Plan de confianza en el mbito digital 2013-2015

Agenda digital para Espaa

Febrero 2014

NDICE

NDICE ......................................................................................................................... 2 1 2 INTRODUCCIN .................................................................................................... 4 SITUACIN ACTUAL .............................................................................................. 6 2.1 2.2 2.3 2.4 2.5 2.6 2.7 3 4 POTENCIAL DEL SECTOR TIC........................................................................................6 IMPACTO DE LA CONFIANZA DIGITAL ..............................................................................7 CIBERSEGURIDAD......................................................................................................8 PRIVACIDAD ..........................................................................................................11 INFANCIA Y ADOLESCENCIA ........................................................................................14 TRANSACCIONES ELECTRNICAS .................................................................................17 MERCADO E INDUSTRIA ............................................................................................20

OBJETIVOS DEL PLAN .........................................................................................22 POLTICAS SELECCIONADAS ..............................................................................23 4.1 4.2 4.3 4.4 CAPACIDADES PARA LA RESILIENCIA .............................................................................23 OPORTUNIDAD PARA LA INDUSTRIA TIC........................................................................24 OPORTUNIDAD PARA LOS PROFESIONALES......................................................................26 EXPERIENCIA DIGITAL SEGURA ....................................................................................27

EJES DEL PLAN PROPUESTOS .............................................................................29 5.1 5.2 DESCRIPCIN GENERAL ............................................................................................29 EJE I: EXPERIENCIA DIGITAL SEGURA ..........................................................................30
5.2.1 5.2.2 5.2.3 5.2.4 Descripcin ..............................................................................................................30 Objetivos .................................................................................................................30 Medida 1: Plan de sensibilizacin de INTECO...............................................................30 Medida 2: Plataforma de colaboracin pblico-privada para incrementar la confianza digital 31 5.2.5 Medida 3: Piloto en itinerarios educativos escolares .....................................................32 5.2.6 Medida 4: Plan de menores en Internet ......................................................................32 5.2.7 Medida 5: Punto neutro de gestin de incidentes.........................................................34

5.3

EJE II: OPORTUNIDAD PARA LA INDUSTRIA TIC..............................................................34

5.3.1 5.3.2 5.3.3 5.3.4 5.3.5 5.3.6 5.3.7 Descripcin ..............................................................................................................34 Objetivos .................................................................................................................35 Medida 6: Comit Tcnico de Coordinacin .................................................................35 Medida 7: Soporte especializado a las estructuras de evaluacin de proyectos ...............36 Medida 8: Refuerzo de la capacidad de deteccin de demanda temprana ......................36 Medida 9: Polo tecnolgico en ciberseguridad .............................................................37 Medida 10. Foro Nacional para la Confianza Digital ......................................................38 Descripcin ..............................................................................................................39 Objetivos .................................................................................................................39 Medida 11: Adopcin de la nueva regulacin europea ..................................................40 Medida 12: Esquema de gestin de incidentes de seguridad .........................................40

5.4

EJE III: NUEVO CONTEXTO REGULATORIO .....................................................................39

5.4.1 5.4.2 5.4.3 5.4.4

5.4.5 Medida 13: Esquema de indicadores para la confianza digital .......................................41

5.5

EJE IV: CAPACIDADES PARA LA RESILIENCIA: INTECO 2.0 ...............................................42

5.5.1 5.5.2 5.5.3 5.5.4 Descripcin ..............................................................................................................42 Objetivos .................................................................................................................42 Medida 14: Transformacin organizativa y refuerzo .....................................................42 Medida 15: Nueva plataforma tecnolgica de alerta temprana y servicios de vigilancia tecnolgica ..............................................................................................................43 5.5.5 Medida 16: Nuevos canales de comunicacin para la confianza digital ...........................44 5.5.6 Medida 17: Cooperacin con la seguridad pblica y la proteccin de las infraestructuras crticas.....................................................................................................................45 5.5.7 Medida 18: Colaboracin en ciberejercicios .................................................................45

5.6

EJE V: PROGRAMA DE EXCELENCIA EN CIBERSEGURIDAD ....................................................46

5.6.1 5.6.2 5.6.3 5.6.4 5.6.5 5.6.6 5.6.7 5.6.8 5.6.9 Descripcin ..............................................................................................................46 Objetivos .................................................................................................................46 Medida 19: Equipo de investigacin avanzada .............................................................46 Medida 20: Jornadas Espacio de ciberseguridad........................................................47 Medida 21: Formacin especializada en ciberseguridad ................................................47 Medida 22: Mster Ciberseguridad INTECO .................................................................48 Medida 23: Programa de becas de INTECO .................................................................48 Medida 24: Evento de ciberseguridad .........................................................................49 Medida 25: Estudio de viabilidad de una red de centros de excelencia en ciberseguridad 49

6 7 8

CALENDARIO .......................................................................................................50 PRESUPUESTO.....................................................................................................52 ANEXO I ANLISIS DE ESTRATEGIAS EN MATERIA DE CONFIANZA DIGITAL PARA IDENTIFICAR LOS COMPROMISOS DEL PLAN ..........................................54 8.1 8.2 8.3 AGENDA DIGITAL PARA ESPAA ..................................................................................54 ESTRATEGIA EUROPEA DE CIBERSEGURIDAD ..................................................................57 ESTRATEGIA DE CIBERSEGURIDAD NACIONAL .................................................................60

ANEXO II CORRELACIN EXISTENTE ENTRE LOS COMPROMISOS Y LAS ACCIONES DEL PLAN...........................................................................................63 9.1 9.2 9.3 AGENDA DIGITAL PARA ESPAA ..................................................................................63 ESTRATEGIA EUROPEA DE CIBERSEGURIDAD ..................................................................63 ESTRATEGIA DE CIBERSEGURIDAD NACIONAL .................................................................64

1 Introduccin
La generalizacin del uso de las TIC, y de Internet en particular, ha transformado profundamente la economa y la sociedad. Las actividades econmicas y las relaciones sociales se desarrollan cada vez con ms intensidad en el mbito digital conformando un ecosistema hiperconectado, centrado en la movilidad y en la utilizacin de todo tipo de dispositivos, disfrutando de la comunicacin instantnea, geolocalizada y basada en un intercambio intensivo de informacin personal. Las polticas de la UE, de los gobiernos ms desarrollados en la OCDE1 y de Espaa, a travs de la Agenda Digital para Espaa, apuestan por este modelo centrado en la economa y la sociedad digitales para el crecimiento, el empleo y el bienestar. El Cloud Computing, las Smart Cities o el BigData, entre otras, son industrias de futuro que aprovechan este ecosistema digital. El desarrollo sostenible de este modelo de crecimiento, empleo y bienestar requiere el establecimiento de un clima de confianza que favorezca las inversiones, que permita realizar una gestin adecuada de los riesgos que la comprometan y que proporcione la seguridad y la proteccin que la ciudadana y las empresas necesitan. Conseguirlo es una tarea compleja que precisa del compromiso de las administraciones, de las empresas y de la ciudadana. La construccin de un clima de confianza requiere actuar sobre diferentes mbitos, entre ellos la ciberseguridad, el respeto y la proteccin de la privacidad, el uso responsable y seguro de servicios y contenidos, la proteccin de los colectivos especialmente vulnerables, la resistencia y fortaleza de las infraestructuras tecnolgicas de las que somos especialmente dependientes, la seguridad jurdica de las relaciones personales y econmicas en dicho entorno, as como la proteccin del consumidor en Internet. Por todo ello, la Agenda Digital para Espaa (ADpE) incorpor, como uno de sus objetivos principales, el compromiso de desarrollar las medidas necesarias para contribuir a la construccin de un clima de confianza en el mbito digital. Este compromiso se materializa a travs de un Plan especfico para la confianza en el mbito digital cuyo alcance se restringe exclusivamente al mercado digital interior, la ciudadana, las empresas, la industria y los profesionales. Dentro de este alcance objetivo, el Plan de Confianza en el mbito Digital (PCD) incorpora, adems, los compromisos que se derivan de otras estrategias o polticas pblicas relacionadas con la confianza digital que se han publicado con posterioridad a la Agenda Digital para Espaa. En primer lugar, el Plan de Confianza en el mbito Digital responde a la Estrategia Europea de Ciberseguridad2 (EUCS), reforzada por las Conclusiones de Consejo de la Unin Europea3 del 25 de junio de 2013, que tiene por objetivo un ciberespacio abierto, seguro y protegido y que incluye numerosas iniciativas impulsadas por la Agencia Europea para la Seguridad de las Redes
1

La OCDE, por ejemplo, apuesta como eje central de sus futuras recomendaciones y polticas por este modelo centrado en la economa de Internet para el crecimiento, el empleo y el bienestar, denominado Internet Economy. Ms informacin disponible en: http://www.oecd.org/sti/ieconomy/ 2 Comisin Europea (2013): Estrategia Europea de Ciberseguridad (EUCS). Ms informacin disponible en: http://ec.europa.eu/digital-agenda/en/news/eu-cybersecurity-plan-protect-open-internet-and-onlinefreedom-and-opportunity-cyber-security 3 Conclusiones de Consejo de Asuntos Generales de la Unin Europea sobre la Estrategia Europea de Ciberseguridad, debatida en el grupo de Amigos de la Presidencia sobre el Ciberespacio.

y de la Informacin (ENISA)4. Esta estrategia ser de gran inspiracin para el diseo de actuaciones nacionales en la materia. En segundo lugar, responde tambin a la Estrategia de Seguridad Nacional5 (ESN), del 31 de mayo de 2013, y ms especficamente a la Estrategia de Ciberseguridad Nacional6 (ECSN) aprobada el 5 de diciembre de 2013 con el objetivo de garantizar un uso seguro de las redes y los sistemas de informacin a travs del fortalecimiento de nuestras capacidades de prevencin, deteccin y respuesta a los ciberataques. Estas estrategias establecen adems un conjunto de compromisos ms ricos y ambiciosos de actuacin en materia de seguridad pblica (ciberdelito), seguridad de las administraciones pblicas y la ciberdefensa que hay que hacer frente con medidas concretas en colaboracin con todas las partes implicadas. Estos compromisos no sern objeto del alcance de este Plan de Confianza Digital. El Plan de Confianza en el mbito Digital (PCD), por tanto, hace suyos los compromisos de la Agenda Digital para Espaa7, de la Estrategia Europea de Ciberseguridad (EUCS) y de la Estrategia de Ciberseguridad Nacional (ECSN) en los mbitos de la confianza digital y en el alcance objetivo del mercado digital interior, la ciudadana, las empresas, la industria y los profesionales, proponiendo un conjunto de medidas que contribuyan a darles cumplimiento y alcanzar los objetivos conjuntos en colaboracin con todos los agentes implicados. El anlisis de los compromisos estratgicos, que se puede consultar en el Anexo I, constituye la base de las lneas de actuacin de este Plan de Confianza en el mbito Digital. Junto a este anlisis, y partiendo del estudio de la situacin actual en la materia, se han determinado los objetivos del Plan. Para dar respuesta a estos objetivos, se ha realizado una seleccin de polticas que determinarn los ejes del Plan. Cada eje, a su vez, se ha desarrollado en medidas especficas que identificarn responsables, fases y presupuesto estimado. Para facilitar la trazabilidad, se han incluido, en el Anexo II, tablas de alineamiento de las acciones del presente Plan con los compromisos de la Agenda Digital para Espaa (ADpE), la Estrategia Europea de Ciberseguridad (EUCS) y la Estrategia de Ciberseguridad Nacional (ECSN) que facilitarn tambin el seguimiento y el reporte. Este Plan de Confianza en el mbito Digital se coordinar con las medidas de otros planes que desarrollan la Agenda Digital para Espaa como son el Plan de Desarrollo e Innovacin del Sector TIC, el Plan de Internacionalizacin de Empresas Tecnolgicas y el Plan de Inclusin Digital y Empleabilidad.

ENISA (2012): Anual Report 2012. Ms informacin disponible en: https://www.enisa.europa.eu/publications/programmes-reports/general-report-2012 Cabe sealar que el pasado 19 de junio de 2013 entr en vigor un nuevo Reglamento mediante el cual se le encomienda un mandato de siete aos dotado de un conjunto ampliado de responsabilidades. Ms informacin disponible en: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:165:0041:0058:EN:PDF 5 Presidencia del Gobierno (2013): Estrategia de Seguridad Nacional (ESN). Ms informacin disponible en: http://www.lamoncloa.gob.es/NR/rdonlyres/5A600DAD-CFEF-45C1-84F0DF5B06684E26/0/EstrategiaSeguridad_3105.pdf 6 ECSN (2013) http://www.lamoncloa.gob.es/NR/rdonlyres/680D00B8-45FA-4264-97791E69D4FEF99D/255433/20131332_completo_05dic13_0955h.pdf 7 Los mandatos de la Agenda Digital para Europa (ADEU) estn ya incluidos en la propia Agenda Digital para Espaa de conformidad con el procedimiento de su propio proceso de elaboracin.

Finalmente, cabe significar que el Plan de Confianza en el mbito Digital se revisar peridicamente para adaptarse a la evolucin de los compromisos en las distintas estrategias de conformidad con los anlisis de impacto y viabilidad que se proponen.

2 Situacin actual
2.1 Potencial del sector TIC
El sector de las Tecnologas de la Informacin y la Comunicacin (TIC) en Europa es uno de los motores de crecimiento de la UE y representa el 6% del Producto Interior Bruto (PIB)8. En Europa, este sector y sus inversiones podran suponer alrededor del 50% del incremento de la productividad (un 20% directamente del sector de las TIC y un 30% de las inversiones en TIC). Este estmulo del desarrollo del mercado nico digital, permitira a Europa incrementar un 4% el PIB en 2020. Este aumento del PIB corresponde a una ganancia de casi 500 mil millones (494 mil millones ), o ms de 1.000 para cada ciudadano9. En lo que se refiere a Espaa, se prev que en 2015, solamente Internet, tenga una contribucin al PIB del 4%. Esto significa un crecimiento anual muy superior al de la mayora de los sectores de la economa espaola. Este incremento est muy relacionado con un superior consumo en Internet en detrimento de otras formas de comercio por una considerable penetracin de la banda ancha, especialmente mvil de alta velocidad, una mayor disposicin a las compras online y una expansin de los dispositivos y servicios en movilidad por lo que se prevn unas tasas positivas de crecimiento del consumo, aun cuando est cayendo de forma general. Este crecimiento requerir de profesionales capacitados y competitivos. La Comisin Europea estima que el sector TIC est produciendo un crecimiento del empleo especializado en un 3% anual que, debido a la falta de nuevos graduados y trabajadores cualificados, producir necesariamente vacantes en toda Europa por ms de 700.000 puestos de trabajo10. Segn un reciente informe de AMETIC11, El crecimiento previsto en el sector digital vendr acompaado de efectos directos e indirectos en el empleo. [] los Contenidos Digitales podran generar entre 175.000 y 305.000 nuevos puestos de trabajo en los prximos 5 aos.

Comisin Europea (2013): Commission Staff Working Document. Impact assessment. Proposal for a Directive of the European Parliament and of the Council Concerning measures to ensure a high level of network and information security across the Union. SWD(2013) 32 final. Ms informacin disponible en: http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?doc_id=1669 9 Copenhagen Economics (2010): The Economic Impact of a European Digital Single Market. Ms informacin disponible en: http://www.epc.eu/dsm/2/Study_by_Copenhagen.pdf 10 Comisin Europea. Comunicado de prensa. Bruselas, 25 de enero de 2013 http://europa.eu/rapid/pressrelease_IP-13-52_es.htm 11 AMETIC (2012): Perfiles profesionales ms demandados en el mbito de los contenidos digitales en Espaa. Ms informacin disponible en: http://www.ametic.es/DescargarDocumento.aspx?idd=4958. Agencia EFE Madrid (2013, 22 de febrero). El Sector TIC puede generar entre 175.000 y 305.000 empleos en cinco aos. RTVE. Ciencia y tecnologa. Ms informacin disponible en: http://www.rtve.es/noticias/20130222/sector-tic-puede-generar-entre-175000-305000-empleos-cincoanos/609968.shtml

2.2 Impacto de la confianza digital

La sostenibilidad de la contribucin al PIB y la productividad de las TIC espaolas dependen, entre otros factores, de la capacidad de generar confianza por medio de productos y servicios de ciberseguridad. Para que las nuevas tecnologas digitales entre ellas los pagos electrnicos, la computacin en la nube o la comunicacin de mquina a mquina puedan desarrollar todo su potencial, es preciso que inspiren confianza a los ciudadanos y a las empresas. Desafortunadamente, una encuesta del Eurobarmetro12 de 2013 mostraba que un 28% de los europeos dudaba de su capacidad para utilizar Internet en sus trmites bancarios o sus compras. Una mayora abrumadora, el 87%, indic, asimismo, que evitaba divulgar informacin personal en lnea por motivos de seguridad. El 10% de los usuarios de Internet en toda la UE manifestaba que haba sido vctima de un fraude en lnea. En Espaa, en el primer cuatrimestre de 2012, el 55% de los usuarios confiaban mucho o bastante en Internet segn un estudio de INTECO13. El reto de elevar este indicador en 2015, hasta el 70%, ha sido recogido por la Agenda Digital para Espaa, en su objetivo de confianza digital. En general, cunta confianza le genera Internet?
100% 8,8% 80% 38,6% 60% 39,9% 37,2%

8,0%

7,8%

40% 52,6% 20% 52,1% 55,0%

0% may-ago'11 Mucha o bastante confianza sep-dic'11 Suficiente confianza ene-abr'12 Poca o ninguna confianza

Fuente: INTECO

Alcanzar este objetivo de confianza digital implica actuar sobre las diversas amenazas que contribuyen a generar desconfianza en Internet, en especial los incidentes de seguridad, el compromiso de la privacidad y la seguridad de las transacciones electrnicas. El anlisis de las
12

Comisin Europea (2013): Eurobarmetro especial sobre ciberseguridad. Nmero 404. Ms informacin

disponible en: http://ec.europa.eu/public_opinion/archives/ebs/ebs_404_en.pdf

13

INTECO (2012): Estudio sobre la seguridad de la informacin y la e-confianza de los hogares espaoles, 1er cuatrimestre de 2012 (18 oleada). Ms informacin disponible en: http://www.inteco.es/Estudios/Estudio_hogares_1C2012

mismas ha permitido diagnosticar los riesgos y proponer polticas pblicas que les hagan frente desde la Unin Europea y desde Espaa. Los incidentes que tienen capacidad potencial para deteriorar la confianza digital se encuentran entre las principales barreras para el desarrollo del mercado digital interior, tal y como se puede ver en la siguiente tabla, lo que implica un deterioro y compromiso de los beneficios estimados en trminos de productividad, crecimiento y empleo. Barreras al mercado nico digital

Nmero

rea

Nmero total de incidentes

Importancia del incidente 1 = bajo 2 = medio 3 = alto

Importancia media

1 2 3 4 5 6 7 8 9 10 11 12 13

General mbito de aplicacin de la Directiva Ley aplicable Privacidad y proteccin de datos Contenido y copyright Responsabilidad online de intermediarios Pagos electrnicos Contratos electrnicos Neutralidad de la Red

7 5 4 21 16 5 5 6 9 10 4 5 3 100

1 4 1 6

3 4 2 10 9 2 6 4 7 2 5 3 57

4 2 7 7 3 4 5 3 2 37

2,6 1,8 2,5 2,1 2,4 2,6 2,6 2,0 2,6 2,3 2,5 2,0 2,0 2,3

Spam
Ciberdelito Resolucin de conflictos Autoregulacin TOTAL

Fuente: Copenhagen Economics sobre la base de un proyecto de informe preparado por la Comisin 14 Europea y presentado en la Primera Conferencia Anual Europea de E-Commerce .

En los siguientes apartados, se analiza con ms detalle la situacin actual en las materias ms relevantes de cara a potenciar la confianza digital, permitiendo realizar un diagnstico para la propuesta de polticas, medidas y actuaciones.

2.3 Ciberseguridad
Nos encontramos en un momento decisivo en la era de Economa y Sociedad Digital donde su sostenibilidad, su potencial econmico y su capacidad para la generacin de empleo estn en juego si los gobiernos no se toman en serio la seguridad de las redes y de la informacin, ya que la economa, la sociedad y los gobiernos dependen de las TIC para gran parte de sus funciones esenciales.

