Acciones y Estrategias - cicte.oas.org … · LEY 28251 2004 REPUBLICA DOMINICANA LEY 53-07 2007...

Comisión de Regulación de Comunicaciones - República de Colombia

Ciberseguridad

Acciones y Estrategias

Noviembre de 2009

ROBERTO DIAZGRANADOS [email protected]

Agenda

Resultados preliminares3

2 Acciones adelantadas

Contexto General1

Tareas previstas4

Agenda

1 Contexto General



Tareas previstas4

Comisión de Regulación de Comunicaciones - República de ColombiaTítulo Presentación

4

Contexto General 1 2 3

Como organismo regulador del mercado de las telecomunicaciones en Colombia, la CRC, cumple la misión de promover la competencia y la inversión así como proteger los derechos de los usuarios y acorde con los lineamientos del estado, garantizar la prestación efectiva de los servicios de telecomunicaciones y el desarrollo del sector en el marco de la convergencia y la sociedad de la información

En el año 2011, la CRC habrá generado, de manera oportuna, un marco regulatorio que tenga en cuenta la convergencia, facilite el uso eficiente a las tecnologías y promueva la competencia en el sector, de tal modo que toda la población pueda acceder a la sociedad del conocimiento.

MISION

VISION


5

Contexto General


6

Contexto General


7

Contexto General


8

Contexto General


9

Agenda


Contexto General1


Tareas previstas4


10

Acciones adelantadas

La CRC publicó para conocimiento del sector y del público en general, el documento titulado “Estudio para la implementación de una Estrategia Nacional de Ciberseguridad”

El estudio describe los principales requisitos de seguridad pararedes de telecomunicaciones.

Además identificó acciones de carácter nacional e internacional que se han venido realizando en el ámbito de la seguridad de las redes de información y comunicación.

Año 2007


11


El documento refleja que utilización de las TIC debe ser fiable y segura para generalizar su uso y lograr una mayor confianza de los usuarios. Para ello, es necesario :

Proteger la confidencialidad de los datos y los intereses de los consumidores;

Mejorar la calidad de las regionales, así como mantener la interconexión y el interfuncionamiento de las mismas.

Analizar las amenazas (reales y potenciales) que se ciernen en la seguridad de estas redes, sobre todo en lo que respecta a la piratería y los virus informáticos en Internet, y estudiar los métodos que permitan poner fin a los mismos.

Año 2007


12

Acciones adelantadasAño 2007

Delitos Contra La

Información

Delitos Por Medios Electrónicos

PAÍS NORMA AÑO ALTERACIÓN INTRUSIÓN ESPIONAJE PROPIEDAD FE PUBLICA DATOS

PRIVADO

TIC PORNOGRAFÍA

INFANTIL

PROPIEDAD

INTELECTUAL

ARGENTINA LEY 25326 2000

BRASIL LEY 9983 2000

CHILE LEY 19223 1993

LEY 599 2000 COLOMBIA

LEY679 2001

LEY 8148 2001 COSTA RICA

LEY 8131 2001

ECUADOR L 2002-67 2002

GUATEMALA DEC 33-96 1996

MÉXICO 1999

Ley 26612 1996

LEY 27309 2000 PERÚ

LEY 28251 2004

REPUBLICA

DOMINICANA

LEY 53-07 2007

VENEZUELA DEC 48 2001

Leyes Latinoamericanas sobre delincuencia cibernéticaFuente: Maresca-cibercrime-buenos-aires-oct-07.pdf


13


La CRT publicó el documento “Recomendaciones al Gobierno Nacional para la implementación de una Estrategia Nacional de Ciberseguridad”

Este documento identifica caminos para la disuasión del crimen cibernético.

Dentro de los citados elementos se incluye la vigilancia, análisis y respuesta a estos incidentes.

Año 2008


14


Recomendaciones de desarrollo de la estrategia, tomando en cuenta las siguientes fases:

Persuadir a los dirigentes nacionales en el gobierno, de la necesidad de la acción nacional para hacer frente a las amenazas y las vulnerabilidades de la infraestructura nacional a través de los debates a nivel político.

Establecer un mecanismo nacional de respuesta a incidentes denominado (N-CSIRT)

Establecer mecanismos de cooperación entre el gobierno y las entidades del sector privado a nivel nacional.

Año 2008


15

Agenda

3 Resultados Preliminares


Contexto General1

Tareas previstas4


16

Resultados Preliminares

Proporciona elementos de referencia para identificar servicios, políticas y procedimientos apropiados de este tipo de centros que son aplicables a cualquier sector en el ámbito nacional y en particular al sector de telecomunicaciones.

Es necesario tener a disposición un equipo dedicado a la seguridad de las TI las 24 horas del día.

El equipo ayuda a los usuarios a recuperarse de los ataques recibidos, con conocimientos técnicos y a su vez, fomentar la cooperación entre los clientes del grupo atendido.

Por qué implementar un CSIRT


17


Posibles Inter- relaciones de un CSIRT Nacional Fuente: TB-Security


18


La CRC adelantó una encuesta con operadores de telecomunicaciones sobre el estado de la Seguridad Informática.

Además permitió examinar la importancia que se le asigna al tema y cómo se refleja ésta, en los rubros de los presupuestos previstos y/o ejecutados para la seguridad informática en las entidades prestadoras de servicios de telecomunicaciones.

