plan nacional de seguridad cibernetica v3

8/16/2019 Plan Nacional de Seguridad Cibernetica v3

1/49

Plan Nacional deCiberseguridad

República del Paraguay

06 de abril de 2016

Tabla de Contenido

Siglas y Abreviaturas.................................................................................................. 0

Resumen Ejecutivo..................................................................................................... 1

Introducción................................................................................................................

1. !etodolog"a de Elaboración..............................................................................#

$iagnóstico sobre la %iberseguridad en Paraguay......................................................#

1. El Internet y su In&raestructura......................................................................... '

. El &omento al uso de las (I%s............................................................................)


2/49

#. *a Respuesta a Incidentes %ibern+ticos..........................................................11

'. *a investigación de Incidentes %ibern+ticos...................................................1

,. *a Administración Pública y Empresas Públicas..............................................1#

-. El Sector Privado.............................................................................................1'

. Sensibili/ación y Educación............................................................................1,

. %onclusión.......................................................................................................1-

Principios rientadores para la %iberseguridad en Paraguay...................................1

Ejes y bjetivos........................................................................................................ 1

1. Sensibili/ación y %ultura.................................................................................1

. Investigación2 $esarrollo e Innovación............................................................ 0#. Protección de In&raestructuras %r"ticas...........................................................

'. %apacidad de Respuesta ante Incidentes %ibern+ticos................................... #

,. %apacidad de Investigación y Persecución de la %iberdelincuencia............... ,

-. Administración Pública y %oordinación 3acional............................................. -

Sistema 3acional de %iberseguridad........................................................................ -

1. %oordinador 3acional de %iberseguridad........................................................

. %omisión 3acional de %iberseguridad.............................................................

!onitoreo y Evaluación............................................................................................ )

Revisión.................................................................................................................... #0

Ane4o 1 5 Plan de Acción.......................................................................................... #1

Ane4o 5 6losario.................................................................................................... #

Ane4o # 5 !arco *egal.............................................................................................. #)

Tabla de Ilustraciones

6r78co 19 Población (otal vs :suarios de Internet ; 00)< 01'=................................. ,6r78co 9 Suscriptores de Internet !óvil y >ijo ; 010< 01'=......................................-

1


3/49

Ilustración 19 rganigrama de la %omisión 3acional de %iberseguridad.................. )

Siglas y Abreviaturas

A$E>I 5 Asociación de Entidades >inancieras del Paraguay

A$S* 5 *"nea de Abono $igital Asim+trica

A3$E 5 Administración 3acional de Electricidad

APP 5 Alian/a Público 5 ?anco 3acional de >omento

cc(*$ 5 $ominio de 3ivel Superior de Pa"s%EPA* 5 %omisión Económica para Am+rica *atina y el %aribe

%ER(EEI 5 >ondo para la E4celencia de la Educación y la Investigación

> 3A%I$E 5 >ondo 3acional de Inversión Pública y $esarrollo

>S: 5 >ondo de Servicios :niversales

IP 5 Protocolo de Internet

IS 5 rgani/ación Internacional de 3ormali/ación

ICP 5 Punto de Intercambio de Internet*E$ 5 *aboratorio de Electrónica $igital

!I% 5 !inisterio de la Industria y %omercio

!IP@!ES 5 !icro2 PeBue as y !edianas Empresas

!RE 5 !inisterio de Relaciones E4teriores

3%!E% 5 %entro 3acional para 3i os $esaparecidos y E4plotados


4/49

3I%.P@ 5 Network Information Center of Paraguay

EA 5 rgani/ación de los Estados Americanos

36 5 rgani/aciones 3o 6ubernamentales

R?A 5 bservatorio Regional de ?anda AncDa de la %EPA*PE(R PAR 5 Petróleos Paraguayos

PI? 5 Producto Interno ?ruto

Pro%iencia 5 Programa Paraguayo para el $esarrollo de la %iencia y (ecnolog"a

PR 3II 5 Programa 3acional de Incentivo a los Investigadores

Red%lara 5 %ooperación *atino Americana de Redes Avan/adas

S%A$A 5 Supervisión %ontrol y AdBuisición de $atos

SE3A(I%s 5 Secretar"a 3acional de (ecnolog"as de la In&ormación y %omunicación

(I%s 5 (ecnolog"as de la In&ormación y %omunicación:3A 5 :niversidad 3acional de Asunción

:3I%E> 5 >ondo para la In&ancia de las 3aciones :nidas

IPS 5 onas de Inter+s Público o Social

1


5/49

Resumen E ecutivo

Este Plan 3acional de %iberseguridad es un documento estrat+gico Bue sirve como&undamento para Bue Paraguay pueda mejorar la coordinación de las pol"ticaspúblicas de ciberseguridad e integrar a todos los sectores en el desarrollo de las

tecnolog"as de la in&ormación y comunicación ;(I%s= en un ambiente cibern+ticocon8able y resiliente. ?ajo el lidera/go de la Presidencia de la República delParaguay2 a trav+s de la Secretar"a 3acional de (ecnolog"as de la In&ormación y%omunicación ;SE3A(I%s=2 y en coordinación con el !inisterio de RelacionesE4teriores ;!RE=2 se produjo este Plan 3acional con la participación de los diversossectores involucrados en el tema de la ciberseguridad en Paraguay bajo el apoyo y&acilitación de la rgani/ación de los Estados Americanos ; EA=.

El resultado de este intenso trabajo de recolección y recopilación de in&ormación2combinado con el di7logo y debate con el sector privado y la sociedad civil2 es estedocumento2 Bue no sólo reFeja el compromiso del Estado con el desarrollo seguro

de las (I%s como la mayor de las prioridades2 sino Bue tambi+n sirve como gu"apara la ejecución de pol"ticas públicas en ciberseguridad. !7s espec"8camente2 estedocumento de8ne los ejes2 los objetivos2 y un plan de acción para la ejecución de lapol"tica nacional de ciberseguridad2 de la cual participar7n en el proceso deimplementación varias entidades gubernamentales2 el sector privado2 la academia yla sociedad civil.

El Plan consta de seis secciones. *a primera2 bajo el t"tulo Diagnóstico sobre laCiberseguridad en Paraguay 2 describe las principales caracter"sticas del actualestado de la ciberseguridad y de la aplicación de las (I%s en el pa"s. Esta secciónest7 dividida de acuerdo a los sectores claves del pa"s. *a segunda secciónestablece los Principios Orientadores para la &ormulación e implementación decualBuier pol"tica pública de ciberseguridad en el pa"s2 considerando no sólo elrespeto a los derecDos y principios &undamentales protegidos por la %onstitución3acional y dem7s normativas2 sino tambi+n la ma4imi/ación de los recursosempleados.

*a tercera sección 8ja los Ejes y Objetivos del Plan 3acional de %iberseguridad conel propósito de lograr la adopción de medidas de ciberseguridad en 7reasprioritarias. Para apoyar el progreso y la innovación de las (I%s en el pa"s2 este Plan3acional se concentra en seis ejes de acción9 ;i= Sensibili/ación y %ulturaG ;ii=

Investigación2 $esarrollo e InnovaciónG ;iii= Protección de In&raestructuras %r"ticasG;iv= %apacidad de Respuesta ante Incidentes %ibern+ticosG ;v= %apacidad deInvestigación y Persecución de la %iberdelincuenciaG y ;vi= Administración Pública y%oordinación 3acional. A 8n de &omentar cada uno de estos ejes2 se Dan establecidoobjetivos espec"8cos.

*a cuarta sección establece el Sistema 3acional de %iberseguridad Bue consistir7 enla con&ormación de una %omisión 3acional de %iberseguridad Bue deber7 elegir un

1


6/49

%oordinador el cual ser7 responsable de monitorear y evaluar la implementación deeste Plan 3acional por parte de los distintos actores gubernamentales2 adem7s lade re&or/ar las relaciones de cooperación y coordinación entre los distintos actores;gobierno2 empresas y sociedad civil=. *a Buinta sección de8ne la importancia delos mecanismos de onitoreo y Evaluación para asegurar la adecuada

implementación del Plan 3acional de %iberseguridad2 tanto en el uso de los recursoscomo en la orientación de las iniciativas de8nidas. *a se4ta sección prev+ la!evisión y actuali/ación de este Plan 3acional cada # a os o a medida Bue seanecesario.

>inalmente2 se incluye en el ap+ndice ;i= Plan de Acción2 Bue de8ne las l"neas deacción necesarias para lograr los objetivos de los ejes espec"8cosG ;ii= 6losario conde8niciones relativas a la tem7tica de ciberseguridad2 a 8n de asegurar unentendimiento claro e ineBu"voco por todo el pa"s2 as" como la sección ;iii= !arco*egal.

Introducci!n

Ante la creciente importancia de las (I%s para la econom"a y la sociedad2 laPresidencia de la República del Paraguay2 a trav+s de la SE3A(I%s2 Da tomado ladecisión de impulsar el desarrollo de un plan estrat+gico de ciberseguridad. 3ingúnotro pa"s de Am+rica *atina y del %aribe Da tenido un incremento tan vigoroso denúmero de usuarios de Internet como Paraguay. En t+rminos porcentuales2 Paraguayes el pa"s con mayor incremento en la penetración de Internet en la región desde

01 2 dado Bue aumentó de un )2#' por ciento en 01 a un '# por ciento en

01' 5 o sea2 m7s de 1#2- puntos porcentuales.

Sin embargo2 el uso de las (I%s trae consigo desa&"os permanentes2 no sólo en loBue se re8ere a sus cambios tecnológicos constantes2 sino tambi+n al aumento delriesgo de delitos cibern+ticos2 es decir2 delitos &acilitados por un sistema in&orm7ticoo directamente en contra un sistema in&orm7tico. *a &acilidad de las transacciones8nancieras por Internet y el Fujo de in&ormación aumentan el riesgo de e4plotacióny abuso a trav+s de los delitos cibern+ticos con los Bue se obtiene acceso a lain&ormación personal y sensible.