14

Forum Europe (2009): The 1st Annual European E-Commerce Conference. The New E-Commerce Pathway. Ms informacin disponible en: http://www.eu-ems.com/event_images/Downloads/1st%20Annual%20European%20ECommerce%20Conference%20Report.pdf

Los riesgos tecnolgicos, entre ellos las ciberamenazas, los fallos en los sistemas crticos o los incidentes de fraude/robo de datos masivos siguen presentes en 2013 y, es posible, que vuelvan a ocurrir en los prximos diez aos, tal y como pone de manifiesto el World Economic Forum (WEF) en su informe de riesgos globales 201415. Riesgos tecnolgicos en Europa 2013

Fuente: World Economic Forum

El WEF afirma que, en los prximos 10 aos, hay un 10% de probabilidad de que una infraestructura crtica de la informacin pueda sufrir una cada con un elevado impacto econmico. Por otra parte, se estima que el coste del ciberdelito en el mundo se aproxime a los 750.000 millones de euros anuales en prdidas de tiempo, prdidas de oportunidades para la empresas y gastos en solucionar los problemas16. Un reciente estudio de McAfee17, en colaboracin con el Center for Strategic and International Studies, pone de manifiesto la interrelacin entre la ciberdelincuencia y los empleos perdidos. Segn esta fuente, slo en Estados Unidos, se habran perdido potencialmente 508.000 empleos por espionaje ciberntico. A nivel europeo, se estima que slo el coste del ciberdelito en el Reino Unido18 supone 27.000 millones de libras anuales. Una parte significativa de este gasto proviene del robo de la

15

World Economic Forum (2014): Global Risk. Ninth edition. Ms informacin disponible en: http://www.weforum.org/reports/global-risks-2014-ninth-edition 16 Comisin Europea. Comunicado de prensa. Bruselas, 26 de noviembre de 2012 Digital Agenda: European Commission Supports Research on Cyber Security (MEMO/12/899). Ms informacin disponible en http://europa.eu/rapid/press-release_MEMO-12-899_en.htm 17 Center for Strategic and International Studies y McAfee (2013): The economic impact of cybercrime and cyber espionage. Ms informacin disponible en: http://www.mcafee.com/us/resources/reports/rpeconomic-impact-cybercrime.pdf 18 Cabinet Office (2011): The Cost of Cyber Crime. Ms informacin disponible en: https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/60942/THE-COST-OFCYBER-CRIME-SUMMARY-FINAL.pdf

propiedad intelectual y del espionaje industrial. Estos datos son slo relativos a incidentes intencionados; por tanto, no tienen en cuenta los de carcter accidental. Respecto a los ciberataques, los afectados en 2012 fueron ms de 556 millones de personas en todo el mundo (1,5 millones de personas cada da), estimndose el impacto econmico en Europa en 12 mil millones de euros19. La mayor amenaza en 2012 fue el ciberespionaje provocado por ataques dirigidos, cuyo coste medio per cpita se calcula en torno a 72 euros en Italia, 90 euros en el Reino Unido, 119 euros en Francia y 143 euros en Dinamarca, encabezando la lista Estados Unidos con 145 euros per cpita20. Extrapolando estos datos, el coste aproximado en Espaa sera de unos 56 euros per cpita. En 201321 el nmero de vctimas anuales de ciberataques baj a 378 millones (1 milln de vctimas por da y 12 por segundo), estimndose unas prdidas de 83 mil millones de euros, debido al incremento del coste por vctima de casi un 50%, lo que representa un coste medio de 218 euros por vctima. La principal fuente de prdidas fue el fraude con un 38% del coste total, seguido de las reparaciones con un 24% del coste y del robo o prdida con un 21% del coste. Las principales economas mundiales22 han diseado estrategias nacionales de ciberseguridad con el propsito de prevenir, detectar y dar respuesta a los ciberataques y contribuir, de esta forma, a la prosperidad econmica y social del pas23. La mayora de ellas tienen como objetivo mejorar la coordinacin gubernamental, tanto poltica como operativa, clarificando los roles y las responsabilidades, e implicando al sector privado mediante instrumentos de colaboracin pblico-privados. Sin embargo, algunas estrategias, como la de Reino Unido24, centran su visin y objetivos en posicionar al pas como una potencia en materia de ciberseguridad que permita obtener una ventaja para la industria y la economa nacionales. Europa ha reaccionado publicando, en febrero de 2013, la Estrategia Europea de Ciberseguridad (EUCS) que recoge los principios rectores y las medidas encaminadas a lograr la ciberresiliencia25, mejorar la sensibilizacin de los usuarios y desarrollar los recursos industriales y tecnolgicos de ciberseguridad, entre otras medidas de seguridad pblica y defensa. En relacin con el alcance de este Plan de Confianza en el mbito Digital, estas estrategias consideran, como objetivos prioritarios, disponer de las capacidades y profesionales necesarios para el desarrollo de las estrategias, reconducir o reconvertir las capacidades de I+D+i, impulsar una industria nacional especfica y transformar la sociedad para que interiorice una cultura de ciberseguridad.

19

Symantec (2013): Internet Security Threat Report 2013, Volume 18. Ms informacin disponible en: http://nowstatic.norton.com/now/en/pu/images/Promotions/2012/cybercrimeReport/2012_Norton_Cybercrime_Repor t_Master_FINAL_050912.pdf 20 Op. cit. 19 21 http://www.symantec.com/about/news/resources/press_kits/detail.jsp?pkid=norton-report-2013 22 OCDE (2012): Cybersecurity policy making at a turning point: analysing a new generation of national cybersecurity strategies for the Internet Economy. Ms informacin disponible en: http://www.oecd.org/sti/ieconomy/cybersecurity%20policy%20making.pdf 23 European Network and Information Security Agency. (2013): Estrategias nacionales de ciberseguridad en el mundo. Ms informacin disponible en: http://www.enisa.europa.eu/activities/Resilience-andCIIP/national-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world 24 Cabinet Office (2011): The UK Cyber Security Strategy. Ms informacin disponible en: http://www.cabinetoffice.gov.uk/resource-library/cyber-security-strategy 25 En sistemas tecnolgicos, la resiliencia es la capacidad de un sistema de soportar y recuperarse ante desastres y perturbaciones.

10

Espaa comparte la importancia que la seguridad de las redes y de la informacin tiene para la economa y la sociedad digitales, as como la preocupacin por la trascendencia e impacto que pueden llegar a alcanzar los incidentes de seguridad. En mayo de 2013, el Gobierno public la Estrategia de Seguridad Nacional (ESN) que dedica una de sus lneas estratgicas a la ciberseguridad con el objetivo de garantizar un uso seguro de las redes y los sistemas de informacin a travs del fortalecimiento de nuestras capacidades de prevencin, deteccin y respuesta a los ciberataques. Ms recientemente, el cinco de diciembre de 2013, el Gobierno ha publicado la Estrategia de Ciberseguridad Nacional (ECSN) con una serie de medidas relacionadas con el alcance de este plan: Incrementar las capacidades de prevencin, defensa, deteccin, anlisis, respuesta, recuperacin y coordinacin ante las ciberamenazas, haciendo nfasis en las Administraciones Pblicas, las Infraestructuras Crticas, las capacidades militares y de Defensa y otros sistemas de inters nacional. Garantizar la implantacin del Esquema Nacional de Seguridad, reforzar las capacidades de deteccin y mejorar la defensa de los sistemas clasificados. Impulsar la implantacin de la normativa sobre Proteccin de Infraestructuras Crticas y de las capacidades necesarias para la proteccin de los servicios esenciales. Potenciar las capacidades para detectar, investigar y perseguir las actividades terroristas y delictivas en el ciberespacio, sobre la base de un marco jurdico y operativo eficaz. Impulsar la seguridad y la resiliencia de las infraestructuras, redes, productos y servicios empleando instrumentos de cooperacin pblico-privada. Promover la capacitacin de profesionales, impulsar el desarrollo industrial y reforzar el sistema de I+D+i en materia de ciberseguridad. Concienciar a los ciudadanos, profesionales y empresas de la importancia de la ciberseguridad y del uso responsable de las nuevas tecnologas y de los servicios de la Sociedad de la Informacin. Promover un ciberespacio internacional seguro y confiable, en apoyo a los intereses nacionales.

2.4 Privacidad
La preocupacin por la privacidad est en aumento entre los ciudadanos y las empresas. El uso intensivo de servicios de la sociedad de la informacin, especialmente de las redes sociales, y el empleo masivo de dispositivos en movilidad (smartphones y tabletas) est elevando el riesgo26 sobre el control de los datos personales; riesgo que los usuarios deben conocer y gestionar. Las organizaciones tambin deben asegurar y poner en valor (excelencia) el cumplimiento de las obligaciones en materia de proteccin de datos en el desarrollo de sus actividades de negocio formando parte de su responsabilidad corporativa.

26

OECD (2013): Exploring the Economics of Personal Data: A Survey of Methodologies for Measuring Monetary Value. Ms informacin disponible en: http://www.oecd-ilibrary.org/science-andtechnology/exploring-the-economics-of-personal-data_5k486qtxldmq-en

11

En relacin con el resto de pases de la Unin Europea, Espaa ocupa la primera posicin en cuanto a la preocupacin de los ciudadanos sobre la proteccin de la informacin de datos personales, tanto en el mbito pblico como en el privado.27

Confianza de los usuarios en la proteccin de sus datos personales por parte de los sitios web

Fuente: Comisin Europea

Sin embargo, segn un reciente barmetro del CIS28, entre las preocupaciones destacan las dificultades para hacer un buen uso de las polticas de privacidad y la percepcin que de ellas tiene la ciudadana. Esta afirmacin se pone de manifiesto en los siguientes datos:

27 28

Op. Cit. 12 Centro de Investigaciones Sociolgicas (CIS). Barmetro. Mayo 2013. Ms informacin disponible en: http://www.cis.es/cis/opencms/ES/9_Prensa/Noticias/2013/prensa0256.html

12

El 31,2% reconoce que nunca lee las polticas de privacidad de las pginas de Internet que visita y un 28% lo hace raramente. Un 34,2% indica que ms que informar correctamente, lo que buscan es evitar problemas legales. Y un 42,3% est bastante de acuerdo con dicha afirmacin. El 70,3% considera que las polticas de privacidad y la informacin que se ofrecen en los sitios de Internet sobre el tratamiento de datos son poco o nada claras. Finalmente, el 65,5% seala que los sitios web intentan que no se sepa qu van a hacer con los datos personales de los que disponen.

En el informe sobre la Proteccin de datos en las empresas espaolas, publicado por INTECO29 en octubre de 2012, se pone de manifiesto que slo la mitad de las pequeas y medianas empresas espaolas admite cumplir con todas las obligaciones que contempla la normativa espaola de proteccin de datos (57,5%) y que la percepcin de adopcin de las medidas de seguridad, previstas en el reglamento de desarrollo de la LOPD, es irregular entre las empresas espaolas. As mismo, en el estudio complementario sobre la percepcin de los usuarios acerca de su privacidad desde la ptica del usuario, publicado en diciembre de 2012 por INTECO30, se desarrolla cmo aprecia el internauta su intimidad en el contexto de Internet, las redes sociales y los buscadores, y examina la estrecha relacin que existe entre la privacidad y conceptos como la identidad digital y la proteccin de datos. Algunas conclusiones del estudio son las siguientes: El 42,5% de los usuarios de redes sociales ha encontrado difcil gestionar la privacidad de su perfil. Incluso un 7,2% reconoce que ha sido imposible hacerlo. Un 16,3% desconoce completamente qu hace la red social con la informacin de su perfil una vez es eliminado. Un importante 32,7% manifiesta que simplemente le suena. Cuatro de cada diez internautas (39,7%) declaran haber solicitado en alguna ocasin que borren o cancelen sus datos personales de algn registro en Internet. El 84,4% de los usuarios de Internet reconoce que cada persona debe ser capaz de decidir sobre sus datos personales y tiene derecho a poder eliminar su rastro de Internet. Slo el 6,7% piensa que ejercer este llamado derecho al olvido es una forma de censurar informacin, y cree que el derecho a la informacin prima sobre el derecho a la proteccin de datos.

Desde un punto de vista regulatorio, en 2014 se prev que la Unin Europea apruebe un Reglamento para la Proteccin de los Datos que ser de obligado cumplimiento en todo el mercado digital interior. La adaptacin al nuevo reglamento podra suponer una amenaza en costes para las organizaciones, pero ser tambin una oportunidad para aquellas que sean excelentes en la proteccin de la privacidad de sus clientes.
29

INTECO (2012): Estudio sobre la proteccin de datos de las empresas espaolas. Ms informacin disponible en: http://inteco.es/Estudios/Estudio_empresas_LOPD_2012 30 INTECO (2012): Estudio sobre la percepcin de los usuarios acerca de su privacidad en Internet. Ms informacin disponible en: http://inteco.es/Estudios/Estudio_Privacidad

13

La sensibilidad ante estas problemticas se puso de manifiesto en la ADpE, en el subobjetivo 4.3 de impulso de la excelencia de las organizaciones en materia de confianza digital. Entre las lneas de actuacin que se proponen est la de sensibilizar y concienciar a los usuarios y las organizaciones de los cambios que pudieran producirse en los derechos de los primeros y en las obligaciones de los segundos, sin perjuicio de su condicin de usuarios tambin.

2.5 Infancia y adolescencia

En Espaa, en 2013, el 91,8% de los menores entre 10 y 15 aos de edad ha accedido a Internet en los tres ltimos meses31. Respecto al equipamiento, en 2013, el 95,2% empleaba un ordenador desde su vivienda o centro de estudios principalmente, y el 63,0% dispona de telfono mvil. En el informe antes mencionado32, sobre la seguridad de la informacin y e-confianza de los hogares espaoles de INTECO, se muestra que existe un aumento en la concienciacin por parte de los progenitores respecto a la supervisin del uso que sus hijos hacen de Internet y de las noticias relacionadas con la seguridad de los menores. De igual manera lo pone de manifiesto el hecho de que casi el 90% de los usuarios que viven con hijos menores, que se conectan a Internet, reconoce su preocupacin. Adems, casi el 78% de los padres presta atencin a las ciberamistades de sus hijos en la misma medida que lo hace con sus amistades fuera de Internet. Esta implicacin de los padres se traduce en la confianza mostrada por el 65,9% de los encuestados, que afirma confiar en su hijo al permitirle que navegue en Internet, aun sin estar en presencia del adulto. Por ltimo, el 25,1% de los padres manifiesta que es posible que su hijo visite pginas web o foros con contenido inadecuado (violentas, racistas, pornogrficas, etc.).

31

INE (2012): Encuesta sobre equipamiento y uso de tecnologas de la informacin y comunicacin en los hogares. Ms informacin disponible en: http://www.ine.es/jaxi/menu.do?type=pcaxis&path=/t25/p450&file=inebase 32 Op. Cit. 13

14

Evolucin de las medidas de implicacin en la navegacin del menor

100% 80% 60% 40% 27,6% 24,7% 25,1% 20% 0% Me preocupan las Presto atencin a Conozco el "nick" y Confio en mi hijo y Es posible que noticias que sus ciber-amistades el perfil que mi hijo le permito que visite pginas con aparecen en los en la misma medida usa en los navegue en Internet contenido medios que con sus chats/redes sociales inadecuado relacionadas con la relaciones en la vida seguridad de los real menores may-ago'11 sep-dic'11 ene-abr'12

85,8%87,5% 89,0% 79,4% 77,7% 75,0% 71,3% 70,9% 68,7% 67,9% 65,0% 65,9%

Base: Usuarios que viven con menores que se conectan a Internet (n=869 en 1er cuatrimestre 2012)

Fuente: INTECO

En trminos generales, los padres toman medidas de comunicacin, dilogo y educacin con sus hijos menores cuando stos se conectan a Internet, especialmente basadas en el fomento de la comunicacin por parte de los padres hacia los menores para hacerles saber los problemas que se pueden encontrar. Evolucin de las medidas de comunicacin, dilogo y educacin
100% 86,1% 80% 87,9%

91,9% 86,1%

86,8%

91,8% 82,9%

86,3%

88,7%

60%

40%

20%

0% Advierto a mi hijo de los Adems de los beneficios, Le he pedido que me informe de problemas de facilitar los datos tambin he informado a mis hijos cualquier conducta o contacto personales propios o de personas sobre las amenazas que existen que le resulte incmodo o cercanas a l como sus familiares en Internet sospechoso may-ago'11 sep-dic'11 ene-abr'12

Base: Usuarios que viven con menores que se conectan a Internet (n=869 en 1er cuatrimestre 2012)

Fuente: INTECO

15

En general existe un clima de seguridad entre los padres respecto al uso del smartphone por parte de los menores33. El 41,5% confa plenamente en que su hijo est protegido cuando utiliza el mvil y el 43,2% considera estar confiado en cierta medida. Un reducido 8,5% dice no confiar. Sensacin de seguridad de los padres sobre el uso del smartphone por parte del menor (%)

6,8% 8,5%

41,5%

43,2%

S, confo plenamente

S, confo algo

No confo, estoy preocupado

NS/NC

Base: padres y madres (n=400)

Fuente: INTECO + Orange

Los menores de edad que actualmente disponen de smartphone han accedido a su primer telfono mvil (no necesariamente smartphone) a los 11 aos (11,2 aos de media). Con respecto a la edad de acceso a un smartphone, en la actualidad se produce a los 13 aos.

33

INTECO y Orange (2011): Estudio sobre hbitos seguros en el uso de smartphones por los nios y adolescentes espaoles. Ms informacin disponible en: http://www.inteco.es/Estudios/Estudio_smartphones_menores

16

Edad media de adquisicin del primer telfono mvil y smartphone del menor segn edad actual

16 14,5 14 12 10 8 6 4 2 0 TOTAL De 10 a 12 aos Primer mvil De 13 a 14 aos Primer smartphone De 15 a 16 aos 11,2 10,3 13,0 11,0 11,2 13,0 11,9

Base: menores (n=400)

Fuente: INTECO+ Orange

Este anlisis, realizado por franjas de edad, pone de manifiesto cuestiones interesantes como las siguientes: En primer lugar, parece confirmarse un acceso cada vez ms temprano a la telefona mvil. As, los chavales que ahora tienen entre 10 y 12 aos tuvieron su primer mvil con poco ms de 10 aos (10,3 de media), mientras que en la franja de edad de 13-14 aos no fue hasta pasados los 11 (11,2) y los que ahora tienen 15-16 tenan casi 12 aos (11,9 de media) cuando tuvieron por primera vez un telfono mvil. En segundo lugar, la novedad de los smartphones hace que los ms pequeos ya accedan a la telefona mvil a travs de un telfono inteligente. Los nios de 10-12 aos tienen su primer smartphone a los 11 aos de media, mientras que los que ahora tienen 13-14 aos tuvieron que esperar hasta los 13, e incluso hasta los 14,5 en el caso de los adolescentes de 15-16 aos.

2.6 Transacciones electrnicas

La seguridad en las transacciones electrnicas ha sido el principal inhibidor del desarrollo y extensin de las relaciones a distancia, sean o no de naturaleza comercial. Europa es el principal mercado mundial de comercio electrnico, superando a Estados Unidos, que ocupa el segundo puesto desde 2010. En 2012 contribuy un 3,5% al PIB europeo, cifra que se espera duplicar en 2016 y triplicar en 2020. Uno de los motores fundamentales que propiciar este crecimiento es, sin duda, la generacin de confianza en los usuarios34.

34

Ecommerce Europa (2013): European B2C Ecommerce Report. Ms informacin disponible en: http://www.ecommerce-europe.eu/press/2013/05/press-release-european-e-commerce-to-reach-312billion-in-2012-19-growth

17

En Europa, el 50% de la poblacin realiza habitualmente compras por Internet. Espaa an queda lejos de esa cifra, con tan solo un 29%. Comparado con la media de los dems pases de la Unin Europea, Espaa muestra una mayor desconfianza en la utilizacin de Internet para realizar actividades como la banca online o compra de productos online, con una diferencia de un 19%35. En qu medida se siente seguro/a de su capacidad para utilizar Internet en actividades como la banca online o comprar productos online?

