Professional Documents
Culture Documents
Ciberseguridad
Repblica del Paraguay
06 de abril de 2016
Tabla de Contenido
Siglas y Abreviaturas.................................................................................................. 0
Resumen Ejecutivo..................................................................................................... 1
Introduccin................................................................................................................ 2
1.
Metodologa de Elaboracin.............................................................................. 3
El Internet y su Infraestructura.........................................................................4
2.
3.
4.
5.
6.
El Sector Privado............................................................................................. 14
7.
Sensibilizacin y Educacin............................................................................15
8.
Conclusin....................................................................................................... 16
Sensibilizacin y Cultura................................................................................. 18
2.
3.
4.
5.
6.
2.
Monitoreo y Evaluacin............................................................................................ 29
Revisin.................................................................................................................... 30
Anexo 1 Plan de Accin.......................................................................................... 31
Anexo 2 Glosario.................................................................................................... 38
Anexo 3 Marco Legal.............................................................................................. 39
Tabla de Ilustraciones
Grfico 1: Poblacin Total vs Usuarios de Internet (2009-2014).................................5
Grfico 2: Suscriptores de Internet Mvil y Fijo (2010-2014)......................................6
1
Siglas y Abreviaturas
ADEFI Asociacin de Entidades Financieras del Paraguay
ADSL Lnea de Abono Digital Asimtrica
ANDE Administracin Nacional de Electricidad
APP Alianza Pblico-Privada
ASOBAN Asociacin de Bancos de Paraguay
BID Banco Interamericano de Desarrollo
BNF Banco Nacional de Fomento
ccTLD Dominio de Nivel Superior de Pas
CEPAL Comisin Econmica para Amrica Latina y el Caribe
CERT-PY Centro de Respuesta ante Incidentes Cibernticos de Paraguay
CNC Centro Nacional de Computacin
CONACYT Consejo Nacional de Ciencia y Tecnologa
CONATEL Comisin Nacional de Telecomunicaciones
COPACO Compaa Paraguaya de Comunicaciones S.A.
DCS Sistema de Control Distribuido
DoS Ataque de Denegacin de Servicio
ENSC Estrategia Nacional de Seguridad Ciudadana 2013-2016
ESSAP Empresa de Servicios Sanitarios del Paraguay S.A.
FEEI Fondo para la Excelencia de la Educacin y la Investigacin
FONACIDE Fondo Nacional de Inversin Pblica y Desarrollo
FSU Fondo de Servicios Universales
IP Protocolo de Internet
ISO Organizacin Internacional de Normalizacin
IXP Punto de Intercambio de Internet
LED Laboratorio de Electrnica Digital
MIC Ministerio de la Industria y Comercio
MIPYMES Micro, Pequeas y Medianas Empresas
MRE Ministerio de Relaciones Exteriores
NCMEC Centro Nacional para Nios Desaparecidos y Explotados
Resumen Ejecutivo
Este Plan Nacional de Ciberseguridad es un documento estratgico que sirve como
fundamento para que Paraguay pueda mejorar la coordinacin de las polticas
pblicas de ciberseguridad e integrar a todos los sectores en el desarrollo de las
tecnologas de la informacin y comunicacin (TICs) en un ambiente ciberntico
confiable y resiliente. Bajo el liderazgo de la Presidencia de la Repblica del
Paraguay, a travs de la Secretara Nacional de Tecnologas de la Informacin y
Comunicacin (SENATICs), y en coordinacin con el Ministerio de Relaciones
Exteriores (MRE), se produjo este Plan Nacional con la participacin de los diversos
sectores involucrados en el tema de la ciberseguridad en Paraguay bajo el apoyo y
facilitacin de la Organizacin de los Estados Americanos (OEA).
El resultado de este intenso trabajo de recoleccin y recopilacin de informacin,
combinado con el dilogo y debate con el sector privado y la sociedad civil, es este
documento, que no slo refleja el compromiso del Estado con el desarrollo seguro
de las TICs como la mayor de las prioridades, sino que tambin sirve como gua
para la ejecucin de polticas pblicas en ciberseguridad. Ms especficamente, este
documento define los ejes, los objetivos, y un plan de accin para la ejecucin de la
poltica nacional de ciberseguridad, de la cual participarn en el proceso de
implementacin varias entidades gubernamentales, el sector privado, la academia y
la sociedad civil.
El Plan consta de seis secciones. La primera, bajo el ttulo Diagnstico sobre la
Ciberseguridad en Paraguay, describe las principales caractersticas del actual
estado de la ciberseguridad y de la aplicacin de las TICs en el pas. Esta seccin
est dividida de acuerdo a los sectores claves del pas. La segunda seccin
establece los Principios Orientadores para la formulacin e implementacin de
cualquier poltica pblica de ciberseguridad en el pas, considerando no slo el
respeto a los derechos y principios fundamentales protegidos por la Constitucin
Nacional y dems normativas, sino tambin la maximizacin de los recursos
empleados.
