Cabecera-v2-web.jpg

Controles Críticos de Ciberseguridad

En el marco de los esfuerzos de ciberseguridad que ha impulsado el Gobierno Paraguayo, se ha aprobado un estándar de controles de ciberseguridad para todas las instituciones gubernamentales, mediante la resolución Nro. 115.18 de la SENATICs, por la cual se aprobó la “Guía de Controles Críticos de Ciberseguridad”.

Los Controles Críticos de Ciberseguridad son un conjunto de acciones, priorizadas, ampliamente analizadas y de efectividad probada que pueden ser tomadas por las organizaciones para mejorar su nivel de ciberseguridad. Esta guía nace como una iniciativa de estandarizar, ordenar, priorizar y medir los esfuerzos en ciberseguridad que están llevando a cabo los organismos paraguayos, de modo a construir un ciberespacio seguro y resiliente.

guia.JPG

Descargue Guía


Controles Básicos:

Control 1: Inventario de Dispositivos autorizados y no autorizados
Control 2: Inventario de Software autorizados y no autorizados
Control 3: Gestión continua de vulnerabilidades
Control 4: Uso controlado de privilegios administrativos
Control 5: Configuración segura para hardware y software en dispositivos móviles,computadoras portátiles, estaciones de trabajo y servidores
Control 6: Mantenimiento, monitoreo y análisis de logs de auditoría.

Controles Fundacionales:

Control 7: Protección de correo electrónico y navegador web
Control 8: Defensa contra malware
Control 9: Limitación y control de puertos de red, protocolos y servicios
Control 10: Capacidad de recuperación de datos
Control 11: Configuración segura de los equipos de red, tales como cortafuegos, enrutadores y conmutadores
Control 12: Defensa de borde
Control 13: Protección de datos
Control 14: Control de acceso basado en la necesidad de conocer
Control 15: Control de acceso inalámbrico
Control 16: Monitoreo y control de cuentas

Controles Organizacionales:

Control 17: Implementar un programa de concienciación y capacitación en seguridad
Control 18: Seguridad del software de aplicación
Control 19: Respuesta y gestión de incidentes
Control 20: Pruebas de penetración y ejercicios de Equipo Rojo.


Medición de Controles


La evaluación debe incluir a toda la organización: redes, sistemas, equipos, aplicaciones, procedimientos, datos y personas. Para poder realizar esta evaluación es necesario involucrar a todas las áreas involucradas, de modo a asegurar que las respuestas sean lo más certeras posibles.

La evaluación consiste en identificar de manera cualitativa el grado de implementación de cada sub-control de la guía, de acuerdo a la siguiente escala:

0 - Nulo: el sub-control no existe

1 - Básico: el sub-control existe a nivel de procedimiento (escrito o manual) y se cumple parcialmente

2 - Intermedio: el sub-control existe de manera más o menos automatizada (mediante una herramienta tecnológica) y se cumple parcialmente

3- Avanzado: el sub-control existe de manera completamente automatizada (mediante una herramienta tecnológica) y se cumple completamente

4 - Completo: el sub-control existe de manera completamente automatizada, se cumple completamente y se monitorea regularmente para controlar su funcionamiento correcto.

Se debe tener en cuenta que para considerar que un sub-control existe de manera completa (nivel 4) debe haber una política formal que lo contemple, debe estar implementado en toda la red, sistema, aplicación, equipo, dato y/o procedimiento que aplique, y debe haber una persona, área y/o herramienta que se asegure que el sub-control se encuentra implementado y que funciona como se espera. Por ejemplo, un sub-control que se ha implementado en algunos sistemas pero que no se encuentra soportado en una política formal y/o que no se ha implementado en todos los sistemas sólo podrá puntuar como un cumplimiento intermedio (nivel 2), debido a que corresponde a un cumplmiento parcial. En caso de que el sub-control ha sido aplicado a algún sistema por iniciativa de una sola persona se considera que el nivel de cumplimiento es nulo (nivel 0), ya que se trata de una acción esporádica y muy limitada. Para considerar un cumplimiento básico (nivel 1) es necesario que, como mínimo, exista una persona responsable del control (aunque sea de facto) y que, de manera más o menos regular, lo implemente donde corresponda.

Para el cálculo del porcentaje de cumplimiento se utiliza una escala ponderada, la cual asigna un peso mayor a aquellos sub-controles básicos y más importantes y un peso menor a aquellos menos críticos. El cumplimiento completo de todos los sub-controles básicos (Control 1 al 6) asegura un nivel de cumplimiento de 85%.

Logo-de-la-SENATICS-en-alfacolor.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Secretaría Nacional de Tecnologías de la Información y Comunicación
Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11