centre de seguretat de la informació de catalunya memòria 2014
TRANSCRIPT
CESIemòria 2013 / Pàg. 0
Centre de Seguretat de la Informació de Catalunya
Memòria 2014
CESICAT Memòria 2014 / Pàg. 0
® fundació privada CESICAT
Centre de Seguretat de la Informació de Catalunya
Carrer de Salvador Espriu, 45-51
08908 L'Hospitalet de Llobregat
Maig 2015
Memòria CESICAT 2014 Índex
CESICAT Memòria 2014 / Pàg. 0
ÍNDEX
1. CARTA DEL DIRECTOR GENERAL ....................................................... 1
2. EL CESICAT EN EL 2014 ........................................................................ 3
2.1. ANTECEDENTS I CONTEXT DE L’EXERCICI 2014 .............................................................. 3 2.2. CONCRECIÓ DE L’ACTIVITAT ......................................................................................... 7 2.3. MADURESA DEL MODEL ORGANITZATIU ...................................................................... 12 2.4. ELS NOSTRES COMPTES ............................................................................................. 19
3. BALANÇ D’ACTUACIONS .................................................................... 21
3.1. ESTRATÈGIA DESENVOLUPADA EN EL DESPLEGAMENT DE L’ACTIVITAT .......................... 21 3.2. ACTIVITAT OPERATIVA DE SEGURETAT ......................................................................... 23 3.3. INTERNET SEGURA ..................................................................................................... 47
4. TENDÈNCIES I REPTES DEL 2014 ...................................................... 60
4.1. CONCLUSIONS DELS ATACS DURANT L’ANY 2014 ......................................................... 63
Memòria CESICAT 2014 Carta del Director General
CESICAT Memòria 2014 / Pàg. 1
1. Carta del Director General
En l’àmbit de les tecnologies de la informació, el 2014 ha esdevingut un any en el qual
s’ha observat –un any més- un important increment dels ciberatacs perpetrats
contra sistemes d’informació, tant en organismes i institucions públiques i privades
com a també en particulars, així com un agreujament de l’impacte que aquests atacs
han comportat, convertint-se en una tendència protagonista en les notícies d’abast
mundial.
L’expansió a nivell mundial de les xarxes de comunicació globals, com Internet, i l’ús
d’aquestes per l’intercanvi d’informació sensible així com l’administració de sistemes
estratègics, fa que les activitats relacionades amb el cibercrim s’hagin vist
incrementades durant l’any 2014 esdevenint amenaces cada cop més perjudicials per
organismes, institucions i entitats públiques i privades.
Els ciberatacs constitueixen una família de riscos tecnològics que poden suposar un
alt impacte en les organitzacions, i es poden produir amb alta probabilitat. Són, per tant,
riscos que cal que es tinguin en consideració i contra els quals cal estar preparats.
Els riscos i les amenaces que afecten la ciberseguretat de manera global, també ho fan
als actius del territori català, on el CESICAT és l’encarregat de vetllar per la seguretat
de la informació mitjançant les línies d’actuació establertes que es centren en la
prevenció, la protecció, la resiliència i la governança de la seguretat.
És per això que hem treballat durant tot aquest any per desplegar i millorar les mesures
necessàries per fer front a la creixent exposició a ciberatacs a l’administració pública
catalana. Caldrà que les actuacions endegades no només es despleguin
progressivament i de manera pautada, sinó que hauran de ser constants i resilients.
La maduresa assolida del Model Estàndard de Seguretat, conceptualitzat, definit i
impulsat per l’entitat, ens ha permès iniciar el seu desplegament a entitats i institucions
més enllà de la pròpia Administració de la Generalitat de Catalunya, acostant-nos a la
consecució de la visió que l’entitat té per definir un model exportable per a tota
l’administració pública del país.
L’Acord de Govern del 2 de desembre, estableix l’encàrrec a l’entitat per establir les
bases d’una agència governamental de ciberseguretat a Catalunya, i disposar així de la
forma jurídica adequada per a dur a terme les funcions, encàrrecs i activitats que el
Govern consideri adients per executar aquelles tasques que li siguin pròpies en
coherència amb l’estratègia de ciberseguretat del país. Aquest és un repte que l’entitat
ha afrontat amb il·lusió i responsabilitat, esdevenint alhora la darrera de les
transformacions que l’entitat ha anat consolidant des de començaments de l’any 2013.
Memòria CESICAT 2014 El CESICAT en el 2014
CESICAT Memòria 2014 / Pàg. 2
És per tot això que seguirem treballant amb la constància, tenacitat i vocació amb la que
ho hem fet per tal de seguir assumint els nous desafiaments que ens depara el futur i
dedicar l’esforç i treball requerit per tal d’assolir l’objectiu marcat, essent coneixedors de
la responsabilitat que suposa representar una peça clau i cabdal per assegurar el repte
que tenim com a societat, com a país.
Xavier Gatius i Garriga
Director General del Centre de Seguretat de la Informació de
Catalunya
Memòria CESICAT 2014 El CESICAT en el 2014
CESICAT Memòria 2014 / Pàg. 3
2. El CESICAT en el 2014
2.1. Antecedents i context de l’exercici 2014
La tecnologia és un element inherent en l’activitat humana en diversos àmbits, com
el personal, el social, el professional i l’institucional, entre d’altres. Una mostra d’aquest
fet és l’augment continu en el nombre de dispositius, d’usuaris i usuàries, i de la
informació emmagatzemada, a la vegada que s’expandeix la connectivitat amb noves
tendències en l'ús de la mobilitat i les xarxes socials.
A la vegada, la introducció de tecnologies cada vegada més sofisticades, com és el cas
de la “Virtualització” i el “Cloud Computing” (on la informació no s’emmagatzema
localment als equips) alimenten la ciberdelinqüència i fan evolucionar les eines,
mètodes i talent emprats en els atacs.
D’aquesta manera, durant aquest any s’ha observat l’augment del nombre d’atacs en
matèria de ciberdelinqüència que demostra l’alt risc que es viu envers les tecnologies
de la informació, essent necessari protegir-se de fallides, atacs i incidents que
produeixin la caiguda de les infraestructures i, com a conseqüència, la fallida dels
serveis que ofereixen.
Un clar exemple de la necessitat de protegir les nostres tecnologies el trobem durant
aquest any on els atacs produïts van posar en perill la informació personal de
milions de persones i empreses, permetent als atacants accedir a arxius interns amb
informació confidencial, crítica, de negoci o de propietat intel·lectual.
L’impacte d’aquests incidents han fet reflexionar a la societat sobre el fet que la
seguretat no és només una qüestió de servidors, programari i dades de l'empresa, sinó
un assumpte de seguretat global, i és per això que la ciberseguretat esdevé un servei
crític i bàsic avui dia.
Aquests atacs no s’han produït només en grans empreses o en sectors concrets, sinó
que cap empresa o sector ha estat fora de perill, de manera que aquesta situació i
entorn, desafien i obliguen a l’Administració a treballar i garantir la seguretat tecnològica
en tot el seu àmbit.
És en aquest punt, on el Centre de Seguretat de la Informació de Catalunya
(CESICAT) participa i pren un paper rellevant en l’actualitat i en el dia a dia de la
Generalitat de Catalunya, els governs locals i la ciutadania des de la seva fundació l’any
2010, arran de l’acord de govern GOV/50/2009 del 17 de març.
Memòria CESICAT 2014 El CESICAT en el 2014
CESICAT Memòria 2014 / Pàg. 4
Va ser l’acord de Govern del 16 d’octubre de 2012 el que es va refermar aquest valor
clau i estratègic de la seguretat TIC a nivell de país atorgant al CESICAT la
responsabilitat d’assumir les funcions en matèria de seguretat TIC de la Generalitat
de Catalunya, establint i fent seguiment dels programes d’actuació corresponents del
Pla nacional d’impuls de la seguretat TIC a Catalunya sota la direcció del Govern de la
Generalitat, i col·laborant amb les entitats del sector públic de l'administració de la
Generalitat, l'administració local, el sector privat i la ciutadania en general.
En base a l’encàrrec fet en aquell acord, es van establir la missió, visió i valors amb
els quals el CESICAT duria a terme la planificació, gestió i control de la seguretat de
la informació de la Generalitat, les administracions locals i ciutadania.
El CESICAT ha dissenyat i desplegat una estratègia de ciberseguretat
materialitzada aquest any 2014 a través de la prestació de serveis de seguretat
tecnològica que garanteixen la ciberprotecció dels actius i la informació de les
administracions públiques catalanes i dels seus ciutadans, en especial l’Administració de
la Generalitat de Catalunya i el seu Govern.
En aquest mateix sentit, el CESICAT ha continuat treballant en la contribució d’un
programa de difusió i conscienciació en matèria de ciberseguretat. Aquest programa
permet dotar d’una major maduresa al país com a societat de la informació, tot dedicant
una atenció particular als col·lectius més vulnerables, com ara menors, adolescents o
persones amb risc d’exclusió tecnològica.
Memòria CESICAT 2014 El CESICAT en el 2014
CESICAT Memòria 2014 / Pàg. 5
La fundació ha mantingut els seus valors fixats el passat any per establir la seva
cultura i les seves pautes de comportament professional en l’especialització de les
seves funcions, la professionalització de l’activitat que exerceix i l’orientació de
l’organització envers als seus clients. En la següent il·lustració es mostren els principals
valors definits.
La finalitat del CESICAT és garantir una Societat de la Informació segura al conjunt
de la societat catalana i de la seva Administració Pública, amb la voluntat d’esdevenir un
referent a nivell nacional i internacional en matèria de ciberseguretat. Té el patrimoni, els
rendiments i els recursos dedicats a la realització de les finalitats d’interès general
previstes en els seus estatuts, si bé caldrà adequar les capacitats de l’entitat en tot
moment al repte creixent que la ciberseguretat suposa en les societats desenvolupades.
Conscient de la importància creixent i la necessitat de vetllar per la seguretat en els
sistemes de la informació, durant l’exercici anterior el CESICAT va abordar una
transformació organitzativa i funcional. En aquell moment, es va articular el Model
Estàndard de Seguretat (MES) que estableix el marc de referència per tal de desplegar
els serveis de manera homogènia i extensible a tota l’Administració Pública catalana,
començant per la Generalitat de Catalunya i el seu Sector Públic.
L’any 2014, la fundació ha mantingut les seves bases i objectius definits en exercicis
anteriors, i treballant per fer tangibles les seves activitats des del pragmatisme. En
aquesta línia, els serveis especificats l’any anterior en el model de seguretat han
evolucionat per millorar-se i adaptar-se a les noves tecnologies i la ciberdelinqüència.
A la vegada, s’ha realitzat un contacte directe i actiu per tal d’aprofundir el
coneixement en els diferents àmbits d’actuació i poder donar a conèixer els serveis
oferts pel CESICAT amb un discurs que prioritza els beneficis, l’impacte dels riscos i la
millora de la seguretat de la informació, podent separar-lo de la tecnologia.
Memòria CESICAT 2014 El CESICAT en el 2014
CESICAT Memòria 2014 / Pàg. 6
Conjuntament a aquesta millora dels serveis i al treball en els diferents àmbits, durant
l’any 2014, el CESICAT ha establert els Programes de Seguretat que planifiquen el
desplegament del MES de manera personalitzada per cadascun dels departaments de la
Generalitat de Catalunya. Aquests programes s’han adaptat a les necessitats i prioritats
a través d’una estratègia dirigida pel màxim rendiment i eficàcia dels recursos.
La cadena de valor establerta en aquest exercici emmarca les activitats del CESICAT
segons el seu objecte en les línies de prevenció, protecció, resiliència i governança
de la seguretat. Aquest enfocament ha permès a la fundació crear i tenir una visió
global del risc envers de la Seguretat de la Informació, tot valorant l’impacte que
aquests riscos poden comportar pels distints organismes.
Finalment l’any 2014, concretament el 2 de desembre, el Consell Executiu va dipositar,
una vegada més, la confiança en el CESICAT encarregant-li l’elaboració d’un
avantprojecte de llei per a la creació d’una agència governamental de la
ciberseguretat a Catalunya. Aquest acord alhora és coherent amb la resolució del
Parlament de Catalunya, la qual instava al Govern a presentar una proposta de
modificació dels estatuts del CESICAT pel que fa als objectius genèrics, l’estructura
interna i les tasques concretes que ha de complir, amb l’objectiu de reconvertir-lo en una
agència governamental.
No cal dir que el CESICAT aspira a convertir-se en l´organisme competent en matèria de
ciberseguretat a nivell de Catalunya i de la seva Administració Pública, essent també
actor de referència per a empreses i ciutadans com a únic CERT governamental del
país, amb interrelació a nivell europeu i internacional amb les organitzacions i entitats
que vetllen per a una estratègia conjunta enfront les ciberamenaces tot tenint un rol actiu
i reconegut.
Memòria CESICAT 2014 El CESICAT en el 2014
CESICAT Memòria 2014 / Pàg. 7
2.2. Concreció de l’activitat
Durant el 2013 el CESICAT va definir el Model Estàndard de Seguretat, que es tracta
del marc de referència de seguretat TIC establert per donar resposta a l’encàrrec del
Govern en referència a la planificació, la gestió i el control de la seguretat de les TIC de
l’Administració de la Generalitat i el sector públic.
Aquest model defineix 73 serveis finals, que es troben classificats en 7 Marcs
(Normatiu, Organitzatiu, Sistemes d’informació, Xarxa, Auditoria, Continuïtat i
Infraestructures Crítiques i Informació) que engloben les principals línies de treball, i en 3
Nivells de Servei que es donen en funció de la penetració dels serveis (base, gestionat
i específic).
En concret, aquests marcs a l’hora de ser desplegats s’organitzen en tres grups
d’accions: planificació, implementació i validació. El primer grup, planificació, es
focalitza en desenvolupar els serveis de gestió interna d’informació, organització i
normatiu. El segon grup, implementació, consisteix en desplegar els serveis Tecnològics
de sistemes de la informació i xarxa. L’últim grup, validació, es basa en el desplegament
dels serveis de validació d’auditories tècniques i anàlisis i continuïtat i infraestructures
critiques.
Per altra banda, els nivells de servei del MES s’estableixen en funció del tipus de
relació necessària amb els clients. Com a base s’inclouen els serveis en els quals el
CESICAT pot executar-ne les activitats associades sense la interacció amb el client;
gestionat, aquells serveis que requereixen una interacció amb el client per tal de
realitzar les activitats; i específic, per als serveis que es sol·liciten de manera concreta
per donar resposta a necessitats puntuals per part dels clients.
Durant el 2014 s’ha seguit millorant aquest model i s’ha adaptat als 3 principals àmbits
d’actuació del CESICAT, Tecnologia, Organització i Formació, personalitzant-los i
enfocant-los a les necessitats de cadascun dels clients.
Per tal de poder desplegar els serveis del MES, ja en l’anterior exercici, es va establir la
figura del Responsable de la Seguretat de la Informació (RSI) com a nexe de
contacte entre el CESICAT i els departaments. Aquesta figura dedicada a explicar i oferir
els serveis en els clients ha permès obtenir el coneixement i la identificació de
necessitats específiques de primera mà.