La tercera seccin fija los Ejes y Objetivos del Plan Nacional de Ciberseguridad con
el propsito de lograr la adopcin de medidas de ciberseguridad en reas
prioritarias. Para apoyar el progreso y la innovacin de las TICs en el pas, este Plan
Nacional se concentra en seis ejes de accin: (i) Sensibilizacin y Cultura; (ii)
Investigacin, Desarrollo e Innovacin; (iii) Proteccin de Infraestructuras Crticas;
(iv) Capacidad de Respuesta ante Incidentes Cibernticos; (v) Capacidad de
Investigacin y Persecucin de la Ciberdelincuencia; y (vi) Administracin Pblica y
Coordinacin Nacional. A fin de fomentar cada uno de estos ejes, se han establecido
objetivos especficos.
La cuarta seccin establece el Sistema Nacional de Ciberseguridad que consistir en
la conformacin de una Comisin Nacional de Ciberseguridad que deber elegir un
1
Introduccin
Ante la creciente importancia de las TICs para la economa y la sociedad, la
Presidencia de la Repblica del Paraguay, a travs de la SENATICs, ha tomado la
decisin de impulsar el desarrollo de un plan estratgico de ciberseguridad. Ningn
otro pas de Amrica Latina y del Caribe ha tenido un incremento tan vigoroso de
nmero de usuarios de Internet como Paraguay. En trminos porcentuales, Paraguay
es el pas con mayor incremento en la penetracin de Internet en la regin desde
2012, dado que aument de un 29,34 por ciento en 2012 a un 43 por ciento en
2014 o sea, ms de 13,6 puntos porcentuales.
Sin embargo, el uso de las TICs trae consigo desafos permanentes, no slo en lo
que se refiere a sus cambios tecnolgicos constantes, sino tambin al aumento del
riesgo de delitos cibernticos, es decir, delitos facilitados por un sistema informtico
o directamente en contra un sistema informtico. La facilidad de las transacciones
financieras por Internet y el flujo de informacin aumentan el riesgo de explotacin
y abuso a travs de los delitos cibernticos con los que se obtiene acceso a la
informacin personal y sensible.
Las caractersticas intrnsecas de los incidentes cibernticos, tales como el costo
reducido de los ataques y su facilidad de ejecucin, pueden causar graves
dificultades en el desarrollo de las TICs, en los servicios prestados por la
Administracin Pblica, en el buen funcionamiento de las infraestructuras crticas, y
en las actividades de las empresas y ciudadanos. Asimismo los delitos cibernticos
no se restringen a las acciones contra un sistema informtico, incluyendo delitos
tradicionales realizados a travs de Internet, como el abuso sexual infantil, la trata
de personas y el narcotrfico. Entre febrero del 2014 y abril del 2015, se detect
2
5 Una intrusin intencional en una pgina web por un atacante, por medio de exploracin de alguna
vulnerabilidad, lo que permite la modificacin del contenido de la pgina web.
6 Detenido por pedir en Facebook al EPP que secuestren a hijos de congresistas y maten policas.
Disponible en: http://ea.com.py/v2/detenido-por-pedir-en-facebook-al-epp-que-secuestren-a-hijos-decongresistas-y-maten-policias/. Recuperado el 24 de noviembre de 2015.
7 Bancarios van a 3 aos a crcel por estafa de 400 mil dlares. Disponible en:
http://www.ultimahora.com/bancarios-van-3-anos-carcel-estafa-400-mil-dolares-n705027.html.
Recuperado el 24 de noviembre de 2015.
8 Cae proxeneta que utilizaba perfiles falsos en internet para extorsionar. Disponible en:
http://www.abc.com.py/edicion-impresa/judiciales-y-policiales/cae-proxeneta-que-utilizaba-perfilesfalsos-en-internet-para-extorsionar-1363524.html. Recuperado el 24 de noviembre de 2015.
casos en que se utilizan las redes sociales para exhibir imgenes y ofertar a
menores de edad.9 En base a la cooperacin internacional con el Centro Nacional
para Nios Desaparecidos y Explotados (NCMEC, por sus siglas en ingls) desde el
enero de 2014, se pudieron detectar ms de 797 casos entre fotos y videos de
pornografa infantil que fueron subidos a la red desde Paraguay entre febrero del
2014 y abril del 2015. En el 2012 el reporte de NCMEC identific 408 casos de
pornografa infantil en el pas, sin embargo se realizaron solamente 13 denuncias al
Ministerio Pblico. Estos datos no slo revelan la importancia de establecer
mecanismos para impedir la proliferacin de delitos cibernticos, sino tambin la
necesidad de establecer mecanismos que posibiliten la denuncia, la investigacin y
el enjuiciamiento de estos delitos.
La nica forma de avanzar de manera efectiva con la ciberseguridad en el pas es
mediante la identificacin de la situacin actual y de los principales desafos a
enfrentar. Esta seccin describe el estado del Internet y su infraestructura en
Paraguay, de la aplicacin de las TICs y de la ciberseguridad en las diferentes
instituciones y sectores en el pas.
1. El Internet y su Infraestructura
Internet de alta velocidad llega a los municipios paraguayos por medio de
microondas o fibra ptica, mientras la tecnologa de Lnea de Abono Digital
Asimtrica (ADSL, por sus siglas en ingls) es incipiente en Paraguay. 10 En trminos
del uso de Internet, el porcentaje de penetracin, que se entiende como la cantidad
de personas que han usado Internet (en cualquier lugar) dentro de un pas en los
ltimos 12 meses, lleg al 43 por ciento en 2014 (Grfico 1).