*as caracter"sticas intr"nsecas de los incidentes cibern+ticos2 tales como el costo

reducido de los ataBues y su &acilidad de ejecución2 pueden causar gravesdi8cultades en el desarrollo de las (I%s2 en los servicios prestados por laAdministración Pública2 en el buen &uncionamiento de las in&raestructuras cr"ticas2 yen las actividades de las empresas y ciudadanos. Asimismo los delitos cibern+ticosno se restringen a las acciones contra un sistema in&orm7tico2 incluyendo delitostradicionales reali/ados a trav+s de Internet2 como el abuso se4ual in&antil2 la tratade personas y el narcotr78co. Entre &ebrero del 01' y abril del 01,2 se detectó


7/49

m7s de ) im7genes de pornogra&"a in&antil por medio de un convenio 8rmadoentre el !inisterio Público y el %entro 3acional para 3i os $esaparecidos yE4plotados ;3%!E%2 por sus siglas en ingl+s=. 1 *a ciberseguridad es as" unanecesidad para el avance con8able de los sistemas de in&ormación y comunicación2as" como para la protección de los ciudadanos2 particularmente los m7s vulnerables.

Paraguay no est7 ajeno a estos riesgos2 es por ello Bue el Estado2 de &orma conjuntacon el sector privado2 la academia y la sociedad civil2 Da desarrollado este Plan3acional para coordinar las pol"ticas públicas de ciberseguridad e integrar a todoslos sectores en esta tarea. Este Plan complementa y &ortalece otras iniciativasactualmente en desarrollo por parte del Estado como son los proyectos de 6obiernoElectrónico2 despliegue de 8bra óptica2 8rma digital2 comercio electrónico2 lostrabajos del %entro de Respuesta ante Incidentes %ibern+ticos ;%ER(


8/49

"iagn!stico sobre la Ciberseguridad en Paraguay

Paraguay posee la población de usuarios y usuarias de Internet de m7s r7pidocrecimiento en la región2 Daciendo el &ortalecimiento de la ciberseguridad unaacción urgente y prioritaria. Se Da observado en Paraguay un aumento de los

ataBues cibern+ticos2 como los ataBues de denegación de servicios ;$oS=2 incluidosincidentes dirigidos a los portales eb de diversos organismos gubernamentales. En01 2 Dubo una gran ola de ataBues DacJtivistas2 ' principalmente por ataBues de

defacement " contra sitios eb gubernamentales.

3umerosos delitos cibern+ticos tambi+n estuvieron relacionados con pr7cticas&raudulentas mediante el uso de tarjetas de cr+ditos &alsas y la e4plotación de otrosmecanismos de pago electrónico. Entre los DecDos m7s denunciados ante la :nidadEspeciali/ada de $elitos In&orm7ticos del !inisterio Público y la $ivisiónEspeciali/ada contra $elitos In&orm7ticos de la Polic"a 3acional 8guran esta&as atrav+s de tarjetas2 e4torsiones y amena/as utili/ando correo electrónico2 mensajes

de te4to y redes sociales2 as" como alteración de datos en la computadora. (ambi+nse mencionan la clonación de tarjetas y el abuso de dispositivos electrónicos. Porejemplo2 en julio de 01#2 un ciudadano búlgaro &ue e4traditado a los Estados:nidos desde Paraguay por Daber pertenecido a la red #$adowCrew de venta porInternet de numeraciones de tarjetas ;actividad conocida como carding = entreagosto de 00 y octubre de 00'. Asimismo2 Dubo casos de apolog"a de delitos atrav+s de la red2 - as" como cr"menes de esta&a. En el 7mbito de las redes sociales2se denuncia casi Bue diariamente la creación de per8les &alsos2 los cuales ser"anutili/ados como medio para la captación de posibles v"ctimas de trata de personas.

El abuso se4ual in&antil tambi+n &orma parte de los delitos Bue se encuentran m7s&recuentemente citados en las estad"sticas. El !inisterio Público2 conjuntamente conla $ivisión Especiali/ada contra $elitos In&orm7ticos de la Polic"a 3acional2 investiga

' 6rupo de personas Bue utili/an t+cnicas de e4plotación de seguridad u otros mecanismos paraingresar a sistemas privados y obstruir servicios como parte de un ejercicio coordinado para llevar unmensaje pol"tico o ideológico.

, :na intrusión intencional en una p7gina eb por un atacante2 por medio de e4ploración de algunavulnerabilidad2 lo Bue permite la modi8cación del contenido de la p7gina eb.

- K$etenido por pedir en >acebooJ al EPP Bue secuestren a Dijos de congresistas y maten polic"asL.$isponible en9 Dttp9HHea.com.pyHv Hdetenido


9/49

casos en Bue se utili/an las redes sociales para e4Dibir im7genes y o&ertar amenores de edad. ) En base a la cooperación internacional con el %entro 3acionalpara 3i os $esaparecidos y E4plotados ;3%!E%2 por sus siglas en ingl+s= desde elenero de 01'2 se pudieron detectar m7s de ) casos entre &otos y videos depornogra&"a in&antil Bue &ueron subidos a la red desde Paraguay entre &ebrero del

01' y abril del 01,. En el 01 el reporte de 3%!E% identi8có '0 casos depornogra&"a in&antil en el pa"s2 sin embargo se reali/aron solamente 1# denuncias al!inisterio Público. Estos datos no sólo revelan la importancia de establecermecanismos para impedir la proli&eración de delitos cibern+ticos2 sino tambi+n lanecesidad de establecer mecanismos Bue posibiliten la denuncia2 la investigación yel enjuiciamiento de estos delitos.

*a única &orma de avan/ar de manera e&ectiva con la ciberseguridad en el pa"s esmediante la identi8cación de la situación actual y de los principales desa&"os aen&rentar. Esta sección describe el estado del Internet y su in&raestructura enParaguay2 de la aplicación de las (I%s y de la ciberseguridad en las di&erentesinstituciones y sectores en el pa"s.

1. El Internet y su InfraestructuraInternet de alta velocidad llega a los municipios paraguayos por medio demicroondas o 8bra óptica2 mientras la tecnolog"a de *"nea de Abono $igitalAsim+trica ;A$S*2 por sus siglas en ingl+s= es incipiente en Paraguay. 10 En t+rminosdel uso de Internet2 el porcentaje de penetración2 Bue se entiende como la cantidadde personas Bue Dan usado Internet ;en cualBuier lugar= dentro de un pa"s en losúltimos 1 meses2 llegó al '# por ciento en 01' ;6r78co 1=.

#r$%co 1& Poblaci!n Total vs 'suarios de Internet (200)*201+,

) K>iscal"a investigar7 caso de pornogra&"a in&antilL. $isponible en9Dttp9HH .paraguay.comHnacionalesH8scalia


10/49

-uente& Indicadores del $esarrollo !undial ;I$!= 5 ?anco !undial. Recuperado el #0 denoviembre de 01,. 11

En Paraguay se encuentran registradas únicamente el , por ciento de las casas conInternet 8jo. Sin embargo2 el número aumenta al , por ciento de acceso al Internetcuando nos re&erimos a la tele&on"a móvil. 1 $e DecDo2 el Internet por tele&on"a móviltiene una cobertura amplia con redes de 6H#6H'62 aunBue la red '6 es aún muy

limitada. Según datos de la %omisión 3acional de (elecomunicaciones ;% 3A(E*=2 al8nal de 01' en Paraguay ten"a , .11 suscriptores de Internet móvil y 1 ,.1 ,suscriptores de Internet 8jo2 con un total de '# . '# suscripciones ;6r78co =.

#r$%co 2& Suscri.tores de Internet /!vil y -i o (2010*201+,

11 $isponible en9 Dttp9HHdatabanJ. orldbanJ.orgHdataHDome.asp4 .

1 Según datos obtenidos junto a la % 3A(E* en la mesa de discusión conducida el - de mayode 01,.

-

http://databank.worldbank.org/data/home.aspxhttp://databank.worldbank.org/data/home.aspx


11/49

-uente& % 3A(E* 5 !atri/ de Indicadores de $esarrollo de (elecomunicaciones. Recuperado el ' denoviembre de 01,. 1#

%abe se alar Bue los costos de las cone4iones Dan ido disminuyendo con los a os2Daci+ndose cada ve/ m7s accesible. Según datos del bservatorio Regional de?anda AncDa ; R?A= de la %omisión Económica para Am+rica *atina y el %aribe;%EPA*=2 la tari&a de banda ancDa 8ja de 1 !bps como porcentaje del Producto

Interno ?ruto ;PI?= per c7pita contó con disminuciones con un promedio de 1, porciento entre 010 y 01'2 correspondiendo actualmente al , por ciento del PI? perc7pita. El servicio de banda ancDa 8ja de 10 !bps de velocidad eBuivale al #2 porciento del PI? per c7pita. *a cone4ión de !bps se traduce en el '2 ' por ciento delPI? per c7pita2 mientras Bue los planes de banda ancDa móvil est7n en -20# porciento del PI? per c7pita.

*a velocidad de descarga promedio en banda ancDa global en Paraguay es #2,'!bps y la de carga es #2## !bps. >inalmente2 el in&orme identi8có una brecDarelativamente alta entre los Dogares con acceso a Internet por cone4ión 8ja según/ona geogr78ca del Dogar ;urbana o rural= 5 cerca del )21 por ciento. Según datos

de 01#2 el porcentaje de Dogares con acceso al Internet por cone4ión 8ja en /onasurbanas era de casi un '0 por ciento2 mientras Bue en las /onas rurales era menosde un 10 por ciento. 1'

1# $isponible en9 Dttp9HH .conatel.gov.pyHinde4.pDpNoptionOcom contentQvie OarticleQidO#0QItemidO11, .

