A4.1 ¿Existe una política de seguridad de las tecnologías de la información para su país?
Introducción
La seguridad informática, la ciberseguridad o la seguridad de las tecnologías de la información es la protección de los sistemas y redes informáticos contra el robo o daño de su hardware, software o datos electrónicos, así como contra la interrupción o desvío de los servicios que prestan. La seguridad de las tecnologías de la información y los sistemas de comercio sin papel deberían garantizar la confianza de los usuarios para reemplazar los documentos en papel con información y datos electrónicos.
Un país que desee adoptar los sistemas de comercio sin papel debería establecer una política de ciberseguridad de tecnologías de la información a nivel nacional. A nivel nacional, la ciberseguridad es una responsabilidad compartida que requiere una acción coordinada de prevención, preparación, respuesta y recuperación de incidentes por parte de las autoridades gubernamentales, el sector privado y la sociedad civil. El objetivo principal de la ciberseguridad es garantizar la confidencialidad, integridad y disponibilidad (CIA) de los datos y los servicios.
Respuestas esperadas
- Sí - Se ha establecido una política de seguridad de tecnología de la información (TI) para el país, por ejemplo, la política establecida a través de una ley de seguridad cibernética, una política de seguridad de TI y directrices ordenadas por el Jefe de Gobierno / Gabinete o por el Ministerio de Economía Digital / TIC.
- No - No existe una política de seguridad de las tecnologías de la información establecida a nivel nacional.
Buenas prácticas
Las leyes de seguridad relacionadas con las tecnologías de la información, junto con las políticas de seguridad y las guías prácticas, deben establecerse a nivel nacional. Estas políticas de seguridad cibernética y prácticas relacionadas deben ser obligatorias al menos para las infraestructuras críticas de TI del país. Las políticas y directrices de ciberseguridad deben ser promovidas y practicadas por las empresas y los ciudadanos según sea necesario en función de la sensibilidad de los sistemas en uso.
Una política de seguridad de tecnologías de la información normalmente incluye un marco para establecer sus objetivos considerando todos los requisitos de seguridad comerciales, legales, regulatorios y contractuales relevantes; los criterios para la evaluación del riesgo y su estructura.
Referencias y estudios de casos
- Política de seguridad de la información (ISO 27001), https://www.isms.online/iso-27001/information-security-policy/
- Procedimientos de operaciones de seguridad de la información, https://www.isms.online/iso-27001/annex-a-12-operations-security/
- Ejemplo de caso: Ley de ciberseguridad, https://thainetizen.org/wp-content/uploads/2019/11/thailand-cybersecrutiy-act-2019-en.pdf
- Ejemplo de caso: una estrategia cibernética nacional, https://www.whitehouse.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf
A4.2 Si se ha implementado alguno de los sistemas mencionados en A2.1, “Sistemas electrónicos”, ¿qué tipo de medidas de seguridad existen para protegerlos del acceso no autorizado?
Introducción
La seguridad, en el contexto actual, se refiere a la capacidad del sistema para proteger los datos y la información del acceso no autorizado y, al mismo tiempo, proporcionar acceso a los usuarios y sistemas autorizados. Una acción tomada contra un sistema informático con la intención de causar daño se denomina ataque y puede adoptar varias formas. Puede ser un intento no autorizado de acceder a datos o servicios o modificar datos, o puede tener la intención de negar servicios a usuarios legítimos.
Deberían establecerse varias medidas de seguridad para proteger los sistemas de comercio sin papel implementados en el país, por ejemplo, el sistema electrónico de aduanas, puertos electrónicos, licencias electrónicas, certificados electrónicos y permisos electrónicos, contra accesos no autorizados y ataques.
Respuestas esperadas
- Sí - Se han establecido ampliamente medidas de seguridad para los sistemas mencionados en el apartado A2.
- Parcialmente si - Se han establecido medidas de seguridad, pero solo para algunos sistemas mencionados en el apartado A2, o solo se han establecido algunas, pero no todas las medidas de seguridad necesarias.
