En el marco de los esfuerzos de ciberseguridad que ha impulsado el Gobierno Paraguayo, se ha aprobado un estándar de controles de ciberseguridad para todas las instituciones gubernamentales, mediante la Resolución MITIC Nº 277/2020, por la cual se actualiza la Guía de Controles Críticos de Ciberseguridad.
Los Controles Críticos de Ciberseguridad son un conjunto de acciones, priorizadas, ampliamente analizadas y de efectividad probada que pueden ser tomadas por las organizaciones para mejorar su nivel de ciberseguridad. Esta guía nace como una iniciativa de estandarizar, ordenar, priorizar y medir los esfuerzos en ciberseguridad que están llevando a cabo los organismos paraguayos, de modo a construir un ciberespacio seguro y resiliente.
Estos controles son la adopción de los CIS Critical Security Controls versión 7.1 (Controles Críticos de Seguridad de CIS), un conjunto de 20 controles prioritarios, elaborados de manera consensuada por Center for Internet Security (CIS), una organización sin fines de lucro basada en Estados Unidos y una gran comunidad de actores claves del ecosistema de la ciberseguridad: organismos de gobierno, empresas de tecnología y de seguridad, auditores, equipos de respuesta a incidentes, usuarios, entre otros.
Al tomar como base los controles CIS y adaptarlos a nuestra realidad nacional, aprovechamos todo el conocimiento, la experiencia y las múltiples herramientas que han sido elaboradas a lo largo de los años por una enorme comunidad internacional, añadiéndole además las consideraciones propias para una organización paraguaya, así como también la retroalimentación con experiencias nacionales. De esta manera, los controles están alineados a la protección efectiva a ataques reales conocidos.
Controles Básicos
Control 1: Inventario de Dispositivos autorizados y no autorizados
Control 2: Inventario de Software autorizados y no autorizados
Control 3: Gestión continua de vulnerabilidades
Control 4: Uso controlado de privilegios administrativos
Control 5: Configuración segura para hardware y software en dispositivos móviles,computadoras portátiles, estaciones de trabajo y servidores
Control 6: Mantenimiento, monitoreo y análisis de logs de auditoría.
Controles Fundacionales
Control 7: Protección de correo electrónico y navegador web
Control 8: Defensa contra malware
Control 9: Limitación y control de puertos de red, protocolos y servicios
Control 10: Capacidad de recuperación de datos
Control 11: Configuración segura de los equipos de red, tales como cortafuegos, enrutadores y conmutadores
Control 12: Defensa de borde
Control 13: Protección de datos
Control 14: Control de acceso basado en la necesidad de conocer
Control 15: Control de acceso inalámbrico
Control 16: Monitoreo y control de cuentas
Controles Organizacionales
Control 17: Implementar un programa de concienciación y capacitación en seguridad
Control 18: Seguridad del software de aplicación
Control 19: Respuesta y gestión de incidentes
Control 20: Pruebas de penetración y ejercicios de Equipo Rojo.
Medición de Controles – Autodiagnóstico
La evaluación debe incluir a toda la organización: redes, sistemas, equipos, aplicaciones, procedimientos, datos y personas. Para poder realizar esta evaluación es necesario involucrar a todas las áreas involucradas, de modo a asegurar que las respuestas sean lo más certeras posibles.
La evaluación consiste en Identificar de manera cualitativa el grado de implementaciónde cada sub-control, de acuerdo a la siguiente escala:
0 (Nulo): el sub-control no existe
1 (Básico): el sub-control existe a nivel de procedimiento (escrito o manual) y se cumple parcialmente
2 (Intermedio): el sub-control existe de manera más o menos automatizada (mediante una herramienta tecnológica) y se cumple parcialmente
3 (Avanzado): el sub-control existe de manera completamente automatizada (mediante una herramienta tecnológica) y se cumple completamente
4 (Completo): el sub-control existe de manera completamente automatizada, se cumple completamente y se monitorea regularmente para controlar su funcionamiento correcto.
Para ello, el MITIC puso a disposición de Organismos y Entidades del Estado una plataforma https://admin.paraguay.gov.py/ desde el cual los Responsables de Seguridad de la Información y/o Directores TIC en su defecto pueden realizar un autodiagnostico que permite medir el nivel de madurez en Ciberseguridad y generar reportes con la frecuencia deseada.
Además de la plataforma, tambien pusimos a disposición una planilla de medición de los Controles Críticos de Ciberseguridad: Planilla_Auditoria.xlsx, que realiza la misma función pero de manera más manual.
Instrucciones para la auto-evaluación: Instructivo.pdf
Para el cálculo del porcentaje de cumplimiento se utiliza una escala ponderada, la cual asigna un peso mayor a aquellos sub-controles básicos y más importantes y un peso menor a aquellos menos críticos.
El cumplimiento completo de todos los sub-controles básicos (Control 1 al 6) asegura un nivel de cumplimiento de 85%.
Los Organismos y Entidades del Estado que hasta Junio 2024 han completado uno o más autodiagnosticos usando la plataforma son 28 instituciones:
OEE
Número de evaluaciones