MITIC actualiza criterios mínimos de seguridad para software del Estado
13/01/2020 12:12
Con el objetivo de establecer parámetros básicos de ciberseguridad en los softwares que se desarrollan o adquieren para el Estado, el Ministerio de Tecnologías de la Información y Comunicación – MITIC, actualizó los "Criterios mínimos de seguridad para el desarrollo y adquisición de Software", y los aprobó por Resolución Nº 699/2019: http://gestordocumental.mitic.gov.py/share/s/KMzHI-FbTNKpKCu7STnNdQ.
La misma establece los criterios de seguridad mínimos que una institución debe contemplar en los requerimientos para el desarrollo y adquisición de software en el Estado. Estos criterios son aplicables al software desarrollado internamente por las instituciones públicas, adquirido de una empresa o desarrollador tercerizado y/o a través de donaciones a la institución.
Se encuentran alineados con los "Guía de Controles Críticos de Ciberseguridad", aprobados y de uso obligatorio por parte de las OEE.
Los criterios abarcan los siguientes puntos principales:
- Soporte y gestión continua del software
- Gestión segura de usuarios, sesiones y privilegios
- Autenticación y gestión segura de credenciales
- Generación y gestión adecuada de registros de auditoría
- Codificación segura, siguiendo estándares y buenas prácticas reconocidas de la industria (ejemplo: OWASP)
- Utilización de protocolos de red cifrados, basado en protocolos estándar
Además, se establece la obligatoriedad de realizar auditorías o verificación de vulnerabilidades para todo sistema de software gubernamental nuevo antes de entrar a producción. La verificación de seguridad podrá ser realizada internamente por la institución, o a través de una auditoría externa, según la criticidad y el riesgo asociado al mismo, así como también considerando la capacidad institucional.
Los sistemas de software existentes y en producción, que nunca hayan sido sujetos a una auditoría de vulnerabilidades, deberán ser auditados ya sea interna o externamente en un lapso no mayor a 6 meses desde la aprobación de la presente Resolución. Es responsabilidad de las instituciones gestionar adecuadamente las vulnerabilidades que sean detectadas en dicha auditoría, ya sea mediante su corrección, mitigación con controles adicionales o la migración a un sistema nuevo.
La Guía completa se encuentra en este enlace: https://bit.ly/2FNir6g
Servicio de auditoría del MITIC
Para aquellas instituciones que no tienen los recursos para realizar o contratar auditorías de vulnerabilidades o pentesting, el MITIC ofrece un servicio de auditoría de vulnerabilidades de sistemas web, que puede ser solicitada para auditar sistemas de software, especialmente aquellos desarrollados a medida (ya sea, enteramente a medida o con componentes a medida). El servicio puede ser solicitado a través de https://servicios.mitic.gov.py eligiendo la opción de “Auditoría de Vulnerabilidades CERT-PY”.
