En el marco de los esfuerzos de ciberseguridad que ha impulsado el Gobierno Paraguayo, mediante Resolución MITIC Nº 699/2019 se ha aprobado los «Criterios mínimos de seguridad para el desarrollo y adquisición de Software».
Estos controles estan alineados con la «Guía de Controles Críticos de Ciberseguridad» y establecen aquellos criterios de seguridad mínimos que una institución debe contemplar en los requerimientos para el desarrollo y adquisición de software e implementaciones con software de terceros.
Estos criterios son aplicables al software desarrollado internamente por las instituciones públicas, adquirido de una empresa o desarrollador tercerizado y/o a través de donaciones a la institución.
Los criterios abarcan los siguientes puntos principales:
- Soporte y gestión continua del software
- Gestión segura de usuarios, sesiones y privilegios
- Autenticación y gestión segura de credenciales
- Generación y gestión adecuada de registros de auditoría
- Codificación segura, siguiendo estándares y buenas prácticas reconocidas de la industria (ejemplo: OWASP)
- Utilización de protocolos de red cifrados, basado en protocolos estándar
Además, se establece la obligatoriedad de realizar auditorías o verificación de vulnerabilidades para todo sistema de software gubernamental nuevo antes de entrar a producción. La verificación de seguridad podrá ser realizada internamente por la institución, o a través de una auditoría externa, según la criticidad y el riesgo asociado al mismo, así como también considerando la capacidad institucional.
Los sistemas de software existentes y en producción, que nunca hayan sido sujetos a una auditoría de vulnerabilidades, deberán ser auditados ya sea interna o externamente en un lapso no mayor a 6 meses desde la aprobación de la Resolución. Es responsabilidad de las instituciones gestionar adecuadamente las vulnerabilidades que sean detectadas en dicha auditoría, ya sea mediante su corrección, mitigación con controles adicionales o la migración a un sistema nuevo.