballa en la línia de comunicació a través de tasques com

la coordinació d’aquells avisos o notificacions que es puguin rebre sobre continguts

nocius per als menors a Internet; crear, desenvolupar i posar en marxa línies d’ajuda,

assistides per professionals, per donar resposta a las demandes en tot el que fa

referència amb la seguretat en l’ús de les TIC enviades per menors, les seves famílies

i/o els seus centres educatius; i implantar accions de formació de conscienciació i

sensibilització als centres educatius, associacions de mares i pares dels alumnes i

professionals de diferents àmbits que treballen amb menors.

Durant l’any 2014, les activitats dutes a terme en el marc d’aquest centre es poden

distingir entre els diferents col·lectius als que són dirigides: mares i pares, docents, joves

i a tot el públic en general a través de les xarxes.

3.3.1. Jornades de conscienciació

Amb l’objectiu de formar als professionals de la seguretat a Internet, s’han realitzat

sessions de conscienciació per la seguretat a Internet.

Per una banda, s’han realitzat sessions als professionals de la xarxa de benestar

social de la Diputació de Barcelona per la seguretat a Internet i a les xarxes socials en

la infància i l’adolescència dins la 23a Escola d’Estiu (Realitat Social Diversa, Respostes

des del Món Local) amb dues finalitats principalment:

Oferir als professionals que treballen en l’àmbit de la infància i l’adolescència els

coneixements i eines per a què fomentin un ús segur d’Internet i les xarxes

socials.

Donar criteris als professionals que treballen en l’àmbit de la infància i

l’adolescència per a què conscienciïn sobre els riscos en l’ús d’Internet i les

xarxes socials a la infància i l’adolescència, i als progenitors.



Així mateix, s’han impartit sessions de formació als professionals de l’APTIC

(Associació Professional de Traductors i Intèrprets de Catalunya) com a mètode de

conscienciació per millorar la seguretat quan treballin amb Internet.

Addicionalment, s’han realitzat sessions de conscienciació a través de tot al territori i a

través de diferents organitzacions i desenvolupades amb l’objectiu d’orientar en

l’acompanyament dels nens, nenes i joves en l’ús d’Internet. Les sessions busquen que

les mares, pares i educadors siguin més actius en la prevenció i conscienciació dels

seus nens i nenes. Es parla de reputació online, de continguts a les xarxes socials, de

dispositius mòbils, etc… i els mateixos participants poden intercanviar dubtes i

experiències pròpies. Entre les sessions organitzades en 2014 es troben:

14 sessions per al programa de “Suport Educatiu a les Famílies” de l'Institut

Municipal d'Educació de l’Ajuntament de Barcelona (IMEB) amb un total de

més de 200 assistents.

12 tallers per al programa de “Eduquem en família” sobre estratègia familiar en

l'ús més segur d'Internet i les xarxes socials a través de la Diputació de

Barcelona amb una assistència de 142 ciutadans de diferents punts de la

província de Barcelona.

7 sessions sol·licitades per AMPAs de diferents centres escolars amb

l’assistència de 150 mares i pares.



3.3.2. Jornades a professors sobre protecció de dades i

seguretat a Internet entre els menors d’edat

Per sisè any consecutiu, el Departament d’Ensenyament conjuntament amb l’Autoritat

Catalana de Protecció de Dades, promouen la reflexió i ofereixen recursos a la

comunitat educativa a l’entorn del tema de protecció de dades i seguretat a Internet

entre els menors, amb l’objectiu de sensibilitzar-la sobre els nous aspectes a tenir

presents en els centres educatius, derivats dels entorns digitals en què es mouen els

alumnes.

Aquest 2014, s’han organitzat dues jornades. Una d’elles a Girona el dia 5 de febrer i

l’altra a Reus el dia 6 de març per una assistència de més de 200 professors.

Ciutat Data Professors assistents

Girona Reus

5 de febrer 2014 6 de març 2014

130 95

Aquestes jornades han tractat el contingut descrit a continuació:

Protocol de prevenció, detecció i intervenció davant el ciberassetjament entre

iguals.

Mesures de seguretat en l’àmbit docent.

Protecció de dades de caràcter personal.

La dimensió de ciutadania. hàbits, civisme i identitat digital com a competència

bàsica en l’àmbit digital.