1' %EPA*. KEstado de la banda ancDa en Am+rica *atina y el %aribe 01,L. $isponible en9Dttp9HHrepositorio.cepal.orgHbitstreamHDandleH11#- H# -0,HS1,00,- es.pd&NseBuenceO1 . Recuperado

http://www.conatel.gov.py/index.php?option=com_content&view=article&id=30&Itemid=115http://www.conatel.gov.py/index.php?option=com_content&view=article&id=30&Itemid=115http://www.conatel.gov.py/index.php?option=com_content&view=article&id=30&Itemid=115http://repositorio.cepal.org/bitstream/handle/11362/38605/S1500568_es.pdf?sequence=1http://www.conatel.gov.py/index.php?option=com_content&view=article&id=30&Itemid=115http://www.conatel.gov.py/index.php?option=com_content&view=article&id=30&Itemid=115http://repositorio.cepal.org/bitstream/handle/11362/38605/S1500568_es.pdf?sequence=1


12/49

Esta situación puede estar relacionada con los altos costos de transporte de tr78code Internet. En este conte4to2 el desarrollo de la in&raestructura de la banda ancDaavan/ó en Paraguay por medio del Plan 3acional de (elecomunicaciones ; 011<

01,=2 cuya meta para el 01, era conectar a 00 municipios con 8bra óptica yacceso al Internet con banda ancDa 5 Dasta el momento el pa"s tiene 1,, municipios

conectados.1,

*a % 3A(E* est7 trabajando2 con el apoyo del ?anco Interamericanode $esarrollo ;?I$= y otras instituciones gubernamentales paraguayas2 en eldesarrollo de un Plan 3acional de ?anda AncDa2 Bue conlleva el propósito dee4pandir el servicio de Internet en Paraguay y reducir la brecDa digital. 1- El modelode gobierno adaptado dentro del Plan 3acional incluye tres &actores principales9 eldesarrollo de un marco normativo y el espectro2 la inversión en in&raestructura2 as" como el uso y adopción de la banda ancDa2 logrando la intercone4ión entre redes. 1

ale recalcar Bue en septiembre de 01, se con&ormó un 6rupo de (rabajointerinstitucional 1 para la implementación del Plan 3acional de ?anda AncDa.

*a % 3A(E*2 creada por la *ey n o -' H), de (elecomunicaciones2 Da llevado variosproyectos a licitaciones2 proporcionando subsidios a los prestadores de servicios decomunicaciones para Bue avancen con la in&raestructura necesaria. !7sconcretamente2 la e4pansión de la in&raestructura de acceso al Internet se reali/amediante alian/as públicoondo de Servicios :niversalesL ;>S:=2administrado por % 3A(E*. El >S: &ue establecido por el art"culo ) de la *ey n o

-' H), con la 8nalidad de subsidiar a los prestadores de servicios públicos en lae4pansión de los servicios de telecomunicaciones2 as" como promover el acceso alos servicios de manera e8ciente2 ma4imi/ando su bene8cio económico2 según elart"culo # del Reglamento del >S:. El 8nanciamiento proviene del 0 por ciento de

aportes abonados por operadores por el concepto de (asas por E4plotación

el ' de noviembre de 01,.

1, In&ormación compartida por % 3A(E* en el - de mayo de 01, durante la K!isión de Asistencia (+cnica para el $esarrollo de una Estrategia 3acional de Seguridad %ibern+tica en ParaguayL.

1- KParaguay avan/a Dacia Plan 3acional de ?anda AncDaL. $isponible en9Dttp9HH .conatel.gov.pyHinde4.pDpNoptionOcom contentQvie OarticleQidO 9paraguay


13/49

%omercial. $icDo pago de e4plotación eBuivale a un 1 por ciento de los ingresosbrutos del prestador Bue son recaudados por la % 3A(E*. 1)

*a % 3A(E*2 en el marco del >S: y por medio de licitaciones públicas2 est7 llevandoa cabo un programa de e4pansión de la in&raestructura de las redes Bue sirven de

plata&orma para los servicios de acceso a Internet2 (ele&on"a !óvil y el serviciob7sico en las /onas de inter+s público o social ; IPS= de los $epartamentos de SanPedro2 %oncepción2 Amambay y %anindeyú. *a % 3A(E* Da llevado a cabolicitaciones con la 8nalidad de implementar un servicio de acceso a Internet eninstituciones educativas y gobernaciones del pa"s2 bene8ciando un total de instituciones educativas. El >S: tambi+n est7 8nanciando desde agosto de 01' laimplementación de ,0 pla/as públicas para el acceso gratuito a Internet en #-municipios del pa"s.

*a % 3A(E* tambi+n est7 llevando a cabo2 en conjunto SE3A(I%s y el %entro3acional de %omputación ;%3%=2 un proyecto para la implementación del primer

Punto de Intercambio de Internet ;ICP2 por sus siglas en ingl+s= en Paraguay. El ICPes un componente de in&raestructura de Internet Bue puede mejorar la calidad de laInternet a nivel local2 ya Bue no sólo mantiene el tr78co local dentro dein&raestructuras locales2 sino Bue tambi+n reduce los costos asociados con elintercambio de tr78co entre proveedores de servicios de Internet. Es decir2 los ICPspermiten Bue redes locales intercambien in&ormación de manera e8ciente en unpunto común dentro del pa"s2 sin la necesidad de intercambiar el tr78co de Internetlocal en el e4tranjero. *os ICPs tambi+n permiten el intercambio libre de tr78co deInternet local entres proveedores de servicios de Internet2 lo Bue puede reducirconsiderablemente los costos operativos de los proveedores. *a instalación del ICPser"a 8nanciada a trav+s del >S:. 0

Por lo tanto2 la % 3A(E* se encarga del &omento2 control y reglamentación de lastelecomunicaciones2 teniendo a su cargo la regulación administrativa y t+cnica2 laplani8cación2 programación2 control y 8scali/ación as" como la veri8cación de lastelecomunicaciones2 con sus &unciones espec"8cas de8nidas en la *ey de

(elecomunicaciones. En cuanto a la seguridad2 e4iste una preocupación con laintegridad de la red de telecomunicaciones y con la seguridad del usuario en

1) *as &uentes de recursos del >S:2 según el art"culo - del Reglamento del >ondo de Servicios:niversales son9 a= El 0 por ciento de los aportes abonados por las empresas operadoras por elconcepto de (asa por E4plotación %omercialG b= aBuellas asignaciones2 donaciones2 legados2trans&erencias u otros aportes2 por cualBuier tipo proveniente de personas &"sicas o jur"dicas nacionaleso e4tranjeras2 Bue son destinadas al objeto del >S: o Bue la % 3A(E* determine. $isponible en9Dttp9HH .conatel.gov.pyHinde4.pDpNoptionOcom contentQvie OarticleQidO 'QItemidO1-- . Recuperado el ' de noviembre de 01,.

0 KPara abaratar costos2 % 3A(E* propone la implementación de ICP en Paraguay.L $isponible en9Dttp9HH .conatel.gov.pyHinde4.pDpNoptionOcom contentQvie OarticleQidO,- 9para


14/49

general. Su rol se en&oca principalmente en la e4pansión de la in&raestructura y enla calidad de los servicios de comunicaciones.

Adem7s de la in&raestructura &"sica Bue permite la prestación de los servicios decomunicación e Internet ya mencionados ;ej. ICPs2 8bra óptica=2 Day Bue destacar la

gestión de los recursos cr"ticos de Internet en Paraguay2 tal como el nombre deldominio nacional K.P@L. 1 El K.P@L es el dominio de nivel superior de pa"s ;cc(*$2 porsus siglas en ingl+s= asignado a Paraguay2 siendo responsabilidad del 3I% sumantenimiento. El Network Information Center % Paraguay ;3I%.P@=2 Bue secon&ormó en 1)), a trav+s de un acuerdo 8rmado entre el %3% y el *aboratorio deElectrónica $igital ;*E$=2 es la organi/ación administradora y patrocinadora deldominio de primer nivel .P@2 y tiene como &unciones mantener y conservar losservidores de nombres para el dominio .P@2 generar actuali/aciones a la in&ormaciónde la /ona .P@ y di&undirla a los servidores secundarios autori/ados2 as" comoasegurar la continua y estable interoperatividad del sistema de nombres de dominioen Internet. # Actualmente2 Paraguay cuenta con apro4imadamente 0 mil dominios.P@ activos. '

tro recurso cr"tico de Internet son las direcciones de Protocolo de Internet ;IP2 porsus siglas en ingl+s= Bue consisten en números únicos con los cuales se identi8cauna computadora conectada a una red. A Paraguay se distribuyó ,) bloBues dedirección IPv' y ) bloBues de dirección IPv-2 la nueva versión del IP y Bue est7destinada a sustituir al est7ndar IPv' Bue actualmente cuenta con un l"mite dedirecciones en la red. , %abe recalcar Bue la %ompa "a Paraguaya de%omunicaciones S.A. ;% PA% = est7 apoyando la migración Dacia el IPv- enParaguay. - En agosto de 01,2 % PA% completó la implementación de IPv- en sured2 constituy+ndose en la primera de su tipo en el pa"s. $urante la transición deIPv' a IP - ambos protocolos deber7n coe4istir.

1 El dominio de primer nivel .P@ &ue asignado al Paraguay según la IS #1--


15/49

2. El fomento al uso de las TICstras entidades gubernamentales tambi+n est7n involucradas en proyectos de

desarrollo de las (I%s en Paraguay. El !inisterio de la Industria y %omercio ;!I%=2por ejemplo2 desde 01 es la autoridad de aplicación de la *ey de la >irma $igital;*ey n o '01 H 010= de acuerdo con el art"culo V de la re&erida *ey Kes una 8rmaelectrónica certi8cada por un prestador acreditado2 Bue Da sido creada usandomedios Bue el titular mantiene bajo a su e4clusivo control2 de manera Bue sevincule únicamente al mismo y a los datos a los Bue se re8ere2 permitiendo ladetección posterior de cualBuier modi8cación2 veri8cando la identidad del titular eimpidiendo Bue descono/ca la integridad del documento y su autor"aL. Es decir2 alsustituir la 8rma manual en documentos por la 8rma digital se puede garanti/ar laidentidad de las partes2 la con8dencialidad y la integridad de la in&ormación2evitando &alsi8caciones y manipulaciones del contenido de los documentos.

