Jornada Localret: La Seguretat TIC, un aspecte clau

Pag. 2

El CESICAT és l’ens públic de Catalunya encarregat de vetllar per la seguretat de la informació en l’àmbit de Govern i l’Administració Pública de Catalunya, conscienciant alhora a la ciutadania i el teixit productiu català en relació a l’ús segur de les TIC.

El Govern encarrega (GOV/103/2012) la planificació, gestió i control de la seguretat de les TIC de l’Administració de la Generalitat i el sector Públic.

Missió del CESICAT

• Establir una estratègia nacional en matèria de seguretat TIC.

• Suport a la protecció de les infraestructures crítiques nacionals en matèria de seguretat TIC.

• Liderar i administrar el desplegament d’un model de seguretat TIC

• Conscienciar la ciutadania en l'ús segur de les TIC.

Funció del CESICAT

2

Pag. 3

Funció del CESICAT

Organització

Informació

Tecnologia

Gestió de la

seguretat

Protecció enfront amenaces externes

Governança Conscienciació Auditoria Marc Normatiu Continuïtat

Seguretat en Xarxes i Sistemes

Auditoria Continuïtat Compliment Normatiu

Seguretat de la Informació Compliment Normatiu

3

Pag. 4

Introducció al MES

• El Model Estàndard de Seguretat defineix el marc de Serveis, tasques i accions de Seguretat que el CESICAT marca com referents a ser desplegats en tota l’Administració de la Generalitat i el seu sector públic, per així complir amb l’encàrrec del Govern en referència a la planificació, la gestió i el control de la seguretat de les TIC.

Pag. 5

L’àmbit de la Seguretat en l’Administració Local

Sistemes Informació propis

Diputacions: Connexió a Internet i

web ajuntament

AOC: Plataformes de interconnexió i

notificació

L’estructura dels S.I. d’un Ajuntament tipus:

Com hem d’abordar la Seguretat?Objectiu: Garantir la seguretat dels S.I. i augmentar la confiança capels ciutadans.

• Seguretat de les infraestructures• Seguretat de les Aplicacions• Seguretat de les Comunicacions• Compliment Normatiu• Formació

Pag. 6

Estratègia de Desplegament de la Gestió de la Seguretat

•Anàlisi Seguretat•Guies bastionatge

Infraest. TIC

•Anàlisi Seguretat•Desenvolupament Segur

Aplicacions (Web)

• Sondatge•Gestió alertes i incidències

Comunicacions

• Formació•Marc normatiu

Seguretat Usuari

•Portal Seguretat• Indicadors

Govern del Risc

Pag. 7

Tendències sobre Ciberseguretat 2014

Tendències 2014

Conjunt Principals amenaces Tendència

Eines i tècniques

Codi maliciós ▲

Botnets ▼Exploit kits ▼

Vulnerabilitats

Amenaces internes ►

Atacs basats en web ▲

Atacs a aplicacions web ▲

33%

18%13%9%

4%3%

20%

Webs malicioses segons país3

Estats Units d'Amèrica

Holanda

Alemanya

Rússia

Ucraïna

França

Altres

47%

24%

18%

10%

Tipus d'atacs emmascarats per DoS3

Instal·lació / activació deMalware

Robatori de dades

Pèrdua de propietatintel·lectual

Robatori financer

40%

31%

15%

14%

Informació afectada3

Propietatintel·lectual

Dades d'usuaris

Desconegut

Registres financers

Pag. 8

Govern de la Seguretat. Govern del risc

Comitè de Seguretat de la Informació (CSI)

Comitè de Direcció(Seguretat de la informació: Punt ordre del dia)

Grups de treball específics segons necessitat

Director de Serveis o assimilable

Funcions de Coordinador de

Seguretat d’Àmbit

Funcions Seguretat en

l’àrea TIC

Funcions Assessoria

Jurídica

Funcions Seguretat en

l’Organització

Funcions d'interlocució

de Negoci

Definir aquesta estructura i les funcions i responsabilitats dels seus membres permetrà:

• Establir una estructura coordinada i efectiva de presa de decisions, comunicació id’assignació de responsabilitats en la gestió de seguretat de la informació.

• Facilitar la tasca d’implantació dels estàndards de Seguretat de les TIC.• Implantació de l’estratègia de desplegament del model de seguretat (MES)

Pag. 9

Seguretat Usuari

www.cesicat.cat