La formació proporcionada es pot trobar en el següent enllaç: http://blocs.xtec.cat/joves_privacitat/edicions-anteriors/delegacio-govern-girona-2014/presentacions-2014/

3.3.3. Activitats per a joves

Publicació de guies

Dins del marc de la formació i la conscienciació de joves,

el CESICAT ha col·laborat en la redacció i publicació

durant l’any 2014 de les següents guies:

Guia de compra segura en la xarxa

Guia de protecció en la missatgeria instantània

Guia sobre com actualitzar de forma segura les

teves aplicacions

Guia per a la implantació d’un control parental.

Guia sobre l’ús de forma segura de dispositius

portàtils.

http://blocs.xtec.cat/joves_privacitat/edicions-anteriors/delegacio-govern-girona-2014/presentacions-2014/

http://blocs.xtec.cat/joves_privacitat/edicions-anteriors/delegacio-govern-girona-2014/presentacions-2014/



Addicionalment, s’ha creat la guia web Com

t’impliques en l’educació digital dels teus fills i

filles? promoguda per l’Institut Municipal

d’Educació de Barcelona. En la creació d’aquesta

guia han participat diferents entitats formades per

professionals experts, federacions de pares i

mares d’alumnes i direccions de centres educatius

en la ciutat de Barcelona. La guia es troba

disponible a més de la versió impresa en versions

digitals en anglès, castellà i català.

Per a més informació es pot consultar el vídeo de

la presentació de la guia:

http://youtu.be/xxqTfY_Lsys

També s’han creat els següents jocs en versions

en català, castellà i anglès:

Primers passos a Internet: on es tracta com actuar davant missatges

d’advertiment de pàgines insegures i perills de les cerques a Internet, jocs en

xarxa i vídeos.

Utilitza el mòbil de forma segura: es tracten aspectes com evitar que et prenguin

el mòbil, connectar-se a xarxes sense fils segures, evitar que s’infecti o que algú

el faci servir per assetjar-te, per exemple.

Saps com actuar davant el ciberassetjament?: sensibilització en temes

d’assetjament a través de les TIC, tant en companys com en un mateix.

http://youtu.be/xxqTfY_Lsys



Els jocs presentats en aquest període s’adrecen a diferents rangs d’edat per a la

participació. D’aquesta manera:

- El joc d’introducció a Internet, s’adreça a nens i nenes d’entre 7 i 9 anys.

- El joc de sensibilització en l´ús del dispositiu mòbil permeten la participació de

joves a partir dels 7 fins els 13 anys.

- El joc de com actuar davant casos de ciberassetjament en el context escolar o

en família per un rang d’entre 9 i 16 anys.

Aquests jocs en línia, en diferents idiomes, permeten conèixer el comportament dels

jugadors de diferents edats i sexes quan se’ls plantegen situacions que han de resoldre.

Això permet detectar quines situacions són més o menys conegudes, i per tant, conèixer

quin missatge s’ha de reforçar en les xerrades que es fan als joves.

A continuació es mostra el resum dels continguts creats:

Joves JOC Primers passos a Internet JOC Utilitza el mòbil de forma segura JOC Saps com actuar davant el ciberassetjament?

Difusió web SIC versions en català, castellà i anglès

GUIA ràpida de protecció en la missatgeria instantània GUIA ràpida sobre com actualitzar de forma segura les teves aplicacions

Difusió web SIC en català

Pares i famílies GUIA-WEB Com t’impliques en l’educació digital dels teus fills i filles?

Difusió web SIC, web bcn.cat/educació i

impresa

versions en català, castellà i anglès

GUIA per la implantació d’un control parental GUIA ràpida de compra segura en la xarxa

Difusió web SIC en català

Educadors GUIA sobre l’ús de forma segura de dispositius portàtils GUIA sobre com actualitzar de forma segura les teves aplicacions GUIA Seguretat i protecció en la missatgeria instantània

Difusió web SIC, XTEC.cat en català



Campanya de sensibilització de xarxes socials amb el Govern de la

Generalitat en l’àmbit Família i Escola

El CESICAT ha participat en el monogràfic sobre l’ús de les xarxes socials en la web de

la Generalitat de Catalunya (www.gencat.cat/ensenyament/familiaiescola) dirigit a totes

les famílies catalanes en relació amb l’escolarització.

Durant aquest any, s’ha afegit contingut en l’apartat sobre l’ús de les tecnologies, oferint

consells i eines per a diferents edats (0-3, 3-6, 6-12 i 12-18 anys) sobre l’ús i abús de les

TIC i en la prevenció i detecció del ciberassetjament.

Alguns dels nou apartats inclosos són:

Què són les xarxes socials?

