Lanzamiento de la guí­a de Controles Crí­ticos

---

En el marco de los esfuerzos de ciberseguridad que ha impulsado el Gobierno Paraguayo, se ha aprobado un estándar de controles de ciberseguridad para todas las instituciones gubernamentales, mediante la resolución Nro. 115.18 de la SENATICs, por la cual se aprobó la "Guí­a de Controles Crí­ticos de Ciberseguridad".

Los Controles Crí­ticos de Ciberseguridad son un conjunto de acciones, priorizadas, ampliamente analizadas y de efectividad probada que pueden ser tomadas por las organizaciones para mejorar su nivel de ciberseguridad. Esta guí­a nace como una iniciativa de estandarizar, ordenar, priorizar y medir los esfuerzos en ciberseguridad que están llevando a cabo los organismos paraguayos, de modo a construir un ciberespacio seguro y resiliente. Se trata de un proyecto que deriva del Plan Nacional de Ciberseguridad, el cual establece en su lí­nea de acción 6.b.3 "Potenciar la creación, difusión y aplicación de mejores prácticas en materia de ciberseguridad en el ámbito de la Administración Pública, por medio del desarrollo de una Guí­a de Buenas Prácticas de TIC y de Ciberseguridad". Para la elaboración de esta guí­a, el CERT-PY basó sus esfuerzos en los siguientes principios:

• No reinventar la rueda: aprovechar y apoyarse en los conocimientos y esfuerzos aportados y compartidos por la comunidad para, de esta manera, crear más conocimiento y de mayor calidad.

• Apoyarse en la experiencia en cuanto a incidentes y ataques reales observados en la región y especí­ficamente en el paí­s para la definición de estrategias de protección prácticas, reales y efectivas.

Es por ello que hemos decidido adoptar los "CIS Critical Security Controls" (Controles Crí­ticos de Seguridad de CIS), un conjunto de 20 controles prioritarios y 171 sub-controles, elaborados de manera consensuada por Center for Internet Security (CIS), una organización sin fines de lucro basada en Estados Unidos y una gran comunidad de actores claves del ecosistema de la ciberseguridad: organismos de gobierno, empresas de tecnologí­a y de seguridad, auditores, equipos de respuesta a incidentes, usuarios, entre otros.

Además, constituye un instrumento de medición común para instituciones que permitirá realizar auditorí­as y diagnósticos de ciberseguridad, priorizar acciones y medir avances en materia de ciberseguridad, especialmente en el Estado Paraguayo.

La metodologí­a utilizada para la elaboración de los controles se basa en:

• compartir conocimientos sobre ataques y atacantes, identificando las causas y traduciéndolas a acciones defensivas

• identificar problemas comunes en un modelo de colaboración de comunidad

• documentar experiencias de adopción y compartir herramientas para resolver problemas

• dar seguimiento a la evolución de las amenazas, las capacidades de los adversarios y los vectores de intrusión actuales

• mapear los controles a frameworks de regulación y cumplimiento

Al tomar como base los controles CIS y adaptarlos a nuestra realidad nacional, aprovechamos todo el conocimiento, la experiencia y las múltiples herramientas que han sido elaboradas a lo largo de los años por una enorme comunidad internacional, añadiéndole además las consideraciones propias para una organización paraguaya, así­ como también la retroalimentación con experiencias nacionales.

De esta manera, los controles están alineados a la protección efectiva a ataques reales conocidos. La metodologí­a utilizada para la elaboración de la Guí­a de Controles Crí­ticos de Ciberseguridad hace posible que no se trate únicamente de una lista de buenas prácticas sino un conjunto de pocas acciones, priorizadas y focalizadas, que a su vez son implementables, usables, escalables y orientadas al cumplimiento de los requerimientos de seguridad de industrias y gobierno.

Los controles crí­ticos de ciberseguridad son los siguientes:

Para descargar la guí­a de Controles Crí­ticos de Ciberseguridad y otros documentos de apoyo, ingrese a: https://www.cert.gov.py/index.php/controles-critic...

---