100% 90% 80% 70% 60% 50% 40%

2% 28%

3%

46%

70% 30% 51% 20% 10% 0% UE 27 Total "Seguro/a" Total "Inseguro/a" Espaa No sabe

Fuente: Comisin Europea

Las personas que no realizan compras por Internet en Espaa indican que, entre las razones principales, se encuentran la preocupacin de que alguien robe o haga un mal uso de sus datos personales (35%), la preocupacin por la seguridad de los pagos online (33%), que prefiere realizar la transaccin en persona, de modo que pueda ver el producto o preguntar a una persona real (40%) o que le preocupa no recibir los productos o servicios que compra online (14%)36. Otras fuentes37 revelan que un 46% de ellas manifiesta que no les ofrece ninguna confianza utilizar un servicio de pago por Internet para realizar alguna compra, mientras que un 20,9% indica que le ofrece poca confianza. Si se trata de introducir los datos de su tarjeta de crdito, este porcentaje se eleva al 55%, que no tiene ninguna confianza, y al 22,8%, que tiene poca confianza. La falta total de confianza en la realizacin de operaciones bancarias por Internet alcanza la cifra del 48%, mientras que la poca confianza se eleva al 19,6%.

35

Comisin Europea (2013): Eurobarmetro especial sobre ciberseguridad. Nmero 404. Resultados en Espaa. Ms informacin disponible en: http://ec.europa.eu/public_opinion/archives/ebs/ebs_404_fact_es_es.pdf Existen otros datos relacionados con el porcentaje de usuarios que realizan compras en internet, como por ejemplo de la fuente Eurostat, donde se cita que en 2011 el 42,7% realiza habitualmente compras por Internet en Europa y en Espaa un 27,3%. 36 Op. cit. 35. 37 Centro de Investigaciones Sociolgicas (CIS). Barmetro. Junio 2012. Ms informacin disponible en: http://www.cis.es/cis/opencm/ES/1_encuestas/estudios/ver.jsp?estudio=12884

18

Eliminar estas barreras para generar confianza a los intervinientes es una de las prioridades para el desarrollo del mercado interior planteadas por la Agenda Digital Europea (accin 8). Las actuaciones para el refuerzo de la seguridad en los medios de pago electrnicos38 y el impulso de los servicios de confianza, entre otros, permitirn satisfacer las demandas de los consumidores y ofrecer servicios seguros y confiables para realizar transacciones a distancia entre ausentes. Para su xito, estas actuaciones requerirn de otras acciones complementarias de sensibilizacin y formacin de los consumidores. En este sentido, el Reglamento de Identidad Electrnica y Servicios de Confianza (EIDAS) viene a reformar el mercado de servicios de confianza39 e impulsar el reconocimiento transfronterizo de los esquemas de identidad electrnica nacionales. La entrada en vigor de este Reglamento, previsiblemente en 2014, establecer nuevas oportunidades para los prestadores de servicios de confianza y enriquecer la oferta de servicios de terceros de confianza que permitirn mejorar la seguridad de las transacciones electrnicas a distancia. La ADpE, en su objetivo 4.1 de impulso del mercado de servicios de confianza, recoge este reto y apuesta por el estmulo del mercado de servicios y productos donde Espaa tiene grandes fortalezas al ser uno de los pases con un mayor desarrollo en la UE40 del mercado de prestadores de servicios de certificacin electrnica. Respecto del empleo de la firma electrnica, en 2013, segn el Instituto Nacional de Estadstica41 (INE), slo el 71,8% de las empresas con conexin a Internet utilizaron firma electrnica en alguna comunicacin enviada desde su empresa, escasamente un punto porcentual ms respecto al ao anterior. La ADpE propone alcanzar un objetivo del 85% en 2015.

38

European Central Bank (2013): Recommendations for the Security of Internet Payments. Ms informacin disponible en: http://www.ecb.int/pub/pdf/other/recommendationssecurityinternetpaymentsoutcomeofpcfinalversionafter pc201301en.pdf 39 Firma electrnica, notificaciones, sello de tiempo, custodia, etc. 40 3xA Security AB: EU Trust Service status List (TSL) Analysis Tool. Ms informacin disponible en: http://eutsl.3xasecurity.com/tools. Espaa es el segundo pas de Europa en nmero de prestadores de servicios de certificacin (23), slo superado por Italia (37). 41 Instituto Nacional de Estadstica (2013): Encuesta de uso de TIC y Comercio Electrnico (CE) en las empresas. Ms informacin disponible en: http://www.ine.es/jaxi/menu.do?type=pcaxis&path=%2Ft09/e02&file=inebase&L=0

19

Empresas que utilizan firma digital (% sobre el total de empresas con conexin a Internet)

Fuente: INE

2.7 Mercado e industria

El potencial que presenta este sector es indudable como ponen de manifiesto las distintas fuentes que analizan tanto el mercado global de la seguridad y servicios como el del sector tecnolgico de la ciberseguridad. Respecto al primero de ellos, el mercado global, segn Gartner, habr alcanzado la cifra de 67.200 millones de dlares en 2013, un 8,7 por ciento ms que en 2012, esperando que supere los 86.000 millones de dlares en el ao 2016. La previsin para los prximos aos es, por ello, optimista. En cuanto al sector tecnolgico de la ciberseguridad, su potencial se ve reflejado desde el punto de vista del empleo que generar. As, Frost & Sullivan42 sealan que, en 2013, el empleo mundial de profesionales en seguridad de la informacin se habr incrementado en 332.000 trabajadores, dada la gravedad del espionaje ciberntico, hacktivismo y las amenazas mundiales, terminando el ao en 3,2 millones. De esta forma, se prev un crecimiento mundial con una tasa anual acumulada de crecimiento del 11,3% anual en el periodo 2012-2017.

Frost & Sullivan (2013): The 2013 (ISC) 2 Global Information Security Workforce Study. 50 years of Growth, Innovation and Leadership. Ms informacin disponible en: https://www.isc2cares.org/uploadedFiles/wwwisc2caresorg/Content/2013-ISC2-Global-InformationSecurity-Workforce-Study.pdfhttps://www.isc2cares.org/uploadedFiles/wwwisc2caresorg/Content/2013ISC2-Global-Information-Security-Workforce-Study.pdf
42

20

Estimacin y proyeccin de empleo de profesionales de la seguridad de la informacin

Tasa compuesta de crecimiento anual (2012-2017) 12,0% 11,3% 10,4% 11,3% Fuente: Frost & Sullivan.

Miles Amrica Europa, Oriente Medio y frica Asia-Pacfico TOTAL

2012 1.181 797 894 2.872

2013 1.331 892 981 3.204

2014 1.495 995 1.079 3.569

2015 1.673 1.108 1.191 3.972

2016 1.867 1.230 1.320 4.417

2017 2.081 1.363 1.463 4.907

A nivel nacional, el hecho de que en la Clasificacin Nacional de Actividades Econmicas (CNAE) no haya una actividad especfica del sector de seguridad de la informacin y de las tecnologas de seguridad, no permite realizar una desagregacin adecuada para dar un dato de evolucin sectorial en Espaa. A pesar de ello, y segn el estudio del hipersector TIC de AMETIC43, el valor del mercado del sector de la ciberseguridad a nivel mundial es de 45.000 millones de euros en 2011, pudiendo extrapolar de forma muy simplificada y aproximada que el valor del sector de la ciberseguridad en Espaa podra ser de 66 millones de euros en 2011. Conscientes de la importancia del sector TIC y del mercado de la ciberseguridad, la Unin Europea44 apuesta fuertemente por la I+D en ciberseguridad, privacidad y tecnologas para la confianza, con una dotacin de fondos de 400 millones de euros en 2013-2020, junto a 450 millones de euros adicionales para la investigacin en las Sociedades Seguras que tambin incluyen aspectos de ciberseguridad. Los datos aportados por Symantec45, antes referenciados, muestran que la ciberseguridad es un sector dinmico y en crecimiento por distintas razones, entre las cuales destacan las siguientes: el incremento en nmero, en tipologa y en sofisticacin de las amenazas, el mayor nmero de vulnerabilidades debido al uso cada vez ms generalizado de la tecnologa, en especial de la tecnologa mvil y la computacin en la nube, la conciencia cada vez ms pronunciada de las organizaciones y de los consumidores sobre las amenazas de seguridad, los cambios tecnolgicos que impulsan el desarrollo de productos y servicios innovadores, y la regulacin, que impone obligaciones sobre proteccin de datos personales.

43

AMETIC (2012): Mapa sectorial de las TIC. Ms informacin disponible en: www.ametic.es/DescargarDocumento.aspx?idd=4306 El peso del sector TIC en el mundo en 2011 es de 1.028.050 millones de euros. El peso de Europa es de 320.547 millones de euros (31,2%) y dentro de Europa el peso de Espaa es el 4,7%, por tanto el peso de Espaa es el 0,15% mundial o 1.507 millones de euros. Siendo el sector de la ciberseguridad mundial de 45.000 millones de euros, un 4,37% del sector TIC, entonces el sector de la ciberseguridad sera de 66 millones de euros aproximadamente en Espaa. 44 Op. Cit. 16 45 Op. Cit. 19

21

3 Objetivos del Plan

El objetivo del Plan de Confianza en el mbito Digital (PCD) es dar respuesta a los compromisos en materia de confianza digital para el mercado digital interior, la ciudadana, las empresas, la industria y los profesionales, contemplados en las siguientes estrategias: 1. El objetivo cuatro de la Agenda Digital para Espaa (ADpE). 2. Las prioridades relativas a la ciberresiliencia, la concienciacin y el desarrollo de los recursos industriales y tecnolgicos de la Estrategia Europea de Ciberseguridad (EUCS). 3. Las lneas de accin de la Estrategia de Ciberseguridad Nacional (ECSN). El estudio de los compromisos anteriores junto al anlisis de la situacin permite identificar los siguientes objetivos especficos para el Plan de Confianza en el mbito Digital: 1. Experiencia digital segura: Impulsar las medidas que permitan a la ciudadana y las empresas disfrutar de una experiencia segura y confiable aprovechando todas las oportunidades de la economa y la sociedad digital, tomando conciencia sobre los riesgos que el ecosistema digital puede presentar, adoptando prcticas excelentes para la gestin adecuada, responsable e informada de los riesgos, especialmente para las empresas de singular trascendencia econmica y los colectivos ms vulnerables, como son la infancia y la adolescencia. 2. Capacidades para la resiliencia: Desarrollar las capacidades necesarias para afrontar el reto de la ciberseguridad en la economa y la sociedad digital y hacer frente a los compromisos de prevencin, deteccin y respuesta que necesita el mercado interior digital, la industria, las empresas, el mundo acadmico y la ciudadana y, sobre todo, las empresas de especial trascendencia econmica contribuyendo, en su caso, a la seguridad pblica mediante instrumentos de colaboracin. 3. Oportunidad para la industria y los profesionales: Contribuir a que la industria, el sector acadmico y los profesionales aprovechen la oportunidad de la confianza digital para la innovacin, la generacin de talento y la investigacin avanzada, especialmente en materia de ciberseguridad, construyendo un mercado de productos y servicios competitivo y de referencia internacional. En cuanto a los indicadores, se emplearn los de la Agenda Digital46 en este mbito:

46

ONTSI (2013): Indicadores Agenda Digital para Espaa. Junio 2013. Ms informacin disponible en: http://www.ontsi.red.es/ontsi/sites/default/files/indicadores_agenda_espana_junio_2013.pdf

22

Objetivos clave de la Agenda Digital para Espaa

Personas que han usado medios de seguridad Confianza generada por Internet (% de usuarios que confan mucho o bastante en Internet) Empresas que utilizan firma digital en alguna comunicacin enviada desde su empresa (% sobre el total de empresas con conexin a Internet) Empresas que disponen en su sitio web de una declaracin de poltica de intimidad o de una certificacin relacionada con la seguridad del sitio web (% sobre el total de empresas con conexin a Internet y pgina web)

Valor a alcanzar
70% 70%

Ao
2015 2015

Valor 2012 (ES)

56% (2010) 52% (2011)

Valor 2012 (EU27)

60% (2010) s.d.

Fuente
ONTSI ONTSI

85%

2015

70,7%

s.d.

INE

75%

2015

61,2%

s.d.

INE

4 Polticas seleccionadas
El anlisis de polticas parte de la situacin actual, del mapa de compromisos del Anexo I, de los objetivos del Plan y de las actuaciones en materia de confianza digital que pudieran estar ya realizando otros agentes, pblicos o privados, en el mbito y alcance de este Plan. El Plan complementar y reforzar las actuaciones en materia de confianza digital que se estn llevando a cabo por dichos agentes, propiciando la coordinacin de todos los actores, aprovechando sinergias y contribuyendo a conseguir conjuntamente mejores resultados (impacto) de forma ms eficaz y eficiente.

4.1 Capacidades para la resiliencia

La EUCS y la ECSN plantean la necesidad de reforzar las capacidades de prevencin, deteccin y respuesta frente a los ciberataques. Por otro lado, en el mercado digital interior, la ADpE plantea, como lnea de actuacin, convertir a INTECO en un centro de referencia para la confianza digital, especialmente en materia de ciberseguridad. En el mbito del mercado digital interior, INTECO viene prestando estos servicios para empresas y ciudadanos, sin perjuicio de las entidades privadas que operan preferiblemente prestando servicios al sector privado. INTECO ya dispone de una infraestructura operativa desde 2006, dotada en 2013 con 74 profesionales y con un presupuesto anual de 12,25 millones de euros. Slo en 2013 INTECOCERT gestion ms de 52.000 incidentes y consultas de seguridad, su telfono de la Oficina de Seguridad del Internauta (OSI) atendi ms de 25.000 llamadas y las webs de INTECO recibieron ms de 6 millones de visitas y accesos.

23

Incidentes de seguridad gestionados (2010-2012)

16.000 14.000 12.000 10.000 8.000 6.000 4.000 2.000 0

2010

2011

2012

Fuente: INTECO

Los compromisos internacionales de la EUCS, las exigencias de la ECSN y el riesgo creciente de la amenaza aconsejan reforzar dicha capacidad pblica para asegurar la prestacin neutral, eficaz y eficiente del servicio en el futuro, apoyar, en su caso, a las entidades privadas especializadas y estimular la innovacin. Esta opcin permite disponer de una capacidad plenamente operativa y experimentada en un corto periodo de tiempo que se sumara a las capacidades de otras entidades pblicas y privadas, constituyendo una oportunidad para la cooperacin en el mercado digital interior para estas entidades. Apostar por INTECO supone reforzar su potente abanico de capacidades y servicios en materia de ciberseguridad (capacidades de cooperacin, prevencin, respuesta, formacin y anlisis e investigacin de nuevas amenazas), en detrimento de los servicios que vena prestando. El nuevo core de actividad resulta necesario para que la Sociedad de la Informacin se desarrolle en Espaa bajo las condiciones de seguridad deseadas, permitiendo poner el foco sobre los servicios demandados por la ADpE, la EUCS y la ECSN. Se pretende transformar INTECO para centrarlo en la prevencin, deteccin y respuesta ante incidentes de seguridad, convertirlo en un centro de referencia en el mercado interior digital y reforzar su capacidad para hacer frente a las nuevas amenazas y a los compromisos de la EUCS y la ECSN.

4.2 Oportunidad para la industria TIC

La ADpE, la ECSN y la EUCS establecen como lnea de accin estratgica el impulso a la industria de la ciberseguridad y de los servicios de confianza. Las tres estrategias apuestan por establecer mecanismos de impulso a la I+D+i, aprovechando el ecosistema e iniciativas pblico-privadas actuales, realizando un mejor acercamiento entre la oferta y la demanda, identificando prioridades de investigacin, especialmente en aquellos sectores estratgicos que soporten nuestros servicio esenciales, y que al mismo tiempo sirva de catalizador para un mejor posicionamiento de nuestra industria en el panorama de competitividad internacional.

24

La adopcin de normas y buenas prcticas, la apuesta por la normalizacin como valor diferencial, la promocin de los esquemas de certificacin y acreditacin, y el refuerzo de la cooperacin pblico-privada son ejemplos de herramientas para la mejora de los ciclos de innovacin entre la industria y el sector acadmico. Para que un ecosistema emprendedor evolucione, es imprescindible que pueda acceder a financiacin suficiente, adecuada a cada fase de la evolucin empresarial (semilla, etapa temprana, crecimiento y escalado) y aportada por fuentes de capital inteligente que enriquezcan las aportaciones dinerarias con intangibles de alto valor como las redes de contactos, asesoramiento legal, financiero y tcnico de nivel global y capacidad mentora. La AGE dispone de un importante catlogo de instrumentos de financiacin que cubre prcticamente en su totalidad el ciclo de innovacin y emprendimiento de las empresas. Entre ellos, cabe citar la Accin Estratgica en Economa y Sociedad Digital de la SETSI47, lneas especficas de ENISA48 y los programas de apoyo del CDTI49 para las fases temprana y crecimiento. El objetivo de estos instrumentos es el fortalecimiento del sector TIC espaol como fuente de generacin de riqueza y empleo, el impulso del liderazgo empresarial en I+D+i de las empresas espaolas, el incremento de su competitividad, etc. En este sentido, la Agenda Digital para Espaa (ADpE) ya contempla, entre sus objetivos, el impulso de la I+D+i en TIC cuyo compromiso se llevar a cabo a travs del Plan de Desarrollo e Innovacin del Sector TIC y parcialmente a travs del Plan de Internacionalizacin de Empresas Tecnolgicas. Es necesario que se refuerce el impacto de estos instrumentos en materia de confianza digital estableciendo estructuras de coordinacin entre los distintos agentes implicados que aseguren la necesaria eficiencia, que compartan prioridades e informacin de demanda temprana, que dispongan de asesoramiento experto para la evaluacin de proyectos, que sincronicen convocatorias y que construyan una oferta unificada e integrada para todo el ciclo de la I+D+i. Acompaando a las iniciativas de estmulo, es necesario, adems, favorecer la captacin de demanda temprana de todos los agentes, especialmente de los principales prescriptores y de la propia industria, el estmulo de la industria para implicarse en el desarrollo de buenas prcticas y normas tcnicas que pongan en valor sus inversiones, as como explorar en su caso la oportunidad y conveniencia de proponer y adoptar esquemas certificados de productos y servicios. El proceso de normalizacin es clave para asegurar la eficacia de las inversiones y esfuerzos en innovacin de las empresas, as como para facilitar la comercializacin, generacin de demanda e internacionalizacin de la oferta de productos y servicios. Entre otros asuntos, se ha detectado que es necesario estimular la participacin intensiva y comprometida de la Industria en el desarrollo de normas tcnicas a travs de AENOR y los Comits Tcnicos responsables, as como en organizaciones internacionales como la ETSI, CENCENELEC, UIT, etc. Especialmente importante es la participacin internacional en los grupos de

47

Ministerio de Industria, Energa y Turismo. Portal de ayudas de la Accin Estratgica Economa y Sociedad Digital AEESD http://www.minetur.gob.es/PortalAyudas/AEESD/Paginas/Index.aspx 48 Empresa Nacional de Innovacin. Lneas especficas de financiacin. Ms informacin disponible en: http://www.enisa.es/es/financiacion 49 Centro para el Desarrollo Tecnolgico Industrial (CDTI): Programas de apoyo. Ms informacin disponible en: http://www.cdti.es/index.asp?MP=7&MS=578&MN=2

25

normalizacin impulsados por la Comisin Europea para el desarrollo de las normas tcnicas de los nuevos instrumentos regulatorios como, por ejemplo, el Reglamento EIDAS. Adicionalmente, ser preciso estudiar la viabilidad y oportunidad de establecer procesos de certificacin de productos y servicios. Finalmente, es necesario impulsar la coordinacin de las distintas plataformas de la industria espaola en materia de confianza digital, especialmente en ciberseguridad, para aprovechar su potencial conjunto y favorecer su participacin en las plataformas europeas ms relevantes50, en concreto en el marco de la EUCS51, entre otras, y beneficiarse de forma eficaz de los estmulos financieros del programa europeo Horizonte 202052. Por todo ello, se propone adoptar una poltica basada en las siguientes ideas: Se debe integrar, racionalizar y reforzar la oferta de instrumentos de estmulo de la I+D+i, incorporando la informacin de la demanda temprana, implicando a la industria en todos los procesos, especialmente en los de normalizacin tcnica, certificacin e identificacin de incentivos y barreras.

