You are on page 1of 10

Instituto Nacional

de Tecnologías
de la Comunicación

INTECO presenta el Estudio sobre la Seguridad


de la Información y e-Confianza en el ámbito de
las Entidades Locales
Para la elaboración de este estudio, el Instituto Nacional de Tecnologías de la
Comunicación (INTECO) ha contado con la colaboración de la Federación Española de
Municipios y Provincias (FEMP), la Subdirección General de Coordinación de Recursos
Tecnológicos del Ministerio de Administraciones Públicas (MAP) y el apoyo de las
empresas fabricantes de soluciones de seguridad informática McAfee, Symantec y Trend
Micro.

¾ Más del 80% de los Ayuntamientos de grandes y medianos municipios accede a la Red a través de banda
ancha, mientras que en el grupo de pequeños municipios la proporción se reduce al 50%. Más del 98% de las
entidades utiliza programas antivirus y aproximadamente un 70%, cortafuegos, siendo la primera prácticamente
la única herramienta implantada en la mayoría de las administraciones de los municipios de reducido tamaño
para protegerse de posibles incidencias de seguridad en su información.

¾ La implantación de las principales medidas y prácticas de seguridad muestra un índice medio superior al 50%
para todos los gobiernos locales, a excepción de los de municipios de menor población.

¾ Una generosa aplicación de la práctica totalidad de medidas disponibles por los gobiernos de grandes y
medianos municipios, en contraposición a los de las localidades de menor tamaño, que hacen depender
prácticamente toda su seguridad de los antivirus; en este grupo de entidades, la siguiente medida de seguridad
en cuanto a su nivel de implementación (cifrado de comunicaciones) difiere con la primera en 30 puntos
porcentuales (un 94,9% frente a un 62,7%). Estos datos evidencian la necesidad de impulsar en los pequeños
municipios el uso de medidas de carácter proactivo (ej. copias de respaldo de datos y del software).

¾ La política de “mesa despejada y pantalla bloqueada” (práctica considerada por los expertos consultados como
la más importante) está implantada en menos del 36% de las entidades locales españolas, si bien la segunda
más valorada (control del terminal del usuario) se encuentra en más del 90% de las entidades consultadas.

¾ Se precisa realizar un mayor esfuerzo en formación en constante actualización, así como inversiones en nuevos
procesos y tecnologías informáticas (expansión de la firma digital) para prevenir posibles riesgos, en
colaboración con los principales proveedores de medidas de seguridad. Es imprescindible asimismo
complementar esas actuaciones con la implantación de protocolos de actuación y códigos de conducta
enfocados hacia el cumplimiento de las prácticas de seguridad esenciales para alcanzar el objetivo de
seguridad.

Madrid, 20 de septiembre de 2007.- El desarrollo de la sociedad de la información en el


ámbito de las Administraciones Públicas implica la creación de un clima de confianza en el uso
de las tecnologías, derivado de la garantía de la integridad de los derechos fundamentales por
medio de la seguridad de los sistemas, datos y comunicaciones.

Con el objeto de proporcionar una visión actualizada del estado y necesidades de seguridad y
confianza digital de las entidades públicas locales en España que identifique los principales
riesgos a los que están expuestos sus sistemas de información y comunicaciones, el Instituto
Nacional de Tecnologías de la Comunicación (INTECO), a través de su Observatorio de la

Observatorio de la Seguridad de la Información Página 1 de 10


Instituto Nacional
de Tecnologías
de la Comunicación

Seguridad de la Información presenta el Estudio sobre la Seguridad de la Información y e-


Confianza en el ámbito de las entidades locales.

Para la elaboración de este estudio, el Observatorio de INTECO ha contado con la


colaboración de la Federación Española de Municipios y Provincias (FEMP), la
Subdirección General de Coordinación de Recursos Tecnológicos del Ministerio de
Administraciones Públicas (MAP) y el apoyo de tres de las más principales empresas de
seguridad informática a nivel mundial McAfee, Symantec y Trend Micro.

A partir de los resultados de las encuestas realizadas a una amplia muestra de gobiernos
locales y de las entrevistas personales a expertos en el sector de las Tecnologías de la
Información y la Comunicación, el estudio propone las prácticas de gestión de la seguridad y e-
confianza que deberían adoptarse para garantizar la confidencialidad, integridad y
disponibilidad de la información de ciudadanos y empresas.

