Pla nacional d'impuls de la seguretat de les TIC a Catalunya

La missió

La missió del pla nacional de seguretat de les TIC és garantir una Societat de la Informació Segura a Catalunya per a tots i totes, operant un Centre de Seguretat de la Informació de Catalunya, com a eina per a l’execució de les polítiques públiques en seguretat TIC, i la generació d’un teixit empresarial català de suport, aplicacions i serveis de seguretat TIC que sigui referent nacional i internacional.

Quatre objectius estratègics principals:

1. Establiment d’una estratègia nacional de seguretat TIC. Cal definir un model públic català de seguretat de la societat de la informació a Catalunya.

2. Suport a la protecció de les infraestructures crítiques TIC nacionals. Ajudar a evitar les conseqüències d'un atac contra els sistemes industrials de control ja que un atac cibernètic causaria poques o cap víctima però podria implicar la pèrdua de serveis d'infraestructura vital

3. Promoció d’un teixit empresarial català sòlid en seguretat TIC. Promoure una xarxa de PIME's per a la prestació de serveis de seguretat i resposta a incidents de seguretat així com una comunitat en seguretat TIC especialitzada en tots els aspectes de la seguretat, amb una especial atenció a la formació i certificació de professionals, empreses, productes i programari, en aquest cas basant-se en les potencialitats d’un mercat de programari lliure de seguretat, així com de la innovació i la recerca.

4. Increment de la confiança i protecció de la ciutadania catalana en la societat de la informació. Cal posar atenció especial als col·lectius amb més riscos, com per exemple els infants i els joves, mitjançant l'establiment de programes de conscienciació i suport específicament adreçat a aquests col·lectius.

El Centre de Seguretat de la Informació a Catalunya (CESICAT)

Per poder dur a terme aquests objectius estratègics la STSI (Secretaria de Telecomunicacions i Societat de la Informació de la Generalitat de Catalunya impulsa la creació del Centre de Seguretat de la Informació a Catalunya (CESICAT).

El CESICAT aborda programes plurianuals d'actuació, en el document del Pla Nacional podeu consultar-ne els actuacions concretes per al període 2009 – 2013 per a cada un dels objectius.

Les actuacions són:

• L'establiment d'una estratègia global de seguretat de la informació per a Catalunya

Els objectius principals de l’estratègia global de seguretat de la informació per a Catalunya són els següents:

2. Reduir el grau de vulnerabilitat de Catalunya als atacs informàtics.

3. Minimitzar els danys i el temps de recuperació en cas d’atac informàtic.

4. Millorar la capacitat de resposta global de la societat catalana en relació amb els incidents de seguretat.

• Capacitat de resposta a incidents de seguretat (CSIRT)

CSIRT és una equip d'experts en seguretat de les TIC dedicat a donar resposta a incidents de seguretat informàtica, mitjançant la prestació d'una sèrie de serveis adreçats a ocupar-se d'aquests incidents i ajuda als seus usuaris a recuperar el funcionament ordinari en cas de patir un incident (serveis reactius).

L' abast dels serveis de prevenció i resposta a incidents

El CSIRT ofereix serveis agrupats en en tres categories:

• Anàlisi de riscos amb impacte sobre el desenvolupament de la Societat de la Informació a Catalunya

• Serveis de seguretat TIC gestionada

El CESICAT oferirà tres serveis de seguretat TIC gestionada:

- Servei de detecció i prevenció d’intrusos (IDPS).

- Servei de gestió de registres de seguretat (SIEM).

- Servei de gestió de vulnerabilitats (VMS).

• Suport i foment de la protecció i l'assegurament del domini .CAT i dels serveis bàsics d'Internet.

• Establiment i seguiment d'un pla de protecció d'infraestructures crítiques en TIC governamentals.

• Col·laboració público-privada en relació amb les infraestructures TIC no governamentals localitzades en territori català

• Creació d'una xarxa de PIMEs especialitzades en seguretat TIC

• Promoció d'una comunitat de desenvolupament d'eines de seguretat TIC

• Promoció de l'avaluació i certificació de processos de desenvolupament segur del programari

• Promoció de la certificació dels processos de seguretat: ISO 27000

• Promoció de la formació i certificació de professionals en seguretat TIC

• Promoció de la certificació de seguretat de productes: Common Criteria

• Promoció de la recerca i innovació en seguretat TIC

Les actuacions a realitzar inclouen les següents:

- Creació d’una càtedra en seguretat TIC amb alguna Universitat catalana o Centre de recerca especialitzat.

- Publicacions conjuntes Universitat-Empresa-CESICAT.

- Subvencions per a programes de recerca en seguretat TIC (doctorats, etc), i per a publicacions de prestigi.

• Educació en seguretat i confiança en col·lectius amb riscos especials

Les actuacions a realitzar, moltes vegades en règim de col·laboració amb altres entitats, inclouen les següents:

- Presència els principals portals públics i privats adreçats a públic català, i altres eines sota la filosofia Web 2.0 (e-Catalunya, YouTube).

- Publicació de guies, recomanacions, materials didàctics específics per a cada col·lectiu identificat.

- Actuacions específiques, com actes de sensibilització adreçats a aquests col·lectius.

• Promoció entre la ciutadania dels instruments de seguretat essencials

Les actuacions a realitzar són les següents:

- En col·laboració amb l’entitat pública de certificació de Catalunya, foment de l’extensió de l’ús dels certificats electrònics.

- Difusió, formació i, eventualment, subministrament d’eines de vigilància i monitoratge instal·lades als ordinadors dels ciutadans – amb el seu consentiment – per detectar amenaces de forma proactiva.

- Difusió, formació i, eventualment, subministrament d’eines de còpia de seguretat, xifratge i altres que es considerin necessàries.