Ciberseguridad - 03/06/2019

Mesa: Conectividad Digital

Local: CAI (Centro de Atención e Información).

Lista de participantes: Aquí

Fecha: 27/05/2019

Nombre Completo

Pregunta y/o consulta

Sugerencias

Respuesta del MITIC

Marcelo Elizeche Landó Que significa la construccion el ecosistema digital seguro? Cual es el plan para crear este ecosistema? ¿Qué es lo que se tiene planeado en capacitacion ademas de la especialización del IAEE? ¿Cuántos funcionarios hay en la DGCPD? ¿Cuándo vamos a poner ver el documento fino?  Mas bien era por el lado de la creacion de la industria de ciberseguridad. Algo muy necesario es que el Estado tenga su propia capacidad de personal capacitado en este tema  Cuando hablamos de ecosistema digital, hablamos de varios pilares: capacidad reactiva, capacidad preventiva, políticas y gobernanza y coordinación interinstitucional. En lo que es el eje reactivo, prevemos el fortalecimiento del CERT, a traves de la incorporación de analistas, adquisición de herramientas y servicios como threath hunting, servicios de inteligencia y alertas tempranas, etc. Uno de los modelos que usamos como ejemplo es Uruguay: tiene una inversion aprox. de 2.5 millon USD anuales, principalmente, en servicios, incluido el modelo de outsourcing. El SOC es otro proyecto que fortalecerá y aumentará la capacidad reactiva, aumentando la proactividad En el eje preventivo hablamos de monitoreo, auditoría y gestión de vulnerabilidades, para adelantarnos a los incidentes, disminuyendo los riesgos. También prevemos la adquisición e implementación de mecanismos de protección a sistemas de gobierno. Un ejemplo es un sistema de autenticación de doble factor centralizado, de estas mesas surgirán otras propuestas de proyectos. En materia de políticas, no hablamos solo de políticas nuevas sino también incluimos la verificación de cumplimiento, los GAP analysis, por ejemplo. Cuando hablamos del objetivo de "crear una industria de ciberseguridad", nos referimos a la estrategia que estamos adoptando desde el Estado que ve a la ciberseguridad como un campo fundamental y que invirte en bienes y sobre todo servicios de ciberseguridad, a modo de que haya señales claras para que las empresas privadas también apuesten a invertir en ciberseguridad, esto es lo que crea una industria, no es solamente la inversión en Hardware y Software sino empezar a mirar la mano de obra. El estado debe tener su pérsonal capacitado permanente, pero usando los diversos modelos: combinación de funcionarios públicos contratados, nombrados, pero reforzado con servicios profesionales avanzados
Evin Colman Cual es el tiempo de aplicación? Cuando empezaria a ponerse mas tangible el proyecto? Otra cuestion es el ambito legal de todas estas cuestiones   Actualmente se encuentra en fase de construcción, ya que hay plazos y condiciones que el BID exige antes de desembolsar dinero. Una vez que se hayan cumplido esos plazos y esas condiciones se empezará a trabajar en las especificaciones técnicas, los pliegos, etc., ya que finalmente todo bien y servicio debe ser adquirido mediante procesos licitatorios. Esperamos que a fin de este año ya empiecen los primeros llamados.
Steven Rey Brítez ¿Cuales infraestructuras criticas en terminos de ciberseguridad fueron tomados? ¿Cuales son los criterios que se establecieron para determinar que una institución es critica? Se solicita que para la siguiente mesa presentar el listado de infraestructuras criticas o cuales van a ser los criterios que se van a tener en cuenta para determinar eso  Uno de los proyectos concretos que se han fijado es una consultoría en la que se debe hacer un estudio que identifique, en primer lugar, cuales son los criterios de definición de infraestructura tecnológica crítica. Existen varios modelos muy distintos, países como Israel, EEUU, España, Colombia, etc. ya lo tienen definido, otros países como por ej. Rpublica dominicana están trabajando en ello. La segunda parte de la consultoría debe, una vez definido los criterios, hacer un relevamiento para identificar qué procesos, y por ende, qué sistemas tecnológicos, cumplen dichos criterios.