El !I% tambi+n es la Autoridad de Aplicación de la *ey de %omercio Electrónico2 *eyn o '. - H 01#2 Bue estableció el marco jur"dico relativo al comercio y contrataciónreali/ados a trav+s de medios electrónicos o tecnológicamente eBuivalentes2 as" como las responsabilidades y obligaciones de los proveedores de bienes y serviciospor v"a electrónica2 de los proveedores de acceso al Internet2 proveedores deservicios de intermediación2 y los proveedores de enlace. $icDa *ey &uereglamentada por el Poder Ejecutivo2 a trav+s del $ecreto n o 1.1-,H 01'2instituyendo el mecanismo para su aplicación y su alcance.

El comercio electrónico en Paraguay es apro4imadamente un 2- por ciento delcomercio electrónico de la Am+rica *atina2 lo Bue corresponde a :S 1.#00millones2 según datos del Instituto *atinoamericano de %omercio Electrónico

;eInstituto=.*a *ey de %omercio Electrónico establece obligaciones relativas a la seguridad de lain&ormación a los proveedores de servicios de acceso al Internet2 tales como Ka=in&ormar a sus clientes de &orma permanente2 &7cil2 directa y gratuita2 sobre losdi&erentes medios de car7cter t+cnico Bue aumenten los niveles de la seguridad dela in&ormación y permitan2 entre otras cosas2 la protección &rente a virusin&orm7ticos y programas esp"a2 y la restricción de los correos electrónicos nosolicitadosG b= in&ormar sobre las Derramientas e4istentes para el 8ltrado yrestricción del acceso a determinados contenidos y servicios no deseados enInternet o Bue puedan resultar nocivos para la ni e/ y la adolescenciaL ;art"culo )=.

(ales obligaciones se consideran cumplidas por medio de medidas sencillas y debajo costo2 como la inclusión de re&erida in&ormación en la p7gina de Internet delproveedor.

$isponible en9 Dttp9HHipv-.copaco.com.pyHportalH . Recuperado el ' de noviembre de 01,.

En el a o de 01 se promulga la *ey '.-10H 01 2 Bue introduce modi8caciones importantes a la*ey '01 H 0102 tal como el cambio de la autoridad de aplicación de re&erida norma2 Bue de ser elInstituto de (ecnolog"a y 3ormali/ación pasó a ser el !inisterio de Industria y %omercio.

11

http://ipv6.copaco.com.py/portal/http://ipv6.copaco.com.py/portal/http://ipv6.copaco.com.py/portal/


16/49

%abe se alar Bue la *ey dispone el pla/o de almacenamiento de los datos decone4ión y tr78co generados 5 el cual es de seis meses 5 el tipo de datos a serretenidos2 y la utili/ación de los mismos. *os datos deben ser almacenadosúnicamente a los e&ectos de &acilitar la locali/ación del eBuipo terminal empleadopor el usuario para la transmisión de la in&ormación. *os Proveedores de Servicios

de Alojamiento de $atos deber7n almacenar sólo aBuellos datos imprescindiblespara identi8car su origen y el momento en Bue se inició la prestación del servicio.%abe destacar Bue no se podr7n utili/ar los datos almacenados para 8nes distintosa los Bue est7n permitidos por la *ey2 y se deber7 adoptar medidas de seguridadapropiadas para evitar su p+rdida o alteración y el acceso no autori/ado a losmismos. El $ecreto prev+ la obligación de los proveedores de bienes y servicios porv"a electrónica y de los proveedores de Internet de comunicar al usuario el destinoBue se dar7 a sus datos personales y su deber de emplear mecanismos seguros enel tratamiento de los datos y respecto a los medios de pago.

>inalmente2 es interesante observar Bue el $ecreto n o 1.1-,H 01' Da establecido ensu art"culo ) Bue el !I% impulsar7 la elaboración de %ódigos de %onductavoluntarios por parte de las corporaciones2 asociaciones u organi/acionescomerciales2 pro&esionales y de consumidores en cuestiones relativas al comercioelectrónico.

El uso de las (I%s2 en particular dentro del Estado paraguayo2 tambi+n es&omentado por la Secretar"a 3acional de (ecnolog"as de la In&ormación y%omunicación ;SE3A(I%s=. *a *ey nW '.) )H 01# KBue crea el !arco de Aplicaciónde (ecnolog"as de la In&ormación y %omunicación en el Sector Público y crea laSecretar"a 3acional de (ecnolog"as de la In&ormación y %omunicaciónL2 establecióBue SE3A(I%s2 como institución del Poder Ejecutivo2 se encarga de implementar losprincipios y 8nes de las (I%s en el sector público. Según re&erida *ey2 lainvestigación2 el &omento y el desarrollo de las (I%s son una pol"tica de Estado Bueinvolucra a todos los sectores y la sociedad. *as (I%s deben servir al inter+s generaly es deber del Estado promover su acceso de manera e8ciente y en igualdad deoportunidad a todos los ciudadanos.

Por lo tanto2 la SE3A(I%s es la institución del Poder Ejecutivo Bue de8ne2 8scali/a yapoya la implementación de pol"ticas y estrategias transversales para garanti/ar elacceso y el uso de las (I%s a la población paraguaya con el 8n de mejorar su calidadde vida y apoyar el desarrollo sostenible del pa"s. !7s concretamente2 la SE3A(I%s

&omenta el gobierno electrónico y o&rece a las instituciones públicas servicios de$osting 2 ingenier"a en (I%s2 asistencia t+cnica2 implementación de portales2capacitaciones2 as" como servicios relativos a la seguridad de la in&ormación.

$e DecDo2 el art"culo 1 2 inciso D2 de la *ey nW '.) )H 01#2 atribuye a SE3A(I%s latarea de Kestablecer y gestionar las pol"ticas de protección de la in&ormaciónpersonal y gubernamental2 y cultivar los conocimientos sobre la industria deseguridad de la in&ormación2 para lo cual deber7 establecer un sistema de

1


17/49

organi/ación de seguridad2 proponer una pol"tica de seguridad a nivel nacional2 yestablecer un plan de integración de protección de in&ormaciónL. *a gestión deincidentes y vulnerabilidades cibern+ticas es conducida por el %entro de Respuestaa Incidentes %ibern+ticos del Paraguay ;%ER(


18/49

". La in#estigación de Incidentes Cibern!ticosPor resolución de la >iscal"a 6eneral del Estado2 se creó la :nidad Especiali/ada de$elitos In&orm7ticos en 010 para Dacer &rente a aBuellos delitos Bue derivan deluso malintencionado de la tecnolog"a. *a iniciativa surge como respuesta a lanecesidad de combatir de manera &rontal y e8ciente estos delitos. *a :nidad tiene

jurisdicción sobre DecDos cometidos en todo el territorio nacional2 y es la principalautoridad a cargo de la investigación y de la acción judicial en caso de delitoscibern+ticos2 tales como alteración de datos en computadora2 sabotaje decomputadoras2 operaciones &raudulentas por computadoras2 alteración de datosrelevantes para la prueba2 entre otros.

A la &ecDa2 el !inisterio Público es la única autoridad gubernamental capa/ desolicitar in&ormación a los prestadores de servicio internacionales cuando dicDain&ormación sea necesaria para una investigación. Sin embargo2 el %ódigo ProcesalPenal de Paraguay ;*ey nW 1 -H) = establece Bue cualBuier persona Bue tengaconocimiento relativo a un acto punible por parte del Estado deber7 compartir dicDain&ormación con el !inisterio Público o con la Polic"a 3acional.

$ebido a la cantidad signi8cativa de casos de pornogra&"a in&antil2 la :nidadEspeciali/ada de $elitos In&orm7ticos actúa conjuntamente en eBuiposinvestigativos con la :nidad Especiali/ada en la *ucDa contra la (rata de Personas yla E4plotación Se4ual de 3i os2 3i as y Adolescentes. Asimismo2 la :nidad de$elitos In&orm7ticos 8rmó un importante acuerdo en enero de 01' con el %entro3acional de 3i os $esaparecidos y E4plotados ;3%!E%2 por sus siglas en ingl+s=.Según in&ormó el !inisterio Público2 Day un promedio de '00 casos de pornogra&"ain&antil por a o en Paraguay2 y un 10 por ciento de condenas en ra/ón de las

evidencias recolectadas en el Internet.#

El !inisterio Público est7 trabajando con la %7mara de $iputados para &acilitar laadDesión al %onvenio de ?udapest sobre %iberdelincuencia. Entre los a os 010<

011 Dubo cambios importantes en la legislación nacional para una adecuación adicDo convenio. Por ejemplo2 la *ey n o '.'#)H 011 modi8có tres art"culos del %ódigoPenal e introdujo seis nuevos art"culos. !7s espec"8camente2 dicDa *ey modi8có losart"culos 1'0 ;pornogra&"a relativa a ni os y adolescentes=2 1', ;sabotaje desistemas in&orm7ticos=2 y 1 ;esta&a mediante sistemas in&orm7ticos=. En la misma*ey se amplió el %ódigo Penal2 introduci+ndose los art"culos 1'-b2 1'-c2 1'-d21 'b2 1 ,b2 y ' b relativos al acceso indebido a datos2 a la intercepción de datos2

a la preparación de acceso indebido e interceptación de datos2 al acceso indebido asistemas in&orm7ticos2 a la instancia2 y a la &alsi8cación de tarjetas de d+bito y otrosmedios electrónicos de pago2 respectivamente.

# In&ormación compartida por la :nidad Especiali/ada en $elitos In&orm7ticos del !inisterio Públicoen el de mayo de 01, durante la K!isión de Asistencia (+cnica para el $esarrollo de una Estrategia3acional de Seguridad %ibern+tica en ParaguayL.