Riscos.

Consells específics en l’ús de Facebook, Youtube, Twitter, Whatsapp o

Instragram.

Altres recursos i eines.

Conversacions.

En el nou apartat de les xarxes socials, es proporciona informació específica per a cada

xarxa: edat mínima, què es pot fer en cada servei, com orientar als nostres fills i

referències a consells bàsics per als pares i mares.

Així mateix, es va elaborar un vídeo en l’apartat de recomanacions per a que els pares,

mares i els familiars trobaran resposta a qüestions com:

Què busquen els joves en les xarxes socials?

Són bones les xarxes socials?

Què podem recomanar als pares i mares per a que les utilitzin de forma segura?

Què no s’ha de compartir mai en les xarxes socials?

Dia de la Internet segura

El Dia de la Internet Segura celebrat el segon dimarts de febrer de cada any i proposat

per la UE dins el programa Internet més Segura (Safer Internet Programme-Insafe) i

assumida per molts països d’arreu del món, s’aprofita per reflexionar i prendre

consciència de la necessitat d’una Internet més segura, especialment per al col·lectiu de

joves i infants.

http://www.gencat.cat/ensenyament/familiaiescola



Seguint la dinàmica de cada any, la UE proposa un lema i un vídeo que reflexiona sobre

algun aspecte de la seguretat dels menors a la xarxa. Enguany, el lema és “Fem plegats

una Internet millor”, i el vídeo convida als infants i joves a reportar els abusos a la xarxa.

L’acte de l’any 2014 va celebrar-se l’11 de febrer durant el III Congrés Nacional “Jove i

en xarxa”, de la mà de l’associació Protégeles, on nens, nenes i joves de entre 11 i 16

anys participaren amb representants de la indústria d’internet, els cossos de seguretat,

representants de l’àmbit de l’educació, associacions de pares i mares, professors i més

entitats per traslladar els seus punts de vista sobre les relacions que els menors

estableixen amb Internet i les TIC, així com per plantejar solucions als problemes que

poden sorgir a la xarxa.

La celebració del Dia de la Internet Segura també va aprofitar-se per donar a conèixer

les activitats que es duen a terme des del Centre Internet Segura.

La Festa dels Súpers

Un any més, el CESICAT ha participat a la Festa dels Súpers, la gran cita anual dels

membres i seguidors del Club Súper 3. Enguany ha estat la divuitena edició i s’ha

celebrat el cap de setmana del 25 i 26 d’octubre a l’Anella Olímpica del Parc de Montjuïc

sota el lema “Sóc així”. Aquesta participació s’ha emmarcat dins les activitats que el

CESICAT du a terme sota la marca Centre d’Internet Segura.

Estand a la Festa:

El CESICAT ha estat present a la Festa amb un estand de 80 m2 equipat amb 20

ordinadors. L’activitat principal ha estat la de ensenyar a navegar de forma segura per

la xarxa amb l’objectiu de sensibilitzar els menors i els seus pares, mares o tutors sobre

la importància d’aplicar el seny i la precaució a l’hora de navegar per la xarxa, mitjançant

una sèrie de jocs adaptats a diferents franges d’edat en què s’exposen les principals

situacions de risc amb què es pot trobar un menor quan navega per Internet o fa ús

d’altres eines TIC.

Per tal d’assolir aquestes fites, els 20 ordinadors amb els que comptava l’estand tenien 4

jocs disponibles amb els quals, nens i nenes, podien descobrir els reptes i perills que

amaga Internet i aprendre les recomanacions i mesures preventives que han d’aplicar

perquè la navegació per la xarxa sigui segura i constitueixi una experiència profitosa.

En aquesta edició s’ha fet una aposta per millorar l’atenció a cadascuna de les nenes i

nens que han visitat l’estand mitjançant el canvi de dinamitzadors socials per estudiants

de 4t any del Grau en Mestre d’Educació Primària especialitzats en TIC. Aquests nous

perfils ens han permès poder millorar l’atenció, oferir un servei de qualitat alhora de

l’acompanyament dels menors i alhora rebre feedback per part de les educadores i els

educadors en base a l’experiència de les activitats dels menors.



Així mateix, s’ha disposat de dos estudiants del Grau d’Educació Primària especialitzats

en Adults per tal que conversessin amb els pares i mares que esperaven a que els seus

fills acabessin l’activitat per tal d’explicar-los la importància de la seguretat a la xarxa així

com dels recursos que poden trobar a la pàgina web Internet Segura.