- No - No se han establecido medidas de seguridad, o están establecidas parcialmente por lo que los sistemas mencionados en el apartado A2 no están totalmente protegidos de accesos no autorizados o aún tienen un alto riesgo de ataques.
Buenas prácticas
Se recomienda que se implemente una estrategia de seguridad de protección total para este comercio sin papel y sistemas de ventanilla única altamente seguros, por ejemplo, utilizando una arquitectura de zonificación segura de múltiples capas para los centros de datos primarios, así como para los centros de datos de recuperación de desastres. Estas protecciones de seguridad de varias capas podrían reducir los riesgos de ataques o accesos no autorizados.
Se deben implementar varias medidas de seguridad con capacidades específicas de hardware y software, por ejemplo, protección de servicios distribuidos de denegación de acceso (DDOS), equipo de firewall, criptografía, protección avanzada contra amenazas persistentes (APT), diseño de software seguro y prácticas de codificación, evaluaciones periódicas de riesgos, pruebas de penetración y evaluación de vulnerabilidades.
Referencias y estudios de casos
- Arquitectura de zonificación de defensa en profundidad y multicapa, https://ieeexplore.ieee.org/abstract/document/8426099
- Marco de ciberseguridad del NIST, https://www.nist.gov/cyberframework
- Evaluación de riesgos ISO 27001, https://www.itgovernance.co.uk/iso27001/iso27001-risk-assessment
- Pruebas de penetración, ISO / IEC 27001: 2013 Tecnologías de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos.
- Evaluación de vulnerabilidades, ISO / IEC 29147: 2018 Tecnologías de la información - Técnicas de seguridad - Divulgación de vulnerabilidades.
A4.3 ¿Qué tipo de mecanismo de autenticación se utiliza para garantizar la seguridad de la información transmitida electrónicamente?
Introducción
La autenticación es el acto de probar una afirmación, como la identidad de un usuario de un sistema informático. En contraste con la identificación, que es el acto de indicar la identidad de una persona o cosa, la autenticación es el proceso de verificar esa identidad. Hay varios tipos de mecanismos de autenticación que se utilizan para garantizar la seguridad de la información transmitida electrónicamente por una persona identificada en particular.
Respuestas esperadas
- Sí - El mecanismo de autenticación se establece para garantizar la seguridad de la información transmitida electrónicamente entre las partes o sistemas previstos.
- No - No se ha establecido el mecanismo de autenticación o no se garantiza la seguridad de la información transmitida electrónicamente entre las partes o sistemas previstos.
Buenas prácticas
En general, existen tres tipos de factores de autenticación reconocidos, como se indica a continuación:
- Tipo 1 - algo que sabes - incluye contraseñas, PIN, combinaciones, palabras de código o información solicitada. Todo lo que el usuario pueda recordar y luego escribir, decir, hacer, realizar o recordar de cualquier otra forma cuando sea necesario entra en esta categoría.
- Tipo 2 - Algo que tienes - incluye todos los elementos que son objetos físicos, como llaves, teléfonos inteligentes, tarjetas inteligentes, unidades USB y dispositivos token. Un dispositivo token produce un PIN basado en el tiempo o puede calcular una respuesta a partir de un número predeterminado emitido por el servidor.
- Tipo 3 - Algo que eres - incluye cualquier parte del cuerpo humano que pueda ofrecerse para verificación, como huellas dactilares, escaneo de la palma de la mano, reconocimiento facial, escaneos de retina, escaneos de iris y verificación de voz.
La autenticación de múltiples factores normalmente se recomienda como un método de verificación de inicio de sesión donde se requieren al menos dos factores de prueba diferentes para agregar una capa adicional de seguridad. Se prefiere la autenticación multifactorial, ya que es mucho más difícil de descifrar por un intruso. Con una contraseña, un atacante solo tiene que tener una única habilidad de ataque y realizar un solo ataque exitoso para hacerse pasar por la víctima. Con la autenticación de múltiples factores, el ataque debe tener múltiples habilidades de ataque y realizar múltiples ataques exitosos simultáneamente para hacerse pasar por la víctima. Esto es extremadamente difícil y, por lo tanto, es un mecanismo de inicio de sesión más robusto o una identificación digital de los usuarios o de los servidores con los que se comunicará, más resistente a ataques.
