Acciones y Estrategias - cicte.oas.org … · LEY 28251 2004 REPUBLICA DOMINICANA LEY 53-07 2007...
Transcript of Acciones y Estrategias - cicte.oas.org … · LEY 28251 2004 REPUBLICA DOMINICANA LEY 53-07 2007...
Comisión de Regulación de Comunicaciones - República de Colombia
Ciberseguridad
Acciones y Estrategias
Noviembre de 2009
ROBERTO DIAZGRANADOS [email protected]
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
4
Contexto General 1 2 3
Como organismo regulador del mercado de las telecomunicaciones en Colombia, la CRC, cumple la misión de promover la competencia y la inversión así como proteger los derechos de los usuarios y acorde con los lineamientos del estado, garantizar la prestación efectiva de los servicios de telecomunicaciones y el desarrollo del sector en el marco de la convergencia y la sociedad de la información
En el año 2011, la CRC habrá generado, de manera oportuna, un marco regulatorio que tenga en cuenta la convergencia, facilite el uso eficiente a las tecnologías y promueva la competencia en el sector, de tal modo que toda la población pueda acceder a la sociedad del conocimiento.
MISION
VISION
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
5
Contexto General
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
6
Contexto General
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
7
Contexto General
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
8
Contexto General
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
9
Agenda
2 Acciones adelantadas
Contexto General1
Resultados preliminares3
Tareas previstas4
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
10
Acciones adelantadas
La CRC publicó para conocimiento del sector y del público en general, el documento titulado “Estudio para la implementación de una Estrategia Nacional de Ciberseguridad”
El estudio describe los principales requisitos de seguridad pararedes de telecomunicaciones.
Además identificó acciones de carácter nacional e internacional que se han venido realizando en el ámbito de la seguridad de las redes de información y comunicación.
Año 2007
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
11
Acciones adelantadas
El documento refleja que utilización de las TIC debe ser fiable y segura para generalizar su uso y lograr una mayor confianza de los usuarios. Para ello, es necesario :
Proteger la confidencialidad de los datos y los intereses de los consumidores;
Mejorar la calidad de las regionales, así como mantener la interconexión y el interfuncionamiento de las mismas.
Analizar las amenazas (reales y potenciales) que se ciernen en la seguridad de estas redes, sobre todo en lo que respecta a la piratería y los virus informáticos en Internet, y estudiar los métodos que permitan poner fin a los mismos.
Año 2007
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
12
Acciones adelantadasAño 2007
Delitos Contra La
Información
Delitos Por Medios Electrónicos
PAÍS NORMA AÑO ALTERACIÓN INTRUSIÓN ESPIONAJE PROPIEDAD FE PUBLICA DATOS
PRIVADO
TIC PORNOGRAFÍA
INFANTIL
PROPIEDAD
INTELECTUAL
ARGENTINA LEY 25326 2000
BRASIL LEY 9983 2000
CHILE LEY 19223 1993
LEY 599 2000 COLOMBIA
LEY679 2001
LEY 8148 2001 COSTA RICA
LEY 8131 2001
ECUADOR L 2002-67 2002
GUATEMALA DEC 33-96 1996
MÉXICO 1999
Ley 26612 1996
LEY 27309 2000 PERÚ
LEY 28251 2004
REPUBLICA
DOMINICANA
LEY 53-07 2007
VENEZUELA DEC 48 2001
Leyes Latinoamericanas sobre delincuencia cibernéticaFuente: Maresca-cibercrime-buenos-aires-oct-07.pdf
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
13
Acciones adelantadas
La CRT publicó el documento “Recomendaciones al Gobierno Nacional para la implementación de una Estrategia Nacional de Ciberseguridad”
Este documento identifica caminos para la disuasión del crimen cibernético.
Dentro de los citados elementos se incluye la vigilancia, análisis y respuesta a estos incidentes.
Año 2008
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
14
Acciones adelantadas
Recomendaciones de desarrollo de la estrategia, tomando en cuenta las siguientes fases:
Persuadir a los dirigentes nacionales en el gobierno, de la necesidad de la acción nacional para hacer frente a las amenazas y las vulnerabilidades de la infraestructura nacional a través de los debates a nivel político.
Establecer un mecanismo nacional de respuesta a incidentes denominado (N-CSIRT)
Establecer mecanismos de cooperación entre el gobierno y las entidades del sector privado a nivel nacional.
Año 2008
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
15
Agenda
3 Resultados Preliminares
2 Acciones adelantadas
Contexto General1
Tareas previstas4
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
16
Resultados Preliminares
Proporciona elementos de referencia para identificar servicios, políticas y procedimientos apropiados de este tipo de centros que son aplicables a cualquier sector en el ámbito nacional y en particular al sector de telecomunicaciones.
Es necesario tener a disposición un equipo dedicado a la seguridad de las TI las 24 horas del día.
El equipo ayuda a los usuarios a recuperarse de los ataques recibidos, con conocimientos técnicos y a su vez, fomentar la cooperación entre los clientes del grupo atendido.
Por qué implementar un CSIRT
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
17
Resultados Preliminares
Posibles Inter- relaciones de un CSIRT Nacional Fuente: TB-Security
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
18
Resultados Preliminares
La CRC adelantó una encuesta con operadores de telecomunicaciones sobre el estado de la Seguridad Informática.