L’assistència a l’estand del Centre d’Internet Segura va ser de més de 5.000 nens i

nenes.

Materials lliurats:

Durant el 2014 i especialment durant la festa dels Súpers, s’han utilitzat diferents

materials per donar informació als pares, mares, nens, nenes i joves sobre la

seguretat a internet, entre els quals hi han hagut:

Fullets amb informació de com actuar davant les xarxes socials (per a pares,

mares i joves).

4.500 bosses amb adhesius de difusió del Centre Internet + Segura, protectors

de càmera web i un fullet desplegable de consells sobre telefonia

USB amb guies digitals: Univers digital d’Insafe, noves guies CESICAT,…



El joc de comportament dels menors davant casos de ciberassetjament:

Durant l’edició de la Festa dels Súpers 2014 s’ha fet un recurs nou dirigit per a menors

de més de 9 anys en què es pretenia sensibilitzar en el comportament dels menors

davant casos de ciberassetjament. El joc proposa posar a prova quin comportament té la

usuària o usuari del joc en 5 situacions.

El joc, que permet avaluar les respostes, dóna consells després de cada acció i puntua

en tres nivells, de menys a més prevenció, quines mesures hauríem de prendre. De

l’estadística recollida després de 515 jugades es conclou que:

El perfil de l’edat dels jugadors i jugadores a l’estand:

La proporció de perfils de nens i nenes va ser:

0

20

40

60

80

100

120

140

160

menys10

10 11 12 13 14 15 16 omés

No

mb

re d

e ju

gad

ors

Edat

Edat dels jugadors

50,7% 49,3%

Gènere dels participants

dona

home



El perfil d’encerts de les 5 situacions al joc, amb 3 encerts de mitjana:

Percentatge de respostes correctes per cada situació:

020406080

100120140160180

0 1 2 3 4 5

No

mb

re d

e ju

gad

ors

Preguntes encertades per jugador

0%10%20%30%40%50%60%70%80%90%

100%

1. Atacsper enveja

2. Semprerep elmateix

3.Preguntesmalicioses

4. Jugarplegats a la

xarxa

5. Somiartruites

Perc

en

tatg

e d

'en

cert

s

Pregunta del joc



3.3.4. Dinamització xarxes socials i web internetsegura.cat

El CESICAT treballa d’una manera constant per assegurar que la ciutadania utilitzi els

recursos TIC d’una forma segura. Per aconseguir això, es realitzen activitats de

divulgació, formació i conscienciació mitjançant l’elaboració de continguts i recursos

educatius que ajuden a prevenir situacions de perill per a la seguretat d’aquests mitjans.

Amb el fi de generar els recursos necessaris, el CESICAT realitza estudis de tendències

del mercat de la seguretat TIC i s’identifiquen les necessitats a partir de les xerrades

organitzades pel propi CESICAT.

Durant aquest any 2014, es culmina la consecució d’un objectiu necessari per a

l’organització: diferenciar l’estratègia de comunicació del CESICAT segons la temàtica

del contingut a comunicar, potenciant la marca i estratègia Internet Segura. Aquesta

estratègia és l’adoptada per divulgar coneixement i conscienciació entorn a l’ús segur de

les TIC per part de la ciutadania, on es determinen 3 marques a utilitzar en funció del

públic objectiu:

CESICAT: En aquelles comunicacions oficials i relacions amb l’Administració de

la Generalitat i la relació amb els CERTs

Internet Segura: En tota aquella comunicació d’interès ciutadà, sobretot centrada

en la divulgació de consells i materials de conscienciació

Idigital: Comunicacions dirigides a empreses i professionals del sector TIC i

seguretat.

El gruix de l’activitat s’ha centrat en la potència de la marca Internet Segura i en la cerca

i definició d’un nou projecte més transversal, ambiciós i que reculli més departaments de

la Generalitat implicats en aquestes temàtiques.

Es potencia la difusió de continguts a través de les xarxes socials per generar més

comunitat, augmentar la reputació de la marca i fer-la més coneguda.



Twitter

Pel que respecta a @internetambseny, la difusió de continguts es centra en la

publicació de guies de seguretat, es promociona la web i els materials que s’hi poden

trobar i s’aprofiten conceptes d’actualitat per tal de relacionar l’actualitat amb els

materials de conscienciació que tenim. Durant el 2014 s’han guanyat 604 seguidores i

seguidors (189% més) arribant als 1147.