4.3 Oportunidad para los profesionales

La ECSN establece, dentro de la lnea de accin 7 de Cultura de ciberseguridad, una medida dedicada a Fomentar los mecanismos para apoyar a empresas y profesionales en el uso seguro de las TIC, reforzando los conocimientos en materia de seguridad, promoviendo la adopcin de herramientas, la difusin de normativa y el uso de buenas prcticas. Por otro lado, la ADpE, en su objetivo 4, plantea la necesidad de crear talento especialmente en ciberseguridad y el impulso del mercado de la confianza digital actuando sobre la oferta de servicios y productos actual. Por ejemplo, se estima que la existencia de un CISO (Chief Information Security Officer) en las organizaciones puede ahorrar hasta un 50% del coste de una brecha de seguridad de los datos53. Los nuevos riesgos y amenazas en ciberseguridad demandan nuevos perfiles y competencias para el futuro profesional del sector, cuestin que se debe abordar de manera urgente para garantizar que el personal cuenta con la cualificacin necesaria para desempear su trabajo con garantas de xito y una menor curva de aprendizaje. En Espaa, en cuanto a la capacitacin de profesionales y la identificacin de perfiles de competencias, distintas iniciativas pblicas y privadas ya han puesto en marcha actuaciones que contribuirn, a buen seguro, a los objetivos de la ADpE y al cumplimiento de los compromisos internacionales. La colaboracin de los esquemas de certificacin profesional de reconocimiento internacional ser imprescindible en este proceso.

50 51

The Trust in Digital Life Community. Ms informacin disponible en: http://www.trustindigitallife.eu EUCS NIS Platform de reciente creacin (17 de junio de 2013). Ms informacin disponible en: http://ec.europa.eu/information_society/newsroom/cf/itemdetail.cfm?item_id=10289 52 Oficina Europea: Horizonte 2020. Ms informacin disponible en: http://www.oficinaeuropea.es/programa-marco/horizonte-2020 53 Symantec & Ponemon Institute (2011): Cost of Data Breach Ms informacin disponible en: http://www.symantec.com/about/news/resources/press_kits/detail.jsp?pkid=ponemon-cost-of-a-databreach-2011

26

Los principales pases de nuestro entorno estn llevando a cabo actuaciones innovadoras para la generacin de talento en ciberseguridad54. Estas iniciativas seran de gran inters para ayudar a cumplir los objetivos de la ADpE y de la ECSN. El cumplimiento de estos objetivos exige hacer un esfuerzo superior en la generacin de talento especializado en ciberseguridad que, una vez formado, pueda encaminarse hacia la investigacin avanzada, la incorporacin a centros de respuesta a incidentes, el emprendimiento, la formacin como docente, o el ejercicio de la profesin con una certificacin acreditada de reconocimiento internacional, entre otras opciones. La puesta en marcha de iniciativas de esta naturaleza se puede beneficiar de un elemento nico y diferenciador como es INTECO. El aprovechamiento del ecosistema de innovacin y alta especializacin en ciberseguridad del Instituto, junto a las fuentes de informacin de alerta temprana, aconsejan incorporar a INTECO en este tipo de iniciativas. Para ello, se necesita crear un ecosistema de atraccin y generacin de talento en colaboracin con las universidades que quieran adherirse y con la iniciativa privada que desee colaborar y convertirse en un agente ms en el ecosistema de iniciativas de capacitacin profesional y generacin de talento en ciberseguridad, beneficindose de la informacin y recursos especializados que pueda proporcionar INTECO que actuar como polo tecnolgico. Complementariamente, podr explorarse la oportunidad de configurar redes nacionales de excelencia en ciberseguridad que permitan maximizar el valor de las iniciativas de capacitacin y talento de todos los agentes nacionales. El objetivo es construir un ecosistema de captacin y generacin de talento en torno a INTECO, en colaboracin con las universidades y la iniciativa privada, buscando siempre la accin complementaria de las iniciativas actuales de capacitacin de profesionales.

4.4 Experiencia digital segura

En materia de sensibilizacin y concienciacin en Espaa se han realizado numerosas actuaciones pblicas55 y privadas56 en los ltimos aos orientadas a difundir y divulgar informacin y contenidos a ciudadanos y empresas con el objetivo de crear una cultura de la confianza digital, especialmente en aspectos relacionados con la seguridad de la informacin, la proteccin de la privacidad, el comercio electrnico seguro y el uso responsable y seguro de la tecnologa por la infancia y la adolescencia, entre otros. Algunas de estas iniciativas han sido financiadas con fondos europeos.

54

Entre otras referencias: Plataforma edX de Harvard y MIT (US) https://www.edx.org/ Alpha One Labs DARPA. http://tecnologia.elpais.com/tecnologia/2012/10/26/actualidad/1351252002_313239.html http://tecnologia.elpais.com/tecnologia/2012/10/26/actualidad/1351252002_313239.html CYBER SECURITY BOOT CAMP http://www.theinquirer.net/inquirer/news/2199376/uks-first-cyber-securitycamp-aims-to-train-an-army-of-cyber-warriorshttp://www.theinquirer.net/inquirer/news/2199376/uks-firstcyber-security-camp-aims-to-train-an-army-of-cyber-warriors Campus Party UE http://www.campus-party.eu/2012/index.htmlhttp://www.campusparty.eu/2012/index.html 55 Polica 2.0 (https://twitter.com/policia) y la Oficina de Seguridad del Internauta (http://www.osi.es) 56 www.protegetuinformacion.com es un proyecto promovido por la Asociacin Espaola para el Fomento de la Seguridad de la Informacin, ISMS Forum Spain, financiado con fondos del Plan Avanza de la SETSI.

27

La ADpE, la EUCS y la ECSN, as como las estrategias para la proteccin del menor, prestan especial atencin a la sensibilizacin y la concienciacin de los usuarios, considerando dichas actuaciones esenciales para el xito de las polticas pblicas. En general, las recomendaciones sugieren que estas iniciativas se desarrollen por medio de instrumentos de cooperacin pblico-privada ya que favorecen la reutilizacin de recursos, la coordinacin de las actuaciones, el aumento del impacto y el mantenimiento de la intensidad de las acciones por ms tiempo, entre otros beneficios. Hay importantes referencias internacionales que avalan el xito de estas iniciativas57. En Espaa no se ha generalizado el empleo de estos instrumentos ni se han alcanzado sinergias entre los distintos actores que hayan permitido, por ejemplo, conseguir un mayor impacto y un sostenimiento de la intensidad de las acciones por un tiempo suficientemente largo. La necesidad de aumentar esfuerzos en las actuaciones de sensibilizacin y concienciacin requiere realizar un anlisis de las experiencias pasadas, del impacto obtenido sobre el esfuerzo realizado y de las experiencias internacionales de xito. El resultado de este anlisis debe permitir el diseo de una nueva estrategia cooperativa entre todos los agentes pblicos y privados responsables e implicados, complementndola con las acciones de refuerzo necesarias. Como complemento a las acciones de sensibilizacin y concienciacin, la ADpE, la EUCS y la ECSN proponen la conveniencia de realizar planes de formacin y educacin para estudiantes, padres y profesores con el objetivo de construir las bases de la confianza digital en todas las etapas de la educacin reglada. La utilizacin masiva de Internet por parte de los menores, as como la necesidad de garantizar su proteccin en ese entorno configuran un escenario de gran complejidad tcnica y elevado impacto social. En este sentido, la Comunicacin de la Comisin Europea sobre la Estrategia Europea en favor de una Internet ms adecuada para los nios58, de 2 de mayo de 2012, y la Recomendacin de la OCDE para la proteccin del menor online59, adoptada por el Consejo en febrero de 2012, son dos documentos de referencia. En ese contexto, y desde una perspectiva nacional, el instrumento de referencia est constituido por el recientemente aprobado Plan Estratgico Nacional de Infancia y Adolescencia (PENIA II)60. Con independencia de las diversas iniciativas desarrolladas por actores pblicos y privados, se convierte en necesario el impulso de la cooperacin pblico-privada para las acciones de sensibilizacin, concienciacin y educacin, diseando una estrategia conjunta y reforzada, especialmente para la proteccin de los menores en Internet.

57

Destacan la plataforma Getsafeonline del gobierno UK (http://www.getsafeonline.org ) o la del gobierno US en www.staysafeonline.org. Otras referencias de plataformas son la de la Repblica Checa (http://www.saferinternet.cz/o-nas/o-nas.html) y la de Noruega (http://www.sikkert.no). 58 Comisin Europea (2012): European Strategy for a Better Internet for Children. Ms informacin disponible en: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0196:FIN:EN:PDF 59 OECD (2012): OECD Recommendation on the Protection of Children Online. Ms informacin disponible en: http://www.oecd.org/sti/ieconomy/protectingchildrenonline.htm 60 Ministerio de Sanidad, Servicios Sociales e Igualdad (2013): II Plan Estratgico Nacional de Infancia y Adolescencia 2013-2016 (PENIA II). Ms informacin disponible en: http://www.observatoriodelainfancia.msssi.gob.es/documentos/PENIA_2013-2016.pdf

28

5 Ejes del plan propuestos

5.1 Descripcin general
Una vez identificadas los objetivos y las polticas que permiten contribuir a dar cumplimiento a los compromisos de la Agenda Digital para Espaa, la Estrategia de Ciberseguridad Nacional y la Estrategia Europea de Ciberseguridad, se propone el desarrollo de una serie de medidas organizadas en ejes, reconociendo, complementando y reforzando, en su caso, las iniciativas que, en materia de confianza digital, se estn realizando por distintos agentes pblicos y privados en el mbito y alcance de este Plan, favoreciendo la coordinacin de todos los actores e impulsando la racionalizacin de los esfuerzos y la mejora de la eficacia y el impacto de las actuaciones. El Plan de confianza en el mbito digital se articula en cuatro ejes alineados con cada una de las polticas identificadas en el captulo anterior y un eje adicional de acompaamiento de carcter regulatorio que dar soporte a las anteriores. En primer lugar, respecto a las polticas de sensibilizacin, concienciacin y formacin se ha previsto poner en marcha un eje de Experiencia Digital Segura a travs de la cooperacin pblico-privada con el objetivo de elevar los niveles de consciencia, conocimiento y capacitacin de los ciudadanos y las empresas en Internet, promoviendo buenas prcticas de gestin de riesgos y construyendo una demanda exigente e informada. En segundo lugar, para hacer frente a las polticas de industria, se propone un eje de Oportunidad para la industria TIC, destinado a proporcionar ayudas, incentivos y estmulos financieros a las empresas en todo el ciclo de la I+D+i de productos y servicios de confianza digital, fomentando la normalizacin tcnica, la certificacin y la internacionalizacin. En tercer lugar, se propone un eje de acompaamiento llamado Nuevo contexto regulatorio que comprende las actuaciones regulatorias necesarias para afrontar el reto de la economa y la sociedad digital que aseguren la eliminacin de barreras, el establecimiento de condiciones que favorezcan su desarrollo, los incentivos para el aprovechamiento de sus ventajas y la respuesta a los nuevos riesgos; todo ello bajo los principios de responsabilidad compartida, de proporcionalidad en las acciones y de equilibrio y respeto de los intereses y derechos de todas las partes. En cuarto lugar, se pretende transformar INTECO en un centro de referencia en ciberseguridad para la economa y la sociedad digital, denominando a este eje Capacidades para la resiliencia: INTECO 2.0. De esta forma, se posicionar a INTECO como polo de excelencia en ciberseguridad y confianza digital, para la atraccin de talento y el fomento del emprendimiento y del conocimiento especializado. El posicionamiento y los nuevos servicios que se conseguirn con INTECO 2.0 permitirn disponer de una infraestructura y una capacidad sobre las que construir el resto de ejes del presente plan. Por tanto, el nuevo INTECO participar y contribuir como agente principal de referencia en el resto de los ejes de este Plan. Finalmente, respecto a las polticas de talento y profesionales, alrededor de INTECO se propone lanzar un Programa de excelencia en ciberseguridad para contribuir a la generacin de talento y promover la investigacin avanzada.

29

5.2 Eje I: Experiencia Digital Segura

5.2.1 Descripcin
El eje de Experiencia Digital Segura comprende el conjunto de acciones encaminadas a sensibilizar, concienciar y formar en materia de confianza digital que los distintos agentes pblicos y privados llevan a cabo en Espaa. Las acciones que se desarrollen emplearn intensivamente los instrumentos de cooperacin pblico-privada. INTECO tendr un papel destacado al reforzarse su contribucin en las estructuras de cooperacin que se establezcan.

5.2.2 Objetivos
Impulsar estructuras slidas y permanentes de colaboracin pblico-privada para llevar a cabo acciones de sensibilizacin, concienciacin y formacin orientadas a ciudadanos, empresas y colectivos vulnerables como la infancia y la adolescencia, construyendo una demanda exigente e informada de productos y servicios para la confianza digital. Explorar la viabilidad y la oportunidad de la adopcin de contenidos sobre confianza digital en los itinerarios educativos.

5.2.3 Medida 1: Plan de sensibilizacin de INTECO

INTECO simplificar, reorientar y reforzar las actuaciones de sensibilizacin, concienciacin, y formacin en confianza digital que se venan desarrollando hasta 2012, incorporando la iniciativa pblica y privada que manifieste inters en participar. Adems, organizar el mes de ciberseguridad en el marco de la Estrategia Europea de Ciberseguridad y colaborar con otras iniciativas europeas y nacionales en la materia. Entre otras reas de inters para la confianza digital, INTECO prestar especial atencin a informar sobre los riesgos y las mejores prcticas para hacerles frente, a concienciar sobre la responsabilidad que los usuarios tienen en el uso de las tecnologas de la informacin y a sensibilizar sobre la oportunidad de adoptar hbitos que contribuyan a crear una demanda exigente e informada. El Plan de sensibilizacin de INTECO tendr carcter anual y comprender tanto la actividad como el seguimiento del impacto de cada una de las acciones.
Id Medida Responsable Compromisos Fases Fecha

PCD-1

Plan de sensibilizacin de INTECO

INTECO

ADpE-4.1.1.B ADpE-4.1.2.A ADpE-4.2.2.A ADpE-4.2.4.A ADpE-4.3.1.A ADpE-4.3.2.A ADpE-4.3.4.A ADpE-4.3.5.B ADpE-4.3.6.A EUCS-1.2.C EUCS-1.2.E ECSN-LA7.1 ECSN-LA7.2 ECSN-LA7.3

Primer mes ciberseguridad

de

2013

Actuaciones de sensibilizacin y mes de ciberseguridad

2014-2015

30

5.2.4 Medida 2: Plataforma de colaboracin pblico-privada para incrementar la confianza digital

INTECO analizar la oportunidad de constitucin de una plataforma de colaboracin pblicoprivada que, con el impulso de la SETSI, contribuya a incrementar la confianza digital. As, esta medida podr concretarse en la constitucin de una plataforma, o la frmula que se determine, de colaboracin pblico-privada para la confianza digital que lidere las actuaciones nacionales de sensibilizacin, concienciacin y formacin con el objetivo de racionalizar recursos para obtener mejores resultados y un mayor impacto en la ciudadana y las empresas. El Plan de sensibilizacin de INTECO se integrara dentro de las acciones de la plataforma una vez constituida. Tendr como misin contribuir a construir una cultura digital responsable, formando una demanda comprometida, exigente y excelente que permita a ciudadanos y empresas disfrutar de una experiencia digital confiable y de las oportunidades de las TIC. Se pretende que sea un instrumento capaz de agregar las iniciativas de los distintos agentes implicados. La Plataforma concentrar a todos los agentes pblicos y privados implicados en la prestacin de servicios de la sociedad de la informacin, en la seguridad de la informacin, en la proteccin de la intimidad, de la infancia y la adolescencia y del consumidor en el mbito digital, colaborando con las autoridades competentes en su caso. Entre ellos, se podr invitar a participar a la Agencia Espaola de Proteccin de Datos, al Ministerio de Sanidad, Servicios Sociales e Igualdad, al Ministerio del Interior, a las asociaciones empresariales y a las organizaciones civiles implicadas. La Plataforma podr acordar unos trminos de referencia y un plan de accin. Entre otras funciones, previo anlisis de su viabilidad, podr desarrollar las siguientes: Proponer, planificar y desarrollar acciones de comunicacin para la sensibilizacin y la formacin de los usuarios de Internet, orientadas a distintos colectivos, dando respuesta, entre otros, a los compromisos de la EUCS (mes de la ciberseguridad). Elaborar guas y recomendaciones sobre mejores prcticas para ciudadanos y empresas, especialmente sobre las novedades regulatorias que les pudieran afectar y que necesitarn de una adecuada comunicacin para su correcta adopcin. Proponer mejoras a los esquemas de colaboracin y de autorregulacin existentes para la proteccin de la infancia y la adolescencia y para la proteccin del consumidor online, entre otros, proponiendo, en su caso, nuevos esquemas. Complementar las actuaciones de sensibilizacin, concienciacin y formacin en materia de proteccin de la infancia y la adolescencia en Internet dentro del II Plan Estratgico Nacional de Infancia y Adolescencia 2013-2016, del Plan de Menores en Internet (medida 4) y en colaboracin con el Plan de Contenidos Digitales y el Plan de Inclusin Digital y Empleabilidad de la Agenda Digital para Espaa.

Las actuaciones podrn tener diversos responsables de ejecucin en funcin de las medidas a llevar a cabo. Adems, si fuera oportuno, se valorar la conveniencia de su integracin en otras iniciativas pblico-privadas de naturaleza similar, impulsadas por otros planes de la Agenda Digital para Espaa, con el objetivo de racionalizar esfuerzos y alcanzar un mayor impacto de las actuaciones.

31

Id

Medida

Responsable

Compromisos

Fases

Fecha

PCD-2

Plataforma de Colaboracin Pblico Privada para incrementar la confianza digital

INTECO

ADpE-4.1.1.B ADpE-4.1.2.A ADpE-4.2.2.A ADpE-4.2.4.A ADpE-4.3.4.A ADpE-4.3.5.A ADpE-4.3.6.A ADpE-4.3.1.A ADpE-4.3.2.A ADpE-4.3.3.B ADpE-4.3.5.B ADpE-4.3.5.C ADpE-4.3.5.D ADpE-4.3.5.E EUCS-1.1.F EUCS-1.2.A EUCS-4.1.B EUCS-1.2.C EUCS-1.2.E ECSN-LA7.1 ECSN-LA7.2 ECSN-LA7.3

Constitucin plataforma

de

la

2014

Desarrollo actividades

de

2014-2015

5.2.5 Medida 3: Piloto en itinerarios educativos escolares

La inminente aprobacin de los nuevos currculos educativos por parte del Ministerio de Educacin, Cultura y Deporte requiere reenfocar el objetivo de esta medida. La nueva propuesta que se pondr en marcha previsiblemente en el curso 2014-2015 incorpora nuevos contenidos especficos sobre seguridad, privacidad, uso responsable de las tecnologas de la informacin, redes sociales, entre otros, contribuyendo a cumplir con los objetivos de la Agenda Digital para Espaa. No obstante, se propone valorar la conveniencia de poner en marcha un piloto que permita evaluar estos nuevos currculos y valorar la oportunidad y viabilidad de la incorporacin de nuevos contenidos de confianza digital en los itinerarios educativos escolares. Este piloto permitir realizar un anlisis del impacto de las medidas y acciones propuestas por las autoridades competentes, entre ellas, el Ministerio de Educacin, Cultura y Deporte, y en su caso colaborar con stas en la implementacin, mejora y actualizacin de los contenidos.
Id Medida Responsable Compromisos Fases Fecha

PCD-3

Piloto itinerarios educativos escolares

en INTECO

ADpE-4.2.3.A EUCS-1.2.D ECSN-LA7.4

Informe sobre itinerarios educativos

2014

5.2.6 Medida 4: Plan de menores en Internet

Entre otras actuaciones, el Plan de Menores en Internet reforzar el portal de chaval.es de Red.es (www.chaval.es), se estudiar la viabilidad de la implementacin de un mecanismo que permita el etiquetado de contenidos digitales en la red para menores y se impulsar un grupo de trabajo especfico para la proteccin del menor donde estn representados, entre otros, el Ministerio de Interior (Guardia Civil, Polica), Fiscala de Menores, el Ministerio de Educacin, Cultura y Deporte y el Ministerio de Sanidad Servicios Sociales e Igualdad junto a las CCAA. 32

Se trata de un escenario que presenta mltiples facetas (jurdicas, tecnolgicas, educativas, policiales, etc.). En consecuencia, se identifica la necesidad de coordinar las actuaciones tanto pblicas como de carcter privado en esta materia. Esta coordinacin se articular a travs de la constitucin de un grupo de trabajo pblico-privado de menores e Internet integrado por representantes la AGE (Ministerios de Industria, Turismo y Comercio, Interior, Justicia, Educacin Cultura y Deporte y de Sanidad, Servicios Sociales e Igualdad), as como CCAA, Fiscala General del Estado y todas las asociaciones y fundaciones de carcter privado ms representativas en el mbito de la proteccin de los menores en la Red. El objeto de este Grupo es recopilar y poner en comn los proyectos e iniciativas pblicas y privadas generadas en este mbito, con el nimo de aunar y coordinar esfuerzos y recursos, fomentando, en su caso, la autorregulacin y avanzando en la proteccin de los menores en Internet, con especial nfasis en la seguridad, desde un punto de vista legal y policial, pero sin olvidar la educacin y la divulgacin en el uso responsable de las TIC. Entre las actuaciones que se desarrollarn en el marco del Plan de menores en Internet se encuentran las siguientes: Creacin de una plataforma segura para menores en Internet, con actuaciones divulgativas y preventivas, en la que se integrarn algunos de los portales actuales, como www.chaval.es o www.menores.osi.es. Desarrollo de proyectos tecnolgicos de innovacin en la proteccin de la infancia y los menores en la Red (por ejemplo, un estudio de viabilidad de mecanismos de etiquetado digital de contenidos combinados con sistemas de control parental). Impulso de acciones de sensibilizacin y formacin, en especial guas pedaggicas, dirigidas a la infancia y adolescencia, teniendo en cuenta el entorno ms cercano del menor (padres y educadores). Realizacin de estudios para conocer el uso que nios y adolescentes hacen de Internet, las posibilidades que les ofrece y los riesgos y situaciones que pueden alterar su vivencia digital.