1'


19/49

El !inisterio Público tambi+n trabaja en coordinación con la Polic"a 3acional2 enparticular con la $ivisión Especiali/ada contra $elitos In&orm7ticos2 dependiente del$epartamento contra $elitos Económicos y >inancieros2 Bue est7 encargada de lainvestigación de DecDos punibles de car7cter in&orm7tico. Se creó dicDa $ivisión pormedio de la Resolución n o 1.0 2 de de diciembre de 0102 con las siguientes

&unciones9 a= plani8car e implementar curso de acción2 con&orme a la estrategia ypol"tica nacional de la lucDa contra los delitos in&orm7ticosG b= programarconjuntamente a corto2 mediano y largo pla/o2 cargar el banco de datos2 con lasin&ormaciones obtenidas2 para ser procesadas2 evaluadas2 integradas y anali/adaspara la elaboración de dossier y proceder con&orme al !anual de Procedimientos dela Polic"a 3acionalG c= recibir denuncias con&orme lo establece la legislaciónparaguayaG d= investigar y procesar las denuncias con&orme al debido tr7miteG e=coadyuvar con los dem7s organismos del Estado para prevenir2 investigar y reprimirlos delitos in&orm7ticosG &= proponer programas de per&eccionamiento pro&esional yt+cnico para el personal a su cargo2 a trav+s de seminarios2 simposios2 cursos2paneles y otrosG g= responder a los reBuerimientos del Poder Yudicial o del !inisterioPúblicoG D= coordinar con el sector privado sean estas nacionales o e4tranjeras2 paracapacitación e intercambio oportuno y e8ca/ de in&ormacionesG y I= elaborar plananual de estrategia y pol"ticas de prevención ;art"culo de la Resolución n o

1. H 010=.

Se discute la posibilidad de modi8car el rango de la $ivisión contra $elitosIn&orm7ticos de la Polic"a para $epartamento2 lo Bue con&erir"a mayor autonom"a ala unidad y reducción de la burocracia en el manejo de delitos cibern+ticos. Sinembargo2 el cambio de rango solamente ser"a posible por medio de enmiendas a la*ey rg7nica de la Polic"a 3acional ;*ey n o H)#=.

%abe destacar Bue el !inisterio del Interior aprobó la KEstrategia 3acional deSeguridad %iudadana 01#< 01-L ;E3S%= ## por medio de la Resolución n o 11H 01#Bue apunta esencialmente a proveer y mejorar la seguridad de la ciudadan"a engeneral2 proporcionando la in&raestructura tecnológica a la Polic"a 3acional y al!inisterio Público. *a E3S% viene a consolidar la Pol"tica 3acional de Seguridad%iudadana estructurada en 010. Sin embargo2 el plan aún no contemplapropuestas espec"8cas para o&recer seguridad a la ciudadan"a en cuestiones deciberdelincuencia.

$. La %dministración &'blica y Em resas &'blicas

%on respecto a la Administración Pública %entral2 el Poder Ejecutivo cuenta con laPresidencia de la República y sus 1, dependencias2 1) Secretar"as2 y 1 !inisterios.Asimismo2 el pa"s cuenta con 1 entidades descentrali/adas2 , empresas públicas #'

y entidades binacionales.

## E3S% 5 Estrategia 3acional de Seguridad %iudadana ;$iciembre 01'=. $isponible en9Dttp9HH .mdi.gov.pyHimagesHpd& mdiHE3S%M 0estrategiaM 0ciudadanamail.pd& .Recuperado el 'de noviembre de 01,.

1,

http://www.mdi.gov.py/images/pdf_mdi/ENSC%20estrategia%20ciudadanamail.pdfhttp://www.mdi.gov.py/images/pdf_mdi/ENSC%20estrategia%20ciudadanamail.pdf


20/49

El $ecreto n o 1. '0H 01' ordena Bue las instituciones dependientes del PoderEjecutivo2 tanto la Administración %entral como las entidades y organismosdescentrali/ados2 cuenten con :nidades Especiali/adas con el objetivo de promoverla implementación2 acrecentamiento y acceso a la in&raestructura y a lastecnolog"as de la in&ormación y comunicación2 bajo supervisión directa de la

m74ima autoridad de cada institución. Sin embargo2 estas :nidades Especiali/adasno Dan sido implementadas por completo en toda la Administración Pública2 as" como tambi+n &altan est7ndares para la implementación de sistemas de protecciónde las (I%s. En este sentido2 es &undamental establecer una mejor coordinación parala implementación de mecanismos de seguridad en los sistemas de (I de laAdministración Pública.

Algunos servicios esenciales son prestados por empresas públicas2 como laAdministración 3acional de Electricidad ;A3$E=2 la %ompa "a Paraguaya de%omunicaciones S.A. ;% PA% =2 la Empresa de Servicios Sanitarios del ParaguayS.A. ;ESSAP=2 Petróleos Paraguayos ;PE(R PAR=2 y el ?anco 3acional de >omento;?3>=. *a mayor"a de estas empresas cuentan con algún tipo de sistema de controlindustrial ;Supervisión %ontrol y AdBuisición de $atos 5 S%A$A2 Sistema de %ontrol$istribuido 5 $%S2 por ejemplo= y ya empe/aron la &ormulación de pol"ticas deciberseguridad con +n&asis en la sensibili/ación de sus &uncionarios. Sin embargo2 lasituación de las empresas públicas en t+rminos de ciberseguridad es muy distinta2lo Bue &alta una reglamentación coordinada y centrali/ada para ellas. Paraguaytambi+n cuenta con Didroel+ctricas binacionales Bue son esenciales para laeconom"a del pa"s2 como las entidades binacionales @acyret7 #, e Itaipú. #-

(. El )ector &ri#ado

En t+rminos de ciberseguridad2 no Day en el sector privado empresas certi8cadaspor el IS 0012 # y apro4imadamente 0 por ciento de las empresas no cumplencon los registros de seguridad en (I%s para manejos de documentos. #

El iceministerio de las micro2 peBue as y medianas empresas ;!IP@!ES= registraun total de , mil !IP@!ES2 lo Bue representa m7s de )0 por ciento de lain&raestructura económica de Paraguay. En este sentido2 la *ey n o '.', H 01 2

#' $isponible en9 Dttp9HH .paraguay.gov.pyHpoder


21/49

reglamentada por el $ecreto n o 11.',#H 01#2 tiene por objeto proveer un marcoregulatorio Bue permita promover y &omentar la creación2 desarrollo ycompetitividad de las !IP@!ES para incorporarlas a la estructura &ormal deproductoras de bienes y servicios. Para asegurar el cumplimiento de una pol"ticanacional Bue posibilite un trabajo armoni/ado y en conjunto con otros órganos

públicos y privados2 se creó el Sistema 3acional de !IP@!ES bajo la dirección ycoordinación del iceministerio de !IP@!ES del !I%.

$icDas normativas tambi+n buscan impulsar la moderni/ación tecnológica del tejidoempresarial de las !IP@!ES y el desarrollo del mercado de servicios tecnológicoscomo elementos de soporte a una innovación continua en el pa"s. *a promoción2articulación y operatividad de la investigación e innovación tecnológica escoordinada por el !I%2 la %omisión 3acional de %iencia y (ecnolog"a ;% 3A%@(=2universidades y centros de investigación con las !IP@!ES.

El sector 8nanciero2 por su parte2 es uno de los principales blancos de ataBues

cibern+ticos. En este conte4to2 la Asociación de ?ancos de Paraguay ;AS ?A3= y laAsociación de Entidades >inancieras del Paraguay ;A$E>I= cuentan con un %omit+de Seguridad de la In&ormación2 y con un esBuema de comunicación sobreincidentes cibern+ticos con otras organi/aciones 8nancieras de Sudam+rica. Sinembargo2 este intercambio de in&ormación solamente ocurre cuando es consideradonecesario2 y no es una pr7ctica periódica. %abe destacar Bue Dubo una reducción deincidentes de p$is$ing ;suplantación de identidad= en el sector 8nanciero. *asentidades 8nancieras Dacen campa as de sensibili/ación junto a sus clientes acercadel buen uso de las (I%s2 pero no e4iste una campa a de sensibili/ación conjunta ycoordinada entre todas las entidades.

*. )ensibili+ación y EducaciónEl gobierno Da lan/ado una campa a denominada K%on+ctate Seguro P@L2 cuyoprincipal objetivo es concienti/ar a las personas sobre los riesgos de publicarin&ormación personal sensible en las redes. En 01#2 SE3A(I%s adoptó una iniciativacomplementaria2 PARA.PIE3SA.% 3E%(A(E.2 Bue se encuentra en su &ase deimplementación. El !inisterio Público tambi+n organi/a campa as desensibili/ación. En el 01' se reali/ó un concurso contra cyber)bullying en todas lasescuelas2 donde los alumnos dibujaron caricaturas contra la pr7ctica. Sin embargo2&alta coordinación entre los di&erentes programas de sensibili/ación organi/ados porentidades gubernamentales.

%on respecto a ni os2 ni as y adolescentes2 Paraguay tambi+n cuenta con lasacciones de la sociedad civil2 como el Programa Protección nline Bue reali/aproyectos junto a las escuelas a 8n de presentar buenas pr7cticas para el uso de latecnolog"a. En vista de Bue estos programas no son su8cientes2 el Programatambi+n desarrolla campa as en la Zeb2 trabaja con programas de televisión2 ypermite Bue los ciudadanos Dagan denuncias de &orma anónima en l"nea. %abedestacar Bue el >ondo para la In&ancia de las 3aciones :nidas ;:3I%E>= y algunas

1


22/49

empresas del sector privado tambi+n promueven acciones similares2 pero son ad$oc .

