En el marco de los esfuerzos de ciberseguridad que ha impulsado el Gobierno Paraguayo, se ha aprobado un estándar de controles de ciberseguridad para todas las instituciones gubernamentales, mediante la resolución Nro. 115.18 de la SENATICs, por la cual se aprobó la «Guía de Controles Críticos de Ciberseguridad».
 |
Los Controles Críticos de Ciberseguridad son un conjunto de acciones, priorizadas, ampliamente analizadas y de efectividad probada que pueden ser tomadas por las organizaciones para mejorar su nivel de ciberseguridad. Esta guía nace como una iniciativa de estandarizar, ordenar, priorizar y medir los esfuerzos en ciberseguridad que están llevando a cabo los organismos paraguayos, de modo a construir un ciberespacio seguro y resiliente.Se trata de un proyecto que deriva del Plan Nacional de Ciberseguridad, el cual establece en su línea de acción 6.b.3 «Potenciar la creación, difusión y aplicación de mejores prácticas en materia de ciberseguridad en el ámbito de la Administración Pública, por medio del desarrollo de una Guía de Buenas Prácticas de TIC y de Ciberseguridad».
Para la elaboración de esta guía, el CERT-PY basó sus esfuerzos en los siguientes principios:
- No reinventar la rueda: aprovechar y apoyarse en los conocimientos y esfuerzos aportados y compartidos por la comunidad para, de esta manera, crear más conocimiento y de mayor calidad.
- Apoyarse en la experiencia en cuanto a incidentes y ataques reales observados en la región y específicamente en el país para la definición de estrategias de protección prácticas, reales y efectivas.
Es por ello que hemos decidido adoptar los «CIS Critical Security Controls» (Controles Críticos de Seguridad de CIS), un conjunto de 20 controles prioritarios y 171 sub-controles, elaborados de manera consensuada por Center for Internet Security (CIS), una organización sin fines de lucro basada en Estados Unidos y una gran comunidad de actores claves del ecosistema de la ciberseguridad: organismos de gobierno, empresas de tecnología y de seguridad, auditores, equipos de respuesta a incidentes, usuarios, entre otros.
Además, constituye un instrumento de medición común para instituciones que permitirá realizar auditorías y diagnósticos de ciberseguridad, priorizar acciones y medir avances en materia de ciberseguridad, especialmente en el Estado Paraguayo.
La metodología utilizada para la elaboración de los controles se basa en:
- compartir conocimientos sobre ataques y atacantes, identificando las causas y traduciéndolas a acciones defensivas
- identificar problemas comunes en un modelo de colaboración de comunidad
- documentar experiencias de adopción y compartir herramientas para resolver problemas
- dar seguimiento a la evolución de las amenazas, las capacidades de los adversarios y los vectores de intrusión actuales
- mapear los controles a frameworks de regulación y cumplimiento
Al tomar como base los controles CIS y adaptarlos a nuestra realidad nacional, aprovechamos todo el conocimiento, la experiencia y las múltiples herramientas que han sido elaboradas a lo largo de los años por una enorme comunidad internacional, añadiéndole además las consideraciones propias para una organización paraguaya, así como también la retroalimentación con experiencias nacionales.
De esta manera, los controles están alineados a la protección efectiva a ataques reales conocidos. La metodología utilizada para la elaboración de la Guía de Controles Críticos de Ciberseguridad hace posible que no se trate únicamente de una lista de buenas prácticas sino un conjunto de pocas acciones, priorizadas y focalizadas, que a su vez son implementables, usables, escalables y orientadas al cumplimiento de los requerimientos de seguridad de industrias y gobierno.
Los controles críticos de ciberseguridad son los siguientes:
Para descargar la guía de Controles Críticos de Ciberseguridad y otros documentos de apoyo, ingrese a: https://www.cert.gov.py/controles-criticos-de-ciberseguridad/