Metodología del Estudio

En este estudio se ha empleado una metodología centrada en la obtención de información


primaria dado el carácter inédito de su temática, bajo el objetivo de obtener una visión completa
del estado de la seguridad de la información y la e-confianza dentro de las entidades públicas
locales.

Para ello, se ha trazado una doble vía de actuación:

• De un lado, la generación de información desde una perspectiva técnico-legislativa, con


entrevistas personales a expertos/profesionales en la materia, tanto del sector
público como del privado, que han colaborado en la identificación de las mejores
prácticas de gestión de la seguridad y la e-confianza para los gobiernos locales.

• De otro, se han realizado encuestas a cargos políticos, personal laboral administrativo,


técnicos y usuarios en general de los sistemas de información de los gobiernos locales
de los municipios españoles teniendo en cuenta las características diferenciales de
las mismas, en función del tamaño de los respectivos municipios (número de habitantes)
y el ámbito competencial territorial en el caso de las Diputaciones, Consells, Cabildos
Insulares y ciudades autónomas.

Esta doble vertiente permite analizar y confrontar los estados real y formal de los elementos
intervinientes.

La muestra, compuesta por 471 Ayuntamientos y 49 Diputaciones, Consells y Cabildos


Insulares, que suponen una cobertura sobre el total del 5,8% y más del 70%
respectivamente, se ha distribuido para el análisis en nueve estratos a los que se añade el
grupo de entidades locales provinciales, aunque los resultados se han agregado finalmente de
cara a las conclusiones generales concentrando esos nueve estratos en tres grandes
grupos: pequeños (entidades de municipios con una población inferior a 2.000

Observatorio de la Seguridad de la Información Página 2 de 10


Instituto Nacional
de Tecnologías
de la Comunicación

habitantes), medianos (de 2.000 a 50.000 habitantes) y grandes (más de 50.000


habitantes).

Equipamiento y medidas de seguridad en las entidades locales

El tamaño del municipio es directamente proporcional al número de empleados en el gobierno


local y, en consecuencia, al número de equipos informáticos de los que dispone.

En cuanto a los sistemas de conexión a Internet, más del 80% de los Ayuntamientos de
grandes y medianos municipios accede a la Red a través de banda ancha, mientras que
en el grupo de pequeños municipios la proporción se reduce, sin llegar a alcanzar, en ciertos
estratos, al 50%; en este grupo, los métodos de acceso más tradicionales, como la red de
telefonía básica, son los más frecuentes.

Gráfico: Dispositivos de seguridad de la información en las Administraciones Locales


españolas (%)

 
Antivirus 98,1%

Cortafuegos 74,7%

Autenticación/Control acceso 71,4%

Anti-spam 70,8%

Cifrado de comunicaciones 70,3%

Otros sistemas (malware) 53,3%

Firma e./certificados digitales 52,3%

Filtrado de contenidos 47,9%

Copias de seguridad 46,1%

VPN (acceso remoto) 40,2%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Fuente: INTECO

Por último, la medida de seguridad informática más extendida es el uso de programas


antivirus, implementada en la práctica totalidad de entidades públicas locales (98%), seguida
del cortafuegos (74,7%), los dispositivos de autenticación y control de acceso, los programas
contra la recepción del correo basura y el cifrado de comunicaciones, herramientas con un
índice de penetración superior al 70%. Por el contrario, medidas como la firma electrónica y o
la ejecución de copias de seguridad de datos presentan índices de adopción inferiores al 50%.

Observatorio de la Seguridad de la Información Página 3 de 10


Instituto Nacional
de Tecnologías
de la Comunicación

Buenas prácticas de gestión de seguridad en los gobiernos locales

La situación de la seguridad de la información en las entidades públicas locales españolas,


atendiendo a la clasificación en áreas de seguridad propuesta por el Código de Buenas
Prácticas para la Gestión de la Seguridad de la Información contenido en la Normativa
internacional ISO/IEC 27002:2007, es la siguiente:

• En el área de Organización y Gestión de la Seguridad, que pretende impulsar la


clasificación de la información según su valor o grado de confidencialidad, la
designación de un responsable de seguridad de la información y la redacción de un
documento de políticas de seguridad, los Ayuntamientos de pequeños municipios
presentan un nivel de adopción deficiente: sólo el 35% de los gobiernos locales de este
grupo ha implementado estas medidas. Los índices ascienden en el caso de
Diputaciones, Consells y Cabildos Insulares (47%) y Ayuntamientos de grandes
municipios (52%), si bien, en este área, el grupo más avanzado es el de gobiernos de
localidades de tamaño mediano, con un grado de asimilación del 60%.