Esta medida se coordinar con PENIA II y con la Plataforma de cooperacin pblico-privado (medida 2).
Id Medida Responsable Compromisos Fases Fecha

Constitucin del GT de menores en Internet ADpE-4.2.2.A. ADpE-4.1.2.A ADpE-4.2.1.A ADpE-4.2.3.A ADpE-4.2.4.A ADpE-4.3.1.A ADpE-4.3.2.A ADpE-4.3.3.B EUCS-1.2.C EUCS-1.2.D ECSN-LA7.4 Plataforma de seguridad de los menores en Internet Proyectos tecnolgicos de innovacin para la seguridad de los menores Acciones sensibilizacin formacin pedaggicas) Internet de y (guas en

2013

2014

PCD-4

Plan de menores en Internet

Red.es

2014-2015

2014-2015

Estudios uso Internet por menores

2014-2015

33

5.2.7 Medida 5: Punto neutro de gestin de incidentes

Se pretende llevar a cabo la puesta en marcha de un centro tcnico y de atencin al usuario para dar soporte al cdigo de conducta de gestin de incidentes de seguridad previsto en la modificacin de la Ley de Servicios de la Sociedad de la Informacin (LSSI) (ver medida 12). El centro ser la figura responsable de la coordinacin e implementacin operativa de los protocolos de gestin de incidentes que se establezcan con los prestadores de servicios de la Sociedad de la Informacin implicados, proporcionando los procesos, sistemas y herramientas necesarias para su funcionamiento. Entre los incidentes a gestionar, se prestar especial prioridad a la lucha contra las botnets o redes de equipos comprometidos. Todos los actores adheridos al cdigo de conducta sern partcipes de la definicin y operacin del centro en funcin del rol que desempean. El Punto neutro ser operado por INTECO que aportar su capacidad de coordinacin y los conocimientos tcnicos necesarios para asegurar una correcta gestin de los incidentes de seguridad. El Punto neutro se regir bajo el principio de neutralidad. El Punto neutro colaborar y participar en proyectos internacionales de la misma naturaleza, especialmente en el marco de las actuaciones previstas en la EUCS para la Comisin Europea61 y ENISA. La puesta en marcha del centro estar condicionada por el estudio previo de viabilidad que se realizar a travs de un piloto.
Id Medida Responsable Compromisos Fases Fecha

PCD-5

Punto neutro de gestin de incidentes

INTECO

ADpE-4.2.1.A ADpE-4.2.2. AEUCS-1.1.B ECSN-LA5 ECSN-LA5.2 ECSN-LA7.1 ECSN-LA7.2 ECSN-LA7.3

Puesta en marcha del centro

2014

5.3 Eje II: Oportunidad para la industria TIC

5.3.1 Descripcin
El eje de Oportunidad para la industria TIC comprende el conjunto de acciones destinadas a impulsar su desarrollo, mejorar su competitividad y ayudar a que pueda convertirse en referencia internacional en materia de confianza digital. Se dar especial prioridad a la ciberseguridad y a los servicios de confianza.

61

Un ejemplo del mismo es el proyecto ACDC: Advanced Cyber Defence Centre. coordinado por ECO VERBAND DER DEUTSCHEN INTERNETWIRTSCHAFT EV y con la participacin por parte de Espaa de Telefnica Investigacin y Desarrollo SA, Fundacin Privada Barcelona Digital Centre Tecnologic, Atos Spain SA e INTECO, financiado con fondos del Programa de ayuda a las TIC como parte del Programa Marco de Competitividad e Innovacin (CIP). Ms informacin disponible en: http://ec.europa.eu/information_society/apps/projects/factsheet/index.cfm?project_ref=325188

34

Las acciones que se describen a continuacin aprovecharn los instrumentos de financiacin e internacionalizacin existentes en la AGE, introduciendo la especializacin y las mejoras necesarias para alcanzar los objetivos del eje, as como los resultados del Plan de desarrollo e innovacin del sector TIC y del Plan de internacionalizacin de empresas tecnolgicas de la Agenda Digital para Espaa. Adicionalmente a las medidas de financiacin, ser imprescindible reforzar la deteccin de capacidad temprana, impulsar las actuaciones de normalizacin tcnica y, en su caso, los procesos de certificacin que los acompaan. Para ello, se prev apoyarse de forma intensiva en instrumentos de cooperacin pblico-privada.

5.3.2 Objetivos
Impulsar, en colaboracin con la industria, el desarrollo del mercado de productos y servicios de ciberseguridad y de los servicios de confianza empleando los instrumentos de financiacin y estmulo disponibles. Impulsar, en colaboracin con la industria, la identificacin de barreras e incentivos as como la normalizacin y la certificacin tomadas como herramientas de generacin de una oferta de valor diferenciado y palanca para la internacionalizacin.

5.3.3 Medida 6: Comit Tcnico de Coordinacin

El objetivo de esta medida es estudiar la oportunidad de constituir un mecanismo de coordinacin y cooperacin, que podra denominarse Comit Tcnico de Coordinacin, entre los distintos agentes competentes para el diseo de un programa integral que cubra el ciclo de vida del emprendimiento y de la I+D+i para el bienio 2014-2015 en materia de ciberseguridad y servicios de confianza, aprovechando los instrumentos de financiacin y estmulo ya operativos de la AGE y, en su caso, los de nueva creacin que pudieran establecerse. Esta medida se coordinar con el Plan de impulso de la economa digital y de los contenidos digitales y el Plan de desarrollo e innovacin del sector TIC. En este Comit Tcnico de Coordinacin, podrn participar la SETSI, ENISA, CDTI y otros agentes implicados en el eje. Tendr como misin el diseo y desarrollo del programa integrado de ayudas, estmulos e incentivos para la industria, pudiendo colaborar con el Foro Nacional para la Confianza Digital (medida 10). Adems, deber configurar las prioridades en materia de confianza digital para el proceso de diseo de la oferta con las aportaciones de la demanda temprana (ver medida 8) y proponer el desarrollo de nuevos instrumentos, si se detectaran carencias que no estuvieran cubiertas. El programa integral que coordine el Comit estar dotado de los fondos finalistas en materia de ciberseguridad y confianza digital de cada una de los instrumentos que los participantes gestionan. La SETSI aportar sus recursos en la Accin Estratgica de Economa y Sociedad Digital 20132016 del Plan Estatal de I+D+i. Adems, la SETSI podr aportar fondos adicionales para reforzar la financiacin que ya aportan los participantes mediante los instrumentos contables y presupuestarios pertinentes.

35

Id

Medida

Responsable

Compromisos

Fases

Fecha

PCD-6

Comit Tcnico de Coordinacin

SETSI

ADpE-4.1.1.B ADpE-4.1.2 EUCS-4.2.A EUCS-4.2.B ECSN-LA6.4

Incorporacin de lneas y prioridades temticas en los principales instrumentos de financiacin de la AGE y refuerzo de la financiacin

2014

5.3.4 Medida 7: Soporte especializado a las estructuras de evaluacin de proyectos

Incluir a los expertos de INTECO y otros agentes especializados en los Comits de Evaluacin de proyectos de los instrumentos de financiacin de la AGE. Los distintos instrumentos de financiacin precisan de un mejor asesoramiento para la valoracin de las propuestas (evaluacin del modelo de negocio y de la solucin tcnica). Para ello, se necesita incorporar en los procesos de evaluacin a agentes especializados en la materia que dispongan de competencia y capacidad para desempear estas funciones. Esta medida prev incorporar al menos a INTECO, entre los posibles agentes que dispongan de competencia y capacidad para desempear estas funciones, para as utilizar su ecosistema de innovacin y alta especializacin en ciberseguridad y confianza digital, aprovechando de este modo el reconocimiento como entidad de referencia por la industria TIC de seguridad. Esta medida se relaciona con el Plan de Desarrollo e Innovacin del sector TIC.
Id Medida Responsable Compromisos Fases Fecha

PCD-7

Soporte especializado a las estructuras de evaluacin de proyectos

SETSI

ADpE-4.1.1.B ADpE-4.1.2.A ECSN-LA6.4

Incorporacin de INTECO en los procesos de evaluacin de los instrumentos de financiacin pblicos

2013

5.3.5 Medida 8: Refuerzo de la capacidad de deteccin de demanda temprana

Se pretende revisar la incorporacin de INTECO a las estructuras pblico-privadas de deteccin de demanda temprana de productos y servicios de ciberseguridad y confianza digital. La identificacin de demanda temprana es imprescindible para orientar a la industria y disear las prioridades de financiacin pblica. Esta medida, con la colaboracin en su caso del Foro Nacional para la Confianza Digital (medida 10) y del Comit Tcnico de Coordinacin (medida 6), pretende reforzar las estructuras de cooperacin pblico-privada con la industria para identificar, de forma temprana, las necesidades de productos y servicios de ciberseguridad y confianza digital que demandan organizaciones, administraciones, empresas y ciudadanos y poder trasladar dicha demanda, si procede, a los programas de ayudas y de estmulos. Este refuerzo consistir, entre otras acciones a propuesta del Foro Nacional para la Confianza Digital (medida 10), en la consolidacin de la contribucin de INTECO en las plataformas tecnolgicas nacionales, en su caso, aprovechando el ecosistema formado a su alrededor, su 36

conocimiento y su posicin privilegiada con la industria, as como su participacin internacional en estructuras y proyectos de esta naturaleza en la Unin Europea. Cabe destacar la participacin de INTECO en la iniciativa de la Comisin Europea de colaboracin pblico-privada en materia de seguridad de la informacin, a travs de la plataforma NIS, creada en el marco de la Estrategia Europea de Ciberseguridad, interviniendo en todos los grupos de trabajo y coliderando el relativo a la innovacin y la investigacin en ciberseguridad. Si es el caso, el anlisis realizado a travs de este refuerzo se consolidar a travs de un informe anual de tendencias.
Id Medida Responsable Compromisos Fases Fecha

PCD-8

Refuerzo de la capacidad de deteccin de demanda temprana

INTECO

ADpE-4.1.1.B ADpE-4.1.2.A EUCS-4.2.A EUCS-4.2.B EUCS-4.2.E ECSN-LA6.3 ECSN-LA6.4

Incorporacin de INTECO en las estructuras pblicoprivadas de deteccin de demanda temprana

2014

5.3.6 Medida 9: Polo tecnolgico en ciberseguridad

El Plan de Impulso de la Economa Digital y de los Contenidos Digitales prev el desarrollo de polos tecnolgicos de gran impacto que atraigan la inversin extranjera directa y la bsqueda de los impulsos que hagan nacer, de forma espontnea, la concentracin sectorial, de forma que su desarrollo sea sostenible y no dependa permanentemente de apoyo pblico a medio y largo plazo. En materia de ciberseguridad y confianza existen ya algunas iniciativas pblico-privadas. Esta medida pretende realizar un estudio de viabilidad en colaboracin con dichos agentes y el Foro Nacional para la Confianza Digital (medida 10) con el objetivo de desarrollar una propuesta integradora para la puesta en marcha de un polo tecnolgico en ciberseguridad en el que participen INTECO y, en su caso, Red.es empleando para ello las estructuras evaluadas en el Plan de Impulso de la Economa Digital y de los Contenidos Digitales y las oportunidades de cofinanciacin de los Fondos Europeos (FEDER). INTECO colaborar participando en el estudio de la viabilidad dada su posicin privilegiada con la industria y el ecosistema focalizado en ciberseguridad formado a su alrededor. Entre las funciones y objetivos del polo tecnolgico podran incluirse la incubadora de ideas y proyectos empresariales en materia de Ciberseguridad que ofrecera apoyo tcnico y de negocio a los diferentes emprendedores. Esta incubadora podra aprovechar los programas de financiacin (medida 6) y el apoyo de los diferentes actores clave. Al mismo tiempo, se facilitara durante un periodo determinado el uso de instalaciones acondicionadas para la incubacin de dichas ideas y proyectos de Ciberseguridad, compartiendo espacios y facilitando la interaccin con personal altamente cualificado, aprovechando de este modo el ecosistema de INTECO (eje IV y eje V). Finalmente, en su caso, podra facilitarse el acceso a la red de centros de excelencia de investigacin (medida 25) en Ciberseguridad, contando con acceso a sus investigadores de mayor talento.

37

Id

Medida

Responsable

Compromisos

Fases

Fecha

PCD-9

Polo tecnolgico en ciberseguridad

SETSI

EUCS-4.2.A EUCS-4.2.B EUCS-4.2.D EUCS-4.2.E ECSN-LA6.4 ECSN-LA6.5

Realizacin estudio de viabilidad

2014

5.3.7 Medida 10. Foro Nacional para la Confianza Digital

Esta medida pretende la creacin de un Foro Nacional para la Confianza Digital en el que participen todos los agentes ms relevantes del sector privado, industria, profesionales, I+D y consumidores, que acte como organismo asesor en materia de regulacin y estrategia para la ciberseguridad y la confianza. El Foro se constituir como un instrumento de colaboracin pblico-privada que deber proponer sus trminos de referencia y plan de trabajo. Podr tener como funciones las que a continuacin se describen con carcter orientativo: Realizar recomendaciones para el diseo de la estrategia nacional de normalizacin y certificacin en materia de ciberseguridad y confianza digital, aprovechando las capacidades de demanda temprana, las necesidades regulatorias, el mapa de las tecnologas de futuro y las iniciativas industriales de referencia tanto en el lado de la oferta como en el de la demanda, incluyendo esquemas soft de certificacin y sistemas de etiquetado. Elaborar la posicin que los distintos participantes puedan defender en los diferentes foros internacionales, especialmente en los grupos de normalizacin impulsados por la Comisin Europea para el desarrollo de las normas tcnicas de los nuevos instrumentos regulatorios. Asesorar en las acciones del Programa de Impulso de la Industria TIC para la confianza, especialmente en materia de generacin de demanda temprana, e identificar las prioridades para los instrumentos de financiacin y su mejora. Estudiar y proponer los esquemas de competencias para los profesionales de la confianza digital para su valoracin en el Plan de Desarrollo e Innovacin del Sector TIC y el Programa de Excelencia en Ciberseguridad. Potenciar la certificacin de los profesionales de la seguridad (CISSP, CISA, CISM, etc.) y de la proteccin de datos (DPO). Estudiar y proponer medidas de estmulo e incentivos para favorecer las inversiones de la industria TIC y su adopcin por la demanda, tanto en el sector pblico como en el privado. Colaborar y participar en iniciativas internacionales, especialmente las plataformas europeas como, por ejemplo, la NIS Platform creada en el marco de la EUCS (ver medida 8), e impulsar una accin coordinada para aprovechar la oportunidad del programa europeo Horizonte 2020. Participar en la propuesta de creacin de un Polo tecnolgico en ciberseguridad (medida 9) y de un Esquema de indicadores para la confianza digital (medida 13). Asesorar en los procesos de desarrollo de la nueva normativa en materia de confianza digital (medidas 11 y 12).

38

Id

Medida

Responsable

Compromisos

Fases

Fecha

ADpE-4.1.1.B ADpE-4.1.2.A ADpE-4.3.3.A ADpE-4.3.3.B ADpE-4.3.4.A EUCS-1.1.G EUCS-1.2.A EUCS-4.1.A EUCS-4.1.B EUCS-4.1.C EUCS-4.1.D EUCS-4.1.E EUCS-4.1.F EUCS-4.2.B EUCS-4.2.C EUCS-4.2.D EUCS-4.2.E EUCS-4.2.F ECSN-LA5.1 ECSN-LA5.2 ECSN-LA5.3 ECSN-LA6.1 ECSN-LA6.3 ECSN-LA6.4 ECSN-LA6.5 ECSN-LA6.6 ECSN-LA8.1 ECSN-LA8.6

Constitucin del Foro

2013

Preparacin del plan

2013

PCD-10

Foro nacional para la confianza digital

SETSI

Desarrollo actividades

de

las

2014 - 2015

5.4 Eje III: Nuevo contexto regulatorio

5.4.1 Descripcin
Este eje de acompaamiento consiste en actuaciones regulatorias necesarias para afrontar el reto de construir una economa y sociedad digital confiable que aseguren la eliminacin de barreras, el establecimiento de condiciones que favorezcan su desarrollo, los incentivos para el aprovechamiento de sus ventajas y la respuesta a los nuevos riesgos, todo ello bajo los principios de responsabilidad compartida, de proporcionalidad en las medidas y de equilibrio y respeto de los intereses y derechos de todas las partes.

5.4.2 Objetivos
Adoptar la regulacin europea en materia de confianza digital. Impulsar la autorregulacin para favorecer el desarrollo confiable de la economa y la sociedad digital. Disponer de un mapa de indicadores fiable sobre el nivel de confianza digital en Espaa, el mercado de productos y servicios, y el impacto de las polticas pblicas.

39

5.4.3 Medida 11: Adopcin de la nueva regulacin europea

La nueva regulacin europea prevista para el periodo 2014-2015 exigir poner en marcha nuevos instrumentos normativos. Entre los instrumentos regulatorios previstos se encuentran: a. b. c. Directiva de Seguridad de la Redes y de la Informacin Reglamento de Identidad Electrnica y Servicios de Confianza Reglamento de Proteccin de Datos Personales

Para ello, en la fase de negociacin ser preciso establecer los mecanismos de coordinacin entre las autoridades competentes y propiciar el dilogo con el sector privado para alcanzar los objetivos de la posicin espaola. En la fase de implementacin, se promover la adopcin de la normativa tcnica de desarrollo buscando el necesario equilibrio entre las partes interesadas as como el desarrollo de medidas de acompaamiento. Para ello, se contar con la participacin del Foro Nacional para la Confianza Digital. Adicionalmente, ser necesario dotar de los recursos necesarios a las autoridades competentes para afrontar el proceso de implementacin con garantas, especialmente en materia de supervisin y control cuando as se determine en la regulacin.
Id Medida Responsable Compromisos Fases Fecha

PCD-11

Adopcin de nueva regulacin europea

SETSI

ADpE-4.1.1.A ADpE-4.1.3.A ADpE-4.3.3.C ADpE-4.3.6.A EUCS-1.1.F EUCS-4.1.E EUCS-4.1.F EUCS-4.2.C EUCS-4.2.F ECSN-LA3.1 ECSN-LA5.3 ECSN-LA6.5 ECSN-LA6.6 ECSN-LA8.6

Adopcin de la nueva regulacin europea

2014-2015

5.4.4 Medida 12: Esquema de gestin de incidentes de seguridad

La propuesta de modificacin de la Ley de Servicios de la Sociedad de la Informacin (LSSI), que se incorporar en una disposicin adicional, tiene por objetivo establecer mecanismos de colaboracin entre INTECO y los prestadores de servicios de la Sociedad de la Informacin, los registros de nombre de dominio y los agentes registradores que estn establecidos en Espaa con el fin mejorar las capacidades de alerta temprana y prevencin y de mitigar los incidentes de seguridad que afecten a la Red. Esta disposicin adicional prev, adems, el desarrollo de un esquema de conducta en un programa de cooperacin pblico-privada.