En aquest gràfic es pot visualitzar l’evolució de l’activitat del principal compte que es

gestiona (@internetambseny):

Durant l’any 2014, el compte de Twitter @CESICAT ha assolit un total de 1.709

seguidores i seguidors (207 més que l’any passat). No obstant això, aquest compte no

ha tingut activitat de comunicació ni difusió des del mes de novembre 2013 ja que es vol

potenciar @internetambseny.

Facebook

La pàgina de Facebook A Internet posa-hi seny ha arribat a aconseguir 2757 likes

durant aquest període. Les persones a les que s’arriba amb les comunicacions que es

fan des d’aquesta pàgina, arriba en primera instància a la franja d’edat de 35-44 anys i la

següent és la de 45-54 anys. Principalment han estat homes, en detriment de les visites

de perfils femenins.

Les tres publicacions que més difusió i abast han tingut són:

Nou cas d’assetjament que amenaça de mort via Whatsapp.

Nou cas d’estafa del Whatsapp d’or.

Alerta per un nou vídeo que corre per la xarxa i resulta ser un virus.

Pel que respecta a la pàgina de Facebook CESICAT, no ha tingut cap tipus d’activitat

durant aquest període.

0

200

400

600

800

1.000

1.200

2012 2013 2014

Evolució seguidors @internetambseny



Pàgines web

La pàgina web del CESICAT dedicada a la pròpia entitat ha rebut un total de 14.962

visites per part de 11.421 visitants durant el 2014.

El web d’Internet Segura ha rebut un total de 20.554 visites per part de 15.805 visitants

amb la següent distribució al llarg de l’any 2014. Cal destacar l’augment de visites durant

el Febrer degut a la dinamització de la web pel Dia de la Internet Segura.

A través de la web internetsegura.cat, i mitjançant diferents materials de difusió com ara

articles, vídeos, guies amb consells i recomanacions, jocs, pòsters, imatges o

infografies, es tracten temes com: telefonia mòbil i seguretat; ciberassetjament; la

protecció de la informació; la seguretat a les xarxes socials; l’enginyeria social; i compra

segura en el comerç electrònic.

Aquestes temàtiques s’han definit en funció de les necessitats identificades en cursos i

tallers realitzats a escoles, els dubtes rebuts i els informes de tendència de la seguretat

TIC, i s’han programat atenent els esdeveniments que es produeixen en l’entorn

tecnològic del país (per exemple, el mes de febrer, coincidint amb el Mobile World

Congress, es centra en la seguretat de la telefonia mòbil). Els continguts es difonen

també mitjançant un butlletí electrònic mensual que aglutina una mostra dels materials

principals de la temàtica tractada.

Participació en mitjans de comunicació

Durant 2014, el CESICAT ha intervingut en els mitjans de comunicació, televisió i ràdio,

per tractar temes com robatoris credencials d’accés, ciberatacs o en la celebració de

fites com el dia internacional de la ciberseguretat a través d’entrevistes, tertúlies i

col·laboracions en diferents programes de difusió.

Memòria CESICAT 2014 Tendències i reptes del 2014


4. Tendències i reptes del 2014

L’entorn tecnològic de les empreses i de la ciutadania en general és un àmbit amb una

ràpida evolució, i les eines i tècniques dels atacants són cada cop més sofisticades. És

per això que les organitzacions disposen de la necessitat d’utilitzar la intel·ligència per

gestionar els seus riscos tecnològics, entesa com la vigilància del sector del cibercrim,

tant des del punt de vista d’evolució de les amenaces com de les mesures que es

construeixen per fer front a aquestes amenaces, mitjançant programes de Seguretat de

la Informació.

De cara a aquests riscos, els cibercriminals desenvolupen eines i tècniques per

l’explotació de les vulnerabilitats dels sistemes d’informació per poder assolir

diferents objectius.

Aquest tipus de riscos, segons revela el World Economic Forum a través de la seva

Global Risks Perception Survey 2014 suposen una preocupació molt rellevant, només

superada per riscos com guerres, catàstrofes naturals, atur o canvi climàtic1.

Durant 2014, i sobre el conjunt de les principals ciberamenaces, s’ha observat l’evolució

descrita en la taula següent2.

Tendències 2014

Conjunt Principals amenaces Tendència

Eines i tècniques

Codi maliciós ▲

Botnets ▼

Exploit kits ▼

Vulnerabilitats

Amenaces internes ►

Atacs basats en web ▲

Atacs a aplicacions web ▲

A nivell global, s’observa que l’evolució i sofisticació dels atacants requereix d’un

esforç continu en la inversió en mitjans de protecció contra ciberatacs.