Luis Benitez A que se refiere cuando se dice que se van a ajustar los valores ya que hay una ley aprobada? Que es lo que incluye los 4 millones de dolares del proyecto que se destina a ciberseguridad ademas del SOC? Se destina dinero a restructurar los procesos que deben ser restructurados? Dentro del Plan Nacional de Seguridad no hay un planteamiento para hacer que cada ministerio tome las responsabilidades que le corresponden? Falta documentacion respecto a lo que es Gobierno Electronico Las atribuciones, roles y responsabilidades ya fueron establecidas en la Ley de creación del MITIC, ahi ya se realizó la re-estructuración necesaria. Hay que entender que el rol del MITIC es ser autoridad en materia de ciberseguridad, no así en ciberdefensa, son cosas que están realcionadas pero no es lo mismo. Cualquier re-estructuración que fuera necesaria, será realizada cuando fuera detectada, pero ahora mismo no hay ninguna consultoria ni ninguna adquisición específica pensada para re-estructuración organizacional, y en cualquier caso, sería mas bien un tema de gestión, no necesariamente dinero. El sistema nacional es la sumatoria de los 4 ejes que comentamos, con más de 21 proyectos e iniciativas, que se traducen en bienes y servicios que se deben implementar. El dinero del crédito debe ser traducido en bienes y servicios a ser adquiridos, mediante procesos licitatorios, la re-estructuración y coordinación entre instituciones es una cuestión de gestión política y/o técnica, no se requiere licitaciones para ello. Además, debe tenerse en cuenta que las políticas del BID, así como de la mayoría de los organismos internacionales, no puede ser utilizado para lo que es ciberdefensa, por una cuestión de soberanía y de no intrusión en cuestiones militares.
Mariela Aranda    No es un unico modelo el que va a resolver el problema, sino la convinacion de ambos Lo ideal es asegurar que en todo proceso se realice la transferencia del conocimiento 
Fernando Ayala Cual es el servicio que uds prestarian al sector privado (SOC). El modelo es similar al de AGESIC de Uruguay?    Sí, el modelo al cual aspiramos es, en gran medida, muy parecido al de AGESIC de Uruguay. El SOC sería solo gubernamental, en una primera fase al menos.
Dentro de lo que es este Plan; esta contemplado la construcción edilicia o es solo adquisición de hardware y software?   No comprende la parte edilicia, sí contempla las adquisiciones hardware, software, sí como también las cuestiones de modelado de procesos
Preguntas entregadas por Luis Benitez En estos años el índice global de ciberseguridad (GCI - Global Cibersecurity Index - ITU) ha demostrado que el país logró un crecimiento muy interesante: en América de estar en los últimos lugares pasar al puesto número 5:
¿cuál es el plan o los planes para sostener o mejorar esta posición en América?
  Mediante el crédito otorgado por el BID para la implementación del plan de Agenda Digital tenemos planificado mejorar esta posición, ya que para que ésta sea sostenible, se necesita asegurar la continuidad de las iniciativas, entendiendo que la ciberseguridad es un proceso de gestión continua, y no un proyecto que tiene un comienzo y un fin. Esto se traduce en una gran cantidad de proyectos que son servicios continuos y que deberán sostenerse incluso después de finalizar el crédito, por lo cual se hace especial énfasis en el componente de Formación de capacidades y transferencia de conocimiento, en todo el Ecosistema y no solo institucional, como una estrategia a largo plazo de poder afrontar los retos y las amenazas altamente cambiantes en ciberseguridad
En el gobierno (y para el gobierno) existe un equipo de respuesta ante incidentes cibernéticos (CERT-PY):