Para garantizar la confidencialidad del intercambio de datos entre dos partes o sistemas previstos, se debe emplear al menos un protocolo de transporte seguro (por ejemplo, HTTPS). Si se requiere un mayor nivel de confidencialidad, se podría implementar un algoritmo de cifrado adicional a nivel de aplicación de software.
Referencias y estudios de casos
- Autenticación multifactorial, https://www.globalknowledge.com/ca-en/resources/resource-library/articles/the-three-types-of-multi-factor-authentication-mfa/
- Ejemplo de caso: una guía para el intercambio seguro de datos, https://uwaterloo.ca/information-systems-technology/about/policies-standards-and-guidelines/security/guidelines-secure-data-exchange-choosing-information
A4.4 ¿Qué tipo de protocolo de comunicación se utiliza actualmente para el intercambio de datos electrónicos?
Introducción
Hay varios tipos de protocolos de comunicación que se pueden utilizar para el intercambio de datos electrónicos en el comercio sin papel o en los sistemas de ventanilla única. Compartir información sobre el protocolo de comunicación que se utiliza actualmente en el país podría ser útil para la colaboración futura y las lecciones aprendidas.
Buenas prácticas
Se han utilizado diferentes protocolos de comunicación para el intercambio de datos electrónicos de diferentes países. Algunos de ellos son, FTP (protocolo de transferencia de archivos), SFTP (protocolo seguro de transferencia de archivos), HTTP (protocolo de transferencia de hipertexto), protocolos ASx, protocolo de servicio de mensajería ebXML, REST y servicios web a través de HTTP.
Referencias y estudios de casos
- Interoperabilidad transfronteriza de ventanilla única: guía de gestión, https://www.unescap.org/resources/cross-border-single-window-interoperability-managerial-guide
- Intercambio electrónico de datos, http://tfig.itcilo.org/contents/recommendation-26.htm
- Protocolos de comunicación, protocolo de comunicación ISO 26000.
- ebXML, http://www.ebxml.org/
- Transferencia de estado representacional, https://standards.rest/
- Servicios web, https://www.w3.org/standards/
A4.5 ¿Cuál es el plan futuro de su país y el cronograma específico para mejorar el nivel de seguridad en A4.1 y A4.2?
Introducción
La seguridad, entendida esta como las medidas para proteger a los sistemas de información de cualquier amenaza, de ataques y accesos no autorizados, es crucial para generar confianza en los sistemas de comercio sin papel. Se debe establecer el plan futuro del país y el cronograma específico para mejorar la seguridad de esta infraestructura y sistemas.
Buenas prácticas
La evaluación del riesgo de TIC, por ejemplo, basada en los procedimientos de evaluación del riesgo ISO 27003, junto con la evaluación de la vulnerabilidad y las pruebas de penetración, debería realizarse en los sistemas de comercio sin papel del país. El resultado de estas evaluaciones debería utilizarse para proponer medidas de seguridad específicas y luego para desarrollar el plan futuro del país y el cronograma específico para mejorar su seguridad.
Referencias y estudios de casos
- Evaluación de riesgos ISO 27001, https://www.itgovernance.co.uk/iso27001/iso27001-risk-assessment
- Guía para desarrollar planes de seguridad, https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-18r1.pdf
- Ejemplo de caso: evaluación de riesgos, https://pdfs.semanticscholar.org/59f3/dc37e451fb24d35ca14b14e84ad3da937b76.pdf
- Arquitectura de zonificación de seguridad de protección total y multicapa, https://ieeexplore.ieee.org/abstract/document/8426099