40

Con esta medida62 se pretende que los prestadores de servicios de la Sociedad de la Informacin, respetando el secreto de las telecomunicaciones, suministren la informacin necesaria a INTECO para la adecuada gestin de los incidentes de ciberseguridad, incluyendo las direcciones IP que puedan hallarse comprometidas o implicadas en los mismos. Los cdigos de conducta determinarn el conjunto de normas, medidas y recomendaciones a implementar que permitan garantizar una gestin eficiente y eficaz de dichos incidentes de ciberseguridad, el rgimen de colaboracin y condiciones de adhesin e implementacin, as como los procedimientos de anlisis y revisin de las iniciativas resultantes. La Secretara de Estado de Telecomunicaciones y para la Sociedad de la Informacin coordinar las actuaciones que se pongan en marcha derivadas de estos cdigos de conducta, siendo necesario para su desarrollo contar con la participacin de un grupo de trabajo con los distintos agentes implicados.
Id Medida Responsable Compromisos Fases Fecha

PCD-12

Esquema de gestin de incidentes de seguridad

SETSI

EUCS-1.1.B ECSN-LA5.1 ECSN-LA5.2

Tramitacin de la Disposicin Adicional de la LSSI Adopcin del cdigo de conducta

2014

2014-2015

5.4.5 Medida 13: Esquema de indicadores para la confianza digital

El objetivo de esta medida es realizar un estudio que permita identificar las necesidades de nuevos indicadores sobre los actualmente disponibles, valorando convenientemente su oportunidad y viabilidad tcnicas, procediendo, en su caso, al desarrollo de un nuevo esquema de indicadores para medir los niveles de confianza digital. En la elaboracin del estudio se prestar especial atencin a la disponibilidad de mtricas para medir fiablemente el nivel de confianza de la ciudadana y las empresas, as como el mercado potencial para la industria y las inversiones realizadas por las empresas demandantes. En cualquier caso, se asegurar el mantenimiento de los indicadores disponibles en la actualidad. El desarrollo de esta medida se realizar con la colaboracin del Foro Nacional de Confianza Digital (ver medida 10).

Id

Medida

Responsable

Compromisos

Fases

Fecha

PCD-13

Esquema de indicadores para la confianza digital

Red.es

ADpE-4.2.4.A

Diseo y elaboracin del plan de indicadores Obtencin de primera serie la

2013 2014

62

http://www.congreso.es/public_oficiales/L10/CONG/BOCG/A/BOCG-10-A-62-1.PDF#page=1

41

5.5 Eje IV: Capacidades para la resiliencia: INTECO 2.0

5.5.1 Descripcin
Este eje comprende las medidas necesarias para afrontar la transformacin de INTECO para centrarlo en la prevencin, deteccin y respuesta ante incidentes de seguridad, convertirlo en un centro de referencia en el mercado interior digital y reforzar su capacidad para hacer frente a las nuevas amenazas y a los compromisos de la Estrategia Europea de Ciberseguridad y la Estrategia de Ciberseguridad Nacional. La transformacin de INTECO permitir que desempee su actividad en el mbito de la Sociedad y la Economa Digital, dirigindose al mercado interior digital, la industria, la empresa, la ciudadana, el sector acadmico y de investigacin, y los operadores de los sectores econmicos donde los incidentes de seguridad puedan causar un impacto significativo, sin perjuicio de su consideracin como operadores de infraestructuras crticas y, con carcter prioritario, las empresas de especial trascendencia econmica. Para ello, se hace necesario el refuerzo en infraestructuras, presupuesto, recursos y la reorganizacin de la actividad orientada a esta nueva misin, adems de la puesta en marcha de nuevos servicios e infraestructuras. La experiencia y el conocimiento adquiridos desde 2006, suponen una base firme sobre la que construir el nuevo modelo de competencia y servicio. La internacionalizacin de la actividad contribuir a posicionar a INTECO como referencia nacional en ciberseguridad63. El refuerzo de INTECO permitir a su vez ofrecer capacidad y recursos a otros agentes de la ciberseguridad en Espaa, por medio de convenios bilaterales u otros mecanismos. Este es el caso, por ejemplo, de la colaboracin con el Centro Nacional para la Proteccin de las Infraestructuras Crticas (CNPIC) y las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).

5.5.2 Objetivos
Posicionar a INTECO como centro de excelencia y referencia en ciberseguridad, enfocando su actividad a empresas de sectores estratgicos, infraestructuras crticas, red acadmica, dominios.es, empresas y ciudadanos. Desplegar nuevas capacidades y servicios de inteligencia en ciberseguridad. Optimizar, ampliar y operar servicios de seguridad y respuesta a incidentes.

5.5.3 Medida 14: Transformacin organizativa y refuerzo

Reorientacin de la actividad de INTECO, acompaada de un importante refuerzo presupuestario y de plantilla, que le permita desarrollar eficazmente su misin en el mercado interior digital, la industria, las empresas, el mundo acadmico y la ciudadana y, con carcter prioritario, las empresas de especial trascendencia econmica.

63

European Network and Information Security Agency: CERTs by Country - Interactive Map. Ms informacin disponible en: http://www.enisa.europa.eu/activities/cert/background/inv/certs-by-countryinteractive-map

42

INTECO aprobar un plan de actividad para los aos 2013 y 2014 que determinen la misin, los objetivos y las actuaciones a realizar para convertirse en el centro de referencia en ciberseguridad. Este plan desarrolla la actividad del centro de respuesta a incidentes de seguridad TIC, esto es su actividad en la capacidad de deteccin y alerta temprana de nuevas amenazas, la respuesta y el anlisis de incidentes de seguridad de la informacin y el diseo de medidas preventivas para atender a las necesidades de su mbito de actuacin: ciudadanos, el sector acadmico y de investigacin, empresas e infraestructuras crticas, gracias a la colaboracin con el Centro Nacional para la Proteccin de las Infraestructuras Crticas (CNPIC). El plan de actividad estar acompaado de un aumento de las capacidades necesarias para el desarrollo de las actividades del Plan y, si procede, el correspondiente incremento del presupuesto y de plantilla.
Id Medida Responsable Compromisos Fases Fecha

PCD-14

Transformacin organizativa y refuerzo

INTECO

ADpE-4.2.1.A ADpE-4.2.1.B ADpE-4.2.1.C EUCS-1.1.C EUCS-1.1.D ECSN-LA1.1 ECSN-LA1.2 ECSN-LA1.4 ECSN-LA1.5 ECSN-LA1.6 ECSN-LA3.2 ECSN-LA3.3 ECSN-LA4.2 ECSN-LA5.1 ECSN-LA5.2

Plan de actividad de INTECO 2.0

2013

Refuerzo y dotacin de personal tcnico especializado

2013-2015

5.5.4 Medida 15: Nueva plataforma tecnolgica de alerta temprana y servicios de vigilancia tecnolgica
INTECO llevar a cabo el despliegue y operacin de nuevos servicios de inteligencia en ciberseguridad, estableciendo acuerdos con las entidades de referencia internacional y desarrollando labores de investigacin e innovacin que constituyan un ncleo de conocimiento y servicio en permanente evolucin, para la deteccin proactiva de amenazas, la alerta temprana y el apoyo en la toma de decisiones estratgicas relativas a la ciberseguridad nacional. Esta plataforma integrar, bajo un marco de explotacin nico, herramientas y soluciones especficas para las diferentes tipologas de ciberamenazas basadas en soluciones comerciales y en soluciones propias desarrolladas por INTECO para tal fin en aquellos casos en los que el mercado no proporciona an una oferta solvente. La actividad de INTECO conlleva unos requisitos muy especficos en el diseo y prestacin de sus servicios que hacen que, en muchos casos, no exista una solucin o tecnologa en el mercado y sea imprescindible abordar un desarrollo especfico. En el marco de esta medida, se implementar un modelo de deteccin y alerta temprana que pretende ser clave para la gestin y la respuesta a incidentes, pero tambin para la deteccin proactiva de nuevas amenazas que puedan impactar en las redes y los sistemas de informacin.

43

En este modelo destacan, entre otros, el papel que juegan las diferentes tecnologas de correlacin, el analizador de malware y URLs, las spamtraps y honeypots, la monitorizacin dominios .es o la deteccin de dominios y URLs maliciosas. La plataforma se beneficiar de los acuerdos y/o convenios con entidades de referencia internacionales para facilitar el intercambio de informacin relativa a incidentes de seguridad (malware, vulnerabilidades, urls maliciosas, IPs, dominios, etc.) con los actores ms relevantes en materia de ciberseguridad y sociedad de la informacin.
Id Medida Responsable Compromisos Fases Fecha

PCD-15

Nueva plataforma tecnolgica de alerta temprana y servicios de vigilancia tecnolgica

INTECO

ADpE-4.2.1.B ADpE-4.2.1.C EUCS-1.1.C EUCS-1.1.D EUCS-4.1.C EUCS-4.2.E ECSN-LA1.1 ECSN-LA1.2 ECSN-LA1.4 ECSN-LA1.5 ECSN-LA5.1 ECSN-LA5.2

Nueva plataforma de deteccin de alerta temprana Modelo de deteccin y alerta temprana operativo Convenios con entidades de referencia internacional

2013

2014

2013-2014

5.5.5 Medida 16: Nuevos canales de comunicacin para la confianza digital

INTECO llevar a cabo la mejora de los canales de comunicacin con los usuarios mediante una nueva web y sistema de blogs especializados que permitan ofrecer coherencia y homogeneidad a todas sus actuaciones, elaborando mensajes ms adaptados a los diferentes pblicos objetivos y logrando con ello un mayor impacto, informacin de deteccin y alerta temprana ms eficiente, publicacin y difusin de conocimiento de relevancia tcnica e informes peridicos de situacin. En definitiva, se pretende lograr una comunicacin ms efectiva, para ello, se trabajar en una imagen y marca ms modernas, atractivas y vinculadas a los conceptos de ciberseguridad y confianza digital. El cambio estratgico se ver reflejado en todos los canales de comunicacin, offline y online, incluyendo la web, que seguir siendo su principal canal de comunicacin. La nueva web de INTECO supone, adems de una nueva plataforma tecnolgica, todo un proceso de continua evolucin de estrategia y contenidos all disponibles. Evolucin que deber comenzar en 2013, a travs de la alineacin de los contenidos con su core de actividad en ciberseguridad, y culminar con la nueva plataforma en 2014.
Id Medida Responsable Compromisos Fases Fecha

PCD-16

Nuevos canales de comunicacin para la confianza digital

INTECO

ADpE-4.2.1.A ECSN-LA5.1 ECSN-LA5.2 ECSN-LA7.1 ECSN-LA7.2 ECSN-LA7.3

Puesta en marcha de la nueva web Lanzamiento de blogs especializados

2013

2014

44

5.5.6 Medida 17: Cooperacin con la seguridad pblica y la proteccin de las infraestructuras crticas
La Secretara de Estado de Telecomunicaciones y para la Sociedad de la Informacin y la Secretara de Estado de Seguridad establecern un convenio de colaboracin para que INTECO ofrezca su capacidad en ciberseguridad al Centro Nacional para la Proteccin de las Infraestructuras Crticas (CNPIC) y a las Fuerzas y Cuerpos de Seguridad del Estado (FCSE). Por medio de este convenio, INTECO se encargar de poner en marcha un CERT de Infraestructuras Crticas de la Informacin para el CNPIC y colaborar en las actuaciones de las FCSE. A travs de este CERT, se busca incrementar la resiliencia, la fortaleza y la capacidad de recuperacin de las redes digitales de nuestro pas y de los sistemas e infraestructuras interconectados a estas redes, garantizando un uso seguro de las mismas y de los sistemas de informacin. Para ello, se dotar de mecanismos preventivos y reactivos para dar respuesta a incidentes en materia de seguridad pblica y proteccin de infraestructuras crticas y para la colaboracin en las actuaciones de las FCSE en la lucha contra los ciberdelitos.
Id Medida Responsable Compromisos Fases Fecha

PCD-17

Cooperacin con la seguridad pblica y la proteccin de las infraestructuras crticas

INTECO

ADpE-4.2.1.B EUCS-1.1.A EUCS-1.1.C EUCS-1.1.D ECSN-LA1.4 ECSN-LA3.2 ECSN-LA4.2

Puesta en marcha del CERT de infraestructuras crticas

2013

5.5.7 Medida 18: Colaboracin en ciberejercicios

INTECO colaborar con el Departamento de Seguridad Nacional en el desarrollo de ciberejercicios nacionales e internacionales, as como en los que sean organizados por el sector industrial y empresarial. El posicionamiento de INTECO, y el hecho de contar con un CERT de infraestructuras crticas, le han de permitir promover la participacin de los principales agentes para asegurar el correcto desempeo de ejercicios, a fin de ser capaces de reaccionar en el caso de ataques que puedan afectar a las infraestructuras pblicas espaolas. La experiencia demostrada por INTECO en su participacin en ciberejercicios que se han desarrollado a nivel europeo y nacional le permitir actuar como lder, organizador y/o participante atendiendo a las necesidades y objetivos fijados en cada caso.
Id Medida Responsable Compromisos Fases Fecha

PCD-18

Colaboracin en ciberejercicios

INTECO

ADpE-4.2.1.B EUCS-1.1.E ECSN-LA1.6 ECSN-LA3.3 ECSN-LA8.5

Participacin en los ciberejercicios de ciberseguridad con la industria y empresas de los sectores estratgicos

2013-2015

45

5.6 Eje V: Programa de excelencia en ciberseguridad

5.6.1 Descripcin
El Programa de Excelencia en Ciberseguridad (PECS) aprovechar las capacidades de alto valor y la posicin privilegiada de INTECO para la generacin de una estructura de investigacin especializada con la que lograr la aparicin, la identificacin y la atraccin de talento. De este modo, el PECS contribuir a la dinamizacin de la investigacin de primer nivel que ya realizan importantes agentes pblicos y privados en Espaa, poniendo en valor las infraestructuras y el conocimiento disponibles en INTECO. El PECS ser el instrumento que refuerce la accin de las distintas iniciativas existentes, valindose para ello de la cooperacin con los agentes y las entidades que investigan, colaboran e incrementan la capacidad de gestin ante incidentes de seguridad. Del mismo modo, contribuir a poner a disposicin del mercado un mayor nmero de profesionales especializados en ciberseguridad. Todo el entorno nacional (sociedad, industria y gobierno) se ver beneficiado de los resultados obtenidos lo cual, adems, fortalecer los lazos de cooperacin para actuaciones conjuntas. El programa estar dirigido a los siguientes colectivos: estudiantes de carreras tcnicas interesados en la seguridad informtica, investigadores, docentes y expertos en el rea de la seguridad, entidades privadas y/o pblicas que requieran formacin especializada ciberseguridad.

en

Las medidas de este eje se complementan con acciones especficas del eje II para el apoyo a emprendedores en el mbito de ciberseguridad.

5.6.2 Objetivos
Crear un polo de atraccin de talento para la formacin de futuros profesionales e investigadores a travs de la colaboracin con diversas instituciones y la realizacin de actividades que permitan aumentar el inters y detectar el talento temprano. Proyectar el valor de INTECO en la promocin de la investigacin avanzada, as como la atraccin y generacin de talento en colaboracin, en su caso, con los agentes de referencia. Explorar la viabilidad y oportunidad de construir una red de centros de excelencia en Espaa.

5.6.3 Medida 19: Equipo de investigacin avanzada

Esta medida del programa tiene como objetivo la puesta en marcha de un equipo de investigadores expertos que crearn nuevas lneas de investigacin relacionadas con la ciberseguridad y el impulso de proyectos formativos en colaboracin. En su desarrollo se tiene previsto constituir un grupo de trabajo y realizar el diseo y lanzamiento del proceso de contratacin. Posteriormente se identificarn las lneas que resulten de alto inters y promuevan proyectos de I+D+i pioneros en el mbito de la ciberseguridad, as como acciones formativas que resulten relevantes para la generacin de talento y la profesionalizacin del sector.

46

Esta medida se lanzar a travs de una experiencia piloto aprovechando la trayectoria previa de investigacin de INTECO y las capacidades disponibles en el entorno universitario. Los resultados obtenidos sern analizados y evaluados para que la iniciativa pueda ser exportable en el panorama nacional, con garantas de xito, a otras entidades que tengan entre sus objetivos la investigacin en esta temtica y que estn interesadas en adoptar medidas similares. De esta forma, se aunarn esfuerzos en actitud cooperativa, y se alcanzar la masa crtica necesaria para generar nuevas lneas de investigacin que promuevan proyectos de I+D+i capaces de competir a nivel internacional.
Id Medida Responsable Compromisos Fases Fecha

PCD-19

Equipo de investigacin avanzada

INTECO

ADpE-4.2.1.C EUCS-4.2.B EUCS-4.2.D EUCS-4.2.E ECSN-LA6.2 ECSN-LA6.3

Constitucin del grupo de trabajo y contratacin del equipo de investigacin Desarrollo de actividades y evaluacin de resultados

2013

2014

5.6.4 Medida 20: Jornadas Espacio de ciberseguridad

Creacin de un programa anual de fomento y sensibilizacin en ciberseguridad para alumnos de institutos y centros de enseanza media. En este entorno educativo, se prev que los adolescentes sean capaces de adquirir, a travs de un enfoque principalmente prctico y bajo la atencin de monitores, conocimientos avanzados en materia de seguridad de la informacin, para estimular la generacin de talento y que, posteriormente, puedan aplicarlos en sus respectivas carreras profesionales. La iniciativa puesta en marcha ser analizada y revisada a fin de organizar nuevas acciones ms all del perodo consignado.
Id Medida Responsable Compromisos Fases Fecha

PCD-20

Jornadas Espacio de ciberseguridad

INTECO

ADpE-4.2.2.A EUCS-1.2.D ECSN-LA6.2

Imparticin jornadas

primeras

2013

5.6.5 Medida 21: Formacin especializada en ciberseguridad

Realizacin de cursos a distancia para formar a personas que posean inters y conocimientos en seguridad de la informacin con el objeto de alcanzar elevados niveles de perfeccionamiento y estmulo como profesionales de alta cualificacin en el mbito de la ciberseguridad. Para el desarrollo de estos cursos se evaluar la posibilidad de utilizar plataformas masivas al estilo de la filosofa MOOC (Massive Open Online Courses)64.

64

MIT Technology Review: The Cleverest Business Model in Online Education. Ms informacin disponible en: http://www.technologyreview.com/news/506656/the-cleverest-business-model-in-online-education/

47

Inicialmente, se realizar un curso piloto orientado a los sistemas de control industrial desde la perspectiva de los expertos en seguridad de la informacin que abarque un gran nmero de temticas de la ciberseguridad. La necesidad de implementar este tipo de formacin focalizada en un aspecto tan concreto como son los sistemas industriales est motivada por el riesgo derivado de su conectividad TIC y se ha considerado de vanguardia dado el alto inters y la repercusin actual.
Id Medida Responsable Compromisos Fases Fecha

PCD-21

Formacin especializada en ciberseguridad

INTECO

ADpE-4.2.2.A EUCS-1.2.D ECSN-LA6.2

Realizacin de un piloto de Sistemas Industriales Realizacin de cursos especializados en ciberseguridad

2014 2015

5.6.6 Medida 22: Mster Ciberseguridad INTECO

La necesidad de generar talento y de estimular la formacin de profesionales de alta cualificacin en el mbito de la ciberseguridad con el fin de adecuar las necesidades del mercado a los conocimientos que se imparten, es la principal motivacin para promover un mster de ciberseguridad, as como la participacin de los expertos de INTECO en otros msteres del territorio nacional. El mster ser un ttulo universitario propio y estar enfocado a estimular la formacin de profesionales de alta cualificacin, complementando el ttulo con seminarios especficos impartidos por profesionales internacionales de alto prestigio como, por ejemplo, la colaboracin con Carnegie Mellon University. El xito de esta iniciativa determinar, en su caso, la posibilidad de realizar nuevas ediciones, e incluso establecer acuerdos con otros centros y/o entidades universitarias para compartir y reforzar el modelo con una mayor proyeccin internacional. En todo caso, INTECO promover el establecimiento de dichos acuerdos, aportando neutralidad y rigor a los contenidos y expertos en la materia (tanto propios de la entidad como externos).