¿qué planes existe para apoyar la creación de otros equipos de respuesta en diversos ámbitos (sector financiero, sector privado, sector de infraestructura crítica, etc..)?
  Paraguay cuenta con un Plan Nacional de Ciberseguridad, producto de un trabajo multi-stakeholder de varios años, y de un proceso que involucró representantes de más de 120 organizaciones, entre ellas instituciones públicas, sector privado, academia, sociedad civil, gremios profesionales y organismos internacionales, entre otros.
Uno de los ejes de este Plan es la capacidad de respuesta a incidentes cibernéticos, dentro del cual, uno de los objetivos es mejorar esta capacidad, mediante diversas iniciativas, una de las cuales es el fomento de la creación de más equipos de respuesta a incidentes.
El MITIC es Autoridad en Ciberseguridad, siendo responsable de la prevención, gestión y control de incidentes cibernéticos, por lo que bajo la Dirección General de Ciberseguridad y Protección a la Información, se encuentra el CERT-PY, que es el Centro de Respuestas a Incidentes Cibernéticos, tiene aplicación a nivel nacional (sector publico, sector privado, ciudadanía en general), no se limita al gobierno.
Existen iniciativas a mediano/largo plazo de fomentar la creación de CSIRTs sectoriales, dependiendo del grado de madurez que alcance el ecosistema, es por ello que desde el MITIC se impulsa y se da especial énfasis a la formación de capacidades técnicas avanzadas en los diferentes sectores.
Teniendo en cuenta el estado actual de la infraestructura a nivel país de todas las entidades públicas:
¿Cual es el estado actual en ciberseguridad de estas OEE?
¿Cual es el plan para mejorar la ciberseguridad en estas OEE?
  Uno de los ejes del Plan Nacional de Ciberseguridad es la Administración Pública, donde se detallan los objetivos y líneas de acción específicas.
Una de ellas es la adopción de estándares, lineamientos, normativas y directrices técnicas en materia de ciberseguridad, por lo que, como un ejemplo, se ha aprobado un estándar de controles de ciberseguridad para todas las instituciones gubernamentales, mediante la resolución Nro. 115/18 de la SENATICs, por la cual se aprobó la “Guía de Controles Críticos de Ciberseguridad”. Los Controles Críticos de Ciberseguridad son un conjunto de acciones, priorizadas, ampliamente analizadas y de efectividad probada que pueden ser tomadas por las organizaciones para mejorar su nivel de ciberseguridad. Esta guía nace como una iniciativa de estandarizar, ordenar, priorizar y medir los esfuerzos en ciberseguridad que están llevando a cabo los organismos paraguayos, de modo a construir un ciberespacio seguro y resiliente. Mas información se encuentra en: https://www.cert.gov.py/index.php/controles-criticos-seguridad
Otro ejemplo de esta línea de acción es la adopción de los "Criterios mínimos de seguridad para el desarrollo y adquisición de software", aprobado por resolución SENATICs Nro. 118/18, que fue referenciado también en el Estandar de EETT para Desarrollo de sistemas y software a medida, de la DNCP.
Por otra parte, con el crédito otorgado por el BID para la implementación del plan de Agenda Digital, así como también con recursos propios de la institución, se prevee mejorar el servicio de auditoría de vulnerabilidades a sistemas gubernamentales, así como también incorporar mecanismos continuos de monitoreo y gestión de vulnerabilidades. También se prevee la realización de GAP analysis y diagnósticos y verificación de cumplimiento de los estándares a las instituciones públicas. Si bien, este proceso ya ha iniciado con algunas instituciones y ha arrojado un nivel de cumplimiento bajo (el promedio no supera 17%), el crédito permitirá darle continuidad y mayor alcance a este proceso de diagnósticos.