Grfico 1: Poblacin Total vs Usuarios de Internet (2009-2014)
Cabe sealar que los costos de las conexiones han ido disminuyendo con los aos,
hacindose cada vez ms accesible. Segn datos del Observatorio Regional de
Banda Ancha (ORBA) de la Comisin Econmica para Amrica Latina y el Caribe
(CEPAL), la tarifa de banda ancha fija de 1 Mbps como porcentaje del Producto
Interno Bruto (PIB) per cpita cont con disminuciones con un promedio de 15 por
ciento entre 2010 y 2014, correspondiendo actualmente al 5 por ciento del PIB per
cpita. El servicio de banda ancha fija de 10 Mbps de velocidad equivale al 3,77 por
ciento del PIB per cpita. La conexin de 2 Mbps se traduce en el 4,84 por ciento del
PIB per cpita, mientras que los planes de banda ancha mvil estn en 6,03 por
ciento del PIB per cpita.
La velocidad de descarga promedio en banda ancha global en Paraguay es 3,54
Mbps y la de carga es 3,33 Mbps. Finalmente, el informe identific una brecha
relativamente alta entre los hogares con acceso a Internet por conexin fija segn
zona geogrfica del hogar (urbana o rural) cerca del 29,1 por ciento. Segn datos
de 2013, el porcentaje de hogares con acceso al Internet por conexin fija en zonas
urbanas era de casi un 40 por ciento, mientras que en las zonas rurales era menos
de un 10 por ciento.14
13 Disponible en: http://www.conatel.gov.py/index.php?
option=com_content&view=article&id=30&Itemid=115.
14 CEPAL. Estado de la banda ancha en Amrica Latina y el Caribe 2015. Disponible en:
http://repositorio.cepal.org/bitstream/handle/11362/38605/S1500568_es.pdf?sequence=1. Recuperado
Esta situacin puede estar relacionada con los altos costos de transporte de trfico
de Internet. En este contexto, el desarrollo de la infraestructura de la banda ancha
avanz en Paraguay por medio del Plan Nacional de Telecomunicaciones (20112015), cuya meta para el 2015 era conectar a 200 municipios con fibra ptica y
acceso al Internet con banda ancha hasta el momento el pas tiene 155 municipios
conectados.15 La CONATEL est trabajando, con el apoyo del Banco Interamericano
de Desarrollo (BID) y otras instituciones gubernamentales paraguayas, en el
desarrollo de un Plan Nacional de Banda Ancha, que conlleva el propsito de
expandir el servicio de Internet en Paraguay y reducir la brecha digital. 16 El modelo
de gobierno adaptado dentro del Plan Nacional incluye tres factores principales: el
desarrollo de un marco normativo y el espectro, la inversin en infraestructura, as
como el uso y adopcin de la banda ancha, logrando la interconexin entre redes. 17
Vale recalcar que en septiembre de 2015 se conform un Grupo de Trabajo
interinstitucional18 para la implementacin del Plan Nacional de Banda Ancha.
La CONATEL, creada por la Ley n o 642/95 de Telecomunicaciones, ha llevado varios
proyectos a licitaciones, proporcionando subsidios a los prestadores de servicios de
comunicaciones para que avancen con la infraestructura necesaria. Ms
concretamente, la expansin de la infraestructura de acceso al Internet se realiza
mediante alianzas pblico-privadas (APP), por medio de recursos de las propias
operadoras y por subsidios provenientes del Fondo de Servicios Universales (FSU),
administrado por CONATEL. El FSU fue establecido por el artculo 97 de la Ley n o
642/95 con la finalidad de subsidiar a los prestadores de servicios pblicos en la
expansin de los servicios de telecomunicaciones, as como promover el acceso a
los servicios de manera eficiente, maximizando su beneficio econmico, segn el
artculo 3 del Reglamento del FSU. El financiamiento proviene del 20 por ciento de
aportes abonados por operadores por el concepto de Tasas por Explotacin
el 24 de noviembre de 2015.
17 Paraguay debe invertir US$ 1.000 millones para mejora de banda ancha.
Disponible en: http://www.lanacion.com.py/2015/09/03/paraguay-debe-invertir-us-1000-millones-para-mejora-de-banda-ancha/. Recuperado el 04 de diciembre de
2015.
18 Deciden conformar Grupo de Trabajo para el Plan Nacional de Banda Ancha. Disponible en:
http://www.mre.gov.py/v2/Noticia/3143/deciden-conformar-grupo-de-trabajo-para-el-plan-nacional-debanda-ancha. Recuperado el 24 de noviembre de 2015.
20 Para abaratar costos, CONATEL propone la implementacin de IXP en Paraguay. Disponible en:
http://www.conatel.gov.py/index.php?option=com_content&view=article&id=567:para-abaratar-costosconatel-propone-la-implementacion-de-ixp-en-paraguay&catid=31&Itemid=101. Recuperado el 24 de
noviembre de 2015.
26 LACNIC, Portal IPv6, Quines implementan? Disponible en: http://portalipv6.lacnic.net/quienesimplementan/. Recuperado el 24 de noviembre de 2015.
10
11
13
32 Informacin compartida por la Unidad Especializada en Delitos Informticos del Ministerio Pblico
en el 7 de mayo de 2015 durante la Misin de Asistencia Tcnica para el Desarrollo de una Estrategia
Nacional de Seguridad Ciberntica en Paraguay.