Memòria CESICAT 2014 El CESICAT en el 2014
CESICAT Memòria 2014 / Pàg. 8
D’aquesta manera, en el 2014 la fundació ha treballat per la definició de 12 Programes
de Seguretat personalitzats per a cadascun dels departaments de la Generalitat de
Catalunya, que consisteixen en la planificació del desplegament del MES prioritzant-ne
específicament els serveis per cada departament segons les seves necessitats. Entre
els serveis identificats com a més prioritaris en els programes trobem el servei
d’auditories associades a la protecció de dades (LOPD), el servei de Seguretat en
Projectes i l’organització i seguiment de les mesures de seguretat i proveïdors.
A través de la planificació establerta pels 12 Programes de
Seguretat per a la materialització dels diferents serveis
oferts en el MES, el CESICAT, durant aquest exercici ha
adaptat la seva cadena de valor per treballar en les
següents quatre línies d’acció: prevenció,
protecció, resiliència i governança. Aquesta
cadena de valor permet gestionar l’activitat de la
fundació articulant l’evolució del MES i la
definició d’aquests programes.
Cadascuna de les línies fixades en la
cadena de valor treballa envers a un pilar
diferent de la seguretat de la informació. Per
una banda, la prevenció treballa proactivament
per detectar i controlar els riscos. Per altra part, la protecció realitza accions
de manera reactiva per evitar i solucionar atacs. La resiliència per la seva part es
concentra en donar robustesa i capacitat de recuperació als sistemes d’informació en
front eventuals ciberatacs. Finalment, la governança de la ciberseguretat reforça les
línies d’acció prèvies proporcionant el control i guia necessaris per ampliar i millorar les
activitats de seguretat de la informació realitzades per part del CESICAT.
La prevenció i detecció d’amenaces es centra en l’establiment de
mesures destinades a controlar els riscos de seguretat de la
informació en els sistemes i actius de la Generalitat de
Catalunya i administracions locals. Aquesta línia d’acció
engloba activitats com són el compliment normatiu, la
detecció i l’anàlisi de riscos, la detecció de
vulnerabilitats i la seguretat proactiva.
Les principals activitats que realitza el CESICAT per
complir amb aquesta finalitat estan orientades primerament
en el control del compliment normatiu en matèria de
seguretat de les activitats que s’executen a les
infraestructures i sistemes de la Generalitat, per detectar i
analitzar-ne els riscos i posteriorment prioritzar i assegurar
que s’apliquen les mesures necessàries per reduir-los.
Memòria CESICAT 2014 El CESICAT en el 2014
CESICAT Memòria 2014 / Pàg. 9
L’activitat de la fundació en la detecció de vulnerabilitats és fonamental tant per
verificar i revisar l’existència de potencials vulnerabilitats, com per preveure mecanismes
per inhibir-ne la seva explotació. En aquesta mateixa direcció, el CESICAT realitza
tasques periòdiques de seguretat proactiva que permeten evitar els efectes de
determinats ciberatacs, reduir-ne els riscos associats i el seu possible impacte en els
elements de la Generalitat o les administracions locals, mitjançant les activitats de
simulació i comprovació de les possibles escletxes de seguretat existents en els
sistemes d’informació i la infraestructura tecnològica de la Generalitat.
Un altre pilar fonamental per al CESICAT és la protecció i la
capacitat de reacció envers als incidents que finalment es
materialitzen. En aquest sentit, la protecció es centra en
l’anàlisi dels possibles atacs i les contramesures
aplicables abans i després de produir-se. Aquesta línia
d’acció compren les activitats de gestió d’alertes, de
gestió d’amenaces i la resolució d’incidents de
seguretat.
Amb la finalitat d’agilitzar la solució de possibles
incidents de seguretat en cas que s’hagin materialitzat
es realitza la gestió i la revisió de les alertes rebudes
tant per part de dispositius de seguretat com
comunicades per tercers.
Una altra vessant de la protecció és la gestió
d’amenaces en la que el CESICAT recull informació de
diferents fonts sobre les activitats, intencions i context de possibles ciberamenaces,
avaluant els riscos que suposen i notificant-los reactivament als diferents afectats.
Una vegada s’ha materialitzat un incident el CESICAT realitza l’activitat de resolució
d'incidents que es basa, per una banda, en un conjunt de tasques de resolució de
vulnerabilitats i amenaces identificades durant les activitats preventives o la informació
monitorada i rebuda de fonts de tercers, i per altra banda, la resolució d’aquells incidents
que es materialitzin i que provoquin una interrupció dels serveis, una reducció de la seva
qualitat o un problema de seguretat de la informació, com poden ser infeccions de virus
o pèrdua d’actius amb informació sensible.
Addicionalment, a causa de la detecció de noves necessitats s’ha iniciat en el 2014 una
nova activitat de projectes de seguretat que permet realitzar valoracions d’impacte
sobre els sistemes d’informació, definir i gestionar els processos de construcció de
solucions de seguretat. Aquests projectes fan possible la creació de nous serveis,
processos i solucions de seguretat que permeten gestionar les necessitats específiques
de cada cas amb terminis més estesos i planificats. En aquest aspecte, cal esmentar
una altra activitat que ha inclòs el CESICAT corresponent a la coordinació d’activitats
proactives de detecció i protecció en dates o esdeveniments que poden elevar la
probabilitat d'atac a la seguretat de la informació per tal d’evitar la materialització dels
possibles atacs.
Memòria CESICAT 2014 El CESICAT en el 2014
CESICAT Memòria 2014 / Pàg. 10
Des de la fundació no només es treballa en la prevenció i la protecció si no que a més
es proporciona als actius la capacitat de resistir i recuperar-se davant de desastres o
caigudes de servei, donant resiliència als sistemes i millorant la resistència a les
adversitats. Durant 2014, s’ha treballat en aquesta línia per tal d'aconseguir
certificacions que garanteixen la preparació dels serveis per convertir-se en sistemes
robusts i resilients. Un exemple rellevant d’aquesta activitat és el del Servei 112 que ha
esdevingut el primer Servei d’Atenció i Gestió de trucades d’Emergència d’Europa en
obtenir la certificació ISO/IEC 22301: Gestió de la Continuïtat de Negoci. En aquesta
línia d’acció es recullen les activitats de suport a l’obtenció de certificacions, de
continuïtat del negoci i de formació.
El CESICAT amb la figura d’assessor i d’expert ha realitzat la implantació i manteniment
de Sistemes de Gestió de Continuïtat de Negoci en alguns dels departaments, aportant
una millora en els seus processos crítics pels organismes.
A banda de les activitats realitzades en els propis sistemes, la resiliència passa per
evitar o reduir els riscos d’atacs o de que puguin fallar els sistemes a través de la
intervenció humana i per tant, la formació té un paper clau. En aquesta línia el
CESICAT treballa en l'elaboració i prestació de formacions que es peticionin
específicament per la Generalitat de Catalunya i els seus departaments per tal de
millorar les seves competències i coneixements en matèria de seguretat TIC.
De manera addicional, el CESICAT, com a activitat de conscienciació, realitza la gestió i
la creació de continguts del Centre d'Internet Segura que té com a missió procurar un
entorn segur per als més joves en l’ús d’Internet, la telefonia mòbil i les Tecnologies de
la Informació i la Comunicació.
La línia d’actuació central del CESICAT i que permet gestionar les activitats que es
realitzen per tal de garantir la seguretat de la informació és la governança i la gestió de
la seguretat. Aquestes tasques es centren en reforçar el servei que s’ofereix a la
Generalitat de Catalunya i les administracions locals per a la millora i ampliació de la
seguretat de la informació a través de la relació amb el client i la definició i gestió de la
Identitat Digital i el marc normatiu i legal. La línia d’acció aplega les activitats de relació
amb clients, de identitat digital, de gestió del marc normatiu i de l’assessorament
legal en seguretat TIC.
Memòria CESICAT 2014 El CESICAT en el 2014
CESICAT Memòria 2014 / Pàg. 11
Una de les principals activitats del CESICAT envers la governança
és la relació amb el client que es realitza mitjançant la figura
del RSI en els departaments i mitjançant l’Administració
Oberta de Catalunya en les administracions locals. Aquests
punts de contacte proporcionen un nexe de comunicació
entre el CESICAT i els departaments i les
administracions públiques per explicar i oferir
els serveis a través de la presentació i
ús del Programa de Seguretat
proposat per cadascun dels
organismes.
Com a part de les activitats de governança, des del CESICAT es realitza la gestió de la
Identitat Digital per tal d’assegurar la veracitat i confidencialitat de les dades referents a
un servidor o aplicació de la Generalitat o administracions locals a través de la gestió de
Certificats Digitals.
En aquest aspecte cal destacar que durant el 2014, el CESICAT ha esdevingut Entitat
de Registre, de manera que es reconeix la capacitat per comprovar la veracitat de les
dades introduïdes a la sol·licitud del certificat i la seva gestió.
D’altra banda, el CESICAT també realitza la gestió del marc normatiu. Aquesta
activitat permet especificar les necessitats tècniques i legals en matèria de seguretat TIC
dels tres àmbits amb que treballa l’Entitat: tecnologia, informació i organització. En
aquest cas, i per tal d’avaluar i garantir el compliment d’aquest marc normatiu en els
diferents sistemes d’informació de la Generalitat, es fa necessari ressaltar la gestió,
control i planificació d’auditories en els distints departaments de manera integrada en
una planificació anual o invocades sota demanda.
Finalment, dins la línia d’actuació de governança, el CESICAT proporciona
assessorament legal en Seguretat TIC per aclarir aquells dubtes que puguin sorgir als
departaments, les administracions locals i la ciutadania sobre les legislacions vigents en
matèria de seguretat informàtica, protecció de dades i propietat intel·lectual, basat en el
marc normatiu i en l’especialització de la normativa i legislació de la Seguretat de la
Informació.
Memòria CESICAT 2014 El CESICAT en el 2014
CESICAT Memòria 2014 / Pàg. 12
2.3. Maduresa del Model Organitzatiu
Durant l’exercici 2014, el CESICAT ha treballat en la millora i adaptació de la
transformació realitzada en el 2013 per tal de madurar la seva estructura per avançar en
la professionalització, l’eficiència, la industrialització i el control de l’organització.
Partint de l’estructura establerta durant 2013, el CESICAT ha consolidat l’organització
envers a la Seguretat de la Informació i el beneficis dels clients. D’aquesta manera, la
fundació ha treballat per millorar la coordinació entre les seves àrees i potenciar
l’orientació a servei.
Amb aquests objectius, internament, s’ha treballat en la reordenació del catàleg de
serveis en Unitats de servei i Línies de servei amb la figura de Responsable de Línia de
Servei i Coordinador de Servei. Les línies de servei permeten oferir de manera clara i
entenedora les activitats del CESICAT als clients de forma que la penetració dels serveis
s’ha pogut potenciar encara més durant 2014.
Per tal d’incrementar l’eficàcia de la gestió i el control de la despesa derivada de la
demanda dels serveis prestats, s’ha enriquit el model organitzatiu amb la unitat de
Control de Gestió dins l’Àrea d’Administració i Suport a la DG, que concentra en una
mateixa unitat la gestió pròpia del CESICAT.
De la mateixa manera, la unitat d’Evolució i Transformació s’ha inclòs dins de l’Àrea
d’Operacions per a la definició i lideratge en el desplegament de solucions i
projectes tècnics per la millora de la prestació dels serveis.
Memòria CESICAT 2014 El CESICAT en el 2014
CESICAT Memòria 2014 / Pàg. 13
Durant l’any 2014 s’ha remarcat la gestió, col·laboració i prestació de serveis amb el
CTTI, millorant els propis serveis i apropant l’activitat i les infraestructures de suport i de
redundància del CESICAT a la seu central de l’Hospitalet de Llobregat per poder tenir
equips de treball que treballin conjuntament amb el CTTI i millorar el servei operatiu.
Després de les millores realitzades a l’organització transformada en 2013, s’estableix
l’estructura actual que permet assumir i obtenir una visió global del risc alhora que una
actuació especialitzada als clients.
L’organigrama d’alt nivell de l’Entitat que suporta aquesta consolidació es mostra a
continuació:
L’estructura organitzativa es basa en sis àrees de dependència directa de la Direcció
General. Aquestes sis àrees a la vegada consoliden la coordinació entre elles per a la
millora del servei.
Per una part, es disposa de les àrees que es concentren en la pròpia activitat operativa
(Assessorament legal i Formació, Operació de la Seguretat i Relació amb Clients) i per
altra part, les creades per suport, control i evolució del CESICAT i les seves activitats
(Seguretat Corporativa, Administració i Suport a la DG i Estratègia de la Seguretat).
Així doncs, l’àrea d’Assessorament legal i Formació s’encarrega de donar suport a
aspectes de seguretat de la informació amb base legal, accions legals, compliment legal
i normatiu, entre d’altres; es desenvolupa el marc legal i normatiu vigent a més de
planificar i executar auditories del mateix. Aquesta àrea també gestiona i porta a terme
la formació, la divulgació i la conscienciació en seguretat de la informació per a la
ciutadania i l’Administració Pública de Catalunya amb l’objectiu d’incrementar la seva
confiança i protecció.
L’àrea d’Operació de la Seguretat porta a terme la prestació tècnica dels serveis de
seguretat vinculats a les funcions de protecció, detecció i gestió d’incidents de seguretat
en la seva vessant més operativa.
Memòria CESICAT 2014 El CESICAT en el 2014
CESICAT Memòria 2014 / Pàg. 14
L’àrea de Relació amb Clients té les funcions de gestió dels clients i del desplegament
del Model Estàndard de Seguretat (MES) a partir de les necessitats de cadascun dels
àmbits. Des d’aquesta àrea es coordinen les actuacions i els projectes que s’han de dur
a terme amb els responsables de cada departament i de l’Àrea TIC del Centre de
Telecomunicacions i Tecnologies de la Informació.
Com ja s’ha comentat anteriorment, l’Àrea d’Administració i Suport a la DG concentra
la gestió, control i assessorament en temes de pressupost, finances i la gestió de
persones. A més, com a part de l’àrea i suport a la Direcció General, s’inclou la part de
Comunicació Corporativa que gestiona tota la comunicació de la fundació cap a
l’exterior.
Per l’altra banda, l’àrea de Seguretat Corporativa centra la seva activitat en la definició
i l’aprovació de polítiques internes de seguretat del CESICAT i l’avaluació del seu
compliment. Aquestes tasques s’emmarquen en el programa de seguretat corporativa
denominat Model de Seguretat Corporativa (MSC).
Per últim, però no menys rellevant, l’àrea d’Estratègia de la Seguretat té la missió de
vetllar per l'alineament dels productes i serveis del CESICAT amb les experiències
internacionals de referència mitjançant l’anàlisi de tendències en la ciberseguretat per
tal de poder evolucionar el MES i interpretar el risc en seguretat de la informació de la
Generalitat de Catalunya, de l’Administració Pública local i de la societat civil.
2.3.1. Industrialització de l’activitat
A part dels canvis efectuats a la pròpia organització per millorar la prestació del servei,
s’han de destacar activitats portades a terme per tal de millorar internament i oferir
serveis de més qualitat. Aquestes activitats es concentren des de la millora dels
processos fins les activitats de gestió del CESICAT per a l’eficiència i industrialització
de l’activitat del mateix.