L’evolució de les eines i tècniques, unida a l’incompliment de les bones pràctiques

en desenvolupament d’aplicacions o en la gestió de les vulnerabilitats d’equips, tant de

servidors com d’estacions de treball, facilita la materialització d’atacs altament efectius

per part d’atacants amb capacitats limitades, incrementant la probabilitat d’ocurrència

d’un atac.

1 Global Risks Perception Survey 2014, World Economic Forum

2 ENISA Threat Landscape 2014



Per aquest motiu, el CESICAT treballa activament en els nous projectes i els

projectes de transformació dels sistemes de la Generalitat de Catalunya per tal de

poder identificar millores en les pràctiques aplicades a la seguretat de la informació.

Les eines i tècniques que utilitzen els ciberatacants els permeten explotar tant les

vulnerabilitats dels sistemes com utilitzaria l’enginyeria social de manera puguin

assolir els objectius desitjats.

Aquestes eines es poden dividir en tres tipus, codi maliciós (malware), exploits (eines

d’automatització) i botnets (xarxa de dispositius infectats que actuen seguint les ordres

d’un ordinador central) per realitzar atacs massius.

En el període de 2014, el malware encapçala la llista de les amenaces cibernètiques. El

nombre d’atacs que utilitzen aquesta tècnica creix dia a dia, ja que encara que l’atac es

realitzi d’una manera lenta i poc eficient es pot realitzar fàcilment i de forma massiva.

Per altra part, les botnets, en el 2014, han esdevingut el 34%2

del total de ciberatacs

detectats, situant aquest mètode en les primeres posicions de les estadístiques d’atacs.

Aquest ús de botnets va anar baixant de tendència donada la facilitat de desarticular

aquestes xarxes.

Finalment, els kits d’exploit permeten desplegar i instal·lar software maliciós que

detecta i aprofita vulnerabilitats dels sistemes per extreure dades personals. Aquest

mètode també es cada vegada menys utilitzat degut a la complexitat i la sofisticació

que requereix per sortejar les mesures de protecció com els antivirus.

Aquestes eines anteriorment descrites s’utilitzen per treure profit de vulnerabilitats en

els sistemes d’informació per assolir els objectius esmenats.

De forma general, es poden distingir dos tipus de vulnerabilitats:

Vulnerabilitats socials. Afecten al conjunt de les usuàries i els usuaris dels

sistemes d’informació i no tenen una component tecnològica. Afecten al

comportament i confiança de la societat envers la tecnologia.

Vulnerabilitats dels sistemes d’informació. Són aquells errors i defectes

tecnològics de configuració i actualització dels equips (servidors i equips) i errors

de programació de les aplicacions, ja siguin web o programes instal·lats als

equips finals.

Per explotar o treure profit d’aquestes vulnerabilitats s’utilitzen diferents tècniques

d’atacs basats en la web i d’atacs a aplicacions web. Tampoc hem d’oblidar les

amenaces internes a com una pròpia vulnerabilitat.

Una de les bases dels atacs a la web és l’enginyeria social, on els atacants fan creure

a les usuàries i els usuaris que són els administradors del la pàgina web en qüestió

(phishing) per tal d’aconseguir les seves credencials. Sovint es creen pàgines web

idèntiques a les originals, o bé s’envia un correu electrònic dient que s’ha de canviar la

contrasenya.



Durant 2014 s’han detectat 145 milions de pàgines web malicioses, representant un

total del 73%2 de tots els objectes maliciosos existents. Aquesta amenaça es situa en

primera posició a Amèrica del Nord i Europa, estant en segona posició en la resta de

geografies, només per darrera del malware.

3

Per altra banda, els atacs a les aplicacions web corresponen a vulnerabilitats

tecnològiques dels sistemes d’informació, entre les quals podem distingir vulnerabilitats

dels equips i vulnerabilitats de les aplicacions. De forma majoritària, les amenaces

materialitzades durant 2014 fan referència a atacs a aplicacions web vulnerables.

Segons l’informe ENISA Threat Landscape 2014, el 90% d’aplicacions web són

vulnerables a atacs coneguts, motiu pel qual és un vector d’atac molt important.

En aquest període s’ha verificat que els desenvolupadors estan prestant més atenció a

la construcció d’aplicacions segures, reduint les vulnerabilitats. Tot i així, aquestes

vulnerabilitats en les aplicacions continuen representant gairebé el 60-70%2 del total.