Otra de las iniciativas que venimos realizando hace varios años y que, con recursos, podrá maximizarse, es el eje de Formación de capacidades en instituciones públicas, a través de actividades de concienciación para el usuario (charlas, simulacros, etc.), cursos, charlas, seminarios, talleres para funcionarios técnicos del área de TI y afines, así como otras iniciativas similares.
Leyendo el proyecto de la web “The SOC Project for Paraguay”
¿Qué solución brindaría los sensores que se pretende instalar en las OEE?
¿Que tipo de tráfico se estaría recolectando de las OEE?
¿Como se realizó el cálculo de EPS (eventos por segundo) ?
¿Quien realizó el Proyecto?
  Los sensores o colectores permitirían, a través de reglas pre-definidas y/o patrones de comportamiento, detectar indicadores de compromiso que nos alerten de manera temprana de un posible incidente cibernético, el cual, de otra manera, hubiera pasado desapercibido.
En una primera fase, el tipo de tráfico a ser recolectado sería de eventos syslog, específicamente:
Logs IDS/IPS y equipos de red (PfSense por ej.)
Logs de sistemas de protección de equipo final (Endpoint Security Software "Anti-virus")
Logs del sistema de eventos de Window
Logs de la controladora de dominio
Logs del servidor de correo
Eventos syslog en general, según necesidad y factibilidad
El EPS se estimó de manera aproximada, según la experiencia de los consultores, basados en la información disponible al momento de realizar la consultoría
La consultoría fue realizada por Nir Peleg y Gal Shmueli, de CyGOV, empresa contratada por el BID como cooperación externa no reembolsable.
Fortalecimiento de RRHH: el proyecto del SOC tengo entendido que será para mejorar la captación de incidentes de seguridad en las instituciones del estado:
¿cómo serán atendidos estos nuevos incidentes que llegarán ahora en gran cantidad?
  Se prevee la incorporación gradual de analistas de diversos niveles, hasta básicos hasta avanzados (TIER 1, TIER 2, TIER 3), en un modelo que combine analistas permanentes on-site, remotos, a demanda, etc.
Que se plantea cambiar respecto a la ciberseguridad   Se fortalecerá la capacidad actual e implementarán nuevas soluciones en una primera etapa a 4 grandes ejes: Gestion de Incidentes, Protección de infraestructura crítica y Gobierno, Concienciación y capacitación, Sistema Nacional de Ciberseguridad; acorde con las atribuciones del MITIC en cuanto a ciberseguridad.
Se llevará el CERT al ministerio de defensa, dejar diferentes CSIRT para los diferentes actores ejemplo en el gobierno?   El MITIC es Autoridad en Ciberseguridad, siendo responsable de la prevención, gestión y control de incidentes cibernéticos, por lo que el CERT-PY no será trasladado al Ministerio de Defensa Nacional. Existen iniciativas a mediano/largo plazo de fomentar la creación de CSIRTs sectoriales, dependiendo del grado de madurez que alcance el ecosistema, es por ello que desde el MITIC se impulsa y se da especial énfasis a la formación de capacidades técnicas avanzadas en los diferentes sectores.
Se reestructurará las FFAA para crear una nueva arma?
respecto a la ciberdefensa?
  El MITIC no es autoridad en materia de ciberdefensa, que, si bien, son campos que tienen aristas comunes, son campos distintos. Se fomenta el fortalecimiento y las capacidades técnicas de las Fuerzas Armadas en materia de ciberseguridad debido a su rol estratégico, sin embargo, el MITIC no tiene autoridad sobre las mismas.
Por que no hay fondos para ningún proceso de entrenamiento de las FFAA, ni para el fortalecimiento respecto a la ciberdefensa?   El MITIC no es autoridad en materia de ciberdefensa, que, si bien, son campos que tienen aristas comunes, son campos distintos. Se fomenta el fortalecimiento y las capacidades técnicas de las Fuerzas Armadas en materia de ciberseguridad debido a su rol estratégico, al igual que muchas otras instiuciones y sectores estratégicos que estarán incluidos en las iniciativas de formación de capacidades.