Per una part, s’ha treballat en la fomentació dels sistemes de gestió del pressupost i
de les capacitat dels actius, millorant processos com la facturació i l’eficiència dels
propis serveis a través de la gestió de les peticions amb la tecnologia implantada durant
2013.
Així mateix, s’ha de destacar l’esforç executat per industrialitzar els serveis en punts
com l’automatització d’activitats per a la generació d'informes de resultats, l'eficiència de
les revisions i auditories de manera que permetin una reducció d'esforços en
l'elaboració dels mateixos i permetent la seva estandardització i maduresa.
D’altra banda, el CESICAT ha avançat per garantir la disponibilitat dels serveis
envers a possibles incidents, problemes i contingències de manera interna. Entre alguns
dels exemples d’aquestes activitats tenim la creació de l’inventari dels actius de la
fundació.
Memòria CESICAT 2014 El CESICAT en el 2014
CESICAT Memòria 2014 / Pàg. 15
Per garantir l’activitat de la fundació s’ha continuat amb l’aplicació del Pla de Seguretat
del CESICAT per tal d’assegurar la seguretat tant física com lògica dins del CESICAT i
així garantir l’accés només a personal autoritzat, les accions realitzades per a impulsar
la seguretat interna a través d’estudis d’espais físics, de la millora de la continuïtat del
propi CESICAT o de l’optimització de la seguretat lògica interna.
Per tal de realitzar el desplegament del MES en l’Administració de la Generalitat i el seu
sector públic, amb les millores esmentades, el CESICAT ha continuat millorant el seu
mapa de processos definit l’any 2013, per aconseguir una millor eficiència a partir de la
industrialització dels mateixos.
El mapa de processos que es mostra a continuació és el consolidat en el 2014 per servir
com a referència pel treball per l’organització. En comparació amb el mapa de processos
anterior, el nou mapa de processos presenta un nivell de detall superior i reorientat a
les necessitats detectades pel CESICAT encarades a l’eficiència i industrialització
de l’activitat per la millora del servei.
Com es pot comprovar en la figura anterior, es manté l’estructura d’alt nivell fixada
inicialment on s’estableixen tres capes en funció dels objectius dels processos que
contenen: processos estratègics, processos operatius i processos de suport.
La primera capa dels processos estratègics de l’Entitat té com a eix vertebrador el
quadre de comandament de l’Entitat, que dóna suport a la presa de decisions
proporcionant informació periòdica sobre el nivell d’acompliment dels objectius
prèviament definits i acordats a través dels seus indicadors.
La segona capa comprèn l’establiment dels processos operatius de l’Entitat atenent la
gestió de la demanda instanciada pel MES, així com de la provisió i lliurament dels
mateixos.
Memòria CESICAT 2014 El CESICAT en el 2014
CESICAT Memòria 2014 / Pàg. 16
Finalment, la capa de processos de suport inclou tant els processos de gestió
administrativa, econòmico-financera, o d’aprovisionament, entre d’altres, com els de
gestió d’aprovisionament del servei (gestió de la capacitat i planificació), amb l’enllaç del
Control de Gestió per tal de proporcionar a l’organització el suport necessari per a la
seva activitat.
2.3.2. Òrgans de control
Per tal d’administrar i controlar l’activitat del CESICAT, els òrgans de Govern i Gestió
Interna de la fundació mantinguts durant 2014 segueixen l’estructura emprada en
anteriors exercicis.
Òrgans de Govern
Els Òrgans de Govern del CESICAT són els responsables de l’administració de la
fundació. Aquests òrgans són el Patronat de la Fundació i la seva Comissió Executiva.
El Patronat de la Fundació constituït i reunit per primer cop la data de constitució de la
fundació (2 de febrer de 2010), format actualment pels següents patrons:
El Director General de Telecomunicacions i Societat de la Informació de la
Generalitat de Catalunya
El Cap de Servei de la Societat del Coneixement de la Generalitat de Catalunya
El Secretari General del Departament de Governació i Relacions Institucionals
El Centre de Telecomunicacions i Tecnologies de la Informació
El Director General d’Administració de Seguretat del Departament d’Interior
El Director General de Recerca del Departament d’Economia i Coneixement
El Director Gerent del Consorci Administració Oberta de Catalunya
El Vicepresident de la Comissió Executiva del Consorci Administració Oberta de
Catalunya
El Centre d’Innovació i Desenvolupament empresarial de la Generalitat de
Catalunya
L’Ajuntament de Reus
La Fundació Barcelona Digital Centre Tecnològic
Patronat de la
Fundació
Comissió Executiva
del Patronat
Memòria CESICAT 2014 El CESICAT en el 2014
CESICAT Memòria 2014 / Pàg. 17
La Comissió Executiva del Patronat constituïda per representar un òrgan simplificat
amb delegació de funcions del Patronat que es reuneix de manera puntual i sota
demanda per agilitzar l’administració de la fundació i està composat pels següents
membres:
El Cap de Servei de la Societat del Coneixement de la Generalitat de Catalunya
El Centre de Telecomunicacions i Tecnologies de la Informació
El Director General d’Administració de Seguretat de la Generalitat de Catalunya
El Director Gerent del Consorci Administració Oberta de Catalunya
El Director General de Telecomunicacions i Societat de la Informació de la
Generalitat de Catalunya
Òrgans de Gestió Interna
El CESICAT s’estructura entorn als Òrgans de Gestió Interna que són els
responsables de la gestió directiva i de prestació dels serveis de la fundació adaptats a
l’activitat operativa. Aquests òrgans són els comitès Executiu, Operatiu, de Relació amb
Clients i de Serveis Corporatius.
El Comitè Executiu és l’òrgan constituït per vetllar per l’impuls i l’activitat del CESICAT,
alineat al seu reglament i a la execució de les seves atribucions. Aquest comitè
comunica els progressos de la fundació al President del Patronat, i té com a principals
objectius, el seguiment pressupostari, la presa de decisions, el seguiment del Pla
Estratègic del CESICAT i dels projectes estratègics, i en cas que escaigui, altres accions
institucionals rellevants. Aquest comitè té una periodicitat mensual, i està format per:
Presidència del Patronat
Direcció General
Administració i Suport a la Direcció General
i eventualment, Direccions d’Àrea
Comitè Executiu
Comitè Operatiu
Comitè Relació
amb Clients
Comitè Serveis
Corporatius
Memòria CESICAT 2014 El CESICAT en el 2014
CESICAT Memòria 2014 / Pàg. 18
El Comitè Operatiu realitza el seguiment operatiu de l’activitat diària del CESICAT.
Aquest comitè té com objectiu el seguiment dels plans operatius, els plans d’acció, la
planificació trimestral i la gestió dels equips i persones. El comitè és bimensual, i està
format per:
Direcció General
Direccions d’Àrea
Control de Gestió
Direcció de Seguretat Corporativa
El Comitè de Relació amb Clients és l’òrgan encarregat de la coordinació i alineació de
les activitats amb els Responsables de Seguretat de la Informació assignats als diferents
departaments i entitats amb l’estratègia de desplegament del Model de Seguretat.
Aquest comitè és constituït amb l’objectiu de definir i coordinar el desplegament de
l’activitat del CESICAT als clients, el seguiment dels indicadors d’activitat, l’anàlisi del
risc en ciberseguretat, i el seguiment dels projectes iniciats. La periodicitat del comitè de
Relació amb Clients és quinzenal, i està format per:
Direcció General
Direcció d’Àrea de Relació amb Clients
Responsables de Seguretat de la Informació
Control de Gestió
i eventualment, altres Direccions d’Àrea
El Comitè de Serveis Corporatius és l’encarregat de traslladar a la Direcció General la
situació de la gestió interna en termes de seguiment pressupostari, situació econòmica i
financera de l’Entitat, així com comunicar, entre d’altres qüestions, aquells aspectes de
seguretat corporativa que siguin rellevants. El Comitè es reuneix bimensualment, i està
format per:
Direcció General
Responsable d’Administració
Direcció de Seguretat Corporativa
Control de Gestió
i eventualment, altres Direccions d’Àrea
Memòria CESICAT 2014 El CESICAT en el 2014
CESICAT Memòria 2014 / Pàg. 19
2.4. Els nostres comptes
Pressupost
INGRESSOS 4.944.571
319.0009 Prestació d’altres serveis a entitats del sector públic 3.828.663
410.0021 Ingressos del Departament d'Empresa i Ocupació 765.000 442.7210 Consorci Administració Oberta de Catalunya 120.000
460.0009 Altres transferències d'Ajuntaments 200.000
493.0009 Altres transferències corrents de la UE 30.908
DESPESES 4.944.571
DESPESES CORRENTS 4.489.571
Capítol 1. Remuneracions del Personal 1.375.682
132.0002 Personal laboral 1.052.447
160.0001 Seguretat Social 315.734
160.0004 Altres règims de previsió social 7.500
Capítol 2. Despeses de béns corrents i serveis 3.108.890
213.0001 Cons., rep. i manteniment altre immobilitzat material 165.000
220.0001 Material ordinari no inventariable 12.000
222.0001 Despeses postals missatgeria i altres similars 10.000
222.0003 Comunic. mitjançant serveis de veu i dades adquirits a altres ent. 45.000
224.0001 Despeses d'assegurances 18.000
225.0001 Tributs 2.000
226.0003 Publicitat, difusió i campanyes institucionals 160.590
226.0005 Organització de reunions, conferències i cursos 30.000
226.0011 Formació de personal propi 20.000
226.0089 Altres despeses diverses 45.000
227.0013 Treballs tècnics-Adequació Oficina 30.000
227.0089 Altres treballs realitzats per persones físiques o jurídiques 2.543.300
230.0001 Dietes, locomoció i trasllats personals 28.000
340.0001 Despeses financeres derivades de la gestió de pagaments 5.000
INVERSIONS 455.000
Capítol 6. Inversions reals 455.000
620.0001 Petit material informàtic 155.000
640.0001 Inversions en mobiliari i estris per compte propi 20.000
650.0001 Inversions en equips de procés de dades 120.000
680.0002 Manteniment eines i programari 160.000
Memòria CESICAT 2014 El CESICAT en el 2014
CESICAT Memòria 2014 / Pàg. 20
Durant l’exercici 2014, tot i la consolidació i augment de l’activitat operativa de l’entitat, el
pressupost de la Fundació s’ha mantingut estable respecte l’any anterior. La previsió
inicial de creixement del 9%, fet degut principalment a la millora del Conveni de
col·laboració amb el CTTI i la voluntat de cooperar amb l’Ajuntament de Barcelona en
l’exercici 2014, ha estat ajustada entorn al 5%, s’ha minorat en 160.000 euros en relació
a les previsions.
Aquest increment ha permès però incrementar de forma neta la prestació de servei als
diferents àmbits encomanats a l’entitat, a través del desplegament del programa de
seguretat del CESICAT. Es preveu també, amb la finalitat de millorar el servei invertir en
eines i solucions de seguretat.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 21
3. Balanç d’Actuacions
A continuació es descriuen les activitats de 2014 a través de la seva estratègia de
desplegament, les línies d’actuació definides pel CESICAT en matèria de detecció
d’amenaces, capacitat de reacció, resistència a l’adversitat i la gestió de la seguretat, i
finalment, la descripció del projecte Internet Segura.
3.1. Estratègia desenvolupada en el
desplegament de l’activitat
El CESICAT, en el 2014, ha adoptat una estratègia de focalització dels esforços en
aquells aspectes on es fa més necessari o prioritari treballar per tal d’aconseguir els
resultats més eficients i eficaços envers a l’activitat dedicada a la Generalitat de
Catalunya i els seus departaments.
Per una banda, a través de la relació dels Responsables de Seguretat de la Informació
(RSI) amb els departaments i mitjançant la governança de la seguretat s’han pogut
identificar les necessitats més requerides per part dels clients. A més, aquesta activitat
s’ha potenciat a partir de la introducció de la celebració de comitès dedicats a la
seguretat de la informació.
Aquesta governança ha ajudat en l’adaptació del perímetre per ajustar-lo a les
necessitats reals més prioritàries i concentrar els recursos del CESICAT en les
accions que realment aporten més beneficis a la Generalitat de Catalunya de manera
eficaç, i sobretot eficient.
Addicionalment, com a resultat d’aquesta
relació amb els departaments, el CESICAT ha
obtingut el reconeixement per consolidar-se
com a la figura d’interlocutor de referència
per la seguretat de la informació, alhora que
ha proporcionant una opinió qualificada
respecte les tendències i esdeveniments
rellevants sobre la seguretat de la informació que afecten, o
poden afectar, a l’interès de CESICAT, a la Generalitat o fins i
tot a la ciutadania que han permès augmentar les prestacions de serveis.
Per altra banda, el CESICAT ha adequat el perímetre per a protegir els sistemes
d’informació de la Generalitat de Catalunya i els seus departaments orientats al Nou
Model TIC en termes de seguretat i continuïtat. Aquest objectiu s’ha portat a terme amb
el treball conjunt i la coordinació amb el Centre de Telecomunicacions i Tecnologies de
la Informació (CTTI) mitjançant un estudi del total d’aplicacions organitzat per
prioritats i criticitat segons el negoci, on s’inclouen més de 2.000 aplicacions. El
CESICAT ha previst proporcionar una especial atenció a aquelles aplicacions per les
que per la seva naturalesa o funció, fan necessàries més actuacions.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 22
A part de focalitzar els esforços en l’eficiència del servei orientat a negoci, aquest
any 2014 s’ha col·laborat amb el CTTI i els seus proveïdors per potenciar i millorar el
seguiment de la seguretat de la informació en els seus serveis i projectes. D’aquesta
manera es treballa en l’increment de mesures i controls per protegir els sistemes tant de
cara a la protecció, millora i contingència dels sistemes com al compliment normatiu
d’aquests.
De cara a l’àmbit de les administracions locals, el CESICAT ha col·laborat amb
l’Associació Oberta de Catalunya (AOC) per tal de canalitzar la prestació del servei de
la manera més eficient. El fet d’aprofitar les sinergies amb l’AOC ha permès un major
abast i un augment del número d’administracions locals a les que es presta el servei
sense haver d’incrementar de manera significativa els esforços propis del CESICAT.
Tanmateix, i de manera anàloga a l’estratègia desplegada a la Generalitat, en aquest
col·lectiu també s’ha realitzat una focalització de l’activitat, identificant-hi les principals
necessitats per prioritzar els serveis oferts amb la millor estratègia. Els serveis oferts a
les administracions locals es troben dins un catàleg propi adaptat a les característiques i
necessitats d’aquestes.
Finalment, de cara a l’àmbit de la ciutadania, el CESICAT durant 2014 ha fet èmfasi en
l’activitat en matèria de conscienciació ciutadana per tal d’arribar a les noves
generacions. La necessitat de continuar amb aquesta tasca any rere any ve donada per
l’ús cada vegada més precoç de les TIC i de la ràpida evolució de la tecnologia i la
connectivitat.
Per aquest motiu és necessària la constant actualització i manteniment de les
activitats de conscienciació entre els menors per evitar generacions perdudes de
conscienciació, recolzant-se i fent partícips aquelles persones que tenen contacte amb
ells, siguin mares i pares, educadors o altres professionals.