La resta de vulnerabilitats es donen en els sistemes operatius i el programari que li

dóna suport, i en menor mesura en els navegadors. Cal remarcar que durant el període

de 2014 s’han posat de manifest dues grans vulnerabilitats, que per la seva àmplia

distribució han suposat un risc de seguretat molt elevat. Es tracta de la vulnerabilitat

Heartbleed, amb una base potencial d’un 66%2 de llocs web que utilitzen OpenSSL

3 i de

la vulnerabilitat Shellshock, que afecta a tots els que utilitzen la Shell de UNIX Bash4.

3 Netcraft's April 2014 Web Server Survey

4http://www.symantec.com/connect/blogs/shellshock-all-you-need-know-about-bash-bug-

vulnerability

33%

18% 13%

9%

4% 3%

20%

Webs malicioses segons país3

Estats Units d'Amèrica

Holanda

Alemanya

Rússia

Ucraïna

França

Altres

http://news.netcraft.com/archives/2014/04/02/april-2014-web-server-survey.html



Finalment, les amenaces internes, corresponen a vulnerabilitats que afecten a les

organitzacions, ja que representa baules febles en els processos i el personal de les

empreses. Per fer-hi front, les mesures que cal aplicar es fonamenten en la millora de

l’entorn de control i conscienciació de les empleades i els empleats.

La majoria d’incidents interns són causats per errors no intencionats de les usuàries i

els usuaris, el desplaçament involuntari de la informació, la pèrdua/robatori i la falta de

sensibilització enfront a tècniques d’enginyeria social, a causa de la falta de formació i

conscienciació d’aquests. Segons ENISA, el 48% d’organitzacions reconeixen no haver

proporcionat formació específica en seguretat als seus professionals.

L’esdeveniment més rellevant durant 2014 han estat les revelacions de l’ex-

treballador de la CIA Edward Snowden, arran de les quals s’ha invertit un esforç

important en l'anàlisi de les amenaces internes.

4.1. Conclusions dels atacs durant l’any 2014

Com ja s’ha comentat, els cibercriminals desenvolupen eines i tècniques per

l’explotació de les vulnerabilitats dels sistemes d’informació que s’han detallat

anteriorment. Aquest esforç està focalitzat per assolir diferents objectius, ja sigui per

provocar un prejudici econòmic o reputacional a les organitzacions o governs, accedir a

informació reservada, robar dades, suplantar identitats i accedir a fons econòmics.

40%

31%

15%

14%

Informació afectada3

Propietatintel·lectual

Dades d'usuaris

Desconegut

Registres financers



La tendència observada en el 2014 respecte als objectius d’aquests atacs es recullen

en tres grans grups: denegacions de servei (DoS), robatoris de credencials i fugues

i robatori d’informació. En tots els casos, la tendència durant 2014 ha anat en

augment2.

Tendències 2014

Conjunt Principals amenaces Tendència

Objectius

Denegació de servei ▲

Fugues/Robatori/revelació de dades ▲

Robatori d’identitats ▲

Els atacs de denegació de servei són una amenaça tecnològica que s’utilitza contra

la disponibilitat dels sistemes i serveis de les organitzacions i governs. Els atacs de

DoS han esdevingut vectors d’atac molt eficients, malgrat això, les contramesures no

s’han desenvolupat de la mateixa manera.

L’objectiu de denegar el servei, en molts casos, és utilitzat com a mesura de distracció

per a implementar altres atacs. D’aquesta manera la indisponiblitat dels sistemes i dels

serveis pot tenir un impacte mínim si es tracta d’una manera d’entretenir per

implementar atacs amb impactes més importants com l’activació de malware o

robatori de dades.

Aquest any 2014, el CESICAT ha preparat operatius en aquelles dates en que els actius

de la Generalitat es poguessin veure més amenaçats que habitualment degut a la

rellevància que el territori podria prendre en els medis o la importància d’algunes dates.

D’aquesta manera s’han aconseguit bloquejar atacs per denegació de servei que

podrien haver servit per articular algun atac emmascarat de major impacte per la

Generalitat, les administracions locals i la pròpia ciutadania.