En t+rminos de educación2 en el pa"s e4isten algunas instituciones de ense an/asuperior y organi/aciones no gubernamentales ; 36s= Bue o&recen

especiali/aciones en seguridad in&orm7tica y derecDo in&orm7tico. Sin embargo2 lao&erta acad+mica en programas especiali/ados en estas 7reas es muy reducida. Enconsecuencia2 e4iste un número signi8cativo de personas Bue acceden a algún tipode &ormación en el 7rea de seguridad de la in&ormación mediante programaso&recidos por instituciones e4tranjeras en convenio con centros de entrenamiento yuniversidades debidamente acreditadas.

AunBue no e4ista una carrera de nivel superior espec"8ca en ciberseguridad2algunas universidades en Paraguay abordan el tema de la ciberseguridad dentro deotras carreras de manera m7s general por medio de mallas e4traondopara la E4celencia de la Educación y la Investigación ;>EEI= asignado por el >ondo3acional de Inversión Pública y $esarrollo ;> 3A%I$E=2 según la *ey nW '. , H 01 .El Programa incluye 8nanciamiento para la !aestr"a en %iencia de la %omputación yal $octorado en la %iencia de la %omputación de la >acultad Polit+cnica"sica.

tra iniciativa relevante &ue la creación de la !aestr"a en 6estión Pública de laInnovación2 con el apoyo de la :nión Europea y conjuntamente con la :niversidad3acional de Asunción ;:3A=. *a maestr"a tiene una duración de 1, meses y cuentacon pro&esores nacionales y e4tranjeros especialistas en diversas 7reas2 incluyendo

(I%s. Sin embargo2 no se veri8can las mismas oportunidades de capacitación paralos docentes2 ya Bue no cuentan con becas para estudiar e investigar en el e4terior.

(ampoco e4iste una red de conocimiento en el pa"s para el intercambio deconocimiento entre los distintos sectores ;público2 privado y acad+mico=. %abe

1


23/49

destacar Bue Paraguay se encuentra en las metas de cone4ión de la Red%*ARA;%ooperación *atino Americana de Redes Avan/adas=2 #) Bue consiste en unaorgani/ación de derecDo internacional sin 8nes de lucro Bue desarrolla2 administra ydirige una red regional de Internet avan/ada. '0

,. ConclusiónSe puede concluir Bue en los últimos a os Dubo una serie de iniciativas con elpropósito de &omentar el uso de las (I%s en los distintos sectores del pa"s.Actualmente2 Day proyectos para el desarrollo de gobierno electrónico e inclusióndigital2 el despliegue de 8bra óptica2 la implementación de ICP para la mejora de lacalidad del Internet2 as" como la implementación de pla/as públicas para el accesogratuito a Internet en municipios del pa"s. Asimismo2 Dubo proyectos para &omentarel uso de las (I%s en los negocios2 como los proyectos relativos a la 8rma digital y alcomercio electrónico. El %ER(


24/49

innovación en el pa"s2 &omentando un entorno económico &avorable al crecimiento2desarrollo y competitividad de nuevas tecnolog"as. Este Plan ser7 implementado atrav+s de la cooperación y coordinación del sector público con el sector privado2 laacademia y la sociedad civil2 con el m74imo respeto a la %onstitución 3acional2 alr+gimen democr7tico2 y a los derecDos y libertades &undamentales de los

ciudadanos.

*os principios orientadores para la &ormulación e implementación de cualBuierpol"tica pública de ciberseguridad en Paraguay son9

• Proporcionalidad9 las medidas deben ser adecuadas2 necesarias2 yproporcionales2 respetando los derecDos &undamentales. *os derecDos&undamentales de las personas2 en especial el derecDo a la intimidad2privacidad2 libertad de e4presión y libre asociación2 son la prioridad m74ima delEstado. Adem7s2 es necesario sopesar las oportunidades y amena/as2asegurando la proporcionalidad de las medidas de protección adoptadas2 a 8n de

Bue no perjudiBuen la promoción de la innovación y el desarrollo de nuevastecnolog"as.

• %oordinación de Es&uer/os y :so E8ciente de Recursos Escasos9 todos lossistemas conectados a Internet son potencialmente vulnerables2 as" esimportante tener en cuenta Bue es imposible asegurar un ciberespaciototalmente seguro y con8able. Por ello2 se debe adoptar la gestión de riesgo enla implementación de pol"ticas de ciberseguridad2 a 8n de priori/ar y justi8car lasacciones elegidas. Se reconoce a la limitación de recursos2 as" Bue se promover7el m74imo aprovecDamiento de los recursos escasos y el adecuado an7lisis ygestión de riesgo2 a 8n de priori/ar y justi8car las acciones elegidas.

• Responsabilidad %ompartida9 todos los agentes públicos y privados conresponsabilidad en esta materia2 incluyendo tambi+n a la sociedad civil2 laacademia y los ciudadanos2 Dan de sentirse involucrados en la implementaciónde este Plan 3acional. Para ello2 es necesario la implementación de mecanismosde coordinación y una adecuada cooperación con múltiples partes interesadascapa/ de compatibili/ar iniciativas y propiciar el intercambio de in&ormación yconocimiento entre todas las partes involucradas 5 gobierno2 empresas2 sociedadcivil y academia.

• $esarrollo e Innovación9 se reconoce la importancia de la innovación para eldesarrollo de una econom"a digital2 lo Bue demanda un ambiente cibern+ticoseguro y capital Dumano capacitado en el 7rea de (I%s y ciberseguridad.

• %ooperación Internacional9 el car7cter transnacional de las amena/as Dace Buesea esencial promover la cooperación regional y global2 ya Bue mucDas de lasposibles medidas sólo resultar7n e8caces si se adoptan internacionalmente con

0


25/49

la adecuada cooperación y coordinación entre los gobiernos de los pa"ses yorganismos internacionales.

• !onitoreo y Evaluación9 la calidad de pol"ticas públicas de ciberseguridadreBuiere un proceso continuo de monitoreo y evaluaciones periódicas. Se

incorporar7 el monitoreo en las pol"ticas públicas de ciberseguridad2 con el 8n deretroalimentar la gestión de las mismas y corregirlas eventualmente.

E es y b etivos

El avance de las (I%s debe ser acompa ado por una pol"tica de ciberseguridad2 yaBue con el mayor uso de la tecnolog"a tambi+n aumenta el volumen y so8sticaciónde las amena/as. Para lograr la adopción de medidas de ciberseguridad Buegaranticen el uso seguro y con8able de las (I%s2 as" como el progreso y lainnovación en el pa"s2 este Plan 3acional se concentra en seis ejes de acción9 ;i=Sensibili/ación y %ulturaG ;ii= Investigación2 $esarrollo e InnovaciónG ;iii= Protecciónde In&raestructuras %r"ticasG ;iv= %apacidad de Respuesta antes Incidentes%ibern+ticosG ;v= %apacidad de Investigación y Persecución de la %iberdelincuenciaGy ;vi= Administración Pública y %oordinación 3acional. Esta sección tambi+n ilustralos objetivos en cada eje tem7tico. *os objetivos son los e&ectos &undamentales alargo pla/o a los Bue se aspira para la ciberseguridad del pa"s.

1. )ensibili+ación y CulturaPara Bue la implementación del Plan 3acional de %iberseguridad sea sostenible alargo pla/o2 es de gran importancia Bue se sensibilice a los ciudadanos sobre laimportancia de construir una cultura nacional de ciberseguridad. Por medio de laconcienti/ación ciudadana2 se puede empe/ar a a&ectar positivamente elcomportamiento2 desarrollando a largo pla/o una comprensión amplia sobre laciberseguridad por toda la sociedad. El cambio cultural se lograr7 a trav+s de laincorporación progresiva de buenas pr7cticas de ciberseguridad2 Dasta Bue lamisma se vuelva a una pr7ctica diaria de los individuos2 de las empresas y delgobierno.

*a Sociedad de la In&ormación y el uso de las (I%s pueden traer mucDos bene8ciospero2 para ma4imi/arlos2 es esencial promover una sólida cultura de ciberseguridadmediante la adopción de legislación y medidas Bue garanticen la protección de losdatos2 as" como la cone4ión segura de los eBuipos. *a cultura cibern+tica e4istecuando el conocimiento de t+cnicas y de conceptos de ciberseguridad sirve deorientación para las pr7cticas de los usuarios 8nales de la red. Por lo tanto2 esnecesario tomar las acciones de sensibili/ación para Bue todos cono/can los riesgosy tengan el acceso a las Derramientas de protección. Esto es particularmenteimportante si se tiene en cuenta las inversiones Bue se est7n llevando a cabo enParaguay para la e4pansión de los servicios de acceso a Internet como2 por ejemplo2

1


26/49

la implementación de pla/as públicas para el acceso gratuito a Internet en losmunicipios del pa"s. *a ciberseguridad debe ser considerada igual de importanteBue el acceso a Internet ;uno no puede e4istir sin el otro=.

Es esencial Bue los ciudadanos y ciudadanas2 al conectarse a sus dispositivos2

tengan aplicaciones de protección actuali/adas en sus eBuipos2 y Bue no compartanin&ormación con8dencial en redes abiertas al público en general. Es decir2 es&undamental Bue pr7cticas como las descritas sean algo permanente en la vida delos ciudadanos conectados a la red. Avisos con recomendaciones de buenaspr7cticas de ciberseguridad son medidas de bajo costo y uno se las puedeimplementar en las p7ginas eb de operadoras y proveedores de servicios deInternet2 o antes Bue los usuarios se conecten a Internet por sitios públicos. $eDecDo2 la *ey de %omercio Electrónico ;*ey no '. - H 01#= ya establece estaobligación a los proveedores de servicio de acceso al Internet2 '1 de tal manera Bueesta medida se puede reproducir en otros &rentes.

Adem7s de campa as para el usuario 8nal en general2 es importante elaborarproyectos de sensibili/ación en&ocados en grupos espec"8cos2 a 8n de Bue losmensajes sean m7s e&ectivos. El primer paso para el cambio cultural debe empe/ardesde la base2 o sea2 se debe promover la incorporación de conceptos deciberseguridad en los primeros niveles educativos2 visto Bue los menores de edadson los m7s vulnerables y se encuentran e4puestos a numerosos riesgos. $e DecDo2apro4imadamente 00 casos de pornogra&"a in&antil2 entre im7genes y videos2&ueron subidos a la red desde Paraguay entre &ebrero del 01' y abril del 01,2 loBue reFeja la importancia de los proyectos de sensibili/ación en&ocados a estegrupo.