14
15
16
empresas del sector privado tambin promueven acciones similares, pero son ad
hoc.
En trminos de educacin, en el pas existen algunas instituciones de enseanza
superior
y
organizaciones
no
gubernamentales
(ONGs)
que
ofrecen
especializaciones en seguridad informtica y derecho informtico. Sin embargo, la
oferta acadmica en programas especializados en estas reas es muy reducida. En
consecuencia, existe un nmero significativo de personas que acceden a algn tipo
de formacin en el rea de seguridad de la informacin mediante programas
ofrecidos por instituciones extranjeras en convenio con centros de entrenamiento y
universidades debidamente acreditadas.
Aunque no exista una carrera de nivel superior especfica en ciberseguridad,
algunas universidades en Paraguay abordan el tema de la ciberseguridad dentro de
otras carreras de manera ms general por medio de mallas extra-curriculares. Las
mallas curriculares las TICs y ciberseguridad son cubiertas de manera general a
travs de materias optativas. Algunos programas de postgrado requieren la
preparacin de una tesis por los alumnos, con la oportunidad de profundizar ms en
el tema.
Los alumnos tienen la posibilidad de estudiar en el exterior por medio de becas
gubernamentales y de las propias universidades. Con respecto a las becas
gubernamentales, el Consejo Nacional de Ciencia y Tecnologa (CONACYT) ofrece
financiamiento a travs de becas de maestra e investigacin. CONACYT lanz en
mayo de 2015, en el marco del Programa Paraguayo para el Desarrollo de la
Ciencia y Tecnologa (ProCiencia), el Programa de Incentivos para la Formacin de
Docentes-Investigadores (becas nacionales para maestras y doctorados). El
Programa de Incentivos est dirigido a estudiantes que se dediquen de forma
exclusiva al programa de postgrado. Este programa es financiado a travs del Fondo
para la Excelencia de la Educacin y la Investigacin (FEEI) asignado por el Fondo
Nacional de Inversin Pblica y Desarrollo (FONACIDE), segn la Ley n 4.758/2012.
El Programa incluye financiamiento para la Maestra en Ciencia de la Computacin y
al Doctorado en la Ciencia de la Computacin de la Facultad Politcnica-UNA. Existe
tambin el Programa Nacional de Incentivo a los Investigadores (PRONII), para
estudiantes de postgrado en algunas reas, incluso los temas de Ingenieras y
Tecnologas, Matemtica, Informtica, y Fsica.
Otra iniciativa relevante fue la creacin de la Maestra en Gestin Pblica de la
Innovacin, con el apoyo de la Unin Europea y conjuntamente con la Universidad
Nacional de Asuncin (UNA). La maestra tiene una duracin de 15 meses y cuenta
con profesores nacionales y extranjeros especialistas en diversas reas, incluyendo
TICs. Sin embargo, no se verifican las mismas oportunidades de capacitacin para
los docentes, ya que no cuentan con becas para estudiar e investigar en el exterior.
Tampoco existe una red de conocimiento en el pas para el intercambio de
conocimiento entre los distintos sectores (pblico, privado y acadmico). Cabe
18
19
Ejes y Objetivos
El avance de las TICs debe ser acompaado por una poltica de ciberseguridad, ya
que con el mayor uso de la tecnologa tambin aumenta el volumen y sofisticacin
de las amenazas. Para lograr la adopcin de medidas de ciberseguridad que
garanticen el uso seguro y confiable de las TICs, as como el progreso y la
innovacin en el pas, este Plan Nacional se concentra en seis ejes de accin: (i)
Sensibilizacin y Cultura; (ii) Investigacin, Desarrollo e Innovacin; (iii) Proteccin
de Infraestructuras Crticas; (iv) Capacidad de Respuesta antes Incidentes
Cibernticos; (v) Capacidad de Investigacin y Persecucin de la Ciberdelincuencia;
y (vi) Administracin Pblica y Coordinacin Nacional. Esta seccin tambin ilustra
los objetivos en cada eje temtico. Los objetivos son los efectos fundamentales a
largo plazo a los que se aspira para la ciberseguridad del pas.
1. Sensibilizacin y Cultura
Para que la implementacin del Plan Nacional de Ciberseguridad sea sostenible a
largo plazo, es de gran importancia que se sensibilice a los ciudadanos sobre la
importancia de construir una cultura nacional de ciberseguridad. Por medio de la
concientizacin ciudadana, se puede empezar a afectar positivamente el
comportamiento, desarrollando a largo plazo una comprensin amplia sobre la
ciberseguridad por toda la sociedad. El cambio cultural se lograr a travs de la
incorporacin progresiva de buenas prcticas de ciberseguridad, hasta que la
misma se vuelva a una prctica diaria de los individuos, de las empresas y del
gobierno.
La Sociedad de la Informacin y el uso de las TICs pueden traer muchos beneficios
pero, para maximizarlos, es esencial promover una slida cultura de ciberseguridad
mediante la adopcin de legislacin y medidas que garanticen la proteccin de los
datos, as como la conexin segura de los equipos. La cultura ciberntica existe
cuando el conocimiento de tcnicas y de conceptos de ciberseguridad sirve de
orientacin para las prcticas de los usuarios finales de la red. Por lo tanto, es
necesario tomar las acciones de sensibilizacin para que todos conozcan los riesgos
y tengan el acceso a las herramientas de proteccin. Esto es particularmente
importante si se tiene en cuenta las inversiones que se estn llevando a cabo en
Paraguay para la expansin de los servicios de acceso a Internet como, por ejemplo,
21
22
42 Por ejemplo, la Ley de Firma Digital (Ley no 4017/2010) y la Ley de Comercio Electrnico (Ley n o
4.868/2013).
