En el marco de los esfuerzos de ciberseguridad que ha impulsado el Gobierno Paraguayo, se ha aprobado un estándar de controles de ciberseguridad para todas las instituciones gubernamentales, mediante la resolución Nro. 115.18 de la SENATICs, por la cual se aprobó la "Guía de Controles Críticos de Ciberseguridad".
Los Controles Críticos de Ciberseguridad son un conjunto de acciones, priorizadas, ampliamente analizadas y de efectividad probada que pueden ser tomadas por las organizaciones para mejorar su nivel de ciberseguridad. Esta guía nace como una iniciativa de estandarizar, ordenar, priorizar y medir los esfuerzos en ciberseguridad que están llevando a cabo los organismos paraguayos, de modo a construir un ciberespacio seguro y resiliente.
Controles Fundacionales:
Control 7: Protección de correo electrónico y navegador web
Control 8: Defensa contra malware
Control 9: Limitación y control de puertos de red, protocolos y servicios
Control 10: Capacidad de recuperación de datos
Control 11: Configuración segura de los equipos de red, tales como cortafuegos, enrutadores y conmutadores
Control 12: Defensa de borde
Control 13: Protección de datos
Control 14: Control de acceso basado en la necesidad de conocer
Control 15: Control de acceso inalámbrico
Control 16: Monitoreo y control de cuentas
Controles Básicos:
Control 1: Inventario de Dispositivos autorizados y no autorizados
Control 2: Inventario de Software autorizados y no autorizados
Control 3: Gestión continua de vulnerabilidades
Control 4: Uso controlado de privilegios administrativos
Control 5: Configuración segura para hardware y software en dispositivos móviles,computadoras portátiles, estaciones de trabajo y servidores
Control 6: Mantenimiento, monitoreo y análisis de logs de auditoría.
Control 2: Inventario de Software autorizados y no autorizados
Control 3: Gestión continua de vulnerabilidades
Control 4: Uso controlado de privilegios administrativos
Control 5: Configuración segura para hardware y software en dispositivos móviles,computadoras portátiles, estaciones de trabajo y servidores
Control 6: Mantenimiento, monitoreo y análisis de logs de auditoría.
Controles Organizacionales:
Control 17: Implementar un programa de concienciación y capacitación en seguridad
Control 18: Seguridad del software de aplicación
Control 19: Respuesta y gestión de incidentes
Control 20: Pruebas de penetración y ejercicios de Equipo Rojo
.
Control 18: Seguridad del software de aplicación
Control 19: Respuesta y gestión de incidentes
Control 20: Pruebas de penetración y ejercicios de Equipo Rojo
.
Medición de Controles
- Planilla de medición de los Controles Críticos de Ciberseguridad: Planilla_Auditoria.xlsx
- Instrucciones para la auto-evaluación: Instructivo.pdf
Fuente: CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
No hay comentarios:
Publicar un comentario