En Paraguay2 se Dan identi8cado programas de sensibili/ación dirigidos a ni os yni as y a sus padres2 como los promovidos por el !inisterio Público ;ej. contra elcyber)bullying =2 el %ER(


27/49

Internet2 del !inisterio Público2 y de las organi/aciones no gubernamentales Bueactúan en esta 7rea.

Asimismo2 es importante contar con el apoyo de los m7s altos niveles dentro de lasentidades gubernamentales y del sector privado para la adopción de pr7cticas de

ciberseguridad. Si no se toman en serio las mejores pr7cticas de ciberseguridad yno se cuenta con el apoyo de los ministros2 autoridades2 directores y &uncionarios dealto nivel2 el compromiso en los &uncionarios públicos y empleados ser7 m7s di&"cilde lograr. *a oportunidad de liderar el cambio cultural comen/ando desde arribapara mostrar un ejemplo a los dem7s. Es muy importante establecer medidasdestinadas a la construcción de la &ormación de la conciencia de los &uncionarios yempleados acerca de la ciberseguridad y del uso responsable de las tecnolog"as2dado Bue mucDas veces los ataBues se dirigen a los empleados para tener acceso alos sistemas de in&ormación de las organi/aciones.

*as empresas deben ser conscientes de la responsabilidad en la seguridad de sus

sistemas2 la protección de la in&ormación de sus clientes y proveedores y laseguridad de los servicios Bue prestan. !antener la con8an/a del consumidor es&undamental para el desarrollo de una econom"a digital. *o mismo aplica para el6obierno en la prestación de sus servicios a los ciudadanos. En este sentido2 sebuscan concreti/ar los siguientes objetivos para un verdadero cambio cultural9

1.a. *as campa as de sensibili/ación pública son reconocidas y promovidaspor el público general2 y el comportamiento seguro en el ciberespacio seconvierte en una parte de la cultura de los ciudadanos y las ciudadanas.

1.b. *os programas en&ocados en la protección de menores son coordinados

entre las distintas entidades gubernamentales2 concienti/ando a los ni os ylas ni as2 as" como a sus padres y pro&esores2 sobre buenas pr7cticas paraprotegerse yHo las medidas Bue se deben tomar en caso de un incidentecibern+tico.

1.c. *os pro&esionales2 las empresas y las entidades gubernamentales sonconscientes de la importancia de la ciberseguridad y del uso responsable delas nuevas tecnolog"as para la adecuada prestación de servicios y para el&omento de una econom"a digital segura.

2. In#estigación- esarrollo e Inno#ación

El primer paso es garanti/ar Bue el pa"s cuente con personal capacitado enciberseguridad. Para ello2 el aprendi/aje sobre la ciberseguridad desde los primerosniveles de la ense an/a es importante para &omentar el inter+s pro&esional de los

jóvenes. \ay mucDos jóvenes talentosos en esta 7rea2 por eso es esencial captar suinter+s en el tema desde muy temprano para Bue participen de manera positiva enla construcción de un pa"s m7s conectado y con un ciberespacio con8able.

#


28/49

Asimismo2 en la educación superior Day Bue crear l"neas de investigación e incluiren las mallas curriculares cursos de ciberseguridad2 Bue posibiliten al estudianteobtener su grado con una concentración en seguridad2 por ejemplo. Es &undamentaltambi+n estimular la investigación a nivel de postgrado con maestr"as y doctoradosBue2 a su ve/2 deben ser acompa ados de becas para investigación y programas de

intercambio. >omentar la investigación es esencial para Bue se desarrollensoluciones innovadoras adaptadas a las necesidades y a la idiosincrasia de lasociedad paraguaya. $e DecDo2 % 3A%@( o&rece becas de investigación para la&ormación en el 7rea de tecnolog"a2 tal como el Pro%iencia y el PR 3II paraestudiantes de postgrado en %iencia de la %omputación2 Ingenier"as y (ecnolog"as.En este sentido2 se podr"a incluir en estos programas de incentivo el 7rea deciberseguridad. (ambi+n se debe promocionar la inclusión de cursos deciberseguridad en las mallas curriculares de otras 7reas2 como en $erecDo y6estión Pública. >inalmente2 es importante tener en cuenta Bue el desarrollo deinvestigación2 y de otros programas de postgrado con en&oBue m7s pro&esional2solamente ser7 posible con una inversión m"nima orientada a la &ormación dedocentes por medio de becas2 por ejemplo.

Adem7s2 es necesaria una coordinación entre la sociedad civil2 academia2 empresasy gobierno2 de modo Bue Daya una colaboración con vistas a impulsar proyectos enestas 7reas orientados a mejorar no sólo la calidad de los servicios y de losproductos2 sino tambi+n la calidad de vida de los ciudadanos en general. Elintercambio de conocimiento es importante2 as" como una colaboración entre estossectores posibilitar7 un mejor uso de recursos a proyectos de inter+s para eldesarrollo de la econom"a y sociedad paraguaya. $e DecDo2 e4isten en el pa"sprogramas Bue buscan impulsar la moderni/ación tecnológica y &omentar el

desarrollo de un tejido empresarial &uerte2 particularmente programas dirigidos alcomercio electrónico y a las !IP@!ES. (ales programas son ejecutados de maneracoordinada entre el !I%2 la % 3A%@(2 y entidades acad+micas. En este conte4to2ser"a importante incluir en tales programas componentes de ciberseguridad2 demanera Bue los servicios y productos tecnológicos desarrollados est+n de acuerdocon las mejores pr7cticas de seguridad internacional.

Asimismo2 ser"a importante no sólo el &omento al desarrollo de servicios y productostecnológicos 5 como ya se Dace en Paraguay2 ' sino tambi+n la implementación deprogramas orientados a incentivar el sector privado2 particularmente las !IP@!ES2Bue adoptasen reglas de seguridad 5 se estima Bue un 0 por ciento de lasempresas en Paraguay no cumplen con los registros de seguridad en (I%s paramanejo de documentos2 por ejemplo. tra medida interesante ser"a el &omento delcomercio electrónico2 especialmente en el lado de la o&erta2 por medio de laimplementación de sellos de con8an/a en l"nea con los comercios nacionales. Esto

' Por ejemplo2 la *ey de >irma $igital ;*ey n o '01 H 010= y la *ey de %omercio Electrónico ;*ey n o '. - H 01#=.

'


29/49

contribuir"a al &ortalecimiento del comercio electrónico con8able y al desarrollo de laeconom"a digital en el pa"s.

Por lo tanto2 para el desarrollo de una econom"a digital en Paraguay2 se reBuiere&omentar y mantener actividades de investigación2 en&ocadas en el desarrollo e

innovación en materia de (I%s y ciberseguridad. Se buscan concreti/ar lossiguientes objetivos con este Plan 3acional9

.a. El inter+s por las (I%s y la ciberseguridad es incentivado entre Dombresy mujeres en todos los niveles de la ense an/a 5 desde la b7sica a la superior5 por medio de programas y cursos espec"8cos en estas 7reas.

.b. *os institutos de ense an/a superior y centros de investigacióntrabajan en conjunto con el sector privado2 las 36s y el sector público paraimpulsar proyectos de ciberseguridad.

.c. \ay capacitación continua en ciberseguridad2 a modo de colaborar conel &ortalecimiento de la seguridad en las organi/aciones2 incentivando lapro&esionali/ación en el sector de la seguridad de la in&ormación.

.d. Se &omenta la innovación y el desarrollo de una econom"a digital pormedio de un tejido empresarial &uerte y un ciberespacio seguro.

3. &rotección de Infraestructuras CríticasSe puede decir Bue las sociedades son dependientes de un sistema complejo deservicios esenciales denominados in&raestructuras cr"ticas. Este sistema est7compuesto por operadores y activos involucrados en la prestación de talesservicios2 Bue garanti/an no sólo la seguridad de los ciudadanos2 sino Bue tambi+nsu bienestar económico y social.

%abe recalcar Bue no e4iste una de8nición única o un listado de in&raestructurascr"ticasG cada pa"s de8ne las in&raestructuras cr"ticas según su realidad. $e manerageneral2 las in&raestructuras cr"ticas consisten en sistemas y activos2 &"sicos ovirtuales2 esenciales para el mantenimiento de &unciones sociales vitales2 la salud2la integridad &"sica2 la seguridad2 y el bienestar social y económico de la población2y cuya perturbación o destrucción tendr"a un impacto debilitante en la seguridadnacional2 generando una cascada de e&ectos negativos Bue a&ectar"an gravementeal pa"s. $icDo de otro modo2 estas in&raestructuras sostienen el &uncionamiento de

actividades cotidianas de los ciudadanos2 como servicios públicos esenciales2 y lasprincipales actividades económicas del pa"s.

%on el propósito de desarrollar este Plan 3acional de %iberseguridad2 se buscaproteger las in&raestructuras de las (I%s2 tanto su in&raestructura &"sica ;ej. redes2puntos de intercambio de tr78co2 eBuipos= como en su vertiente inmaterial ;ej.sistemas de in&orm7ticos2 sistemas de control industrial2 nombres de dominios=2 Buesoportan las in&raestructuras cr"ticas mencionadas anteriormente. ale recalcar Bue

,


30/49

las in&raestructuras cr"ticas est7n incorporando cada ve/ m7s estas tecnolog"as dein&ormación y comunicación2 lo Bue permite mejorar y optimi/ar los serviciosprestados2 gestionando las instalaciones de manera m7s e8ciente.