24
26
Finalmente, es esencial que haya cooperacin entre los sectores pblicos y privado
para la proteccin de infraestructuras crticas. Los servicios esenciales, as como sus
sistemas y activos, tambin se encuentran en manos del sector privado. Por lo
tanto, la colaboracin entre el sector pblico y el sector privado es necesaria para
garantizar la seguridad y resistencia de las infraestructuras crticas. El intercambio
permanente de informacin entre el sector pblico y privado acerca de los
incidentes cibernticos que ocurren permitir identificar las tendencias de los
incidentes de ciberseguridad en el pas, tal como su frecuencia y tipo. Con esta
informacin, se puede hacer inversiones ms eficaces para la proteccin de las
infraestructuras crticas del pas.
En este contexto, se buscan concretizar los siguientes objetivos generales para el
fortalecimiento de la proteccin de infraestructuras crticas en Paraguay:
3.a.
Las infraestructuras crticas paraguayas son resilientes ante las
amenazas cibernticas, y garantizan la estabilidad de los servicios
esenciales.
3.b.
La responsabilidad por la ciberseguridad de las infraestructuras crticas
es compartida entre el Estado y los operadores privados, fomentando la
cooperacin pblico-privada.
4. Capacidad de Respuesta ante Incidentes Cibernticos
Los pases deben estar preparados para responder de manera eficaz a los
incidentes de ciberseguridad. Para lograr este objetivo, es esencial formar un
equipo nacional de respuesta ante emergencias informticas. De hecho, los CERTs
hacen mucho ms: no slo son los principales proveedores de servicios de
seguridad informtica a los gobiernos y ciudadanos, sino que tambin promueven la
sensibilizacin en ciberseguridad entre la sociedad. Como se mencion, el CERT-PY,
como el equipo nacional de respuesta a incidentes del Paraguay, est encargado de
todas estas actividades: responder a incidentes, ofrecer capacitacin, y promover
campaas de sensibilizacin sobre los problemas de ciberseguridad, tal como la
campaa contra el acoso sexual de menores.
Sin embargo, para seguir trabajando en este sentido, es fundamental que el CERTPY cuente con las herramientas necesarias. Por lo tanto, el CERT-PY debe contar con
recursos humanos, una infraestructura adecuada, y una asignacin presupuestal
especfica que garantice su adecuada operacin. En este contexto, es importante
que se implementen programas de capacitacin orientados al personal del CERT-PY,
de modo que se desarrolle un grupo de expertos y se garantice la actualizacin del
conocimiento y habilidades de los profesionales en un rea dinmica como lo es la
ciberseguridad. Se buscar tambin implementar medidas que posibiliten que el
CERT-PY opere de manera eficiente y est equipado para determinar rpidamente
las amenazas y aplicar medidas para disuadir futuras amenazas y para recuperarse
de las amenazas existentes.
27
28
5.d.
Existe la cooperacin internacional rpida y eficiente en la prevencin,
investigacin y persecucin penal de los delitos informticos.
6. Administracin Pblica y Coordinacin Nacional
Como se mencion en la seccin Diagnstico sobre la Ciberseguridad, hubo ataques
de DoS a las pginas Web gubernamentales, incluidos incidentes dirigidos a los
portales web y servicios de diversas instituciones gubernamentales. Por ello,
medidas de seguridad ciberntica orientadas a estos rganos es imprescindible. Es
necesario establecer estndares de ciberseguridad y guas de mejores prcticas
para la Administracin Pblica, as como mecanismos de coordinacin para los
agentes gubernamentales.
En este sentido, un Sistema Nacional de Ciberseguridad ser establecido por
normativa con la responsabilidad de la aplicacin del Plan Nacional de
Ciberseguridad, bajo la Presidencia de la Repblica. Este Sistema Nacional deber
trabajar de cerca y coordinar con todas las dems entidades gubernamentales que
tienen responsabilidades en virtud del Plan Nacional. La prxima seccin de este
Plan Nacional describir con ms detalles el funcionamiento del Sistema Nacional
de Ciberseguridad.
El intercambio de informacin entre los distintos actores es esencial para la
efectividad de la ciberseguridad. Hay algunos factores que afectan la distribucin
oportuna y el intercambio de esta informacin, como son las clasificaciones de la
informacin y el temor a la divulgacin. Se gestionar para crear un ambiente de
confianza y fortalecer las lneas de comunicacin existentes. El dilogo y la
cooperacin entre el sector privado y el Estado son requisitos esenciales para este
fin.
Con el fin de abordar plenamente las amenazas en el ciberespacio, es necesario
cooperar a nivel internacional. La asistencia mutua en materia penal y el desarrollo
de medidas de seguridad internacionales para abordar las cuestiones de
ciberseguridad es una necesidad. A nivel bilateral y multilateral, el Estado
paraguayo participar con otros estados y organizaciones internacionales en
discusiones en el campo de la ciberseguridad. Como nacin, Paraguay se esforzar
para contribuir en el dilogo mundial sobre el ciberespacio.