Gráfico: Comparativa de indicadores por área de seguridad y grupo de tamaño (%)

90%
78,4
74,0
80% 72,9
75,2
70% 62,3 61,9 68,5
72,8 73,2
60% 59,6 48,4
52,8
50% 53,8 37,8
50,9
40% 46,8 44,2
46,8
33,5
30% 35,9 29,0
29,4 23,3
20% 24,9
15,5
10% 7,8
0%
Organización y Seguridad de Seguridad de Seguridad de Seguridad de Cumplimiento Seguridad de
gestión de la los Activos los Recursos las Redes y los Accesos y Normativo y las
seguridad Humanos Operaciones Datos continuidad del aplicaciones
negocio
Aytos. Pequeños m unic. (m enos de 2.000 hab.)
Aytos. Medianos m unic. (de 2.000 a 50.000 hab.)
Aytos. Grandes m unic. (m ás de 50.000 hab.)
Diputaciones, Consells y Cabildos Insulares

Fuente: INTECO

• En cuanto al área de Seguridad de los Activos, actuaciones como el inventariado de


activos, la política de mesa despejada y pantalla bloqueada, el borrado de información
de los equipos informáticos por renovar y la restricción de acceso a áreas privadas
arrojan unos porcentajes que, al igual que en la mayoría de las áreas consideras, son
superiores en los grupos de Ayuntamientos de grandes municipios y entidades locales
provinciales (62% y 59%, respectivamente). Nuevamente, los gobiernos de los
municipios más pequeños ofrecen el menor índice de aplicación de estas prácticas
(29%).

Observatorio de la Seguridad de la Información Página 4 de 10


Instituto Nacional
de Tecnologías
de la Comunicación

• En el área de Seguridad de los Recursos Humanos se hace imprescindible la firma de


acuerdos de confidencialidad con los empleados, su formación en seguridad o la
inclusión de roles y responsabilidades. En este caso, se dan menores índices de
implementación general; oscilan entre el 15% y el 38% correspondientes,
respectivamente, a Ayuntamientos de pequeños y grandes municipios.

• El área de Seguridad de las Redes y Operaciones implica el establecimiento de


requisitos de seguridad con contratistas y proveedores externos, los controles de
prevención y detección de códigos maliciosos (malware), la realización de copias de
seguridad (backup), la conservación y revisión de los registros de las operaciones o una
política de uso correcto del correo electrónico. Todas las categorías de administraciones
locales alcanzan en este caso su valor máximo respecto al resto de las áreas
analizadas, con porcentajes de implantación entre el 47% (administraciones locales de
pequeños municipios) y el 79% (en el caso de los medianos municipios). Los grandes
Ayuntamientos y las Diputaciones, Consells y Cabildos Insulares superan el 70% y se
diferencian tan sólo en una décima.

• El área de Seguridad de los Accesos y Datos se apoya en reglas documentadas para


el alta, baja y/o asignación de contraseñas, el acceso seguro a la red mediante un
proceso de identificación o el control de la configuración informática sólo por personal
autorizado. Los valores medios en este campo alcanzan sólo el 25% en el caso de los
gobiernos de las localidades pequeñas, llegan al 60% en el de los medianos y superan
el 70% en los Ayuntamientos de grandes municipios y en las entidades locales
provinciales, con menos de un punto porcentual de diferencia entre ellos.

• El área de Seguridad de las Aplicaciones (sistemas operativos, infraestructura y


aplicaciones estándar) abarca, entre otras prácticas, la actualización de dichas
aplicaciones y la encriptación de datos de información crítica o sensible. Se ejecutan de
forma efectiva en tres de cada cuatro Diputaciones, Consells y Cabildos Insulares y casi
un 70% de media entre los entes locales de los grandes municipios.