Id PCD-22

Medida

Responsable

Compromisos

Fases

Fecha

Mster ciberseguridad INTECO

INTECO

ADpE-4.2.2.A EUCS-1.2.D ECSN-LA6.2

Comienzo de la imparticin primer mster ciberseguridad

2013

5.6.7 Medida 23: Programa de becas de INTECO

La captacin de talento requiere medidas complementarias que refuercen las acciones realizadas. Para ello, se disear en INTECO un programa anual de becas de investigacin que permita fortalecer las investigaciones en materia de ciberseguridad. El xito de esta accin repercutir en la generacin de nuevos expertos que podrn dotar de un conocimiento ms especializado al sector pblico y privado as como al mundo acadmico. Por medio de este programa se podrn ofrecer nuevas oportunidades de aprovechamiento de talento apoyadas en los conocimientos base y las capacidades nicas disponibles en INTECO.

48

El desarrollo de esta medida se concretar en la asignacin de diferentes becas asociadas a las distintas medidas contempladas en este eje, entre ellas a los diferentes concursos, retos y eventos especializados en ciberseguridad.
Id PCD-23 Medida Responsable Compromisos Fases Fecha

Programa de becas de INTECO

INTECO

ADpE-4.2.2.A EUCS-1.2.D ECSN-LA6.2

Asignacin de las becas

2014

5.6.8 Medida 24: Evento de ciberseguridad

Se pretende explorar la viabilidad y la oportunidad de organizar un evento de ciberseguridad de gran envergadura en el que participaran los alumnos ms destacados de los programas formativos de ciberseguridad en Espaa y los mejores talentos internacionales, para promover la inmersin en tareas y retos avanzados de ciberseguridad diseados por INTECO y los grupos de investigacin colaboradores. Este evento permitir que la industria pueda participar activamente tanto en la organizacin de los eventos, como a travs de la presentacin de casos de xito. INTECO como entidad de referencia de seguridad colaborar con las entidades, empresas, organizaciones y representantes de la comunidad de expertos nacional e internacional en este mbito. El diseo y la ejecucin de las actividades propuestas podran incluir retos de seguridad, cursos de formacin, talleres especializados y wargames, entre otros.
Id Medida Responsable Compromisos Fases Fecha

PCD-24

Evento de ciberseguridad

INTECO

ADpE-4.2.2.A EUCS-1.2.B EUCS-1.2.D ECSN-LA6.2

Estudio de viabilidad. Realizacin del evento, en su caso.

2013 2014

5.6.9 Medida 25: Estudio de viabilidad de una red de centros de excelencia en ciberseguridad
INTECO, a travs del programa de excelencia en ciberseguridad, contribuir a los esfuerzos pblicos y privados existentes que conforman el sistema nacional de excelencia en ciberseguridad. Estrategias internacionales de xito apuestan por estructuras de redes de centros de excelencia en ciberseguridad. El objetivo de esta medida es colaborar con agentes de referencia en investigacin avanzada, para llevar a cabo la evaluacin de la oportunidad y viabilidad de la creacin de una red de centros de expertos en ciberseguridad en Espaa. Esta red de centros podra aglutinar los esfuerzos existentes en la actualidad y dirigir las investigaciones de forma coordinada a travs de un futuro plan director.
Id Medida Responsable Compromisos Fases Fecha

PCD-25

Estudio de viabilidad de una red de centros de excelencia en ciberseguridad

INTECO

ADpE-4.2.2.A EUCS-1.2.B EUCS-1.2.D EUCS-4.2.B EUCS-4.2.D EUCS-4.2.E ECSN-LA6.2

Estudio de viabilidad

2014

49

6 Calendario
Medida Fase
Eje I. Experiencia digital segura PCD-1.Plan de sensibilizacin de INTECO Primer mes de la ciberseguridad Actuaciones de sensibilizacin y mes de ciberseguridad 2013 2014-2015

Fechas

PCD-2.Plataforma de colaboracin pblico privada para incrementar la confianza digital Constitucin de la plataforma Desarrollo de actividades PCD-3. Piloto en itinerarios educativos escolares Informe sobre itinerarios educativos PCD-4.Plan de menores en Internet Constitucin del GT de Menores e Internet Plataforma de seguridad de los menores en Internet Proyectos tecnolgicos de innovacin para la seguridad de los menores Acciones de sensibilizacin y formacin (guas pedaggicas) en Internet Estudios uso Internet por menores PCD-5.Punto neutro de gestin de incidentes Puesta en marcha del centro Eje II. Oportunidad para la industria TIC PCD-6.Comit Tcnico de Coordinacin Incorporacin de lneas y prioridades temticas en los principales instrumentos de financiacin de la AGE y refuerzo de la financiacin 2014 2014 2013 2014 2014 - 2015 2014 2015 2014 2015 2014 2014 2014-2015

PCD-7.Soporte especializado a las estructuras de evaluacin de proyectos Incorporacin de INTECO en los procesos de evaluacin de los instrumentos de financiacin pblicos PCD-8.Refuerzo de la capacidad de deteccin de demanda temprana Incorporacin de INTECO en estructuras pblico-privadas de deteccin de demanda temprana PCD-9.Polo tecnolgico en ciberseguridad Realizacin estudio de viabilidad PCD-10.Foro nacional para la confianza digital Constitucin del Foro nacional Preparacin del plan Desarrollo de las actividades Eje III. Nuevo contexto regulatorio PCD-11.Adopcin de la nueva regulacin europea 2013 2013 2014 - 2015 2014 2014 2013

50

Medida Fase
Adopcin de la nueva regulacin europea PCD-12.Esquema de gestin de incidentes de seguridad Tramitacin de la Disposicin Adicional de la LSSI Adopcin del cdigo de conducta PCD-13.Esquema de indicadores para la confianza digital Diseo y elaboracin del plan de indicadores Obtencin de la primera serie Eje IV. Capacidad para la resiliencia: INTECO 2.0 PCD-14.Transformacin organizativa y refuerzo Plan de actividad de INTECO 2.0 Refuerzo y dotacin de personal tcnico especializado 2013 2013 2014 2014

Fechas
2014-2015

2014- 2015

2013- 2015

PCD-15. Nueva plataforma tecnolgica de alerta temprana y servicios de vigilancia tecnolgica Nueva plataforma de deteccin y alerta temprana Modelo de deteccin y alerta temprana operativo Convenios con entidades de referencia internacional PCD-16. Nuevos canales de comunicacin para la confianza digital Puesta en marcha de la nueva web Lanzamiento de blogs especializados 2013 2014 2013 2014 2013-2014

PCD-17.Cooperacin con la seguridad pblica y la proteccin de las infraestructuras crticas Puesta en marcha del CERT de infraestructuras crticas PCD-18.Colaboracin en ciberejercicios Participacin en los ciberejercicios de ciberseguridad con la industria y empresas de los sectores estratgicos Eje V. Programa de Excelencia en Ciberseguridad PCD-19.Equipo de investigacin avanzada Constitucin del grupo de trabajo y contratacin del equipo de investigacin Desarrollo de actividades y evaluacin de resultados PCD-20.Jornadas Espacio de ciberseguridad Imparticin primeras jornadas PCD-21.Formacin especializada en ciberseguridad Realizacin de un piloto de Sistemas Industriales Realizacin de cursos especializados en ciberseguridad PCD-22.Mster ciberseguridad INTECO Comienzo de la imparticin del primer mster de ciberseguridad PCD-23.Programa de becas de INTECO Asignacin de becas 2014 2013 2014 2015 2013 2013 2014 2013-2015 2013

51

Medida Fase
PCD-24.Evento de ciberseguridad Estudio de viabilidad Realizacin del evento, en su caso 2013 2014

Fechas

PCD-25.Estudio de viabilidad de una red de centros de excelencia en ciberseguridad Estudio de viabilidad 2014

7 Presupuesto
Los ejes y las medidas se realizarn con los recursos y aportaciones de la SETSI, INTECO y Red.es que se detallan a continuacin y, en su caso, la de los agentes participantes tanto pblicos como privados. El compromiso para el desarrollo de las diferentes medidas se refleja adems en la estimacin del esfuerzo presupuestario necesario para cada una de ellas en el periodo 2013-2015, sujeta en todo caso a los condicionantes presupuestarios del departamento en cada ejercicio. Dicha estimacin ser objeto de revisin a travs de los mecanismos de seguimiento del Plan de conformidad con el progreso de cada medida, especialmente aquellas que dependen de estudios de viabilidad, y con la disponibilidad presupuestaria anual del departamento. Asimismo, podrn incluirse nuevas medidas o revisarse las actuales en los procesos de revisin del plan.

Ejes y Medidas Eje I. Experiencia digital segura PCD-1.Plan de sensibilizacin de INTECO PCD-2.Plataforma de colaboracin pblico privada para incrementar la confianza digital PCD-3. Piloto en itinerarios educativos escolares PCD-4.Plan de menores en Internet PCD-5.Punto neutro de gestin de incidentes Eje II. Oportunidad para la industria TIC PCD-6.Comit Tcnico de Coordinacin PCD-7.Soporte especializado a las estructuras de evaluacin de proyectos PCD-8.Refuerzo de la capacidad de deteccin de demanda temprana PCD-9.Polo tecnolgico en ciberseguridad PCD-10.Foro Nacional para la Confianza Digital Eje III. Nuevo contexto regulatorio PCD-11.Adopcin de la nueva regulacin europea PCD-12.Esquema de gestin de incidentes de seguridad

Presupuesto estimado (miles de euros) 5.800 1.600 600 600 1.000 2.000 4.100 200 900 2.500 500 600 -

52

Ejes y Medidas PCD-13.Esquema de indicadores para la confianza digital Eje IV. Capacidad para la resiliencia: INTECO 2.0 PCD-14.Transformacin organizativa y refuerzo PCD-15. Nueva plataforma tecnolgica de alerta temprana y servicios de vigilancia tecnolgica PCD-16. Nuevos canales de comunicacin para la confianza digital PCD-17.Cooperacin con la seguridad pblica y la proteccin de las infraestructuras crticas PCD-18.Colaboracin en ciberejercicios Eje V. Programa de Excelencia en Ciberseguridad PCD-19.Equipo de investigacin avanzada PCD-20.Jornadas Espacio de ciberseguridad PCD-21. Formacin especializada en ciberseguridad PCD-22.Mster ciberseguridad INTECO PCD-23.Programa de becas de INTECO PCD-24. Evento de ciberseguridad PCD-25.Estudio de viabilidad de una red de centros de excelencia en ciberseguridad TOTAL 2013 2015

Presupuesto estimado (miles de euros) 600 42.300 36.000 3.500 900 1.500 400 6.200 2.000 200 600 800 600 1.000 1.000 59.000

53

8 Anexo I Anlisis de estrategias en materia de confianza digital para identificar los compromisos del Plan
8.1 Agenda Digital para Espaa
A continuacin, se detallan los compromisos que el objetivo 4 de la Agenda Digital para Espaa propone a todas las partes implicadas, y a los que este Plan de confianza en el mbito digital contribuye a responder.
Objetivo Subobjetivo Lneas de actuacin 4.1.1. Estimular el mercado de servicios de confianza para ciudadana, empresas y administraciones. 4.1 Impulsar el mercado servicios de confianza 4.1.2. Impulso del desarrollo y uso de servicios de identidad y firma electrnicas adecuados para las distintas necesidades de los usuarios. 4.1.3. Refuerzo de la capacidad supervisora de la Administracin, impulsando procesos de auditora y certificacin acreditada, asegurando su armonizacin y el reconocimiento mutuo con las iniciativas europeas. Detalle (bullets) El desarrollo de los marcos reguladores para la eliminacin de barreras. La utilizacin de mecanismos de estmulo de oferta y demanda. NA Identificador (ID) ADpE-4.1.1.A ADpE-4.1.1.B ADpE-4.1.2.A

NA Extender su participacin a todos los mbitos de la confianza, entre ellos, la proteccin de menores y la proteccin de la privacidad, en coordinacin con otras entidades en los mbitos de la confianza digital. En el mbito de la ciberseguridad, situarlo como entidad de referencia para sectores estratgicos, empresas y ciudadana. Establecer las capacidades necesarias para estudiar riesgos emergentes y poder anticipar necesidades y adoptar medidas

ADpE-4.1.3.A

4. Reforzar la confianza en el mbito digital (principal)

ADpE-4.2.1.A

4.2 Reforzar las capacidades para la confianza digital

4.2.1. Consolidacin de INTECO como centro de excelencia en confianza digital.

ADpE-4.2.1.B

ADpE-4.2.1.C

Plan de confianza en el mbito digital

pg. 54

Objetivo

Subobjetivo

Lneas de actuacin 4.2.2. Desarrollo de programas de sensibilizacin, concienciacin, educacin y formacin, abordando de forma integral los diversos mbitos de la confianza para todos los colectivos. Estos programas buscarn el apoyo del resto de sectores de la sociedad a travs de modelos de cooperacin pblico-privada y potenciarn la creacin de talento para lograr crear un verdadero foco de excelencia en Espaa, en especial en el mbito de la ciberseguridad. 4.2.3. Impulsar la incorporacin de contenidos en los itinerarios del sistema educativo en materias de seguridad, proteccin de la privacidad y uso responsable TIC. 4.2.4. Seguimiento y diagnstico permanente de la confianza digital mediante indicadores e informacin integrada y completa. Para ello, se actuar reforzando y racionalizando las estructuras de observatorio ya existentes, y armonizando los sistemas de seguimiento con los indicadores de referencia europeos e internacionales. 4.3.1. Impulsar las buenas prcticas de la confianza digital en los principales sectores estratgicos y servicios digitales, pblicos y privados, ms relevantes para la sociedad y para la economa. 4.3.2. Fomentar que usuarios y consumidores conozcan y demanden a los proveedores de servicios que implementen cdigos de buenas prcticas preferiblemente por medio de esquemas de certificacin acreditados.

Detalle (bullets) preventivas.

Identificador (ID)

NA

ADpE-4.2.2.A

NA

ADpE-4.2.3.A

NA

ADpE-4.2.4.A

NA

ADpE-4.3.1.A

4.3 Impulsar la excelencia de las organizaciones en materia de confianza digital

NA Fortalecimiento de la estructura nacional de normalizacin y certificacin acreditada de productos y servicios para la confianza, promoviendo especialmente la colaboracin pblico-privada. Utilizacin de esquemas autorregulados y cdigos de conducta

ADpE-4.3.2.A

4.3.3. Reforzar mecanismos de acreditacin materia de confianza digital.

de excelencia en

ADpE-4.3.3.A

ADpE-4.3.3.B

Plan de confianza en el mbito digital

pg. 55

Objetivo

Subobjetivo

Lneas de actuacin

Detalle (bullets) Adopcin de medidas regulatorias y de supervisin complementarias

Identificador (ID) ADpE-4.3.3.C ADpE-4.3.4.A

4.3.4. Impulsar la colaboracin pblico-privada en materia de confianza y seguridad en el ciberespacio mediante la creacin de una plataforma con grupos de trabajo sectoriales.

NA Incrementar la transparencia sobre las condiciones de compra y los derechos de los consumidores Difundir y sensibilizar sobre los derechos de los consumidores en colaboracin con las asociaciones de consumidores y otras organizaciones privadas Desarrollar cdigos de buenas prcticas para la venta en lnea. Reforzar las medidas que contribuyan a reducir las incidencias postventa del comercio electrnico, tales como seguros contra fraude o el uso de sistemas rpidos de solucin de controversias. Mejorar la confianza de los comerciantes en el uso de medios de pago electrnicos y en la proteccin frente al fraude online con la participacin de bancos, entidades de medios de pago, procesadores de pago y comerciantes.

ADpE-4.3.5.A

ADpE-4.3.5.B

ADpE-4.3.5.C

4.3.5. En el mbito del comercio electrnico en particular, mejorar la confianza de consumidores y comerciantes en las transacciones electrnicas por medio de distintas actuaciones.

ADpE-4.3.5.D

ADpE-4.3.5.E

4.3.6. Evaluar los cambios normativos en el mbito de la proteccin de datos personales y las cuestiones relacionadas con la privacidad en Internet, especialmente en el contexto de la prxima reforma europea, que pudieran contribuir a mejorar la confianza en los servicios y las transacciones online, estimular las inversiones e impulsar entre otros el comercio electrnico, el cloud computing, las redes sociales, la publicidad online y las aplicaciones mviles.

NA

ADpE-4.3.6.A

Plan de confianza en el mbito digital

pg. 56

8.2 Estrategia Europea de Ciberseguridad

A continuacin, se detallan los compromisos que la Estrategia Europea de Ciberseguridad propone a todas las partes implicadas. A estos compromisos, el Plan de confianza en el mbito digital contribuye a responder de dos maneras a travs de sus medidas: Directamente cuando van dirigidos a los Estados miembros, la industria o al sector privado o pblico. Indirectamente con aportaciones y colaboraciones cuando los compromisos van dirigidos a la Comisin Europea, ENISA u otras organizaciones europeas.
Objetivo A quien va dirigido Lneas de actuacin Detalle (bullets) Proseguir sus actividades, llevadas a cabo por el Centro Comn de Investigacin en estrecha colaboracin con las autoridades de los Estados miembros y los titulares y operadores de infraestructuras crticas, con el fin de determinar los puntos vulnerables para la SRI de las infraestructuras crticas europeas e impulsar el desarrollo de sistemas resilientes. Pondr en marcha a principios de 2013 un proyecto piloto financiado por la UE sobre lucha contra las redes infectadas y los programas maliciosos, que ofrecer un marco de coordinacin y cooperacin entre los Estados miembros de la UE, las organizaciones del sector privado tales como los proveedores de servicios de Internet y los socios internacionales. Ayudar a los Estados miembros a crear capacidades nacionales slidas de ciberresiliencia mediante la adquisicin de conocimientos sobre la seguridad y la resiliencia de los sistemas de control industrial, los transportes y las infraestructuras de energa. Examinar, en 2013, la viabilidad del equipo de respuesta a incidentes de seguridad informtica en sistemas de control industrial (ICS-CSIRT) de la UE. Seguir apoyando a los Estados miembros y a las instituciones de la UE en la realizacin de ejercicios peridicos paneuropeos de simulacin de ciberincidentes, que tambin constituirn la base operativa para la participacin de la UE en ejercicios internacionales de este tipo. Adoptar rpidamente la propuesta de Directiva referente a un elevado nivel comn de seguridad de las redes y de la informacin (SRI) en toda la Unin Europea, que aborda la capacitacin y preparacin a escala nacional, la cooperacin a escala de la UE, la implantacin de prcticas de gestin de riesgos y el intercambio de informacin sobre SRI. Asumir el liderazgo e invertir en un elevado nivel de ciberseguridad, desarrollar mejores Identificador (ID) EUCS-1.1.A