En aquesta línia, s’ha continuat amb el projecte “Internet segura” treballant en aquesta
conscienciació, donant prioritat a aquells col·lectius vulnerables a la xarxa com són els
nens, nenes i joves. Aquesta activitat es desenvolupa per tal d’augmentar el
coneixement de la seguretat de la informació i la protecció d’aquests col·lectius de
manera contínua.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 23
3.2. Activitat operativa de seguretat
L’activitat operativa que ha desenvolupat el CESICAT durant el 2014 per vetllar per la
seguretat de la informació i els actius tecnològics en l’àmbit del Govern i l’Administració
Local de Catalunya es mostra atenent a les línies de treball exposades a continuació:
prevenció, protecció, resiliència i governança.
3.2.1. Prevenció
Com s’ha comentat anteriorment, l’activitat portada a terme dins del CESICAT té un dels
seus pilars dedicats a la prevenció i detecció d’amenaces. En aquest aspecte, la
prevenció es centra en l’establiment de mesures destinades a disminuir els riscos
derivats de les amenaces de ciberseguretat dirigides sobre els actius de la Generalitat
de Catalunya i administracions locals.
El CESICAT, com a encarregat de vetllar per la seguretat i la continuïtat dels sistemes
d’informació de la Generalitat de Catalunya, realitza un seguit d’activitats orientades a la
prevenció i la detecció de totes aquelles amenaces que poden posar en perill el correcte
desenvolupament de les tasques que fan ús dels sistemes d’informació. Aquesta línia de
treball és l’encarregada de reunir activitats com són el compliment normatiu, la
detecció i l’anàlisi de riscos, la detecció de vulnerabilitats i la seguretat proactiva.
En aquest aspecte, el CESICAT mitjançant la col·laboració directa amb el CTTI, els
departaments de la Generalitat de Catalunya i les Administracions Locals, realitza un
seguiment del compliment normatiu en matèria de seguretat en els projectes que es
porten a terme en les infraestructures dels sistemes de la Generalitat, per tal de
prioritzar i assegurar que s’apliquen les mesures necessàries per mantenir un correcte
nivell de seguretat de la informació.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 24
Aquest seguiment permet detectar i analitzar els riscos de seguretat, per tal d'escalar-
los i gestionar-los de la manera més adient. Així mateix aquesta activitat és fonamental
per entendre i tenir una visió global de la infraestructura, els sistemes i les aplicacions de
la Generalitat i de les administracions locals, així com poder identificar i conèixer les
interrelacions de tots els actors per poder aprofitar les sinergies que existeixen entre ells.
El control dels proveïdors que realitza el CESICAT es basa en la identificació i la gestió
dels incompliments dels proveïdors respecte als acords de servei signats que poden
suposar un risc en matèria de seguretat informàtica. Aquest control permet assegurar
l'aplicació del marc normatiu per part dels proveïdors en els projectes de transformació
de les infraestructures de la Generalitat i les administracions locals per tal de confiar en
les mesures de seguretat de la informació en aquests.
Aquesta tasca ha pres rellevància durant el 2014 ja que des de l’aplicació del nou model
TIC, els diferents proveïdors TIC de la Generalitat de Catalunya tenen un paper
fonamental en la seguretat de la informació i els actius informàtics de la Generalitat de
Catalunya i per tant cal assegurar una forta implicació i responsabilitat de cadascun
d’ells en base als serveis acordats.
Per una altra banda dins la prevenció, es realitza la gestió de les vulnerabilitats que és
indispensable tant per verificar i revisar l’existència de punts sensibles i propensos a ser
atacats com per descartar-ne els falsos positius que s’hagin detectat del conjunt d’actius
de l’organització en els que s’hi identifiquin la necessitat d’anàlisis i en els que es
consideren necessàries accions de millora, ja sigui per vulnerabilitats potencials o
futures. En conjunt, es treballa en proporcionar seguretat proactiva per evitar atacs o
reduir-ne els riscos associats i el seu possible impacte en els elements de la Generalitat
o les administracions locals. D’aquesta manera, també es duen a terme activitats com
revisions i anàlisis de codi automàtiques o manuals i auditories preventives.
Per tal de donar resposta als objectius d’aquesta línia d’activitat, a continuació es
detallen les principals activitats orientades envers a la detecció d’amenaces.
El control del Compliment Normatiu de la seguretat de la informació s’aplica tant en
relació amb els projectes de Transformació del Nou Model TIC com en nou sistemes
d’informació mitjançant una metodologia de Seguretat en el Desenvolupament de
Sistemes d’informació (SDSI) pròpia, adaptada a la idiosincràsia de l’Administració
Pública catalana.
Aquesta activitat es realitza durant tot el cicle de vida d’un projecte TIC, des de la fase
de presa de requeriments fins al desplegament i manteniment de la solució
desenvolupada, per tal d’identificar i valorar els riscos per tal de definir les mesures
de seguretat i continuïtat que s’han d’aplicar en un projecte, així com dur a terme la
gestió dels riscos associats al seu incompliment i la coordinació d’activitats i
assessorament als responsables per la seva mitigació.
D’aquesta manera es pot garantir que es contempla la seguretat com un element
rellevant en els projectes i que s’apliquen les mesures de seguretat necessàries per
reduir-ne els riscos associats.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 25
A la vegada, l’any 2014 ha servit per desplegar la metodologia de gestió de la
seguretat en el desenvolupament de sistemes d’informació en les diferents tipologies de
projectes i adquirir l’experiència necessària per tal d’optimitzar el procés, identificant els
punts que cal potenciar, la integració amb els diferents serveis dins del CESICAT i
aquells aspectes que poden ser millorats.
La metodologia ha permès obtenir un marc de referència comú per tal d’objectivar els
nivells de compliment pel que respecta a la seguretat i la continuïtat en les diferents
iniciatives que s’han emprès, independentment de les característiques de cada projecte.
D’aquesta manera, s’ha pogut obtenir una versió inicial d’indicadors agregats que han
de millorar la governança de la seguretat tant des del punt de vista dels proveïdors
com des del punt de vista dels clients.
El CESICAT ha aplicat aquesta metodologia en 48 iniciatives durant l’exercici 2014. A
continuació es troben distribuïdes per tipologies:
A més, el CESICAT té com a funció mantenir una comunicació constant amb els
proveïdors dels lots assignats amb la finalitat de vetllar per al control de la seguretat
de la informació i els actius informàtics de la Generalitat de Catalunya en base al
plec de cadascun d’aquests proveïdors.
Aquesta comunicació constant amb els proveïdors, permet al CESICAT concentrar els
temes de seguretat i de continuïtat que tenen a veure amb el marc dels controls
estipulats en els plecs de cadascun dels proveïdors, podent aconsellar-los en el
manteniment i/o millora d’aquesta seguretat de la informació, tant en els projectes que
és realitzen en l’actualitat, com en els projectes que s’iniciïn.
El CESICAT ha identificat un conjunt de riscos de seguretat i per la continuïtat que
han estat reportats de manera efectiva i que han sigut essencials per a mitigar-los degut
al fet de tenir un coneixement ampli de la seguretat i els projectes desenvolupats.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 26
En aquesta línia, és rellevant l’activitat del CESICAT en l'estandardització dels
programaris, maquinaris i permisos dels ordinadors de la xarxa de la Generalitat
que augmenten l’eficiència en el manteniment i el control de les màquines dels
departaments per tal d’ampliar la seguretat de la xarxa i els sistemes d’informació.
Altre fet a destacar és el control de seguretat realitzat en cadascun dels CPDs dels
diferents proveïdors de la Generalitat de Catalunya, on s’han pogut identificar els punts
de millora i el grau de seguretat que aquests ofereixen tant a nivell físic com lògic.
Per tal de complir amb aquestes activitats el CESICAT ha realitzat les següents tasques:
15.000 controls de seguretat revisats.
600 consultes tècniques de seguretat resoltes.
15 auditories de seguretat dels CPDs dels proveïdors de la Generalitat
14 anàlisis de seguretat de les maquetes dels proveïdors de Lloc de Treball
Revisió periòdica dels documents tècnics presentats pels proveïdors del Nou
Model TIC.
Desenvolupament de 14 anàlisis de riscos vinculades al Nou Model TIC.
La interlocució amb els diferents responsables de seguretat i continuïtat dels proveïdors
TIC de la Generalitat de Catalunya ha permès l’inici d’una metodologia de control de
proveïdors que permet nodrir al CESICAT de la informació necessària per tal de
identificar riscos i proposar accions preventives i correctives en la transformació cap al
nou model TIC, així com adquirir experiència per tal d’optimitzar el procés d’integració
d’aquesta informació amb els diferents serveis dins del CESICAT.
Aquesta metodologia ha permès obtenir un marc de referència comú per tal d’objectivar
els nivells de compliment pel què respecta a la seguretat i la continuïtat de la totalitat
dels proveïdors TIC de la Generalitat de Catalunya.
Addicionalment s’ha obtingut una versió inicial d’indicadors de compliment dels diferents
proveïdors que fa palès la necessitat d’impulsar una major implicació i conscienciació
dels proveïdors envers la seguretat de les TIC.
Una altra activitat fonamental del CESICAT és la detecció de vulnerabilitats de
seguretat, que permet analitzar la robustesa dels actius davant un atac, sent una
pràctica de seguretat orientada a la reducció proactiva de l’explotació de
vulnerabilitats de productes tecnològics que s’utilitzen en les organitzacions, el que
redueix el nombre d’incidents de seguretat. Aquesta activitat s’organitza mitjançant
l’anàlisi de possibles escenaris d’atacs, la identificació dels riscos existents, la
identificació de les falles de seguretat dels sistemes i entorns actius en els clients, i el
disseny de plans de treball per poder explotar aquests escenaris.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 27
En la gràfica que es mostra a continuació es pot observar la volumetria d’actius
analitzats de manera mensual. El 2014 la seva totalitat va ascendir a 12.769 actius:
Per a les aplicacions que les seves característiques ho permeten, es va utilitzar la
metodologia d’anàlisi OWASP (Open Web Application Security Project). En la gràfica
següent es pot observar la volumetria d’anàlisis realitzats de manera mensual durant
2014 que en la seva totalitat va arribar a 73 anàlisis:
Així mateix, en les revisions de codi font de les aplicacions, es combina l’anàlisi
automatitzat i les proves unitàries, amb la revisió manual, prestant especial atenció a la
interacció de l’aplicació amb els components externs. En aquest cas, el número de
revisions de codi font realitzades en 2014 ascendeix a un volum de 49.
Durant 2014, l’activitat d’anàlisi de seguretat s’ha industrialitzat proporcionant informes
de vulnerabilitats automàtics de manera preventiva i homogeneïtzant els informes de
manera que es dóna suport a un nombre més elevat d’entitats sense recórrer a
manualitats en la generació d’informes de resultats.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 28
3.2.2. Protecció
Tot i les tasques de prevenció que es realitzen, la complexitat de l’entorn i de les
necessitats d’usabilitat dels sistemes d’informació, no es pot evitar que algunes
d’aquestes amenaces es materialitzin. En aquest aspecte el CESICAT té un paper
fonamental en les tasques de protecció i en la capacitat de reacció.
En aquest sentit, la protecció es centra en l’anàlisi de possibles atacs i les
contramesures aplicables abans i després de produir-se a través de les activitats de la
gestió d’alertes, la gestió d’amenaces, la resolució d’incidents i els projectes de
seguretat.
El CESICAT té com a objectiu augmentar la gestió i les revisions de les alertes
rebudes ja siguin detectades pels dispositius de seguretat, o bé siguin comunicades per
tercers, amb l’objectiu de detectar possibles incidents de seguretat de manera que es
puguin evitar o es pugui agilitzar la seva solució en cas que s’hagin materialitzat.
Dins d’aquesta activitat s’assegura i es protegeix tant el perímetre de seguretat i les
infraestructures sensibles de la Generalitat com de les administracions locals per tal
d'evitar atacs, com per exemple intrusions o fuita d'informació, a través tant de la millora
dels sistemes securitzats de detecció i control a la xarxa com del flux de tràfic
d'aquestes mitjançant el coneixement dels àmbits protegits i la investigació de la
intencionalitat dels atacs a través de la documentació i el registre d’històrics.
Aquest estudi permet la millora de les polítiques de seguretat per tal d'evitar forats de
seguretat i conèixer quin tràfic de dades de la xarxa ha de ser ofuscat pel proveïdor per
prevenir fuites d’informació.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 29
Investigar i fer seguiment preventiu de les possibles amenaces informàtiques també és
una altra activitat que realitza el CESICAT, l’objectiu de la qual és evitar incidents i
vulnerabilitats de seguretat que puguin afectar negativament als actius de la Generalitat
o les administracions locals, com per exemple assalts, intrusions o fuita d'informació en
sistemes informàtics.
L’objectiu d’aquesta gestió d’amenaces és recollir informació de fonts obertes i
tancades sobre les activitats, intencions i context de possibles ciberamenaces, avaluant
els riscos que suposen i notificant-los reactivament als diferents destinataris de la
informació.
L’activitat del CESICAT envers la resolució d'incidents es basa en un conjunt de
tasques proactives respecte a vulnerabilitats i incidents identificats durant les activitats
preventives i de qualsevol informació monitorada o rebuda de fonts terceres que no
formi part del desenvolupament habitual de l’activitat del CESICAT i que causen, o
poden causar, una interrupció dels serveis o una reducció de la seva qualitat.
Respecte la resolució d’incidents també es dóna suport reactiu mitjançant la recepció de
peticions per part de les pròpies comunitats usuàries, donant suport en la resolució
d'incidents, com per exemple en els casos de necessitat de desinfecció de virus. A més,
amb aquesta activitat, s’amplien els coneixement dels problemes de seguretat de la
informació a través de la documentació, establiment de protocol de comunicació i
coordinació dels processos i procediments operatius per tal de millorar el servei i
l'experiència de les usuàries i els usuaris.
D’aquesta manera, el CESICAT, dins de la seva activitat, té com a objectiu l’establiment
i millora dels models de relació i comunicació entre els diferents actors i equips
involucrats en la resolució d'incidents per tal de formalitzar i modelitzar la resposta
d’aquests incidents.
Durant 2014, s’han establert laboratoris temporals de proximitat i de contingència en
casos de indisponiblitat del laboratori central per tal de reduir els temps de resposta,
millora dels processos i recopilació d'evidències.
Degut a la detecció de noves necessitats en els àmbits estratègic, correctiu, evolutiu i de
transformació i que tenen un component tècnic notable el CESICAT a iniciat en 2014
una nova activitat en projectes de seguretat.
Aquesta nova activitat permet definir i gestionar els processos de construcció de
solucions de seguretat, així com la valoració de l’impacte sobre altres sistemes
d'informació amb l’objectiu de generar un nou producte, servei, procés o solució de
seguretat de manera que es puguin tractar les necessitats específiques de cada solució
amb terminis més estesos i amb una planificació de les tasques.
L’objectiu amb aquests projectes és desenvolupar solucions de seguretat que, degut a la
seva complexitat o morfologia, s’hagin de tractar com a projectes i garantir la seva
execució mitjançant el control i bones practiques de gestió en termes de temps, de cost i
d’abast.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 30
Altrament, el CESICAT té com a objectiu augmentar les activitats proactives de protecció
en dates o esdeveniments que poden elevar la probabilitat d'atac als actius de la
informació, com per exemple denegacions de servei (DoS) o la intrusió en els sistemes.