• El área de Continuidad Operativa y Cumplimiento Normativo se dirige, por un lado, a


garantizar la oportuna reanudación tras una interrupción de las actividades a
consecuencia de desastres o incidencias graves y, por otro, trata de evitar cualquier tipo
de incumplimiento legal, reglamentario o regulatorio, a través del respeto a la LOPD de
Protección de Datos, la realización de auditorías sobre el cumplimiento de políticas de
seguridad o la disposición de un documento de seguridad actualizado. Estas prácticas
están implantadas en menos del 50% de las entidades locales. El valor más pequeño se
corresponde, de nuevo, con los Ayuntamientos de municipios de tamaño más pequeño,
aunque también cabe destacar que sólo uno de cada cuatro entes públicos de grandes
municipios cumplen las normas y prácticamente ninguno de ellos realiza auditorías
sobre seguridad.

Observatorio de la Seguridad de la Información Página 5 de 10


Instituto Nacional
de Tecnologías
de la Comunicación

Estado actual de la seguridad y la confianza digital

Los expertos en tecnologías de la información, comunicaciones y seguridad consultados han


subrayado, en cuanto a la situación de la seguridad y confianza digital en el ámbito de las
entidades locales, las siguientes fortalezas:

• Elevada concienciación sobre la importancia de la seguridad de los sistemas de


información.

• Asignación de un responsable de seguridad de cara al cumplimiento de la


normativa de protección de datos personales e inclusión de cláusulas de seguridad en
contratos.

• Control de los equipos y recursos informáticos mediante un inventario de activos,


controles de protección y acceso físico a los mismos y políticas de gestión de
identificación, contraseñas y autenticación de usuarios remotos, salvo en los
gobiernos de municipios de pequeño tamaño.

• Prevención y detección de software malicioso y actualización de sistemas


operativos y aplicaciones.

En el lado opuesto, los profesionales han identificado una serie oportunidades de mejora
sobre las que las entidades locales deben trabajar:

• Incrementar el presupuesto destinado a la seguridad de la información, más


acentuada en los gobiernos locales de pequeños municipios, que son los que precisan
una mayor inyección de recursos.

• Reforzar las acciones formativas, políticas para el correcto uso de correo


electrónico y de controles criptográficos, mayor control de riesgos de seguridad,
planes de continuidad del negocio (salvo en entes locales de grandes y medianos
municipios), etc. 

• Mejorar el cumplimiento normativo de la protección de datos personales en entidades


de pequeños y medianos municipios, ya que no se realizan auditorías periódicas. 

Conclusiones

Los datos recabados en las encuestas y entrevistas a expertos definen una situación de la
seguridad de la información en el ámbito de las administraciones públicas locales caracterizada
por:

• Un índice medio de implantación de las principales medidas y prácticas de


seguridad superior al 50% para casi todas las entidades locales, a excepción de las
que gobiernan los municipios de menor tamaño poblacional.

Observatorio de la Seguridad de la Información Página 6 de 10


Instituto Nacional
de Tecnologías
de la Comunicación

• Una generosa aplicación de la práctica totalidad de medidas disponibles por los


gobiernos de grandes y medianos municipios, en contraposición a los de las
localidades de menor tamaño, que hacen depender prácticamente toda su seguridad
de los antivirus; en este grupo de entidades, la siguiente medida de seguridad en cuanto
a su nivel de implementación (cifrado de comunicaciones) difiere con la primera en 30
puntos porcentuales (un 94,9% frente a un 62,7%). Estos datos evidencian la necesidad
de impulsar en los pequeños municipios el uso de medidas de carácter proactivo (ej.
copias de respaldo de datos y del software).

• Una mayor preocupación por la salvaguarda de los controles de acceso a los


equipos y la información que en los hogares, más interesados en la protección de los
propios equipos.

• Reforzar las áreas de seguridad relativas a Redes y Operaciones (controles contra


códigos maliciosos y copias de seguridad, entre otras prácticas), Accesos y Datos
(restricción y control de privilegios o autenticación de conexiones remotas) y Activos
(borrado de los equipos previo a su reciclaje), frente a las áreas de Seguridad de los
Recursos Humanos (acuerdos de confidencialidad o establecimiento de roles y
responsabilidades), Continuidad Operativa (plan de reanudación de la actividad ante
cualquier incidencia que afecte a la seguridad) y Cumplimiento Normativo (de las
leyes de protección de datos, entre otras), que registran mayor debilidad y, por tanto,
han de potenciarse.

