Chile: Instructivo Presidencial de Ciberseguridad

El 23 de octubre de 2018 se emitió un instructivo presidencial con directricres relacionadas con ciberseguridad. Este documento, instruye a las instituciones de gobierno a ejecutar ciertas actividades relacionadas con evaluciones de riesgo, vulnerabilidades y estado actual de seguridad.

El instructivo señala una serie de medidas y acciones que las diferentes instituciones públicas deben adoptar, principalmente se abordan los siguientes puntos:

  • Designación de un encargado de ciberseguridad
  • Aplicación y actualización de la norma técnica sobre ciberseguridad
  • Medidas internas de ciberseguridad
  • Revisión detallada de redes, sistemas y plataformas digitales de funcionamiento crítico
  • Vigilancia y anáisis del funcionamiento de la infraestructura tecnológica
  • Reporte obligatorio de incidentes
  • Respuesta ante incidentes
  • Gobernanza transitoria

Por este motivo, cada institución ha designado a un encargado de ciberseguridad, el cual debe velar por el cumplimento del instructivo.

Ayer, 22 de enero de 2019, se cumplió el plazo relacionado con realizar una evaluación de riesgo y un análisis de vulnerabilidades, el cual debía ser enviado a las autoridades correspondientes.

De acuerdo a lo que se indica en el instructivo presidencial, esta actividad debe considerar al menos los siguientes puntos:

  • Evaluación de riesgo en base a una guía técnica de ciberseguridad, la cual se encuentra basada en los controles de la norma chilena NCh-ISO 27001:2013 (gestión de seguridad de la información), 27002:2013 (controles de seguridad de la información) y 27003:2013 (continuidad operacional).
  • Análisis de vulnerabilidades y plan de mitigación a corto plazo (120 días).
  • Medidas de mitigación actualmente adoptadas.

Para podar abordar los puntos que siguen, una vez finalizada esta etapa, las instituciones tendrán que tener la capacidad de responder ante un incidente de ciberseguridad, elaborar reportes bajo de manda a petición del CSIRT del Ministerio del Interior, realizar un monitoreo continuo acerca de las vulnerabilidades y brechas de seguridad que pueda tener la institución.

En NIVEL4 hemos apoyado a diversas instituciones a cumplir esta etapa del instructivo, entregando todo nuestro apoyo y conocimiento, sin embargo, creemos que existen oportunidades de mejoras para poder lograr una mejor gestión, las culaes proponemos a continuación:

  • Estandarizar los reportes: Actualmente no existe un estándar de reporte, cada institución puede crear su propio formato. Esto dificulta su revisión y seguimiento, sobre todo considerando la cantidad de instituciones públicas que existen.
  • Asegurar la entrega de la información: Se deben crear canales de comunicación seguros, los cuales cuenten con medidas de seguridad de alto nivel, considerando que la información que se entregará es de suma importancia y confidencialidad, ya que trata sobre brechas de seguridad y vulnerabilidades de la infraestructura tecnológica de las instituciones.
  • Abordar aspectos de ciberseguridad: Se debe tener claridad de la diferencia que existe entre seguridad de la información y ciberseguridad. No se puede realizar un análisis de riesgo cibernético basado en normas de seguridad de la información. Lo que se busca proteger es el ciberespacio.
  • Definir metodologías: Si bien se solicitó realizar un análisis de riesgo basado en una guía técnica, la cual cuenta con 33 controles que deben ser implementados, no existe una pauta de evaluación que permita ponderar la importancia de los controles con el fin de poder estimar el estado actual de la organización. Además, el documento se encuentra en estado «BORRADOR» y genera confusión.
  • Definición de ámbito: Para el análisis técnico de vulnerabilidades, ethical hacking, etc. Se debe definir el ámbito de acción, ya que genera confusión el poder evaluar una infraestructura completa (interna y externa) en el plazo indicado.
  • Definición de criticidad: Cuando se habla de plataforma de «funcionamiento crítico», se debe definir que significa la palabra «crítico», ya que se puede prestar para malos entendidos. ¿Qué es crítico para el negocio? ¿Qué es crítico para el gobierno? ¿Qué es crítico para la ciudadanía?

Finalmente, para mejorar los aspectos antes mencionados, como NIVEL4 proponemos el uso de la metodología basada en los 20 Critical Security Controls, la cual define controles básicos, fundamentales y organizacionales. La lista de los 20 controles es la siguiente:

  • CSC 1: Inventario de dispositivos autorizados y no autorizados
  • CSC 2: Inventario de software autorizados y no autorizados
  • CSC 3: Configuración segura para hardware y software en dispositivos móviles, laptops, estaciones de trabajo y servidores
  • CSC 4: Evaluación continua de seguridad y remediación
  • CSC 5: Uso cotrolado de privilegios administrativos
  • CSC 6: Mantenimiento, monitoreo y análisi de logs de auditoría
  • CSC 7: Protecciones para el email y web
  • CSC 8: Defensa contra malware
  • CSC 9: Limitación y control de los puertos de red, protocolos y servicios
  • CSC 10: Capacidad de recuperación de datos
  • CSC 11: Configuración segura para dispositvos de red como firewalls, routers y switches
  • CSC 12: Defensa perimetral
  • CSC 13: Protección de datos
  • CSC 14: Acceso controlado basado en «Need to Know»
  • CSC 15: Control de acceso inalámbrico
  • CSC 16: Monitoreo y control de cuentas de usuarios
  • CSC 17: Evaluación de conocimiento y entrenamiento en ciberseguridad
  • CSC 18: Seguridad en el desarrolo de software
  • CSC 19: Respuesta y gestión de incidentes
  • CSC 20: Test de penetración y ejercicios de redteam

Al adoptar un marco de trabajo como el CIS, automáticamente se está adoptando una metodología y estandar internacional de alto nivel.

Finalmente, como NIVEL4 apoyamos la iniciativa del gobierno a realizar este tipo de actividades, lo cual demuestra un cambio de mentalidad en relación a temas de ciberseguridad, sin embargo, también creemos que es importante poder recibir feedback y considerar opiniones de expertos que llevan bastante tiempo desarrollándose en esta área.