Amb la finalitat de complir amb els objectius esmentats, es detallen a continuació les
principals activitats orientades envers a la protecció i capacitat de reacció.
Entre les activitats més rellevants que es porten a terme en aquesta línia d’acció es
troben la gestió i les revisions de les alertes de seguretat. En aquest aspecte, el
CESICAT durant el 2014, ha detectat més de 220 milions d’alertes de seguretat. En el
següent gràfic es pot observar l’augment del nombre d’alertes gestionades pel CESICAT
i que ha consistit en la revisió i gestió proactiva d’aquestes alertes rebudes:
Els dos tipus d’alertes detectades es divideixen en:
Incompliment de polítiques: són aquelles alertes que el sistema genera quan
aquest detecta que un subjecte (sistema o persona) està realitzant una acció no
permesa pel conjunt de normes i polítiques de la Generalitat de Catalunya, com per
exemple l’ús de protocols no segurs, l’accés a pàgines no permeses, etc.
Atacs rebuts: són les alertes que el sistema genera quan aquest detecta que un
subjecte (sistema o persona) està intentant realitzar un atac, mitjançant l’explotació
d’alguna possible debilitat del sistema entre d’altres, l’accés il·lícit o l’ús no autoritzat
de recursos.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 31
Segons aquesta classificació, s’han detectat les següents alertes:
La severitat de les alertes detectades ha estat la que es presenta a continuació, es
destaca el baix número d’alertes de severitat alta:
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 32
En la següent taula es veuen descrites les principals categories d’atacs rebuts en
2014:
Categoria d’atacs Descripció Impacte
Malware Tràfic generat per codi maliciós o no autoritzat
Possible infecció de maquinari, posant en risc d'infecció la xarxa on es troba ubicada la màquina
Exploits Intent d'aprofitar una vulnerabilitat coneguda d'un sistema per tal d'aconseguir accés no autoritzat
Tenir accés complert al sistema i a les dades que emmagatzema, posant en risc la integritat de la informació
Atacs de reconeixement
Acció encaminada a identificar sistemes, serveis oberts i vulnerabilitats de la teva xarxa per tal de ser atacada més tard de forma específica
En el cas que s'identifiqui un sistema vulnerable, podria permetre a un atacant agafar el control de forma remota del sistema atacat
Denegació de servei Increment anòmal del volum de tràfic de la xarxa contra un mateix sistema
Pot provocar inestabilitat en el servei atacat i fins i tot blocar-lo completament sense donar resposta
Per altra banda, les investigacions dutes a terme en l’activitat de gestió d’amenaces,
permeten analitzar informació i generar informes sobre ciberamenaces que puguin
esdevenir un potencial incident de seguretat en cas de ser dirigit sobre actius TIC de la
Generalitat de Catalunya, el seu sector públic i les Administracions Locals.
Els informes es realitzen a partir de la recerca i correlació de la informació existent en
totes aquelles fonts accessibles pel CESICAT i serveixen de base per fer un seguiment i
històric de les amenaces detectades.
En el període de 2014 s’han realitzat un total de 104 investigacions i 119 seguiments
d’amenaces. En el gràfic que es mostra a continuació es pot observar el volum mensual
de l’activitat duta a terme al llarg de 2014:
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 33
L’activitat duta a terme per el CESICAT envers la resolució d'incidents durant el
període de 2014 ha suposat la recepció de prop de 9 mil incidents. A continuació es
mostra l’evolució mensual d’aquesta gestió.
Com es pot observar en el gràfic el volum d’incidents de seguretat va patir un augment
considerable en l’últim trimestre de l’any, degut a un increment significatiu d’atacs de
codi maliciós.
A continuació es mostra la distribució d’aquests incidents a l’exercici segons la tipologia
d’atac. Es pot observar que els atacs majoritàriament són de codi maliciós mentre que
la següent tipologia d’atacs són d’intrusió. La resta d’incidents suposen una minoria que
engloba tipologies com frau, contingut abusiu o robatori d’informació, entre d’altres.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 34
L’activitat de projectes de seguretat s’ha iniciat en 2014 per tal d’assegurar i portar a
terme casos de negoci/necessitats en termes de seguretat de la informació dins del
CESICAT de manera que es puguin tractar les necessitats específiques detectades per
protegir els actius de la Generalitat, així com podria ser la fortificació d'entorns dels
aplicatius, la securització de la confidencialitat de les comunicacions o la gestió de la
possibilitat de perdre informació rellevant.
Aquesta activitat defineix els projectes amb les següents tipologies d’àmbit:
Projectes correctius: aquells projectes que se centren en la correcció de
defectes i mancances en eines i plataformes existents.
Projectes estratègics: aquells projectes que es considerin de màxima
importància o prioritat per part de la Direcció del CESICAT.
Projectes evolutius: aquells projectes que tracten la millora o actualització
d’eines, plataformes o serveis existents.
Projectes de transformació: aquells projectes que milloren o canvien les eines
cap a noves plataformes o eines.
En el gràfic següent es pot observar el volum de projectes gestionats per cadascuna
d’aquestes tipologies:
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 35
3.2.3. Resiliència
En el moment que el CESICAT no només treballa en la prevenció i la protecció sinó que
a més proporciona als actius la capacitat de resistir i recuperar-se davant de desastres o
caigudes de servei, significa que es treballa per la resiliència dels sistemes i la
resistència a l’adversitat d’aquests, creant una organització robusta que pot respondre
ràpidament als atacs.
En aquest sentit, si els sistemes són capaços de resistir tot tipus de circumstancies
sense que afecti el seu nivell de servei, llavors es pot dir que es tracta d’un sistema
robust. Quan el sistema no és capaç de vèncer una situació adversa, però pot adaptar-
se per disminuir-les i continuar oferint el servei, llavors es tracta d’un sistema resilient.
Per garantir que els sistemes d’informació i els actius del Govern i les administracions
locals tinguin el correcte nivell de resiliència, s’han de potenciar capacitats
d’identificació, detecció, prevenció, contingència, recuperació i millora davant les
amenaces, atacs o desastres. Les següents activitats treballen amb aquest objectiu:
certificacions, continuïtat del negoci i formació.
Durant 2014, el CESICAT ha progressat en aquesta línia mitjançant el treball conjunt
amb els equips gestors dels sistemes per tal d'aconseguir certificacions que
garanteixen la preparació dels serveis per convertir-se en sistemes robusts i resilients.
Aquest treball conjunt ha passat tant per accions per proveir als clients del CESICAT de
la informació i experiència dels seus professionals com per assessorar-los i
proporcionar-los informació clau per entendre de quina manera està exposada
l’organització a possibles amenaces que li puguin afectar.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 36
Com a part del procés de millora contínua, el fet de mantenir i aconseguir certificacions,
com la ISO/IEC 22301, implica que els sistemes es veuran millorats, ja sigui, reduint
temps de recuperació de processos significatius pel negoci com incrementant l’eficiència
en la presa de decisions en situacions de crisi, etc.
La implantació/manteniment de Sistemes de Gestió de Continuïtat de Negoci aporta
una millora en els processos crítics (ja sigui en eficiència, com en presa de decisions,
etc) dels organismes, així com reconeixement com a organitzacions de referència en el
seu sector. El CESICAT ha pogut desenvolupar aquestes activitats gràcies a la seva
visibilitat i imatge, dins la figura d’expert i assessor per qualsevol organisme pertanyent a
la Generalitat de Catalunya.
El CESICAT realitza les següents activitats de consultoria de continuïtat previstes dins la
norma ISO 22301 per tal de cobrir les necessitats puntuals dels seus clients en aquesta
matèria, com anàlisi d’impacte al negoci (BIA), anàlisi de riscos (AR) i plans de
recuperació de desastres (PRD).
Amb els anàlisi d’impacte al negoci es tracta d’establir una priorització de recuperació
dels processos més significatius i definir uns actius mínims que donin suport a aquests
processos en cas d’ocurrència d’un incident disruptiu.
Els anàlisi de riscos permeten identificar i gestionar els riscos d'una organització, en
matèria de continuïtat, per tal d’evitar la seva materialització proporcionant una visió
transversal dels riscos detectats i, per tant, oferint als seus clients un servei que aporta
valor sobre decisions estratègiques a prendre, o fins i tot operatives, donat el nivell
d’especialització que s’ofereix.
A través del suport i l’auditoria de les proves de recuperació de desastres s’aporta
credibilitat i rigorositat a les proves realitzades, respecte l’assoliment dels objectius
plantejats, la validesa de la pròpia prova davant l’escenari plantejat, la correcta
distribució de les tasques a realitzar entre tots el participants, la validació de les passes
a seguir, etc. D’aquesta manera es controla el manteniment dels plans de recuperació
per evitar indisponiblitats indesitjables durant la caiguda dels serveis, infraestructures o
aplicacions no planificades a la Generalitat i a les administracions locals.
A banda de les activitats realitzades en els propis sistemes, la resiliència tracta d’evitar
els riscos d’atacs o de fallida dels sistemes a causa de la intervenció humana; i per tant,
la formació n’és un paper clau.
Les activitats de formació que es realitzen per part del CESICAT consisteixen en
l'elaboració i prestació d’aquestes formacions que es peticionen específicament per la
Generalitat de Catalunya i els seus departaments per tal de millorar les seves
competències i coneixements en matèria de seguretat TIC. Aquesta formació podrà
versar sobre els principals elements: tècnics, legals i organitzatius.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 37
Així doncs, s’engloben xerrades formatives i de conscienciació, preparació de material
docent, de guies i notícies, organització d’esdeveniments i avaluació dels continguts a
transmetre pels diferents establerts. També es proporcionen coneixements sobre la
seguretat de les TIC a empleades i empleats públics per tal de ser capaços d’aplicar
aquests coneixements en l'àmbit professional o per formar a professionals que puguin
transmetre’ls a altres treballadores i treballadors de l’àmbit públic.
El principal objectiu és informar i educar a les usuàries i els usuaris d'una organització,
augmentant la sensibilitat i la consciència enfront les bones pràctiques i amenaces
relacionades amb la seguretat de la informació. És necessari dur a terme una tasca de
sensibilització de les àrees usuàries (departaments i organismes dependents de
l’Administració de la Generalitat de Catalunya) i els responsables de procés, per tal
d’aconseguir disposar d’una infraestructura en ple funcionament.
A partir dels objectius que s’han definit envers a la resiliència per part del CESICAT, es
mostren les activitats portades a terme durant el 2014.
L’Entitat ha executat certificacions de la norma ISO/IEC 22301 durant l’any 2014 en
dos organismes públics:
Entitat Autònoma del Diari Oficial i de Publicacions
Servei d’emergències 112
El resultat de les auditories externes realitzades sobre aquests dos organismes han
estat satisfactoris. Cal destacar que, el cas del 112 és la primera certificació ISO/IEC
22301 que s’obté des d’un servei d’Atenció i Gestió de trucades d’Emergència a
nivell d’Europa.
El procés d’implantació i manteniment de les certificacions ha obtingut una resposta molt
positiva per part dels organismes certificats, motiu que ens permet millorar la
col·laboració amb els organismes i treballar per optimitzar els seus processos interns.
Com a part de les activitats que es realitzen des del CESICAT per assegurar els
sistemes, també s’inclouen aquelles que es fan per garantir que els canvis necessaris en
les infraestructures, degut a les modificacions fetes pel Nou Model TIC, s’executen de
manera correcta, a través de l’elaboració de les guies per garantir les mesures a
aplicar en els trasllats de CPDs.
Per altra banda, dins aquest àmbit es realitza la coordinació de l’execució de les
proves de PRD, auditant tot el procés, prenent nota de tots els incidents i desviacions
ocorregudes i documentant-ho degudament. Es pretén que, a mesura que s’avanci en la
transformació del nou model TIC dels diferents sistemes d’informació, es puguin
executar PRD d’un nombre significatiu de sistemes.
El CESICAT s’encarrega de coordinar els proveïdors, els contactes amb el departament
afectat, així com d’altres organismes involucrats en la realització de les proves de PRD
per la definició de les tasques a realitzar a nivell tècnic i de manera detallada dins de la
prova.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 38
Un cop es finalitza la prova de PRD, el personal designat a auditar la prova analitza el
risc que comporta cadascuna de les incidències i desviacions detectades durant el
procés provat. A partir de l’anàlisi s’exposen els resultats de la prova, indicant el nivell de
risc de les troballes detectades i proposant accions per corregir-les. Les accions
acordades són registrades al pla d’acció per tal de realitzar-ne un correcte seguiment
que permeti assolir el grau objectiu o de referència marcat en la pròpia auditoria per a
aquell procés o sistema.
Durant aquest any 2014 s’ha realitzat la coordinació de 4 PRD sobre els següents
sistemes:
CAT112
Infància Respon (Benestar Social i Família)
SAU – Prova de redirecció comunicacions
Host – Recuperació Host en Centre Secundari
Com a part de les activitats que garanteixen la continuïtat de Negoci prestades pel
CESICAT, s’inclou la creació de BIAs que aporten valor afegit als clients, ja que
permeten prendre decisions estratègiques, validar funcionalitats de seguretat de les
infraestructures i temps de recuperació requerit pel propi negoci o regulació.
Durant l’execució d’aquests projectes s’ha generat la totalitat de la documentació
(formularis, plantilles, procediments, annexes, presentacions, quadres de comandament,
etc.), en base a la informació obtinguda en reunions amb les persones clau del negoci.
El plantejament emprat per aquest tipus d’escenaris consta de 4 fases seguint el model
de millora contínua Plan-Do-Check-Act (PDCA). Els BIAs realitzats durant 2014 han
estat 3, entre els quals es troba el de la base de dades de l’Administració Electrònica.
Pel que fa a la formació dels diferents àmbits en matèria de seguretat es concentra en
la generació de continguts formatius en seguretat de la informació per formacions a
empleades i empleats públics en els diferents departaments i la realització de les
mateixes. Entre els materials de suport que es generen es troben presentacions
PowerPoint, guies de formador, vídeos resum i de sensibilització, material de resum pels
assistents i enquestes de valoració.
Les sessions realitzades durant 2014 es divideixen entre aquelles que es consideren de
nivell bàsic i les que són específiques per algun dels àmbits de seguretat de la
informació.