Encuesta Seguridad


19


42,9%

57,1%

100,0%

100,0%

100,0%

64,3%

71,4%

92,9%

78,6%

57,1%

92,9%

85,7%

78,6%

35,7%

7,1%

0,0% 20,0% 40,0% 60,0% 80,0% 100,0%

Smart Cards

Biométricos

Antivirus Software

Anti-Spam Software

Contraseñas

Encriptación de datos

Filtro de paquetes

Firewalls Hardware

Firewalls Software

Firmas y Certificados Digitales

VPN / IPsec

Proxies

Sistemas detección de Intrusos

Monitoreo 7x24

ADS

Mecanismos de seguridad informática

Fuente: Encuesta de seguridad informática desarrollada por la CRC - 2008

ADS (sistemas de protección de anomalías)


20


Tipos de ataques detectados entre 2007-2008Fuente: Encuesta de seguridad informática desarrollada por la CRC - 2008

14,3%

7,1%

42,9%

14,3%

78,6%

7,1%

28,6%

7,1%

35,7%

7,1%

21,4%

50,0%

7,1%

0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% 90,0%

Ninguno

aplicaciones de software

Accesos a la Web

Fraude

Virus

Robo de Datos

Caballos de Troya

Monitoreo del trafico

Negación del servicio

Perdida de integridad

Perdida de información

Phishing

Pharming


21


Numero de Personas Dedicadas a la seguridad informática en la entidad

Fuente: Encuesta de seguridad informática desarrollada por la CRC - 2008

14,3%

57,1%

14,3%

0,0%

14,3%

0,0%

10,0%

20,0%

30,0%

40,0%

50,0%

60,0%

Ninguna 1 a 5 6 a 10 11 a 15 Mas de 15


22


Numero de pruebas de seguridad informática por añoFuente: Encuesta de seguridad informática desarrollada por la CRC - 2008

28,6%

35,7%

7,1%

28,6%

0,0%

5,0%

10,0%

15,0%

20,0%

25,0%

30,0%

35,0%

40,0%

Una al año 2 y 4 al año Mas de 4 al año Ninguno


23


Certificaciones en materia de seguridad informáticaFuente: Encuesta de seguridad informática desarrollada por la CRC - 2008

50,0%

35,7%

14,3% 14,3%

0,0% 0,0%

7,1%

0,0%

10,0%

20,0%

30,0%

40,0%

50,0%

60,0%

Ninguna CISSP CISA CISM CFE CIFI CIA


24


Estándares más utilizados en materia de Seguridad Informática

Fuente: VIII Encuesta Nacional de Seguridad Informática- ACIS-


25


Además de lo expuesto, la encuesta permitió evidenciar lo siguiente:

La inversión de los operadores en seguridad de la información estáenfocada a la protección de la red y a la protección de los datos críticos, pero dejan a un lado la contratación de personal calificado y la realización de pruebas y evaluaciones de seguridad con regularidad.

Se deben crear y promover programas de educación formal como especializaciones o maestrías, o bien acceder a certificaciones internacionales sobre tecnologías informáticas utilizadas y exigidas a nivel mundial.

Respecto del interés en el desarrollo de políticas de seguridad, debe incrementarse el interés de los directivos en el tema y en general.

Encuesta Seguridad


26

Agenda

4 Tareas Previstas



Contexto General1


27

Tareas Previstas

Debido a que las normas regulatorias vigentes en materia de Seguridad Cibernética se encuentran establecidas de manera general, se hizo necesario incluir dentro de la Agenda 2009 el proyecto “Aspectos Regulatorios Asociados a la Ciberseguridad” que identificara las potenciales vulnerabilidades que afronta el sector, y a partir de éstas, determinar tanto las responsabilidades de los agentes del sector en el mantenimiento de la seguridad de la infraestructura y de los procesos informáticos asociados a los servicios y a la transmisión de la información.

Proyecto Agenda 2009


28

Tareas Previstas

El proyecto conocerá la tendencia mundial en normas de seguridad en redes de telecomunicaciones en temas de seguridad en las telecomunicaciones, Marcos de arquitecturas de seguridad protocolos, seguridad de gestión de redes, con el propósito de elaborar recomendaciones para el ámbito nacional.

Estudiara las principales herramientas de seguridad en Internet.

Identificara las diferentes soluciones que proveedores de seguridad están implantando en el país.



29

Tareas Previstas

Autenticación: (Recomendación UIT X.811).

Acceso: Prevenir la utilización no autorizada de un recurso. (Recomendación UIT X.812)

No Repudio: Creación de pruebas que más adelante se puedan utilizar para demostrar la falsedad de un argumento. (Recomendación UIT X.813)

Confidencialidad: Garantizar que la información no se divulgará ni se pondrá a disposición de individuos, entidades o procesos no autorizados. (Recomendación UIT X.814)

Integridad: Garantizar que los datos no han sido alterados sin autorización. (Recomendación UIT X.815)


Bogotá, Octubre de 2009

Comisión de Regulación de Comunicaciones

República de Colombia

www.crcom.gov.co

Ciberseguridad

Acciones y Estrategias

Acciones y Estrategias - cicte.oas.org … · LEY 28251 2004 REPUBLICA DOMINICANA LEY 53-07 2007...

Documents

Transcript of Acciones y Estrategias - cicte.oas.org … · LEY 28251 2004 REPUBLICA DOMINICANA LEY 53-07 2007...