Ciberseguridad - 18/06/2019

Mesa: Conectividad Digital

Local: CAI (Centro de Atención e Información).

Lista de participantes: Aquí

Fecha: 18/06/2019

 

NOMBRE APELLIDO EMPRESA PREGUNTA RESPUESTA
Mariel Aranda Deloitte & CO El SOC Py esta en funcionamiento? lo estan planteando? Es uno de los componentes de los proyectos presentados en la Agenda Digital, está en etapa de planificación y proyectandose para su implementación, todavìa no está funcionando. El SOC través de tecnología y a través de diversas fuentes de información, es capaz de detectar de manera proactiva indicadores de compromiso que le permiten saber que algo está pasando en una determinada red o sistema. El proyecto SOC busca abarcar en esta primera etapa, los organismos de gobierno.
Mariel Aranda Deloitte & CO Tienen un plan de que van a priorizar, que van a ver a corto plazo y largo plazo Se prioriarán aquellos proyectos de fortalecimiento de los que ya se tiene, especialmente la capacidad de respuesta de CERT-PY, algunos servicios preventivos como auditoría y monitoreo de vulnerabilidades, boletines y alertas, etc. A mediano plazo tenemos proyectos nuevos como un MISP, un programa de gestión de vulnerabilidades, etc. Y por último, de acá a 3 a 4 años, proyectos nuevos que requieren condiciones y estudios previos, tales como el SOC, un Centro de Fusión, y otros. La estrategia es que exista dinero a ser invertido de parte del Estado, a fin de que las empresas privadas inviertan en ciberseguridad. Lo que crea una industria, no es solamente la inversión en Hardware y Software sino empezar a mirar la mano de obra. El estado debe tener su pérsonal capacitado permanente, estas son las inversiones que se van a priorizar
Mariel Aranda Deloitte & CO Hoy dia el CERT presta servicios a las oficinas del estado, en la mayoria de las orficinas no cuenta con recursos (humanos e informaticos). Ustedes pueden hacer las evaluaciones pero las demas instituciones no tienen la manera de implementar las recomendaciones, tienen planeado mejorar esto? Dentro de la Agenda Digital, tenemos como componente el fortalecimiento de la ciberseguridad para las organizaciones del estado, donde una de las prioridades es la creación de capacidades técnicas y compotentes para fortalecer el ecosistema de la ciberseguridad. Ademàs, se prevee que los servicios ofrecidos cuenten también con un componente de acompañamiento a las diversas instiutuciones, sobre todo en los inicios. Todo esto también es complementado con políticas, directices, estándares etc. solo que es una cuestión gradual y de madurez progresiva, hay que atacar todos los frentes del problema.
Mateo Franco EY Paraguay Sigue siendo el 20 de junio la fecha del evento de presentación? Si bien, hay un plazo máximo para el cumplimiento de condiciones previas, que es de 60 días desde el momento de la aprobación, estamos a la espera de la aprobación del plan final, es diferente al límite de plazo del RFI, pero que es de Conectividad, no es de Ciberseguridad, son cosas independientes
Carlos Alamos Johnstek Latam En el proyecto estan incluidos los gastos de capital humano?, el salario o costos de esos analístas estan incluidos en el monto total? Los gastos en recursos humanos estan incluidos dentro de la planificación de la agenda digital, específicamente en el Comp. 4 de Fortalecimiento Institucional, luego estos recursos pasarán a formar parte del plantel de funcionarios del MITIC, garantizando el seguimiento de los proyectos. En aquellos casos que el recurso es necesario para un proyecto que tiene inicio y fin, debería ser contemplado en el Componente 1, pero en Ciberseguridad en particular, prácticamente todos los proyectos son continuos, por la naturaleza misma de la ciberseguridad: es un proceso de gestión continuo, no sirve la foto del momento.
Mateo Franco EY Paraguay El salario de los nuevos funcionarios incorportados con estos proyectos, saldria de un rubro de hacienda o saldria del credito? Saldría del crédito en primera instancia, transcurrido el plazo de implementación pasarían a formar parte de la institución, donde se les asignaría un rubro específico.
Francisco Muniz COMTEL Estan considerando cobrar por evento o por hora? quienes utilicen el servicio del CERT? Específicamente para el servicio der CERT no pretendemos cobrar ya que es un servicio a la a las instituciones públicas y ciudadanía, con el fin de reportar incidentes, documentarlos y colaborar en el crecimiento del conocimiento y prevención de eventos cibernéticos, necesitamos que se reporte, si cobramos por ello, eso sería una traba. Eventualmente se podría cobrar por otro tipo de servicios y/o compartir la inversión con otras instituciones, pero en lo que es gestión de incidentes no.
Francisco Muniz COMTEL El decreto contempla algun tipo de sanción, para las instituciones que no brinden sus datos, para la implementacipon del SOC Actualmente no hay nigún tipo de sanción, se está trabajando en regularlo, la ley nos da dicha atribución, pero es algo gradual, empezaremos con una fase de compartición voluntaria, de modo a que las instituciones le encuentren realmente valor al servicio del SOC, que no sea una cuestión de obligación solamente. Pero si, el marco regulatorio está preparado para ese escenario
Mariel Aranda   La capacitación de analistas, tienen una base para hacerlo? o está en veremos? Por el momento esta pensado hacer llamados para cubrir las necesidades de analistas, donde especificamos las tareas que queremos que cumplan y las empresas en modelo outsourcing son las que contaran con el personal capacitado para realizar estas tareas. Este es el modelo adoptado por la gran mayoría de los países, para abordar el alto dinamismo de estas tareas, que deben ser realizados en un modelo híbrido, entre analistas avanzados propios, operadores y analistas básicos e intermedios que puedan ser propios, externos, etc. En este modelo, lo primordial es mantener el know-how, pero hay que entender que ese know-how no debe quedar solamente en el analista, sino en los procedimientos, en los playbooks., Es por ello que estamos abocados elaborando estos playbook, es ahi donde realmente queda el conocimiento, las personas pueden pasar, pero ese conocimiento institucional debe perdurar.
Mariel Aranda Deloitte & CO Estan trabajando con el fortalicimiento insitucional, si bien existe pliegos para contrataciones tecnicas, eso no se esta cumpliendo, ustedes deben de forzar que los proveedores tengan que cumplir, por ejemplo distintos aspectos de seguridad, para no tener que ir a remediar una situación sino preveer.
El impacto negativo que puede llegar a tener, seria muy grande para la institución.
El estandar existe, está aprobado por DNCP, aunque reconozco que se aprobó hace muy poquito, hace apenas uno o dos meses tal vez. Pero es obligatorio, DNCP debe controlar que todo llamado de software a medida siga ese estandar. Hay que entender que en dicho estandar hay una responsabilidad compartida, ya que no son exigencias a los ofrentes solamente sino exigencias a la Convocante tambien, que debe definir muchos requerimientos, que hoy por hoy, no lo están definiendo. Si una empresa ve un pliego que no cumple el estandar, puede protestar, ya que tieen un argumento sólido, pueden apoyarse en el MITIC
Mariel Aranda Deloitte & CO Si el SOC capaz sea solo lectura de logs, podría invertirse en un análisis más profundo y un nivel de respuesta más avanzado. Totalmente, con el tiempo, el análisis será más avanzado e iremos descubriendo más y más incidentes, iremos afinando los tiempos y niveles de respuestas.