• Existir una creciente motivación y concienciación hacia la seguridad de la


información dentro de la Administración Local española, siendo aún
imprescindible la realización de actuaciones dirigidas principalmente hacia las
Entidades Locales de los pequeños municipios, en los que aún se ha de impulsar la
cultura de la seguridad de la información mediante la dotación de los medios suficientes
con los que sustentarla.

Las áreas de seguridad más valoradas por los expertos consultados y que, por ello, han
de constituir la base sobre la que se asienten las demás son las de Seguridad de los Activos y
Seguridad de los Datos. Dentro de estas áreas, las prácticas de seguridad consideradas más
relevantes han sido la de mesa despejada, haciendo uso de medios de almacenamiento
removibles, y la pantalla bloqueada para reducir el riesgo de acceso no autorizado (Activos),
presente en menos del 36% de las entidades locales, así como el control del terminal del
usuario (Accesos y Datos), implantada en más del 90% de los mismos y relacionada con la
gestión de contraseñas y autenticación del usuario.

Observatorio de la Seguridad de la Información Página 7 de 10


Instituto Nacional
de Tecnologías
de la Comunicación

Tabla: Ranking de mejores prácticas de seguridad y e-confianza (%)

No. Práctica Relevancia Área

1 Política de mesa despejada y pantalla bloqueada 89,7% Seguridad de los Activos


Control de la terminal de usuario al servicio
2 86,2% Seguridad de los Datos
informático
Condiciones de seguridad con terceros con acceso a Organización y gestión de la
3 69,0%
infraestructuras Seguridad
4 Control de acceso a puertos de diagnóstico 69,0% Seguridad de los Datos
Infraestructuras de servicios de gestión externa con Seguridad de las Redes y
5 65,5%
controles de seguridad con los contratistas Operaciones
Autenticación de las conexiones a sistemas
6 65,5% Seguridad de los Datos
informáticos remotos
Control de routing o encaminamiento a aplicaciones
7 65,5% Seguridad de los Datos
de negocio
Áreas de seguridad protegidas por controles de
8 62,1% Seguridad de los Activos
entrada
Equipamiento protegido de interceptaciones y de
9 62,1% Seguridad de los Activos
telecomunicaciones
10 Usuarios con un identificador único 62,1% Seguridad de los Datos

Fuente: INTECO

Recomendaciones

La motivación y concienciación sobre la importancia de la seguridad de la información en la


administración local española es cada vez mayor, pero aún deben emprenderse ciertas
actuaciones, dirigidas de forma más urgente hacia las entidades públicas de los municipios
más pequeños, con el fin de impulsar una verdadera cultura de la seguridad de la información.

Las recomendaciones de los expertos se centran principalmente en:

• Apoyo público para garantizar el acceso electrónico de los ciudadanos a los servicios
públicos. Para ello se precisa una financiación suficiente, preferiblemente mediante
ayudas directas.

• Concienciación y formación, haciendo especial hincapié en su continua actualización


y en los aspectos peculiares de cada administración local. La dispersión geográfica es
un inconveniente que puede ser superado recurriendo a la teleformación.

• Extensión masiva de la firma digital, orientada hacia una autenticación e identificación


segura que ha de complementar a las medidas de seguridad adoptadas actualmente
(antivirus, antispam, antiespías), insuficientes para una adecuada seguridad de la
información en las entidades locales.

• Certificación de la seguridad de la información y confianza digital, de forma que la


implantación de estas prácticas se adapte a los estándares internacionales (ISO IEC
27001).

Observatorio de la Seguridad de la Información Página 8 de 10


Instituto Nacional
de Tecnologías
de la Comunicación

El papel de las administraciones públicas, según la FEMP e INTECO, se ha de centrar


especialmente en la formación (difusión, divulgación y comunicación y cursos de
teleformación), el control (protocolos de actuación para el tratamiento de datos personales) y el
diagnóstico periódico y la ampliación de servicios en materia de seguridad que faciliten la
implantación y el cumplimiento de las mejores prácticas de seguridad en el ámbito de las
entidades locales.