Entre les formacions bàsiques es troben:
Curs de Seguretat de la Informació per usuàries i usuaris clau i responsables de
serveis de l’Organisme Pagador pel Departament d'Agricultura, Ramaderia,
Pesca, Alimentació i Medi Natural (2 sessions per 110 assistents)
Formació sobre la protecció de dades de caràcter personal, la seguretat de la
Informació i l’ús de les TIC pel Departament d'Economia i Coneixement (21
sessions per 1.080 assistents)
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 39
Formativa bàsica sobre protecció de dades de caràcter personal, la seguretat de
la Informació i l’ús de les TIC pel Departament de Governació i Relacions
Institucionals (2 sessions per 67 assistents)
Jornades sobre Protecció de dades de Caràcter Personal i Seguretat de la
Informació - Bones pràctiques de la seguretat de la informació i els recursos
tecnològics pel Departament de Benestar Social i Família (4 sessions per 136
assistents)
Formació en mesures de seguretat personal Registre de catalans i catalanes
residents a l’exterior pel Departament de la Presidència (10 assistents)
Per la part de formacions específiques, es van realitzar les següents sessions:
Formació específica sobre la protecció de dades de caràcter personal, la
seguretat de la Informació i l’ús de les TIC pel Departament d'Economia i
Coneixement (2 sessions per 65 assistents)
Formació per a responsables funcionals sobre la protecció de dades de caràcter
personal, la seguretat de la Informació i l’ús de les TIC pel Departament de
Governació i Relacions Institucionals (17 assistents)
Formació específica sobre la protecció de dades de caràcter personal, la
seguretat de la Informació i l’ús de les TIC pel Servei d’Ocupació de Catalunya -
Departament d’Empresa i Ocupació (3 sessions per 46 assistents)
Sessió sensibilització en mesures de seguretat TIC per a Delegats de Govern a
l'Exterior i a la UE pel Departament de la Presidència (8 assistents)
En resum, durant l’any 2014 s’ha fet formació a més de 1.400 empleades i empleats
públics en mesures bàsiques de seguretat TIC. Addicionalment, 136 responsables
funcionals han rebut
formació en mesures
específiques. El propi
personal intern del
CESICAT ha estat format
durant aquest any en la
protecció de dades de
caràcter personal, mesures
de seguretat de la
Informació i l’ús de les TIC
pel CESICAT, així com
amb la difusió de les
circulars internes de
mesures de seguretat
específiques de la
informació i l’ús de les TIC.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 40
3.2.4. Governança
Totes les activitats operatives del CESICAT han de gestionar-se de cara a garantir la
seguretat de la informació. D’aquesta manera, hi ha activitats dedicades a governar la
gestió de la seguretat.
Les tasques de governança es centren en reforçar el servei que s’ofereix a la Generalitat
de Catalunya i les administracions locals i en els esforços que el propi CESICAT fa per
millorar i ampliar la seguretat de la informació mitjançant activitats com la relació amb
clients, la identitat digital, la gestió del marc normatiu i l’assessorament legal en
seguretat TIC.
Un dels pilars del CESICAT per reforçar la seguretat dels àmbits és la potenciació de la
relació amb el client a través de la figura del RSI en els Departaments i l’Administració
Oberta de Catalunya per les administracions locals.
Aquests punts de contacte proporcionen un nexe de comunicació entre els
departaments i les administracions públiques, i el CESICAT per explicar i oferir els
serveis a través de la presentació i ús del Programa de Seguretat proposat per l’Entitat,
cobrint així les necessitats d’aquests organismes en Seguretat de la informació. Així
mateix, aquestes figures de referència proporcionen consell, guia i informació sobre els
temes que sorgeixen en matèria de seguretat d'informació als departaments.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 41
De cara a incrementar la governança de la seguretat TIC, des del CESICAT s’ha
treballat en la gestió de la Identitat Digital per tal d’assegurar la veracitat i
confidencialitat de les dades referents a un servidor o a una aplicació de la Generalitat o
administracions locals a través del desplegament de Certificats Digitals i a la seva gestió
del cicle de vida (alta, renovació, revocació o suspensió). D’aquesta manera es gestiona
la relació amb les diferents entitats certificadores (CA) de manera que s'agilitza la gestió
de la seva elaboració.
Per altra banda, el CESICAT treballa per la gestió d’un marc normatiu que permeti
especificar les necessitats tècniques i legals en matèria de seguretat TIC dels tres pilars
bàsics en que treballa el CESICAT, tecnologia, informació i organització.
Aquesta gestió comença per la creació, revisió i actualització d’aquest marc a partir de
les normes i lleis de manera que aquells projectes que s'hagin d'executar dins la
legislació vigent assegurin l'aplicació de les bones pràctiques i el bon ús de les TIC. Una
vegada establert aquest marc també es treballa en l’auditoria per revisar l'aplicació
d’aquest i així assegurar la correcta implementació de les mesures de seguretat
establertes i el compliment legal en els sistemes d’informació dels departaments.
Per tant, també es treballa en la gestió, control i planificació de les auditories
necessàries en el mapa dels sistemes de la Generalitat de manera integrada dins una
planificació anual o invocades sota demanda.
El canvi del Nou Model TIC fa necessari el control i auditoria dels proveïdors de manera
que es garanteixi l’aplicació dels controls de seguretat que s’especifiquen a nivell tècnic.
A més, la col·laboració amb els RSI ha permès una gestió proactiva i coordinada de les
auditories amb els departaments.
Les auditories normatives es focalitzen en els marcs normatius legals, els quals són
d’obligat compliment pel client i que afecten en més o menys grau a tots els processos
de gestió, als sistemes d’informació en els quals es sustenten i en els grups que
gestionen i operen aquests sistemes d’informació. Es documenten i presenten els
resultats de les següents tipus d’auditories:
o Auditories de revisió LOPD Biennal
o Auditories d’adequacions LOPD
o Auditories ENS
Com a punt de governança d’aquest marc normatiu de la seguretat de la Generalitat de
Catalunya s’ha establert la gestió i el control de qualsevol incompliment temporal
(excepció) que pugui produir-se, identificant el seu risc i escalant-lo a cada un dels
afectats per actuar de la millor manera.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 42
A partir de la gestió del marc normatiu i l’especialització en la normativa i la legislació de
la seguretat de la informació, es dóna un servei d’assessorament legal en Seguretat
TIC per aclarir aquells dubtes que puguin sorgir als departaments, administracions locals
i ciutadania sobre les legislacions vigents en matèria de seguretat informàtica, protecció
de dades i propietat intel·lectual de manera que s'asseguri la correcta aplicació
d'aquestes i garanteixi un correcte ús de les dades privades de la societat catalana en
els sistemes de la Generalitat de Catalunya i les administracions locals. Aquest
assessorament en matèria legislativa sobre les TIC es proporciona al propi CESICAT
per assegurar que el desenvolupament de les seves activitats es manté sota el marc
legal establert.
En línia als objectius establerts per la governança de la seguretat durant 2014 s’ha
treballat en les activitats que es descriuen a continuació.
De cara a mantenir la relació amb els clients, a principis del 2014 el coneixement per
part del CESICAT i la participació en el govern de la seguretat de la informació de
cadascun ha avançat fins a assolir una visió d’alt nivell de l’organització, un canal de
comunicació amb alguns dels actors importants del departament i una visió d’alt nivell
dels processos crítics i aplicacions associades del departament. D’aquesta manera s’ha
pogut establir un Programa de Seguretat adient a les necessitats i prioritats de cada
departament.
A banda de la pròpia comesa dels RSIs com a experts dedicats als departaments, s’han
establert i celebrat els comitès de seguretat de la informació que permeten presentar
la situació d’aquesta en cadascun dels departaments per tal de presentar resultats de
compliment i accions executades, elevar riscos, assessorar per la presa de decisions i
establiment de properes passes.
Per tal de mantenir una comunicació permanent i auto-consumible, també s’ha treballat
en l’impuls del portal de seguretat que permet mostrar i mantenir actualitzada la
informació, els riscos i l’estat dels departaments i els seus aplicatius en matèria de
seguretat TIC per a que la informació estigui actualitzada i sigui de fàcil consulta.
De manera paral·lela s’ha treballat en oferir un catàleg de serveis especialitzat per les
administracions locals per tal de cobrir les necessitats més prioritàries i de poder
incrementar la penetració d’aquests serveis a totes les administracions locals del territori
a través del nexe de comunicació de l’Administració Oberta de Catalunya (AOC).
Durant 2014, el CESICAT ha esdevingut Entitat de Registre, de manera que té la
capacitat de validar la veracitat de les dades introduïdes a la sol·licitud del certificat i la
seva gestió. La gestió de la Identitat Digital tracta principalment certificats de dues
entitats (CATCERT i Verisign en menor quantitat) i es controla tant l’expedició, com el
control de la seva caducitat i la revocació en aquells casos que sigui necessari.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 43
L’activitat, principalment, recau en la gestió de les expedicions dels certificats amb un
total de 410 certificats. En el següent gràfic s’observa l’evolució de les expedicions
realitzades durant l’any:
La proporció de certificats expedits segons entitat certificadora és el següent:
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 44
En la següent gràfica es mostra l’estat de revisió i elaboració de les polítiques, les
normes, les guies i la documentació de suport que formen part del Marc Normatiu de la
Generalitat a finals del 2014.
En concret durant el 2014, l’activitat de creació i revisió del marc normatiu ha treballat en
45 estàndards, dels quals s’han publicat 12 i la resta es troben pendents de revisió.
En el 2014 s’han concentrat els esforços per tal de garantir el compliment legal i
normatiu a través d’auditories i d’adequacions de la Llei Orgànica de Protecció de
Dades (LOPD) en els departaments, executant 17 auditories al llarg de l’any per
assegurar la correcta implementació de les mesures de seguretat establertes i el
compliment legal en els sistemes i aplicacions dels departaments.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 45
L’assessorament legal proporcionat des del CESICAT té com abast les TIC en matèria
legal tant sigui de normatives existents com de nova existència a través d'informes i
d’estudis jurídics. Durant l’any 2014, per aquesta activitat es destaca l’elaboració de
l’estudi sobre la normativa de signatura biomètrica en les administracions i l’informe de
copia, digitalització i emmagatzematge de documents digitals.
El número de peticions d’assessorament rebudes en 2014 ha estat de 167 peticions,
les temàtiques de les quals es divideixen de la següent manera:
A partir de juny del 2014, s’ha treballat en la definició i elaboració dels procediments
necessaris per gestionar els incompliments temporals (excepcions) i aportar una
metodologia de treball estàndard i repetible, a partir de la identificació de les tipologies
d’excepcions sol·licitades.
La gestió d’una excepció de seguretat consisteix en la valoració dels riscos que suposa
l’assumpció d’aquesta a partir dels motius i justificacions pels quals es sol·licita,
s’analitza el seu context i s’identifica quines són les mesures que s’aplicaran per mitigar
els riscos que suposen assumir-la. Una vegada estudiada la petició s’atorga un nivell de
risc a aquesta en base al grau d’incompliment del marc normatiu al qual es fa referència
i es notifica la valoració del nivell de risc identificat pel CESICAT per a que el negoci
accepti o no.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 46
Durant 2014 el volum de peticions gestionades ha arribat a 848 sol·licituds, de les
quals, suposaven excepcions realment 170. La distribució de la demanda durant l’any
s’ha fet de la següent manera:
El nivell de risc d’una petició d’excepció es determina en base al grau d’incompliment
del marc normatiu al qual es fa referència. El nivell dels riscos associats a les
excepcions gestionades ha estat el següent:
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 47
3.3. Internet segura
El Centre d'Internet Segura, que té com a principal tasca procurar un entorn segur per
als més joves en l’ús d’Internet i les tecnologies de la Informació i la Comunicació (TIC)
en general, amb la col·laboració del Safer Internet Programme de la Comissió Europea
ha seguit desenvolupant les activitats d’anys anteriors en matèria de conscienciació i
prevenció..
El Centre d'Internet Segura treballa en la línia de comunicació a través de tasques com
la coordinació d’aquells avisos o notificacions que es puguin rebre sobre continguts
nocius per als menors a Internet; crear, desenvolupar i posar en marxa línies d’ajuda,
assistides per professionals, per donar resposta a las demandes en tot el que fa
referència amb la seguretat en l’ús de les TIC enviades per menors, les seves famílies
i/o els seus centres educatius; i implantar accions de formació de conscienciació i
sensibilització als centres educatius, associacions de mares i pares dels alumnes i
professionals de diferents àmbits que treballen amb menors.
Durant l’any 2014, les activitats dutes a terme en el marc d’aquest centre es poden
distingir entre els diferents col·lectius als que són dirigides: mares i pares, docents, joves
i a tot el públic en general a través de les xarxes.
3.3.1. Jornades de conscienciació
Amb l’objectiu de formar als professionals de la seguretat a Internet, s’han realitzat
sessions de conscienciació per la seguretat a Internet.
Per una banda, s’han realitzat sessions als professionals de la xarxa de benestar
social de la Diputació de Barcelona per la seguretat a Internet i a les xarxes socials en
la infància i l’adolescència dins la 23a Escola d’Estiu (Realitat Social Diversa, Respostes
des del Món Local) amb dues finalitats principalment:
Oferir als professionals que treballen en l’àmbit de la infància i l’adolescència els
coneixements i eines per a què fomentin un ús segur d’Internet i les xarxes
socials.
Donar criteris als professionals que treballen en l’àmbit de la infància i
l’adolescència per a què conscienciïn sobre els riscos en l’ús d’Internet i les
xarxes socials a la infància i l’adolescència, i als progenitors.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 48
Així mateix, s’han impartit sessions de formació als professionals de l’APTIC
(Associació Professional de Traductors i Intèrprets de Catalunya) com a mètode de
conscienciació per millorar la seguretat quan treballin amb Internet.
Addicionalment, s’han realitzat sessions de conscienciació a través de tot al territori i a
través de diferents organitzacions i desenvolupades amb l’objectiu d’orientar en
l’acompanyament dels nens, nenes i joves en l’ús d’Internet. Les sessions busquen que
les mares, pares i educadors siguin més actius en la prevenció i conscienciació dels
seus nens i nenes. Es parla de reputació online, de continguts a les xarxes socials, de
dispositius mòbils, etc… i els mateixos participants poden intercanviar dubtes i
experiències pròpies. Entre les sessions organitzades en 2014 es troben:
14 sessions per al programa de “Suport Educatiu a les Famílies” de l'Institut
Municipal d'Educació de l’Ajuntament de Barcelona (IMEB) amb un total de
més de 200 assistents.
12 tallers per al programa de “Eduquem en família” sobre estratègia familiar en
l'ús més segur d'Internet i les xarxes socials a través de la Diputació de
Barcelona amb una assistència de 142 ciutadans de diferents punts de la
província de Barcelona.
7 sessions sol·licitades per AMPAs de diferents centres escolars amb
l’assistència de 150 mares i pares.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 49
3.3.2. Jornades a professors sobre protecció de dades i
seguretat a Internet entre els menors d’edat
Per sisè any consecutiu, el Departament d’Ensenyament conjuntament amb l’Autoritat
Catalana de Protecció de Dades, promouen la reflexió i ofereixen recursos a la
comunitat educativa a l’entorn del tema de protecció de dades i seguretat a Internet
entre els menors, amb l’objectiu de sensibilitzar-la sobre els nous aspectes a tenir
presents en els centres educatius, derivats dels entorns digitals en què es mouen els
alumnes.
Aquest 2014, s’han organitzat dues jornades. Una d’elles a Girona el dia 5 de febrer i
l’altra a Reus el dia 6 de març per una assistència de més de 200 professors.
Ciutat Data Professors assistents
Girona Reus
5 de febrer 2014 6 de març 2014
130 95
Aquestes jornades han tractat el contingut descrit a continuació:
Protocol de prevenció, detecció i intervenció davant el ciberassetjament entre
iguals.
Mesures de seguretat en l’àmbit docent.
Protecció de dades de caràcter personal.
La dimensió de ciutadania. hàbits, civisme i identitat digital com a competència
bàsica en l’àmbit digital.