47%

24%

18%

10%

Tipus d'atacs emmascarats per DoS3

Instal·lació / activació deMalware

Robatori de dades

Pèrdua de propietatintel·lectual

Robatori financer



El 2014 es caracteritza també pel robatori de credencials en gran volum (centenars de

milions) que els ciberatacants han obtingut des de serveis webs vulnerables o a través

de la interacció directa amb les usuàries i els usuaris fent ús d'atacs de phishing. En

menor mesura, també s’han obtingut credencials utilitzant malware en els seus equips.

Per tal d’obtenir una major protecció davant d’aquests atacs s’utilitzen sistemes

d’accés mitjançant autenticació multi-factor (ús de missatges SMS o OTP, VPN, Xifrat

de contrasenyes en els servidors, etc.).

Les conseqüències d’aquests robatoris han fet que apareguin recels per part de les

usuàries i els usuaris respecte l’ús de mitjans digitals per dur a terme transaccions

financeres. Més d’un 50% de consumidors han expressat la seva preocupació per

aquest fet, segons ENISA Threat Landscape 2014.

Els robatoris massius de dades han posat de manifest que el factor humà és una

debilitat molt gran del sistema de credencials, com demostra que, de 6 milions de

contrasenyes, més del 98% es troben entre la llista de les TOP 10.0005, essent molt

senzilles d’obtenir amb poca capacitat computacional.

Al problema de les contrasenyes dèbils cal afegir el de la seva reutilització endèmica.

D’aquesta manera al comprometre una sola credencial potencialment queden al

descobert molt altres serveis en línia que reutilitzen les credencials.

Per aquesta banda, el CESICAT treballa tant per la formació dels professionals dins

l’administració com per la conscienciació ciutadana per tractar de sensibilitzar

respecte aquests robatoris i com evitar-los.

Si bé per raons de seguretat les contrasenyes s’han d’encriptar, el robatori de 42

milions de credencials a Cupid Media, empresa de serveis australiana, va revelar que

aquestes s’emmagatzemaven en text sense encriptar, fet que demostra que hi ha

empreses que no segueixen les bones pràctiques en aquesta matèria.

Oposadament a aquest cas, des del CESICAT es vetlla per a que els proveïdors dels

sistemes de la Generalitat apliquin les mesures necessàries per mantenir les

identitats protegides a través de la gestió de la seguretat en el proveïdors.

El robatori de credencials conjuntament a l’explotació de diferents vulnerabilitats

comporten la materialització de l’objectiu principal dels ciberatacants, el robatori

d’informació i el robatori de fons econòmics en el cas d’entitats financeres.

Els atacs per robatori d’informació que s’han produït durant 2014 han tingut una

rellevància molt notable en els mitjans de comunicació. Aquests atacs han suposat la

vulneració de sistemes que tenien un impacte elevat sobre un gran nombre de població,

comprometent dades sensibles de moltes usuàries i molts usuaris (atac a Sony Pictures,

novembre de 20146) o actius financers (atacs a bancs mitjançant Carbanak

7).

5 https://xato.net/passwords/more-top-worst-passwords

6 http://oag.ca.gov/system/files/12%2008%2014%20letter_0.pdf



En concret, utilitzant el malware conegut com a Carbanak, el qual explotava

vulnerabilitats de Microsoft Office, es va materialitzar una afectació sobre 1.000 milions

de dòlars en diferents entitats financeres d’arreu del món7.

El principal tipus de dades afectades el 2014 són aquelles referents a informació

d’empreses, amb un 82%7 del total de dades afectades.

Com es pot observar, els atacs a la seguretat de la informació poden arribar a tenir un

impacte important pels actius del territori català. A més, la tendència en augment de les

tecnologies en tots els àmbits, fa que la tasca del CESICAT per la seguretat de la

informació es vegi marcada per la continua adaptació i millora del seu servei.

7 Kaspersky Labs' Global Research & Analysis Team (GReAT) (February 16, 2015). "The Great

Bank Robbery: the Carbanak APT."

0

5

10

15

20

25

30

35

40

45

Rússia Alemanya Estats Unitsd'Amèrica

Noruega Japó Altres

Ubicacions afectades per Carbanak7

https://web.archive.org/web/20150217133401/https:/securelist.com/blog/research/68732/the-great-bank-robbery-the-carbanak-apt/

https://web.archive.org/web/20150217133401/https:/securelist.com/blog/research/68732/the-great-bank-robbery-the-carbanak-apt/



® fundació privada CESICAT


Carrer de Salvador Espriu, 45-51

08908 L'Hospitalet de Llobregat

Maig 2015

centre de seguretat de la informació de catalunya memòria 2014

Documents