6.a.
La administracin pblica, tanto la central como las entidades y
organismos descentralizados, cuentan con una infraestructura adecuada en
trminos de TICs y ciberseguridad.
6.b.
Las gestiones gubernamentales de ciberseguridad se coordinan con
cada agente responsable consciente de su funcin y papel referente a la
ciberseguridad.
6.c.
Se promueve la cooperacin entre los sectores pblico y privado.
6.d.
Se fortalece la cooperacin regional e internacional en materia de
ciberseguridad.
30
Coordinador
Nacional de
Ciberseguridad
Subcomit de
Sensibilizacin y
Cultura
Subcomit de
Investigacin,
Desarrollo e
Innovacin
Comisin Nacional
de Ciberseguridad
Subcomit de
Proteccin de
Infraestructuras
Crticas
Subcomit de
Respuesta ante
Incidentes
Cibernticos
Subcomit de
Investigacin y
Persecucin de la
Ciberdelincuencia
Subcomit de la
Administracin
Pblica y
Coordinacin
Nacional
33
Monitoreo y Evaluacin
Esta seccin tiene como propsito asegurar la eficiencia y la eficacia del Plan
Nacional de Ciberseguridad, tanto en el uso de los recursos como en la orientacin
de las iniciativas definidas. El monitoreo de las acciones constituye uno de los
principios orientadores del Plan Nacional junto con la idea de evaluacin que, a su
vez, requiere el diseo de indicadores. Los indicadores tienen como propsito
analizar la implementacin de las polticas de ciberseguridad y permitir la
retroalimentacin para una eventual correccin de las polticas por medio de
decisiones basadas en evidencia. Es decir, un enfoque basado en evidencias facilita
la priorizacin de los objetivos en la toma de decisiones, garantizando la legitimidad
y la credibilidad de las polticas de ciberseguridad en Paraguay.
Los indicadores constituyen una expresin cuantitativa o cualitativa que permite
comparar el desempeo de una poltica con respecto a los objetivos preestablecidos, buscando determinar si la implementacin de la poltica ha avanzado
y si los procesos de trabajo que se realizan permitirn alcanzar los efectos
deseados. Los indicadores deben seguir un conjunto de parmetros tcnicos. Es
decir, los indicadores deben ser especficos, cuantificables, alcanzables, relevantes,
y susceptibles de monitorear, segn el conjunto de caractersticas propuestas por el
modelo SMART.43
El Plan Nacional de Ciberseguridad cuenta con un Plan de Accin (Anexo 1) que
define las lneas de accin para el cumplimiento de los objetivos de largo plazo. Se
buscar definir para la adecuada implementacin de este Plan Nacional los
productos inmediatos que se busca y los resultados intermedios, 44 as como los
respectivos indicadores.45 Es fundamental que los productos inmediatos estn
vinculados a los resultados intermedios que, por su parte, deben estar vinculados a
43 Acrnimo en ingls para Specific, Measurable, Achievable, Relevant y Trackable.
44 Los productos son las consecuencias directas de las acciones, y suelen ser tangibles y ms
fcilmente mensurables cuantitativa y cualitativamente. Los resultados intermedios, por su parte,
reflejan los efectos de corto y mediano plazo de las polticas.
45 Los indicadores de productos miden los entregables ms inmediatos de un proyecto como, por
ejemplo, el nmero de beneficiarios de un proyecto o la cuantidad de servicios prestados o productos
producidos. Por otro lado, los indicadores de resultados intermedios miden los resultados de corto
y mediano plazo, lo que incluye cambios graduales de comportamiento, fortalecimiento de las
capacidades y habilidades en ciberseguridad.
34
los objetivos de largo plazos definidos en este Plan Nacional. Los indicadores son
esenciales no slo para seguir el progreso de la implementacin de este Plan
Nacional de Ciberseguridad, sino que tambin para apoyar en la revisin general del
Plan Nacional, asegurndose que este Plan alcance sus objetivos de manera
eficiente y eficaz.
La implementacin de mecanismos de monitoreo y evaluacin permitir una mayor
transparencia de las polticas de ciberseguridad, una vez que la colecta de datos
para su evaluacin posibilitar la preparacin de informes peridicos acerca de los
avances en la implementacin del Plan Nacional de Ciberseguridad.
Revisin
Se prev que este Plan Nacional de Ciberseguridad y su Plan de Accin sea
actualizado y revisado cada 3 aos o cuando sea necesario, de acuerdo con la
propuesta de revisin del Coordinador Nacional de Ciberseguridad y anuencia de la
Comisin Nacional de Ciberseguridad.
35
Objetivos
Lneas de Accin
1.a.1 Llevar a cabo un estudio/encuesta
de
referencia
nacional
sobre
la
sensibilizacin de la ciberseguridad entre
los ciudadanos, considerando los aspectos
demogrficos y geogrficos con el
propsito de identificar necesidades
especficas de cada grupo.
1.a.2 Desarrollar campaas temticas de
sensibilizacin pblica entre diversos
grupos demogrficos en Paraguay en
alianza con el sector privado, sociedad
civil y academia.
1.a.
Las
campaas
de
sensibilizacin
pblica
son
reconocidas y promovidas por
el
pblico
general,
y
el
comportamiento seguro en el
ciberespacio se convierte en
una parte de la cultura de los
ciudadanos y las ciudadanas.