La formació proporcionada es pot trobar en el següent enllaç: http://blocs.xtec.cat/joves_privacitat/edicions-anteriors/delegacio-govern-girona-2014/presentacions-2014/
3.3.3. Activitats per a joves
Publicació de guies
Dins del marc de la formació i la conscienciació de joves,
el CESICAT ha col·laborat en la redacció i publicació
durant l’any 2014 de les següents guies:
Guia de compra segura en la xarxa
Guia de protecció en la missatgeria instantània
Guia sobre com actualitzar de forma segura les
teves aplicacions
Guia per a la implantació d’un control parental.
Guia sobre l’ús de forma segura de dispositius
portàtils.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 50
Addicionalment, s’ha creat la guia web Com
t’impliques en l’educació digital dels teus fills i
filles? promoguda per l’Institut Municipal
d’Educació de Barcelona. En la creació d’aquesta
guia han participat diferents entitats formades per
professionals experts, federacions de pares i
mares d’alumnes i direccions de centres educatius
en la ciutat de Barcelona. La guia es troba
disponible a més de la versió impresa en versions
digitals en anglès, castellà i català.
Per a més informació es pot consultar el vídeo de
la presentació de la guia:
http://youtu.be/xxqTfY_Lsys
També s’han creat els següents jocs en versions
en català, castellà i anglès:
Primers passos a Internet: on es tracta com actuar davant missatges
d’advertiment de pàgines insegures i perills de les cerques a Internet, jocs en
xarxa i vídeos.
Utilitza el mòbil de forma segura: es tracten aspectes com evitar que et prenguin
el mòbil, connectar-se a xarxes sense fils segures, evitar que s’infecti o que algú
el faci servir per assetjar-te, per exemple.
Saps com actuar davant el ciberassetjament?: sensibilització en temes
d’assetjament a través de les TIC, tant en companys com en un mateix.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 51
Els jocs presentats en aquest període s’adrecen a diferents rangs d’edat per a la
participació. D’aquesta manera:
- El joc d’introducció a Internet, s’adreça a nens i nenes d’entre 7 i 9 anys.
- El joc de sensibilització en l´ús del dispositiu mòbil permeten la participació de
joves a partir dels 7 fins els 13 anys.
- El joc de com actuar davant casos de ciberassetjament en el context escolar o
en família per un rang d’entre 9 i 16 anys.
Aquests jocs en línia, en diferents idiomes, permeten conèixer el comportament dels
jugadors de diferents edats i sexes quan se’ls plantegen situacions que han de resoldre.
Això permet detectar quines situacions són més o menys conegudes, i per tant, conèixer
quin missatge s’ha de reforçar en les xerrades que es fan als joves.
A continuació es mostra el resum dels continguts creats:
Joves JOC Primers passos a Internet JOC Utilitza el mòbil de forma segura JOC Saps com actuar davant el ciberassetjament?
Difusió web SIC versions en català, castellà i anglès
GUIA ràpida de protecció en la missatgeria instantània GUIA ràpida sobre com actualitzar de forma segura les teves aplicacions
Difusió web SIC en català
Pares i famílies GUIA-WEB Com t’impliques en l’educació digital dels teus fills i filles?
Difusió web SIC, web bcn.cat/educació i
impresa
versions en català, castellà i anglès
GUIA per la implantació d’un control parental GUIA ràpida de compra segura en la xarxa
Difusió web SIC en català
Educadors GUIA sobre l’ús de forma segura de dispositius portàtils GUIA sobre com actualitzar de forma segura les teves aplicacions GUIA Seguretat i protecció en la missatgeria instantània
Difusió web SIC, XTEC.cat en català
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 52
Campanya de sensibilització de xarxes socials amb el Govern de la
Generalitat en l’àmbit Família i Escola
El CESICAT ha participat en el monogràfic sobre l’ús de les xarxes socials en la web de
la Generalitat de Catalunya (www.gencat.cat/ensenyament/familiaiescola) dirigit a totes
les famílies catalanes en relació amb l’escolarització.
Durant aquest any, s’ha afegit contingut en l’apartat sobre l’ús de les tecnologies, oferint
consells i eines per a diferents edats (0-3, 3-6, 6-12 i 12-18 anys) sobre l’ús i abús de les
TIC i en la prevenció i detecció del ciberassetjament.
Alguns dels nou apartats inclosos són:
Què són les xarxes socials?
Riscos.
Consells específics en l’ús de Facebook, Youtube, Twitter, Whatsapp o
Instragram.
Altres recursos i eines.
Conversacions.
En el nou apartat de les xarxes socials, es proporciona informació específica per a cada
xarxa: edat mínima, què es pot fer en cada servei, com orientar als nostres fills i
referències a consells bàsics per als pares i mares.
Així mateix, es va elaborar un vídeo en l’apartat de recomanacions per a que els pares,
mares i els familiars trobaran resposta a qüestions com:
Què busquen els joves en les xarxes socials?
Són bones les xarxes socials?
Què podem recomanar als pares i mares per a que les utilitzin de forma segura?
Què no s’ha de compartir mai en les xarxes socials?
Dia de la Internet segura
El Dia de la Internet Segura celebrat el segon dimarts de febrer de cada any i proposat
per la UE dins el programa Internet més Segura (Safer Internet Programme-Insafe) i
assumida per molts països d’arreu del món, s’aprofita per reflexionar i prendre
consciència de la necessitat d’una Internet més segura, especialment per al col·lectiu de
joves i infants.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 53
Seguint la dinàmica de cada any, la UE proposa un lema i un vídeo que reflexiona sobre
algun aspecte de la seguretat dels menors a la xarxa. Enguany, el lema és “Fem plegats
una Internet millor”, i el vídeo convida als infants i joves a reportar els abusos a la xarxa.
L’acte de l’any 2014 va celebrar-se l’11 de febrer durant el III Congrés Nacional “Jove i
en xarxa”, de la mà de l’associació Protégeles, on nens, nenes i joves de entre 11 i 16
anys participaren amb representants de la indústria d’internet, els cossos de seguretat,
representants de l’àmbit de l’educació, associacions de pares i mares, professors i més
entitats per traslladar els seus punts de vista sobre les relacions que els menors
estableixen amb Internet i les TIC, així com per plantejar solucions als problemes que
poden sorgir a la xarxa.
La celebració del Dia de la Internet Segura també va aprofitar-se per donar a conèixer
les activitats que es duen a terme des del Centre Internet Segura.
La Festa dels Súpers
Un any més, el CESICAT ha participat a la Festa dels Súpers, la gran cita anual dels
membres i seguidors del Club Súper 3. Enguany ha estat la divuitena edició i s’ha
celebrat el cap de setmana del 25 i 26 d’octubre a l’Anella Olímpica del Parc de Montjuïc
sota el lema “Sóc així”. Aquesta participació s’ha emmarcat dins les activitats que el
CESICAT du a terme sota la marca Centre d’Internet Segura.
Estand a la Festa:
El CESICAT ha estat present a la Festa amb un estand de 80 m2 equipat amb 20
ordinadors. L’activitat principal ha estat la de ensenyar a navegar de forma segura per
la xarxa amb l’objectiu de sensibilitzar els menors i els seus pares, mares o tutors sobre
la importància d’aplicar el seny i la precaució a l’hora de navegar per la xarxa, mitjançant
una sèrie de jocs adaptats a diferents franges d’edat en què s’exposen les principals
situacions de risc amb què es pot trobar un menor quan navega per Internet o fa ús
d’altres eines TIC.
Per tal d’assolir aquestes fites, els 20 ordinadors amb els que comptava l’estand tenien 4
jocs disponibles amb els quals, nens i nenes, podien descobrir els reptes i perills que
amaga Internet i aprendre les recomanacions i mesures preventives que han d’aplicar
perquè la navegació per la xarxa sigui segura i constitueixi una experiència profitosa.
En aquesta edició s’ha fet una aposta per millorar l’atenció a cadascuna de les nenes i
nens que han visitat l’estand mitjançant el canvi de dinamitzadors socials per estudiants
de 4t any del Grau en Mestre d’Educació Primària especialitzats en TIC. Aquests nous
perfils ens han permès poder millorar l’atenció, oferir un servei de qualitat alhora de
l’acompanyament dels menors i alhora rebre feedback per part de les educadores i els
educadors en base a l’experiència de les activitats dels menors.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 54
Així mateix, s’ha disposat de dos estudiants del Grau d’Educació Primària especialitzats
en Adults per tal que conversessin amb els pares i mares que esperaven a que els seus
fills acabessin l’activitat per tal d’explicar-los la importància de la seguretat a la xarxa així
com dels recursos que poden trobar a la pàgina web Internet Segura.
L’assistència a l’estand del Centre d’Internet Segura va ser de més de 5.000 nens i
nenes.
Materials lliurats:
Durant el 2014 i especialment durant la festa dels Súpers, s’han utilitzat diferents
materials per donar informació als pares, mares, nens, nenes i joves sobre la
seguretat a internet, entre els quals hi han hagut:
Fullets amb informació de com actuar davant les xarxes socials (per a pares,
mares i joves).
4.500 bosses amb adhesius de difusió del Centre Internet + Segura, protectors
de càmera web i un fullet desplegable de consells sobre telefonia
USB amb guies digitals: Univers digital d’Insafe, noves guies CESICAT,…
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 55
El joc de comportament dels menors davant casos de ciberassetjament:
Durant l’edició de la Festa dels Súpers 2014 s’ha fet un recurs nou dirigit per a menors
de més de 9 anys en què es pretenia sensibilitzar en el comportament dels menors
davant casos de ciberassetjament. El joc proposa posar a prova quin comportament té la
usuària o usuari del joc en 5 situacions.
El joc, que permet avaluar les respostes, dóna consells després de cada acció i puntua
en tres nivells, de menys a més prevenció, quines mesures hauríem de prendre. De
l’estadística recollida després de 515 jugades es conclou que:
El perfil de l’edat dels jugadors i jugadores a l’estand:
La proporció de perfils de nens i nenes va ser:
0
20
40
60
80
100
120
140
160
menys10
10 11 12 13 14 15 16 omés
No
mb
re d
e ju
gad
ors
Edat
Edat dels jugadors
50,7% 49,3%
Gènere dels participants
dona
home
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 56
El perfil d’encerts de les 5 situacions al joc, amb 3 encerts de mitjana:
Percentatge de respostes correctes per cada situació:
020406080
100120140160180
0 1 2 3 4 5
No
mb
re d
e ju
gad
ors
Preguntes encertades per jugador
0%10%20%30%40%50%60%70%80%90%
100%
1. Atacsper enveja
2. Semprerep elmateix
3.Preguntesmalicioses
4. Jugarplegats a la
xarxa
5. Somiartruites
Perc
en
tatg
e d
'en
cert
s
Pregunta del joc
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 57
3.3.4. Dinamització xarxes socials i web internetsegura.cat
El CESICAT treballa d’una manera constant per assegurar que la ciutadania utilitzi els
recursos TIC d’una forma segura. Per aconseguir això, es realitzen activitats de
divulgació, formació i conscienciació mitjançant l’elaboració de continguts i recursos
educatius que ajuden a prevenir situacions de perill per a la seguretat d’aquests mitjans.
Amb el fi de generar els recursos necessaris, el CESICAT realitza estudis de tendències
del mercat de la seguretat TIC i s’identifiquen les necessitats a partir de les xerrades
organitzades pel propi CESICAT.
Durant aquest any 2014, es culmina la consecució d’un objectiu necessari per a
l’organització: diferenciar l’estratègia de comunicació del CESICAT segons la temàtica
del contingut a comunicar, potenciant la marca i estratègia Internet Segura. Aquesta
estratègia és l’adoptada per divulgar coneixement i conscienciació entorn a l’ús segur de
les TIC per part de la ciutadania, on es determinen 3 marques a utilitzar en funció del
públic objectiu:
CESICAT: En aquelles comunicacions oficials i relacions amb l’Administració de
la Generalitat i la relació amb els CERTs
Internet Segura: En tota aquella comunicació d’interès ciutadà, sobretot centrada
en la divulgació de consells i materials de conscienciació
Idigital: Comunicacions dirigides a empreses i professionals del sector TIC i
seguretat.
El gruix de l’activitat s’ha centrat en la potència de la marca Internet Segura i en la cerca
i definició d’un nou projecte més transversal, ambiciós i que reculli més departaments de
la Generalitat implicats en aquestes temàtiques.
Es potencia la difusió de continguts a través de les xarxes socials per generar més
comunitat, augmentar la reputació de la marca i fer-la més coneguda.
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 58
Pel que respecta a @internetambseny, la difusió de continguts es centra en la
publicació de guies de seguretat, es promociona la web i els materials que s’hi poden
trobar i s’aprofiten conceptes d’actualitat per tal de relacionar l’actualitat amb els
materials de conscienciació que tenim. Durant el 2014 s’han guanyat 604 seguidores i
seguidors (189% més) arribant als 1147.
En aquest gràfic es pot visualitzar l’evolució de l’activitat del principal compte que es
gestiona (@internetambseny):
Durant l’any 2014, el compte de Twitter @CESICAT ha assolit un total de 1.709
seguidores i seguidors (207 més que l’any passat). No obstant això, aquest compte no
ha tingut activitat de comunicació ni difusió des del mes de novembre 2013 ja que es vol
potenciar @internetambseny.
La pàgina de Facebook A Internet posa-hi seny ha arribat a aconseguir 2757 likes
durant aquest període. Les persones a les que s’arriba amb les comunicacions que es
fan des d’aquesta pàgina, arriba en primera instància a la franja d’edat de 35-44 anys i la
següent és la de 45-54 anys. Principalment han estat homes, en detriment de les visites
de perfils femenins.
Les tres publicacions que més difusió i abast han tingut són:
Nou cas d’assetjament que amenaça de mort via Whatsapp.
Nou cas d’estafa del Whatsapp d’or.
Alerta per un nou vídeo que corre per la xarxa i resulta ser un virus.
Pel que respecta a la pàgina de Facebook CESICAT, no ha tingut cap tipus d’activitat
durant aquest període.
0
200
400
600
800
1.000
1.200
2012 2013 2014
Evolució seguidors @internetambseny
Memòria CESICAT 2014 Balanç d’Actuacions
CESICAT Memòria 2014 / Pàg. 59
Pàgines web
La pàgina web del CESICAT dedicada a la pròpia entitat ha rebut un total de 14.962
visites per part de 11.421 visitants durant el 2014.
El web d’Internet Segura ha rebut un total de 20.554 visites per part de 15.805 visitants
amb la següent distribució al llarg de l’any 2014. Cal destacar l’augment de visites durant
el Febrer degut a la dinamització de la web pel Dia de la Internet Segura.
A través de la web internetsegura.cat, i mitjançant diferents materials de difusió com ara
articles, vídeos, guies amb consells i recomanacions, jocs, pòsters, imatges o
infografies, es tracten temes com: telefonia mòbil i seguretat; ciberassetjament; la
protecció de la informació; la seguretat a les xarxes socials; l’enginyeria social; i compra
segura en el comerç electrònic.
Aquestes temàtiques s’han definit en funció de les necessitats identificades en cursos i
tallers realitzats a escoles, els dubtes rebuts i els informes de tendència de la seguretat
TIC, i s’han programat atenent els esdeveniments que es produeixen en l’entorn
tecnològic del país (per exemple, el mes de febrer, coincidint amb el Mobile World
Congress, es centra en la seguretat de la telefonia mòbil). Els continguts es difonen
també mitjançant un butlletí electrònic mensual que aglutina una mostra dels materials
principals de la temàtica tractada.