La comisin

NA

EUCS-1.1.B

Estrategia prioritaria 1: Lograr la ciberresiliencia ENISA NA

EUCS-1.1.C EUCS-1.1.D EUCS-1.1.E

Parlamento europeo y consejo Industria

NA

EUCS-1.1.F

NA

EUCS-1.1.G

Plan de confianza en el mbito digital

pg. 57

Objetivo

A quien va dirigido

Lneas de actuacin

Detalle (bullets) prcticas e intercambiar la informacin a escala sectorial y con las administraciones pblicas para as garantizar una proteccin adecuada y efectiva de bienes y personas, en particular a travs de asociaciones pblico-privadas como la EP3R y Trust in Digital Life (TDL). Propondr, en 2013, orientaciones con respecto a un permiso de conduccin en el mbito de la seguridad de las redes y la informacin, consistente en un programa de certificacin voluntario que promueva la mejora de los conocimientos y competencias de los profesionales de las TI (por ejemplo, administradores de sitios web). Organizar, en 2014, asistida por la ENISA, un campeonato de ciberseguridad entre los estudiantes universitarios, que competirn proponiendo soluciones de SRI. Organizar anualmente a partir de 2013 un mes de la ciberseguridad con el apoyo de la ENISA y la participacin del sector privado, con el propsito de concienciar a los usuarios finales; a partir de 2014 se organizar un mes de la ciberseguridad sincronizado en EE.UU. y la UE. Intensificar los esfuerzos nacionales en materia de educacin y formacin NIS, mediante la introduccin de dicha formacin en las escuelas para el ao 2014, la formacin para estudiantes de informtica en desarrollo de software seguro y proteccin de datos personales, y formacin bsica para el personal de las administraciones pblicas. Informar sobre la importancia de la ciberseguridad en todos los niveles, tanto en las prcticas comerciales como en la interfaz con los consumidores; ms concretamente, las empresas deberan estudiar la manera de hacer ms responsables de la ciberseguridad a sus directores generales y consejos de administracin. Crear, en 2013, una plataforma pblico-privada sobre soluciones de SRI, con el fin de impulsar la adopcin de soluciones seguras de TIC y la adopcin de requisitos de eficacia en materia de ciberseguridad que se apliquen a todos los productos de las TIC utilizados en Europa. Propondr, en 2014, una serie de recomendaciones, basadas en los trabajos de dicha plataforma, para garantizar la ciberseguridad en la cadena de valor de las TIC. Examinar cmo pueden los principales proveedores de equipos y programas informticos de TIC informar a las autoridades nacionales competentes de los puntos vulnerables detectados que puedan tener efectos significativos en la seguridad. Elaborar, en cooperacin con las autoridades nacionales competentes, las partes interesadas, los organismos europeos e internacionales de normalizacin y el Centro Comn de Investigacin de la Comisin Europea, directrices y recomendaciones tcnicas para la adopcin de normas y buenas prcticas de SRI en los sectores pblico y privado. Fomentar la elaboracin y adopcin, a iniciativa de la industria, de normas de

Identificador (ID)

ENISA La comisin

EUCS-1.2.A EUCS-1.2.B EUCS-1.2.C

Concienciacin Estados miembros

EUCS-1.2.D

Industria

EUCS-1.2.E

La comisin La comisin La comisin

EUCS-4.1.A EUCS-4.1.B EUCS-4.1.C

Estrategia prioritaria 4: Desarrollo de recursos industriales y tecnolgicos de ciberseguridad

Fomento de un mercado nico de productos de ciberseguridad

ENISA Sector pblico

EUCS-4.1.D EUCS-4.1.E

Plan de confianza en el mbito digital

pg. 58

Objetivo

A quien va dirigido y privado

Lneas de actuacin

Detalle (bullets) seguridad, normas tcnicas y principios de seguridad por diseo y privacidad por diseo por parte de los fabricantes de productos TIC y proveedores de servicios, entre ellos los proveedores de servicios en nube; los equipos y programas informticos de nueva generacin debern disponer de elementos de seguridad ms slidos, integrados y de fcil utilizacin. Elaborar, a iniciativa de la industria, normas sobre los resultados de las empresas en materia de ciberseguridad y proporcionar ms informacin al pblico diseando etiquetas de seguridad o marchamos de calidad que ayuden al consumidor a orientarse en el mercado. Recurrir a Horizonte 2020 para abordar varios aspectos de proteccin de la intimidad y seguridad en las TIC, desde la I+D a la innovacin y el despliegue. Horizonte 2020 permitir tambin desarrollar herramientas e instrumentos de lucha contra las actividades delictivas y terroristas que tienen el ciberespacio como objetivo. Crear mecanismos con miras a una mayor coordinacin de los programas de investigacin de las instituciones de la Unin Europea y los Estados miembros, y alentar a stos a invertir ms en I+D. Elaborar, para finales de 2013, buenas prcticas para el uso del poder de compra de las administraciones pblicas (por ejemplo, a travs de la contratacin pblica) a fin de fomentar el desarrollo y despliegue de elementos de seguridad en los productos y servicios de TIC. Promover la rpida incorporacin de la industria y del mundo acadmico a las actividades de elaboracin y coordinacin de soluciones. Para ello, se sacar el mayor partido posible de la base industrial europea y de las innovaciones tecnolgicas de la I+D conexa, y se garantizar la coordinacin entre los programas de investigacin de los organismos civiles y militares. Determinar las tendencias y las necesidades emergentes en funcin de la evolucin de las pautas de ciberdelincuencia y ciberseguridad para as desarrollar herramientas y tecnologas forenses digitales adecuadas. Elaborar, en cooperacin con el sector de los seguros, sistemas de medicin armonizados para el clculo de las primas de riesgo, merced a los cuales las empresas que hayan invertido en seguridad puedan obtener primas de riesgo menos elevadas.

Identificador (ID)

Sector pblico y privado

Fomento de un mercado nico de productos de ciberseguridad

EUCS-4.1.F

La comisin

EUCS-4.2.A

La comisin Estados miembros

EUCS-4.2.B

Estados miembros

Fomento de la inversin en I+D y de la innovacin

EUCS-4.2.C

EUCS-4.2.D

Europol Sector pblico y privado

EUCS-4.2.E EUCS-4.2.F

Plan de confianza en el mbito digital

pg. 59

8.3 Estrategia de Ciberseguridad Nacional

A continuacin, se detallan los compromisos que la Estrategia de Ciberseguridad Nacional por medio de sus ocho lneas de accin propone a todas las partes implicadas y a los que este Plan de confianza, en el mbito digital, contribuye a responder.
Lnea de accin estratgica Detalle (bullet) Ampliar y mejorar las capacidades de deteccin y anlisis de ciberamenazas que permitan la identificacin de procedimientos y orgenes de ataque, y la elaboracin de la inteligencia necesaria para una defensa y proteccin ms eficaz de las redes nacionales. Ampliar y fortalecer las capacidades de deteccin y respuesta ante ciberataques dirigidos contra objetivos de carcter nacional, regional o sectorial, incluyendo a ciudadanos y empresas. Garantizar la coordinacin, la cooperacin y el intercambio de informacin entre la Administracin General del Estado, las Comunidades Autnomas, las Entidades Locales, el sector privado y los organismos competentes de la UE e internacionales para asegurar la permanente concienciacin, formacin y capacidad de respuesta a travs del Sistema de Intercambio de Informacin y Comunicacin de Incidentes. Asegurar la cooperacin de los organismos con responsabilidades en ciberseguridad, en especial entre el CERT de la Administracin Pblica del Centro Criptolgico Nacional (CCN-CERT), el Mando Conjunto de Ciberdefensa de las Fuerzas Armadas (MCCD) y el CERT de Seguridad e Industria. Los CERT de las Comunidades Autnomas, los de las entidades privadas y otros servicios de ciberseguridad relevantes debern estar coordinados con los anteriores en funcin de las competencias de cada uno de ellos, articulando los instrumentos adecuados a tal efecto. Desarrollar y mantener actualizadas las instrucciones de prevencin y deteccin, incluyendo procedimientos de respuesta frente a situaciones de crisis y planes de contingencia especficos ante incidentes de ciberseguridad de mbito nacional, asegurando su integracin en el Sistema de Seguridad Nacional. Desarrollar y ejecutar un Programa de Ejercicios de Simulacin de Incidentes de Ciberseguridad, para evaluar y perfeccionar las acciones llevadas a cabo en este mbito. Ampliar y mejorar permanentemente las capacidades de Ciberdefensa de las Fuerzas Armadas que permitan una adecuada proteccin de sus Redes y Sistemas de Informacin y Telecomunicaciones, as como de otros sistemas que afecten a la Defensa Nacional. Se consolidar la implantacin del Mando Conjunto de Ciberdefensa y se potenciar su cooperacin con los diferentes rganos con capacidad de respuesta ante incidentes cibernticos en aspectos de comn inters. Potenciar las capacidades militares y de inteligencia para ejercer la respuesta oportuna, legtima y proporcionada en el ciberespacio ante amenazas o agresiones que puedan afectar a la Defensa Nacional. Identificador (ID) ECSN-LA1.1 ECSN-LA1.2 ECSN-LA1.3

1.

Capacidad de prevencin, deteccin, respuesta y recuperacin ante las ciberamenazas

ECSN-LA1.4

ECSN-LA1.5 ECSN-LA1.6

ECSN-LA1.7

ECSN-LA1.8

2.

Seguridad de los Sistemas de Informacin de las Administraciones Pblicas

ECSN-LA2

Plan de confianza en el mbito digital

pg. 60

Lnea de accin estratgica

Detalle (bullet) Asegurar la implantacin de la normativa sobre Proteccin de las Infraestructuras Crticas con el fin de conseguir una seguridad que abarque tanto el mbito fsico como el tecnolgico. Para ello, se evaluar la inclusin de las medidas de ciberseguridad oportunas en los distintos planes que se establezcan. Ampliar y mejorar las capacidades del CERT de Seguridad e Industria, potenciando la colaboracin y coordinacin con el Centro Nacional para la Proteccin de Infraestructuras Crticas, con los diferentes rganos con capacidad de respuesta ante incidentes y con las unidades operativas de las Fuerzas y Cuerpos de Seguridad del Estado. Impulsar la participacin del sector privado en los Programas de Ejercicios de simulacin de incidentes de Ciberseguridad. Desarrollar modelos de simulacin que permitan analizar las dependencias entre las diferentes Infraestructuras Crticas y los riesgos acumulados por stas. Integrar en el marco legal espaol las soluciones a los problemas que surjan relacionados con la ciberseguridad para la determinacin de los tipos penales y el trabajo de los departamentos competentes. Ampliar y mejorar las capacidades de los organismos con competencias en la investigacin y persecucin del ciberterrorismo y la ciberdelincuencia as como asegurar la coordinacin de estas capacidades con las actividades en el campo de la ciberseguridad, a travs del intercambio de informacin e inteligencia por los canales de comunicacin adecuados. Fortalecer la cooperacin policial internacional y fomentar la colaboracin ciudadana, articulando los instrumentos de intercambio y transmisin de informacin de inters policial. Asegurar a los profesionales del Derecho el acceso a la informacin y a los recursos que les proporcionen el nivel necesario de conocimientos en el mbito judicial para la mejor aplicacin del marco legal y tcnico asociado. En este sentido, es especialmente importante la cooperacin con el Consejo General del Poder Judicial, la Abogaca del Estado, la Fiscala General del Estado, la Fiscala Coordinadora de la Criminalidad Informtica y el Consejo General de la Abogaca Espaola. Impulsar la cooperacin entre los sectores pblico y privado, promoviendo el intercambio de informacin sobre vulnerabilidades, ciberamenazas y sus posibles consecuencias, especialmente en lo relativo a la proteccin de los sistemas de inters nacional. Promover la cooperacin con los sectores de la industria y los servicios de la ciberseguridad, con el fin de mejorar conjuntamente las capacidades de deteccin, prevencin, respuesta y recuperacin frente a los riesgos de seguridad del ciberespacio, impulsando la participacin activa de los proveedores de servicios as como el desarrollo y adopcin de cdigos de conducta y buenas prcticas. Impulsar el desarrollo de estndares en ciberseguridad a travs de los organismos y entidades de normalizacin y certificacin nacionales e internacionales, y promover su adopcin. Desarrollar un Marco de Conocimientos de Ciberseguridad en los mbitos tcnico, operativo y jurdico. Extender y ampliar los programas de captacin de talento, investigacin avanzada y capacitacin en ciberseguridad en cooperacin con Universidades y centros especializados. Establecer mecanismos que permitan identificar de forma temprana las prioridades y demandas de los poderes

Identificador (ID) ECSN-LA3.1 ECSN-LA3.2 ECSN-LA3.3 ECSN-LA3.4 ECSN-LA4.1 ECSN-LA4.2 ECSN-LA4.3

3.

Seguridad de los sistemas de Informacin y Telecomunicaciones que soportan las Infraestructuras Crticas

4.

Capacidad de investigacin y persecucin del ciberterrorismo y la ciberdelincuencia

ECSN-LA4.4

ECSN-LA5.1

5.

Seguridad y resiliencia de las TIC del sector privado

ECSN-LA5.2 ECSN-LA5.3 ECSN-LA6.1 ECSN-LA6.2 ECSN-LA6.3

6.

Conocimientos, Competencias e I+D+i

Plan de confianza en el mbito digital

pg. 61

Lnea de accin estratgica

Detalle (bullet) pblicos en materia de ciberseguridad para su incorporacin a las iniciativas anteriores. Fomentar el desarrollo industrial de productos y servicios en materia de ciberseguridad por medio de instrumentos, entre otros, como el Plan Estatal de Investigacin Cientfica y Tcnica y de Innovacin e iniciativas de apoyo a su internacionalizacin. Impulsar la coordinacin nacional y la dinamizacin del sector industrial y de servicios de ciberseguridad para la mejora de la competitividad, la internacionalizacin, la identificacin de oportunidades, la eliminacin de barreras y la orientacin normativa, entre otras actividades. Impulsar las actividades de certificacin de ciberseguridad de acuerdo con las normas y estndares de reconocimiento internacional, incluyendo estos criterios en los procesos de desarrollo y adquisicin de productos o sistemas. Impulsar modelos y tcnicas de anlisis de ciberamenazas y medidas de proteccin de productos, servicios y sistemas, as como su especificacin, evaluacin y certificacin. Impulsar las actividades de sensibilizacin para asegurar que los ciudadanos y empresas tienen acceso a informacin relativa a vulnerabilidades, ciberamenazas e informacin sobre cmo proteger mejor su entorno tecnolgico. Propiciar el desarrollo de programas de Concienciacin en Ciberseguridad, en colaboracin con agentes del sector pblico y privado potenciando, a travs de los organismos con competencias en la materia, la necesaria coordinacin y racionalizacin de esfuerzos. Fomentar los mecanismos para apoyar a empresas y profesionales en el uso seguro de las TIC, reforzando los conocimientos en materia de seguridad, promoviendo la adopcin de herramientas, la difusin de normativa y el uso de buenas prcticas. Asesorar y dar soporte al desarrollo de mdulos educativos de sensibilizacin en ciberseguridad, dirigidos a todos los niveles de la enseanza. Potenciar la presencia de Espaa en organizaciones y foros internacionales y regionales sobre ciberseguridad apoyando y participando activamente en las diversas iniciativas y coordinando la posicin de los agentes nacionales implicados. Promover la armonizacin legislativa y la cooperacin judicial y policial internacionales en la lucha contra la ciberdelincuencia y el ciberterrorismo, apoyando la negociacin y adopcin de convenios internacionales en la materia. Propiciar la suscripcin de acuerdos en el seno de organizaciones internacionales y con los principales socios y aliados, para fortalecer la cooperacin en materia de ciberseguridad y desarrollar un enfoque coordinado de lucha contra las ciberamenazas. Impulsar el establecimiento de canales internacionales de informacin, deteccin y respuesta. Promover la participacin coordinada de instituciones pblicas y del sector privado en simulacros y ejercicios internacionales. En el mbito de la UE, colaborar en la armonizacin de legislaciones nacionales, la implantacin de la Estrategia de Ciberseguridad de la UE y el impulso de una poltica internacional en el ciberespacio. Fomentar la cooperacin con la OTAN en materia de Ciberdefensa, en particular en lo relativo a la respuesta ante incidentes cibernticos y al intercambio de informacin tcnica sobre amenazas y vulnerabilidades, a la vez que promover dentro de la propia Organizacin actuaciones que sealen a la Ciberdefensa como una de sus prioridades.

Identificador (ID)

ECSN-LA6.4 ECSN-LA6.5 ECSN-LA6.6 ECSN-LA6.7 ECSN-LA7.1 ECSN-LA7.2 ECSN-LA7.3 ECSN-LA7.4 ECSN-LA8.1 ECSN-LA8.2 ECSN-LA8.3 ECSN-LA8.4 ECSN-LA8.5 ECSN-LA8.6 ECSN-LA8.7

7.

Cultura de ciberseguridad

8.

Compromiso internacional

Plan de confianza en el mbito digital

pg. 62

9 Anexo II Correlacin existente entre los compromisos y las acciones del plan
9.1 Agenda Digital para Espaa
Identificador medida PCD-1 PCD-2 PCD-3 PCD-4 PCD-5 PCD-6 PCD-7 PCD-8 PCD-9 PCD-10 PCD-11 PCD-12 PCD-13 PCD-14 PCD-15 PCD-16 PCD-17 PCD-18 PCD-19 PCD-20 PCD-21 PCD-22 PCD-23 PCD-24 PCD-25 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X Identificador medida PCD-1 PCD-2 PCD-3 PCD-4 PCD-5 PCD-6 PCD-7 PCD-8 PCD-9 PCD-10 PCD-11 PCD-12 PCD-13 PCD-14 PCD-15 PCD-16 PCD-17 PCD-18 PCD-19 PCD-20 PCD-21 PCD-22 PCD-23 PCD-24 PCD-25 X X X X X X X X X X X X
pg. 63

Identificador Compromiso

ADpE-4.1.1.A ADpE-4.1.1.B ADpE-4.1.2.A ADpE-4.1.3.A ADpE-4.2.1.A ADpE-4.2.1.B ADpE-4.2.1.C ADpE-4.2.2.A ADpE-4.2.3.A ADpE-4.2.4.A ADpE-4.3.1.A ADpE-4.3.2.A ADpE-4.3.3.A ADpE-4.3.3.B ADpE-4.3.3.C ADpE-4.3.4.A ADpE-4.3.5.A ADpE-4.3.5.B ADpE-4.3.5.C ADpE-4.3.5.D ADpE-4.3.5.E ADpE-4.3.6.A

9.2 Estrategia Europea de Ciberseguridad

Identificador Compromiso

EUCS-1.1.A EUCS-1.1.B EUCS-1.1.C EUCS-1.1.D EUCS-1.1.E EUCS-1.1.F

Plan de confianza en el mbito digital

Identificador medida PCD-1 PCD-2 PCD-3 PCD-4 PCD-5 PCD-6 PCD-7 PCD-8 PCD-9 PCD-10 PCD-11 PCD-12 PCD-13 PCD-14 PCD-15 PCD-16 PCD-17 PCD-18 PCD-19 PCD-20 PCD-21 PCD-22 PCD-23 PCD-24 PCD-25 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X Identificador medida PCD-1 PCD-2 PCD-3 PCD-4 PCD-5 PCD-6 PCD-7 PCD-8 PCD-9 PCD-10 PCD-11 PCD-12 PCD-13 PCD-14 PCD-15 PCD-16 PCD-17 PCD-18 PCD-19 PCD-20 PCD-21 PCD-22 PCD-23 PCD-24 PCD-25 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
pg. 64

Identificador Compromiso

EUCS-1.1.G EUCS-1.2.A EUCS-1.2.B EUCS-1.2.C EUCS-1.2.D EUCS-1.2.E EUCS-4.1.A EUCS-4.1.B EUCS-4.1.C EUCS-4.1.D EUCS-4.1.E EUCS-4.1.F EUCS-4.2.A EUCS-4.2.B EUCS-4.2.C EUCS-4.2.D EUCS-4.2.E EUCS-4.2.F

9.3 Estrategia de Ciberseguridad Nacional

Identificador Compromiso

ECSN-LA1.1 ECSN-LA1.2 ECSN-LA1.4 ECSN-LA1.5 ECSN-LA1.6 ECSN-LA3.1 ECSN-LA3.2 ECSN-LA3.3 ECSN-LA4.2 ECSN-LA5.1 ECSN-LA5.2 ECSN-LA5.3 ECSN-LA6.1 ECSN-LA6.2 ECSN-LA6.3

Plan de confianza en el mbito digital

Identificador medida PCD-1 PCD-2 PCD-3 PCD-4 PCD-5 PCD-6 PCD-7 PCD-8 PCD-9 PCD-10 PCD-11 PCD-12 PCD-13 PCD-14 PCD-15 PCD-16 PCD-17 PCD-18 PCD-19 PCD-20 PCD-21 PCD-22 PCD-23 PCD-24 PCD-25 X X X X X X X X X X X X X X X X X X X X X X X X X X X X
pg. 65

Identificador Compromiso

ECSN-LA6.4 ECSN-LA6.5 ECSN-LA6.6 ECSN-LA7.1 ECSN-LA7.2 ECSN-LA7.3 ECSN-LA7.4 ECSN-LA8.1 ECSN-LA8.5 ECSN-LA8.6

Plan de confianza en el mbito digital