1.a.3
Desarrollar
campaas
de
sensibilizacin de manera coordinada
entre
las
distintas
entidades
gubernamentales,
para
evitar
la
duplicacin de esfuerzos y garantizar un
mensaje ms amplio y de mayor impacto.
1.a.4 Incluir avisos con recomendaciones
de buenas prcticas de ciberseguridad (ej.
uso de antivirus, firewall) dirigidos a los
usuarios antes que se conecten al Internet
por plazas pblicas, por otro servicios de
acceso gratuito a Internet o por cualquier
red abierta disponible al pblico general.
1.a.5 Contar con el apoyo de las
operadoras y prestadores de servicios de
Internet en la implementacin de avisos
con recomendaciones de prcticas de
ciberseguridad cuando el usuario utilizar
alguno de sus servicios.
36
Ejes
Objetivos
Lneas de Accin
escuelas de la enseanza bsica.
1.b.3 Fomentar la implementacin de
consejos de seguridad juvenil, donde
padres, estudiantes, y personal de la
escuela tengan la oportunidad de debatir
sobre
ciberseguridad
y
sobre
los
problemas de la seguridad en lnea.
Implementar charlas de orientacin y
capacitacin enfocadas a nios, jvenes,
adultos y educadores divididas en grupos
a ser llevadas a cabos en las instituciones
educativas.
un incidente ciberntico.
1.c.1
Desarrollar
programas
de
sensibilizacin para el nivel ejecutivo y los
responsables de toma de decisiones en las
organizaciones (privadas y pblicas), con
un enfoque en la incorporacin de la
ciberseguridad en el ambiente empresarial
(incluyendo la dotacin de recursos
suficientes para los departamentos de TI
para
resolver
los
problemas
de
ciberseguridad).
1.c.2 Educar a todos los funcionarios
pblicos y empleados del sector privado a
adoptar ciertas prcticas bsicas de
ciberseguridad a travs de su tarea diaria
que implica el uso de tecnologa y manejo
de informacin sensible (por ejemplo, las
mejores prcticas en la creacin de
contraseas, las buenas prcticas en las
contraseas de privacidad y datos
sensibles, salvaguardia de los datos
37
Ejes
Objetivos
Lneas de Accin
sensibles).
2.
Investigacin,
Desarrollo e
Innovacin
en
de
2.b.
Los
institutos
de
enseanza superior y centros
de investigacin trabajan en
conjunto con el sector privado,
las ONGs y el sector pblico
para impulsar proyectos de
ciberseguridad.
38
Ejes
Objetivos
Lneas de Accin
2.d.2 Impulsar el desarrollo y adopcin de
cdigos de conducta y buenas prcticas,
con el fin de mejorar conjuntamente las
capacidades de ciberseguridad en los
sectores de la industria y servicios de
Paraguay.
2.d.3 Desarrollar programas de incentivo
a las MIPYMES con un doble propsito: de
un lado incentivar la adopcin de buenas
prcticas en ciberseguridad, y de otro
fomentar la creacin de startups de
tecnologa.
2.d.4 Impulsar sellos de confianza en
lnea para los comercios nacionales con el
propsito de fomentar el comercio
electrnico confiable y seguro.
2.d.5 Impulsar el desarrollo de estndares
de
ciberseguridad,
y
promover
su
adopcin en el sector privado (ej. ISO
27001).
3. Proteccin
de
Infraestructura
s Crticas
39
Ejes
Objetivos
infraestructuras
crticas
es
compartida entre el Estado y
los
operadores
privados,
fomentando
la
cooperacin
pblico-privada.
4. Capacidad
de Respuesta
ante Incidentes
Cibernticos
Lneas de Accin
CERT-PY
para
informar
acerca
de
incidentes
y
delitos
cibernticos,
desarrollando una lnea directa de
comunicacin
entre
operadores
de
infraestructuras crticas, el Ministerio
Pblico, y el CERT-PY.
3.b.2 Fomentar la participacin del sector
privado en ejercicios de simulacin de
incidentes cibernticos.
4.a.1 Establecer una base de datos
nacional actualizada de los incidentes e
incluir la alerta temprana sobre amenazas.
4.a.2
Establecer
convenios
de
colaboracin y cooperacin entre el sector
privado y el gobierno, por medio del CERTPY, para el intercambio de informacin
sobre incidentes cibernticos.
4.a.
El
intercambio
de
informacin sobre incidentes
cibernticos se convierte en
una prctica comn entre el
sector privado, ciudadanos y el
CERT-PY.
40
Ejes
Objetivos
Lneas de Accin
eficaz.
5. Capacidad
de
Investigacin y
Persecucin de
la
Ciberdelincuen
cia
41
Ejes
Objetivos
delitos informticos.
6.
Administracin
Pblica y
Coordinacin
Nacional
Lneas de Accin
relacionados con delitos cibernticos.
5.d.2
Establecer
mecanismos
para
compartir informacin de manera segura
con
otros
actores
regionales
e
internacionales
en
la
prevencin,
investigacin y persecucin penal de
delitos informticos.
6.a.1
Elaborar
directrices
para
la
adquisicin, desarrollo y gestin de
productos y servicios TIC ofrecidos a la
Administracin Pblica.