Además permitió examinar la importancia que se le asigna al tema y cómo se refleja ésta, en los rubros de los presupuestos previstos y/o ejecutados para la seguridad informática en las entidades prestadoras de servicios de telecomunicaciones.
Encuesta Seguridad
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
19
Resultados Preliminares
42,9%
57,1%
100,0%
100,0%
100,0%
64,3%
71,4%
92,9%
78,6%
57,1%
92,9%
85,7%
78,6%
35,7%
7,1%
0,0% 20,0% 40,0% 60,0% 80,0% 100,0%
Smart Cards
Biométricos
Antivirus Software
Anti-Spam Software
Contraseñas
Encriptación de datos
Filtro de paquetes
Firewalls Hardware
Firewalls Software
Firmas y Certificados Digitales
VPN / IPsec
Proxies
Sistemas detección de Intrusos
Monitoreo 7x24
ADS
Mecanismos de seguridad informática
Fuente: Encuesta de seguridad informática desarrollada por la CRC - 2008
ADS (sistemas de protección de anomalías)
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
20
Resultados Preliminares
Tipos de ataques detectados entre 2007-2008Fuente: Encuesta de seguridad informática desarrollada por la CRC - 2008
14,3%
7,1%
42,9%
14,3%
78,6%
7,1%
28,6%
7,1%
35,7%
7,1%
21,4%
50,0%
7,1%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% 90,0%
Ninguno
aplicaciones de software
Accesos a la Web
Fraude
Virus
Robo de Datos
Caballos de Troya
Monitoreo del trafico
Negación del servicio
Perdida de integridad
Perdida de información
Phishing
Pharming
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
21
Resultados Preliminares
Numero de Personas Dedicadas a la seguridad informática en la entidad
Fuente: Encuesta de seguridad informática desarrollada por la CRC - 2008
14,3%
57,1%
14,3%
0,0%
14,3%
0,0%
10,0%
20,0%
30,0%
40,0%
50,0%
60,0%
Ninguna 1 a 5 6 a 10 11 a 15 Mas de 15
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
22
Resultados Preliminares
Numero de pruebas de seguridad informática por añoFuente: Encuesta de seguridad informática desarrollada por la CRC - 2008
28,6%
35,7%
7,1%
28,6%
0,0%
5,0%
10,0%
15,0%
20,0%
25,0%
30,0%
35,0%
40,0%
Una al año 2 y 4 al año Mas de 4 al año Ninguno
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
23
Resultados Preliminares
Certificaciones en materia de seguridad informáticaFuente: Encuesta de seguridad informática desarrollada por la CRC - 2008
50,0%
35,7%
14,3% 14,3%
0,0% 0,0%
7,1%
0,0%
10,0%
20,0%
30,0%
40,0%
50,0%
60,0%
Ninguna CISSP CISA CISM CFE CIFI CIA
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
24
Resultados Preliminares
Estándares más utilizados en materia de Seguridad Informática
Fuente: VIII Encuesta Nacional de Seguridad Informática- ACIS-
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
25
Resultados Preliminares
Además de lo expuesto, la encuesta permitió evidenciar lo siguiente:
La inversión de los operadores en seguridad de la información estáenfocada a la protección de la red y a la protección de los datos críticos, pero dejan a un lado la contratación de personal calificado y la realización de pruebas y evaluaciones de seguridad con regularidad.
Se deben crear y promover programas de educación formal como especializaciones o maestrías, o bien acceder a certificaciones internacionales sobre tecnologías informáticas utilizadas y exigidas a nivel mundial.
Respecto del interés en el desarrollo de políticas de seguridad, debe incrementarse el interés de los directivos en el tema y en general.
Encuesta Seguridad
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
26
Agenda
4 Tareas Previstas
Resultados preliminares3
2 Acciones adelantadas
Contexto General1
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
27
Tareas Previstas
Debido a que las normas regulatorias vigentes en materia de Seguridad Cibernética se encuentran establecidas de manera general, se hizo necesario incluir dentro de la Agenda 2009 el proyecto “Aspectos Regulatorios Asociados a la Ciberseguridad” que identificara las potenciales vulnerabilidades que afronta el sector, y a partir de éstas, determinar tanto las responsabilidades de los agentes del sector en el mantenimiento de la seguridad de la infraestructura y de los procesos informáticos asociados a los servicios y a la transmisión de la información.
Proyecto Agenda 2009
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
28
Tareas Previstas
El proyecto conocerá la tendencia mundial en normas de seguridad en redes de telecomunicaciones en temas de seguridad en las telecomunicaciones, Marcos de arquitecturas de seguridad protocolos, seguridad de gestión de redes, con el propósito de elaborar recomendaciones para el ámbito nacional.
Estudiara las principales herramientas de seguridad en Internet.
Identificara las diferentes soluciones que proveedores de seguridad están implantando en el país.
Proyecto Agenda 2009
Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación
29
Tareas Previstas
Autenticación: (Recomendación UIT X.811).
Acceso: Prevenir la utilización no autorizada de un recurso. (Recomendación UIT X.812)
No Repudio: Creación de pruebas que más adelante se puedan utilizar para demostrar la falsedad de un argumento. (Recomendación UIT X.813)
Confidencialidad: Garantizar que la información no se divulgará ni se pondrá a disposición de individuos, entidades o procesos no autorizados. (Recomendación UIT X.814)
Integridad: Garantizar que los datos no han sido alterados sin autorización. (Recomendación UIT X.815)
Proyecto Agenda 2009