Participació en mitjans de comunicació
Durant 2014, el CESICAT ha intervingut en els mitjans de comunicació, televisió i ràdio,
per tractar temes com robatoris credencials d’accés, ciberatacs o en la celebració de
fites com el dia internacional de la ciberseguretat a través d’entrevistes, tertúlies i
col·laboracions en diferents programes de difusió.
Memòria CESICAT 2014 Tendències i reptes del 2014
CESICAT Memòria 2014 / Pàg. 60
4. Tendències i reptes del 2014
L’entorn tecnològic de les empreses i de la ciutadania en general és un àmbit amb una
ràpida evolució, i les eines i tècniques dels atacants són cada cop més sofisticades. És
per això que les organitzacions disposen de la necessitat d’utilitzar la intel·ligència per
gestionar els seus riscos tecnològics, entesa com la vigilància del sector del cibercrim,
tant des del punt de vista d’evolució de les amenaces com de les mesures que es
construeixen per fer front a aquestes amenaces, mitjançant programes de Seguretat de
la Informació.
De cara a aquests riscos, els cibercriminals desenvolupen eines i tècniques per
l’explotació de les vulnerabilitats dels sistemes d’informació per poder assolir
diferents objectius.
Aquest tipus de riscos, segons revela el World Economic Forum a través de la seva
Global Risks Perception Survey 2014 suposen una preocupació molt rellevant, només
superada per riscos com guerres, catàstrofes naturals, atur o canvi climàtic1.
Durant 2014, i sobre el conjunt de les principals ciberamenaces, s’ha observat l’evolució
descrita en la taula següent2.
Tendències 2014
Conjunt Principals amenaces Tendència
Eines i tècniques
Codi maliciós ▲
Botnets ▼
Exploit kits ▼
Vulnerabilitats
Amenaces internes ►
Atacs basats en web ▲
Atacs a aplicacions web ▲
A nivell global, s’observa que l’evolució i sofisticació dels atacants requereix d’un
esforç continu en la inversió en mitjans de protecció contra ciberatacs.
L’evolució de les eines i tècniques, unida a l’incompliment de les bones pràctiques
en desenvolupament d’aplicacions o en la gestió de les vulnerabilitats d’equips, tant de
servidors com d’estacions de treball, facilita la materialització d’atacs altament efectius
per part d’atacants amb capacitats limitades, incrementant la probabilitat d’ocurrència
d’un atac.
1 Global Risks Perception Survey 2014, World Economic Forum
2 ENISA Threat Landscape 2014
Memòria CESICAT 2014 Tendències i reptes del 2014
CESICAT Memòria 2014 / Pàg. 61
Per aquest motiu, el CESICAT treballa activament en els nous projectes i els
projectes de transformació dels sistemes de la Generalitat de Catalunya per tal de
poder identificar millores en les pràctiques aplicades a la seguretat de la informació.
Les eines i tècniques que utilitzen els ciberatacants els permeten explotar tant les
vulnerabilitats dels sistemes com utilitzaria l’enginyeria social de manera puguin
assolir els objectius desitjats.
Aquestes eines es poden dividir en tres tipus, codi maliciós (malware), exploits (eines
d’automatització) i botnets (xarxa de dispositius infectats que actuen seguint les ordres
d’un ordinador central) per realitzar atacs massius.
En el període de 2014, el malware encapçala la llista de les amenaces cibernètiques. El
nombre d’atacs que utilitzen aquesta tècnica creix dia a dia, ja que encara que l’atac es
realitzi d’una manera lenta i poc eficient es pot realitzar fàcilment i de forma massiva.
Per altra part, les botnets, en el 2014, han esdevingut el 34%2
del total de ciberatacs
detectats, situant aquest mètode en les primeres posicions de les estadístiques d’atacs.
Aquest ús de botnets va anar baixant de tendència donada la facilitat de desarticular
aquestes xarxes.
Finalment, els kits d’exploit permeten desplegar i instal·lar software maliciós que
detecta i aprofita vulnerabilitats dels sistemes per extreure dades personals. Aquest
mètode també es cada vegada menys utilitzat degut a la complexitat i la sofisticació
que requereix per sortejar les mesures de protecció com els antivirus.
Aquestes eines anteriorment descrites s’utilitzen per treure profit de vulnerabilitats en
els sistemes d’informació per assolir els objectius esmenats.
De forma general, es poden distingir dos tipus de vulnerabilitats:
Vulnerabilitats socials. Afecten al conjunt de les usuàries i els usuaris dels
sistemes d’informació i no tenen una component tecnològica. Afecten al
comportament i confiança de la societat envers la tecnologia.
Vulnerabilitats dels sistemes d’informació. Són aquells errors i defectes
tecnològics de configuració i actualització dels equips (servidors i equips) i errors
de programació de les aplicacions, ja siguin web o programes instal·lats als
equips finals.
Per explotar o treure profit d’aquestes vulnerabilitats s’utilitzen diferents tècniques
d’atacs basats en la web i d’atacs a aplicacions web. Tampoc hem d’oblidar les
amenaces internes a com una pròpia vulnerabilitat.
Una de les bases dels atacs a la web és l’enginyeria social, on els atacants fan creure
a les usuàries i els usuaris que són els administradors del la pàgina web en qüestió
(phishing) per tal d’aconseguir les seves credencials. Sovint es creen pàgines web
idèntiques a les originals, o bé s’envia un correu electrònic dient que s’ha de canviar la
contrasenya.
Memòria CESICAT 2014 Tendències i reptes del 2014
CESICAT Memòria 2014 / Pàg. 62
Durant 2014 s’han detectat 145 milions de pàgines web malicioses, representant un
total del 73%2 de tots els objectes maliciosos existents. Aquesta amenaça es situa en
primera posició a Amèrica del Nord i Europa, estant en segona posició en la resta de
geografies, només per darrera del malware.
3
Per altra banda, els atacs a les aplicacions web corresponen a vulnerabilitats
tecnològiques dels sistemes d’informació, entre les quals podem distingir vulnerabilitats
dels equips i vulnerabilitats de les aplicacions. De forma majoritària, les amenaces
materialitzades durant 2014 fan referència a atacs a aplicacions web vulnerables.
Segons l’informe ENISA Threat Landscape 2014, el 90% d’aplicacions web són
vulnerables a atacs coneguts, motiu pel qual és un vector d’atac molt important.
En aquest període s’ha verificat que els desenvolupadors estan prestant més atenció a
la construcció d’aplicacions segures, reduint les vulnerabilitats. Tot i així, aquestes
vulnerabilitats en les aplicacions continuen representant gairebé el 60-70%2 del total.
La resta de vulnerabilitats es donen en els sistemes operatius i el programari que li
dóna suport, i en menor mesura en els navegadors. Cal remarcar que durant el període
de 2014 s’han posat de manifest dues grans vulnerabilitats, que per la seva àmplia
distribució han suposat un risc de seguretat molt elevat. Es tracta de la vulnerabilitat
Heartbleed, amb una base potencial d’un 66%2 de llocs web que utilitzen OpenSSL
3 i de
la vulnerabilitat Shellshock, que afecta a tots els que utilitzen la Shell de UNIX Bash4.
3 Netcraft's April 2014 Web Server Survey
4http://www.symantec.com/connect/blogs/shellshock-all-you-need-know-about-bash-bug-
vulnerability
33%
18% 13%
9%
4% 3%
20%
Webs malicioses segons país3
Estats Units d'Amèrica
Holanda
Alemanya
Rússia
Ucraïna
França
Altres
Memòria CESICAT 2014 Tendències i reptes del 2014
CESICAT Memòria 2014 / Pàg. 63
Finalment, les amenaces internes, corresponen a vulnerabilitats que afecten a les
organitzacions, ja que representa baules febles en els processos i el personal de les
empreses. Per fer-hi front, les mesures que cal aplicar es fonamenten en la millora de
l’entorn de control i conscienciació de les empleades i els empleats.
La majoria d’incidents interns són causats per errors no intencionats de les usuàries i
els usuaris, el desplaçament involuntari de la informació, la pèrdua/robatori i la falta de
sensibilització enfront a tècniques d’enginyeria social, a causa de la falta de formació i
conscienciació d’aquests. Segons ENISA, el 48% d’organitzacions reconeixen no haver
proporcionat formació específica en seguretat als seus professionals.
L’esdeveniment més rellevant durant 2014 han estat les revelacions de l’ex-
treballador de la CIA Edward Snowden, arran de les quals s’ha invertit un esforç
important en l'anàlisi de les amenaces internes.
4.1. Conclusions dels atacs durant l’any 2014
Com ja s’ha comentat, els cibercriminals desenvolupen eines i tècniques per
l’explotació de les vulnerabilitats dels sistemes d’informació que s’han detallat
anteriorment. Aquest esforç està focalitzat per assolir diferents objectius, ja sigui per
provocar un prejudici econòmic o reputacional a les organitzacions o governs, accedir a
informació reservada, robar dades, suplantar identitats i accedir a fons econòmics.
40%
31%
15%
14%
Informació afectada3
Propietatintel·lectual
Dades d'usuaris
Desconegut
Registres financers
Memòria CESICAT 2014 Tendències i reptes del 2014
CESICAT Memòria 2014 / Pàg. 64
La tendència observada en el 2014 respecte als objectius d’aquests atacs es recullen
en tres grans grups: denegacions de servei (DoS), robatoris de credencials i fugues
i robatori d’informació. En tots els casos, la tendència durant 2014 ha anat en
augment2.
Tendències 2014
Conjunt Principals amenaces Tendència
Objectius
Denegació de servei ▲
Fugues/Robatori/revelació de dades ▲
Robatori d’identitats ▲
Els atacs de denegació de servei són una amenaça tecnològica que s’utilitza contra
la disponibilitat dels sistemes i serveis de les organitzacions i governs. Els atacs de
DoS han esdevingut vectors d’atac molt eficients, malgrat això, les contramesures no
s’han desenvolupat de la mateixa manera.
L’objectiu de denegar el servei, en molts casos, és utilitzat com a mesura de distracció
per a implementar altres atacs. D’aquesta manera la indisponiblitat dels sistemes i dels
serveis pot tenir un impacte mínim si es tracta d’una manera d’entretenir per
implementar atacs amb impactes més importants com l’activació de malware o
robatori de dades.
Aquest any 2014, el CESICAT ha preparat operatius en aquelles dates en que els actius
de la Generalitat es poguessin veure més amenaçats que habitualment degut a la
rellevància que el territori podria prendre en els medis o la importància d’algunes dates.
D’aquesta manera s’han aconseguit bloquejar atacs per denegació de servei que
podrien haver servit per articular algun atac emmascarat de major impacte per la
Generalitat, les administracions locals i la pròpia ciutadania.
47%
24%
18%
10%
Tipus d'atacs emmascarats per DoS3
Instal·lació / activació deMalware
Robatori de dades
Pèrdua de propietatintel·lectual
Robatori financer
Memòria CESICAT 2014 Tendències i reptes del 2014
CESICAT Memòria 2014 / Pàg. 65
El 2014 es caracteritza també pel robatori de credencials en gran volum (centenars de
milions) que els ciberatacants han obtingut des de serveis webs vulnerables o a través
de la interacció directa amb les usuàries i els usuaris fent ús d'atacs de phishing. En
menor mesura, també s’han obtingut credencials utilitzant malware en els seus equips.
Per tal d’obtenir una major protecció davant d’aquests atacs s’utilitzen sistemes
d’accés mitjançant autenticació multi-factor (ús de missatges SMS o OTP, VPN, Xifrat
de contrasenyes en els servidors, etc.).
Les conseqüències d’aquests robatoris han fet que apareguin recels per part de les
usuàries i els usuaris respecte l’ús de mitjans digitals per dur a terme transaccions
financeres. Més d’un 50% de consumidors han expressat la seva preocupació per
aquest fet, segons ENISA Threat Landscape 2014.
Els robatoris massius de dades han posat de manifest que el factor humà és una
debilitat molt gran del sistema de credencials, com demostra que, de 6 milions de
contrasenyes, més del 98% es troben entre la llista de les TOP 10.0005, essent molt
senzilles d’obtenir amb poca capacitat computacional.
Al problema de les contrasenyes dèbils cal afegir el de la seva reutilització endèmica.
D’aquesta manera al comprometre una sola credencial potencialment queden al
descobert molt altres serveis en línia que reutilitzen les credencials.
Per aquesta banda, el CESICAT treballa tant per la formació dels professionals dins
l’administració com per la conscienciació ciutadana per tractar de sensibilitzar
respecte aquests robatoris i com evitar-los.
Si bé per raons de seguretat les contrasenyes s’han d’encriptar, el robatori de 42
milions de credencials a Cupid Media, empresa de serveis australiana, va revelar que
aquestes s’emmagatzemaven en text sense encriptar, fet que demostra que hi ha
empreses que no segueixen les bones pràctiques en aquesta matèria.
Oposadament a aquest cas, des del CESICAT es vetlla per a que els proveïdors dels
sistemes de la Generalitat apliquin les mesures necessàries per mantenir les
identitats protegides a través de la gestió de la seguretat en el proveïdors.
El robatori de credencials conjuntament a l’explotació de diferents vulnerabilitats
comporten la materialització de l’objectiu principal dels ciberatacants, el robatori
d’informació i el robatori de fons econòmics en el cas d’entitats financeres.
Els atacs per robatori d’informació que s’han produït durant 2014 han tingut una
rellevància molt notable en els mitjans de comunicació. Aquests atacs han suposat la
vulneració de sistemes que tenien un impacte elevat sobre un gran nombre de població,
comprometent dades sensibles de moltes usuàries i molts usuaris (atac a Sony Pictures,
novembre de 20146) o actius financers (atacs a bancs mitjançant Carbanak
7).
5 https://xato.net/passwords/more-top-worst-passwords
6 http://oag.ca.gov/system/files/12%2008%2014%20letter_0.pdf
Memòria CESICAT 2014 Tendències i reptes del 2014
CESICAT Memòria 2014 / Pàg. 66
En concret, utilitzant el malware conegut com a Carbanak, el qual explotava
vulnerabilitats de Microsoft Office, es va materialitzar una afectació sobre 1.000 milions
de dòlars en diferents entitats financeres d’arreu del món7.
El principal tipus de dades afectades el 2014 són aquelles referents a informació
d’empreses, amb un 82%7 del total de dades afectades.
Com es pot observar, els atacs a la seguretat de la informació poden arribar a tenir un
impacte important pels actius del territori català. A més, la tendència en augment de les
tecnologies en tots els àmbits, fa que la tasca del CESICAT per la seguretat de la
informació es vegi marcada per la continua adaptació i millora del seu servei.
7 Kaspersky Labs' Global Research & Analysis Team (GReAT) (February 16, 2015). "The Great
Bank Robbery: the Carbanak APT."
0
5
10
15
20
25
30
35
40
45
Rússia Alemanya Estats Unitsd'Amèrica
Noruega Japó Altres
Ubicacions afectades per Carbanak7
Memòria CESICAT 2014 Tendències i reptes del 2014
CESICAT Memòria 2014 / Pàg. 67
® fundació privada CESICAT
Centre de Seguretat de la Informació de Catalunya
Carrer de Salvador Espriu, 45-51
08908 L'Hospitalet de Llobregat
Maig 2015