6.b.
Las
gestiones
gubernamentales
de
ciberseguridad se coordinan
con cada agente responsable
consciente de su funcin y
papel
referente
a
la
ciberseguridad.
42
Ejes
Objetivos
Lneas de Accin
los Ministerios y Secretarias del Poder
Ejecutivo.
6.c.
Se
promueve
la
cooperacin entre los sectores
pblico y privado.
6.c.1
Establecer
convenios
de
colaboracin y cooperacin entre el sector
privado y el sector pblico para el
intercambio
de
informacin
sobre
incidentes cibernticos.
6.d.
Se
fortalece
cooperacin
regional
internacional en materia
ciberseguridad.
6.d.1
Establecer
mecanismos
para
compartir informacin de manera segura
con
los
actores
regionales
e
internacionales.
la
e
de
43
Anexo 2 Glosario
Ataques de denegacin de servicios (Dos): es un ataque a un sistema de
computadoras o red que causa que un servicio o un recurso de red no est
disponible para los usuarios legtimos, por lo general mediante la interrupcin o la
suspensin temporal de los servicios de un host conectado a Internet generalmente
por la sobrecarga de los recursos computacionales del sistema de la vctima.
CERT: un Equipo de Respuesta ante Emergencias Tecnolgicas (CERT, por sus siglas
en ingls) es un centro de respuesta a incidentes de seguridad de tecnologa de la
informacin. Se trata de un grupo de expertos responsable del desarrollo de
medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de
informacin. Un CERT tambin ofrece servicios de respuesta ante incidentes a
vctimas de ataques en la red, publica alertas relativas a amenazas y
vulnerabilidades y ofrece informacin que con el propsito de ayudar a mejorar la
seguridad de estos sistemas.
Delito Ciberntico: actividad delictiva o abusiva relacionada con los ordenadores y
las redes de comunicaciones, bien porque se utilice el ordenador como herramienta
del delito, bien porque sea el sistema informtico (o sus datos) el objetivo del delito.
Incidente Ciberntico: cualquier evento adverso real o sospechado en relacin con
la seguridad de sistemas de computacin o redes de computacin.
Infraestructura Crtica: las infraestructuras crticas consisten en sistemas y activos,
fsico o virtuales, esenciales para el mantenimiento de funciones sociales vitales, la
salud, la integridad fsica, la seguridad, y el bienestar social y econmico de la
poblacin, y cuya perturbacin o destruccin tendra un impacto debilitante en la
seguridad nacional, afectando gravemente al pas.
Buenas prcticas de ciberseguridad: se refiere a las medidas que los usuarios
finales de Internet pueden tomar con el propsito de protegerse a s mismos y a la
confidencialidad, integridad y disponibilidad de su informacin en lnea. En general,
las buenas prcticas de ciberseguridad incluyen el mantenimiento habitual de las
actualizaciones y parches, realizacin de copias de seguridad de sus datos, uso de
antivirus, y contraseas ms difciles.
Phishing: o suplantacin de identidad es un trmino informtico que denomina un
modelo de abuso informtico y que se comete mediante el uso de un tipo de
ingeniera social caracterizado por intentar adquirir informacin confidencial de
forma fraudulenta. El cibercriminal, conocido como phisher, se hace pasar por una
persona o empresa de confianza en una aparente comunicacin oficial electrnica,
por lo comn un correo electrnico.
Seguridad Ciberntica, Ciberseguridad o Seguridad Informtica: es el conjunto de
medidas preventivas y reactivas de las organizaciones y de los sistemas
44
Ley n 11.624/2013
Decreto n 1.165/2014
Decreto n 1.840/2014
Tema
De telecomunicaciones y crea la Comisin
Nacional de Telecomunicaciones (CONATEL)
De Defensa Nacional y Seguridad Interna
De validez jurdica de la firma electrnica, la
firma digital, los mensajes de datos y el
expediente electrnico
Que modifica y ampla varios artculos de la
Ley n 1.160/97 (Cdigo Penal) referentes a
los delitos informticos
Por la cual se aprueba el Plan Director de
Tecnologas
de
la
Informacin
y
Comunicacin (TICs) del Poder Ejecutivo
Por la cual se crea y reglamenta la Secretara
de Tecnologas de la Informacin y
Comunicacin (SETICs)
Comercio Electrnico
Que crea el marco de aplicacin de
tecnologas
de
la
informacin
y
comunicacin en el sector pblico y crea la
Secretara nacional de Tecnologas de la
Informacin y Comunicacin (SENATICs)
Por el cual se reglamenta la Ley n
4.989/2013 del 9 de agosto de 2013, que
crea el marco de aplicacin de las
tecnologas
de
la
informacin
y
comunicacin en el sector pblico y crea la
Secretara Nacional de Tecnologas de la
Informacin y Comunicacin (SENATICs) y
establece la estructura orgnica y funcional
de la citada Secretara Nacional
Por el cual se aprueba el reglamento de la
Ley n 4.868 del 26 de febrero de 2013 de
Comercio Electrnico
Por el cual se declara de inters nacional la
aplicacin y el uso de las Tecnologas de la
Informacin y Comunicacin (TICs) en la
gestin
pblica
y
se
ordena
la
implementacin
de
las
unidades
especializadas TICs en las instituciones
dependientes del Poder Ejecutivo
45