En el marco de los esfuerzos de ciberseguridad que ha impulsado el Gobierno Paraguayo, se ha aprobado un estándar de controles de ciberseguridad para todas las instituciones gubernamentales, mediante la Resolución MITIC Nº 277/2020, por la cual se actualiza la Guí­a de Controles Crí­ticos de Ciberseguridad.

Los Controles Crí­ticos de Ciberseguridad son un conjunto de acciones, priorizadas, ampliamente analizadas y de efectividad probada que pueden ser tomadas por las organizaciones para mejorar su nivel de ciberseguridad. Esta guí­a nace como una iniciativa de estandarizar, ordenar, priorizar y medir los esfuerzos en ciberseguridad que están llevando a cabo los organismos paraguayos, de modo a construir un ciberespacio seguro y resiliente.

Estos controles son la adopción de los CIS Critical Security Controls versión 7.1 (Controles Críticos de Seguridad de CIS), un conjunto de 20 controles prioritarios, elaborados de manera consensuada por Center for Internet Security (CIS), una organización sin fines de lucro basada en Estados Unidos y una gran comunidad de actores claves del ecosistema de la ciberseguridad: organismos de gobierno, empresas de tecnología y de seguridad, auditores, equipos de respuesta a incidentes, usuarios, entre otros.

Al tomar como base los controles CIS y adaptarlos a nuestra realidad nacional, aprovechamos todo el conocimiento, la experiencia y las múltiples herramientas que han sido elaboradas a lo largo de los años por una enorme comunidad internacional, añadiéndole además las consideraciones propias para una organización paraguaya, así como también la retroalimentación con experiencias nacionales. De esta manera, los controles están alineados a la protección efectiva a ataques reales conocidos.

Medición de Controles – Autodiagnóstico

La evaluación debe incluir a toda la organización: redes, sistemas, equipos, aplicaciones, procedimientos, datos y personas. Para poder realizar esta evaluación es necesario involucrar a todas las áreas involucradas, de modo a asegurar que las respuestas sean lo más certeras posibles.

La evaluación consiste en Identificar de manera cualitativa el grado de implementaciónde cada sub-control, de acuerdo a la siguiente escala:

0 (Nulo): el sub-control no existe
1 (Básico): el sub-control existe a nivel de procedimiento (escrito o manual) y se cumple parcialmente
2 (Intermedio): el sub-control existe de manera más o menos automatizada (mediante una herramienta tecnológica) y se cumple parcialmente
3 (Avanzado): el sub-control existe de manera completamente automatizada (mediante una herramienta tecnológica) y se cumple completamente
4 (Completo): el sub-control existe de manera completamente automatizada, se cumple completamente y se monitorea regularmente para controlar su funcionamiento correcto.

Para ello, el MITIC puso a disposición de Organismos y Entidades del Estado una plataforma https://admin.paraguay.gov.py/ desde el cual los Responsables de Seguridad de la Información y/o Directores TIC en su defecto pueden realizar un autodiagnostico que permite medir el nivel de madurez en Ciberseguridad y generar reportes con la frecuencia deseada.

Además de la plataforma, tambien pusimos a disposición una planilla de medición de los Controles Crí­ticos de Ciberseguridad: Planilla_Auditoria.xlsx, que realiza la misma función pero de manera más manual.

Instrucciones para la auto-evaluación: Instructivo.pdf

Para el cálculo del porcentaje de cumplimiento se utiliza una escala ponderada, la cual asigna un peso mayor a aquellos sub-controles básicos y más importantes y un peso menor a aquellos menos crí­ticos.
El cumplimiento completo de todos los sub-controles básicos (Control 1 al 6) asegura un nivel de cumplimiento de 85%.

Los Organismos y Entidades del Estado que hasta Octubre 2022 han completado uno o más autodiagnosticos usando la plataforma son 29 instituciones:

• Administración Nacional de Electricidad (ANDE)
• Agencia Espacial del Paraguay(AEP)
• Comisión Nacional de Valores (CNV)
• Compañía Paraguaya de Comunicaciones S.A. (COPACO)
• Consejo de la Magistratura (CONMAG)
• Consejo Nacional de Ciencia y Tecnología (CONACYT)
• Defensoría del Pueblo (DP)
• Dirección General de Estadística, Encuestas y Censos (DGEEC)
• Dirección Nacional de Contrataciones Públicas (DNCP)
• Dirección Nacional de Transporte (DINATRAN)
• Empresa de Servicios Sanitarios del Paraguay S.A. (ESSAP)
• Facultad de Ciencias Exactas y Naturales (FACEN)
• Facultad de Ciencias Veterinarias (FCV)
• Fondo Ganadero (FD)
• Fondo Nacional de la Cultura y las Artes (FONDEC)
• Gabinete Civil de la Presidencia de la República
• Industria Nacional de Cemento (INC)
• Instituto Nacional de Tecnología, Normalización y Metrología (INTN)
• Ministerio de la Niñez y Adolescencia (MINNA)
• Ministerio de Relaciones Exteriores (MRE)
• Ministerio de Tecnologías de la Información y Comunicación (MITIC)
• Secretaría de Desarrollo para Repatriados y Refugiados Connacionales (SEDERREC)
• Secretaría de Emergencia Nacional (SEN)
• Secretaría de la Función Pública (SFP)
• Secretaria de Prevención de Lavado de Dinero o Bienes (SEPRELAD)
• Secretaría Nacional Anticorrupción (SENAC)
• Secretaría Nacional por los Derechos Humanos de las Pesonas con Discapacidad (SENADIS)
• Servicio Nacional de Calidad y Sanidad Vegetal y de Semillas (SENAVE)
• Tribunal Superior de Justicia Electoral (TSJE)