Por su parte, la industria, según INTECO y las empresas colaboradoras en el estudio, habría
de colaborar más en este tipo de iniciativas públicas personalizando su oferta, para lo cual se
hace muy necesaria una concienciación previa (mayor conocimiento sobre los riesgos
informáticos) y una mayor inversión en procesos, tecnología y personal informático, tareas que
la propia Administración debe incluir en el plan institucional de cada entidad local.

Sobre INTECO

El Instituto Nacional de Tecnologías de la Comunicación (INTECO), sociedad estatal


promovida por el Ministerio de Industria, Turismo y Comercio con sede en León, cuya misión es
impulsar y desarrollar proyectos de innovación relacionados con el sector de las Tecnologías
de la Información y la Comunicación (TIC) y en general, en el ámbito de la Sociedad de la
Información. Para ello, INTECO desarrolla actuaciones, al menos, en líneas estratégicas de
seguridad tecnológica, accesibilidad, innovación en soluciones TIC para la PYME, e-salud y e-
democracia.

El Observatorio de la Seguridad de la Información se inserta dentro de la línea estratégica


de actuación de INTECO en materia de seguridad tecnológica. El Observatorio nace con el
objetivo de describir de manera detallada y sistemática el nivel de seguridad y confianza en la
Sociedad de la Información y de generar conocimiento especializado en la materia. De este
modo, se encuentra al servicio de los ciudadanos, las empresas y las administraciones públicas
españolas para describir, analizar, asesorar y difundir la cultura de la seguridad de la
información y la e-confianza.

La Federación Española de Municipios y Provincias (FEMP) es una asociación de


Gobiernos Locales que agrupa Ayuntamientos, Diputaciones, Consells y Cabildos Insulares, en
total de más de 7.200 municipios. Tiene entre sus objetivos el fomento y la defensa de la
autonomía de los Gobiernos Locales; la representación y defensa de los intereses generales de
los Ayuntamientos, Diputaciones, Consells y Cabildos Insulares ante otras Administraciones
públicas; y la gestión de programas del Gobierno dirigidos al área local.

Sobre el Estudio

El Observatorio de INTECO presenta el Estudio sobre la Seguridad de la Información y e-


Confianza en el ámbito de las Entidades Locales, con el objetivo general de evaluar el

Observatorio de la Seguridad de la Información Página 9 de 10


Instituto Nacional
de Tecnologías
de la Comunicación

estado operativo de los principales medios y sistemas de seguridad implantados en las


mismas tratando de identificar los riesgos a los que están expuestos sus sistemas de
información y comunicaciones.

Concretamente, por un lado, este estudio trata de establecer un marco de referencia para
orientar un plan integral de adecuación y modernización de los sistemas y medidas de
seguridad, que refuerce la e-confianza de los usuarios en los servicios de Administración
Electrónica, y por otro, de distinguir nuevos campos y vías de actuación para la
introducción de avances en las aplicaciones y herramientas de seguridad que mejoren las
condiciones de seguridad de la información en el ámbito de los gobiernos locales y su relación
con otros agentes.

Por último, y para mejorar la seguridad de la información en este contexto, resulta


imprescindible crear conciencia sobre la importancia de la formación de los profesionales y
técnicos en seguridad de la información de los Ayuntamientos, Diputaciones, Consells y
Cabildos Insulares.

El estudio ofrece un análisis único e inédito hasta el momento de la situación actual de


seguridad en la Administración Local española, evaluando y valorando el nivel de
implantación en la misma de las herramientas y medidas de seguridad más importantes
disponibles en la actualidad, así como el grado de implementación de las mejores prácticas
para la gestión de la seguridad de la información identificadas en la Normativa Internacional
ISO/IEC 27002:2007. Asimismo, el informe recoge las principales recomendaciones y líneas de
actuación aportadas por los distintos agentes que han colaborado en la realización de este
estudio, bajo la premisa de prevenir posibles incidencias que puedan afectar a la seguridad de
la información y, en su caso, obrar en consecuencia mediante el establecimiento de un
protocolo de actuación que resulte propicio para la defensa de la organización ante las
múltiples amenazas informáticas existentes hoy día.

Observatorio de la Seguridad de la Información Página 10 de 10

You might also like