Sin embargo2 el uso de &orma creciente de las (I%s y de los sistemas integrados al

Internet en los servicios esenciales2 puede representar un aumento de riesgo deataBues cibern+ticos. En especial2 si la implementación de las (I%s en lasin&raestructuras no est7 acompa ada de medidas de seguridad. A medida Bue losdelincuentes cibern+ticos encuentran m+todos m7s avan/ados para romper laseguridad de las in&raestructuras cr"ticas2 se vuelve m7s importante la protección y&uncionamiento e8ciente de las mismas.

En este conte4to2 es esencial Bue Paraguay de8na cu7les son sus in&raestructurascr"ticas en t+rminos de ciberseguridad 5 es decir2 las in&raestructuras cr"ticas Bueutili/an (I%s y sistemas integrados al Internet para su operación. El primer paso esidenti8car las in&raestructuras cr"ticas en Paraguay y reali/ar un estudio sobre sus

condiciones de seguridad2 tanto en el sector público como en el sector privado. :nave/ Bue se de8nan las in&raestructuras cr"ticas nacionales en t+rminos deciberseguridad2 es &undamental establecer normas claras2 protocolos y un plan decomunicación nacional para proteger la in&raestructura cr"tica en el caso de unataBue cibern+tico.

peradores de in&raestructuras cr"ticas deben llevar a cabo periódicamente lasmejores pr7cticas en ciberseguridad2 tales como evaluaciones para identi8car lasvulnerabilidades de seguridad en las computadoras2 las redes y la in&raestructurade comunicación2 as" como los mecanismos para Dacer &rente a estasvulnerabilidades. Es de gran importancia Bue los operadores de in&raestructurascr"ticas adopten medidas de ciberseguridad espec"8cas para gestionar la evoluciónde los riesgos y su capacidad de resiliencia. En otras palabras2 es esencial promoverun an7lisis de riesgo de las in&raestructuras2 veri8cando su nivel de vulnerabilidad yprobabilidad de ataBue2 as" como la magnitud del impacto y la capacidad derecuperación ante un incidente cibern+tico. $ebe ser evitada cualBuier violación dela seguridad Bue tenga un impacto signi8cativo en las operaciones del proveedor deservicios.

En Paraguay2 algunos servicios esenciales son prestados por empresas públicas;p.ej. A3$E2 % PA% 2 ESSAP2 PE(R PAR2 ?3>=. A pesar de su car7cter cr"tico2 noDay obligación por parte de los operadores de in&raestructuras de adoptar reglas ynormas espec"8cas de ciberseguridad. $e DecDo2 la regulación de las empresaspúblicas encargadas por la prestación de servicios esenciales no es centrali/ada.E4iste una necesidad de desarrollar una reglamentación coordinada y centrali/adaen ciberseguridad para las empresas públicas2 con una de8nición de est7ndaresm"nimos para el &uncionamiento de las in&raestructuras cr"ticas en el pa"s.

-


31/49

>inalmente2 es esencial Bue Daya cooperación entre los sectores públicos y privadopara la protección de in&raestructuras cr"ticas. *os servicios esenciales2 as" como sussistemas y activos2 tambi+n se encuentran en manos del sector privado. Por lotanto2 la colaboración entre el sector público y el sector privado es necesaria paragaranti/ar la seguridad y resistencia de las in&raestructuras cr"ticas. El intercambio

permanente de in&ormación entre el sector público y privado acerca de losincidentes cibern+ticos Bue ocurren permitir7 identi8car las tendencias de losincidentes de ciberseguridad en el pa"s2 tal como su &recuencia y tipo. %on estain&ormación2 se puede Dacer inversiones m7s e8caces para la protección de lasin&raestructuras cr"ticas del pa"s.

En este conte4to2 se buscan concreti/ar los siguientes objetivos generales para el&ortalecimiento de la protección de in&raestructuras cr"ticas en Paraguay9

#.a. *as in&raestructuras cr"ticas paraguayas son resilientes ante lasamena/as cibern+ticas2 y garanti/an la estabilidad de los servicios

esenciales.#.b. *a responsabilidad por la ciberseguridad de las in&raestructuras cr"ticas

es compartida entre el Estado y los operadores privados2 &omentando lacooperación público


32/49

Adem7s de la adecuada in&raestructura2 el %ER(


33/49

$. Ca acidad de In#estigación y &ersecución de la Ciberdelincuencia*a :nidad Especiali/ada de $elitos In&orm7ticos del !inisterio Público y la $ivisiónEspeciali/ada contra $elitos In&orm7ticos2 dependiente del $epartamento contra$elitos Económicos y >inancieros de la Polic"a 3acional2 trabajan conjuntamente enla investigación de delitos cibern+ticos. *as dos entidades Dan avan/adosigni8cativamente en los últimos a os para mejor ejecutar su trabajo en casos Bueinvolucren sistemas in&orm7ticos. Sin embargo2 particularmente en el caso de laPolic"a 3acional2 e4iste una &alta de recursos y Derramientas adecuadas para lostrabajos de peritaje y manejo de la evidencia digital. Adem7s2 es esencialimplementar programas de capacitación nacional e internacional para las &uer/asdel orden2 no sólo cursos t+cnicos como manejo de evidencia digital2 sino tambi+ncursos sobre la tem7tica de delitos y cr"menes cibern+ticos a pro&esionales de lascortes de justicia. Es importante Bue agentes 8scales2 de polic"a2 y jueces entiendanmejor los aspectos t+cnicos del Internet y cómo se llevan a cabo ataBuescibern+ticos u operaciones criminales para saber en&rentarlas.

AunBue Dubo cambios importantes en la legislación a 8n de posibilitar lainvestigación y persecución de delitos cibern+ticos2 todav"a &altan modi8cacionesesenciales. El objetivo es re&or/ar a los organismos participantes en la cadena

judicial2 con un marco regulatorio actuali/ado y capacidades operativas Bueaumenten la posibilidad de identi8car a los responsables y Bue sean tratados conmayor severidad. El Plan 3acional de %iberseguridad tratar7 de complementar lalegislación de Paraguay en materia de ciberseguridad a trav+s de recomendacioneslegales2 convenciones internacionales y otros documentos legales propuestos porautoridades internacionales para moderni/ar el marco regulatorio de Paraguay.

Para a&rontar adecuadamente las amena/as cibern+ticas2 es imprescindible el&ortalecimiento de la cooperación judicial y policial internacional2 articulando losinstrumentos adecuados de colaboración e intercambio de in&ormación y laarmoni/ación de las legislaciones nacionales2 con el desarrollo y mantenimiento deuna regulación sólida y e8ca/. En concreto2 este Plan 3acional promover7 larati8cación del %onvenio de ?udapest y la creación de leyes adicionales para laejecución de sus compromisos en virtud de dicDo %onvenio. Se buscan concreti/arlos siguientes objetivos9

,.a. *os agentes responsables de la investigación de delitos cibern+ticosest7n capacitados y poseen el conocimiento necesario para conducir su

trabajo.,.b. *as unidades encargadas de la investigación de delitos cibern+ticos

cuentan con una in&raestructura y con las Derramientas adecuadas paraconducir sus tareas de manera oportuna y e8ca/.

,.c. Paraguay cuenta con una legislación en materia de ciberseguridad Buepermite la investigación adecuada y la persecución de casos de delitoscibern+ticos.

)


34/49

,.d. E4iste la cooperación internacional r7pida y e8ciente en la prevención2investigación y persecución penal de los delitos in&orm7ticos.

(. %dministración &'blica y Coordinación /acional %omo se mencionó en la sección Diagnóstico sobre la Ciberseguridad 2 Dubo ataBues

de $oS a las p7ginas Zeb gubernamentales2 incluidos incidentes dirigidos a losportales eb y servicios de diversas instituciones gubernamentales. Por ello2medidas de seguridad cibern+tica orientadas a estos órganos es imprescindible. Esnecesario establecer est7ndares de ciberseguridad y gu"as de mejores pr7cticaspara la Administración Pública2 as" como mecanismos de coordinación para losagentes gubernamentales.

En este sentido2 un Sistema 3acional de %iberseguridad ser7 establecido pornormativa con la responsabilidad de la aplicación del Plan 3acional de%iberseguridad2 bajo la Presidencia de la República. Este Sistema 3acional deber7trabajar de cerca y coordinar con todas las dem7s entidades gubernamentales Buetienen responsabilidades en virtud del Plan 3acional. *a pró4ima sección de estePlan 3acional describir7 con m7s detalles el &uncionamiento del Sistema 3acionalde %iberseguridad.

El intercambio de in&ormación entre los distintos actores es esencial para lae&ectividad de la ciberseguridad. \ay algunos &actores Bue a&ectan la distribuciónoportuna y el intercambio de esta in&ormación2 como son las clasi8caciones de lain&ormación y el temor a la divulgación. Se gestionar7 para crear un ambiente decon8an/a y &ortalecer las l"neas de comunicación e4istentes. El di7logo y lacooperación entre el sector privado y el Estado son reBuisitos esenciales para este8n.

%on el 8n de abordar plenamente las amena/as en el ciberespacio2 es necesariocooperar a nivel internacional. *a asistencia mutua en materia penal y el desarrollode medidas de seguridad internacionales para abordar las cuestiones deciberseguridad es una necesidad. A nivel bilateral y multilateral2 el Estadoparaguayo participar7 con otros estados y organi/aciones internacionales endiscusiones en el campo de la ciberseguridad. %omo nación2 Paraguay se es&or/ar7para contribuir en el di7logo mundial sobre el ciberespacio.

-.a. *a administración pública2 tanto la central como las entidades yorganismos descentrali/ados2 cuentan con una in&raestructura adecuada ent+rminos de (I%s y ciberseguridad.

-.b. *as gestiones gubernamentales de ciberseguridad se coordinan concada agente responsable consciente de su &unción y papel re&erente a laciberseguridad.

-.c. Se promueve la cooperación entre los sectores público y privado.-.d. Se &ortalece la cooperación regional e internacional en materia de

ciberseguridad.

#0


35/49

Sistema Nacional de Ciberseguridad

%on el propósito de garanti/ar una visión integral de la ciberseguridad en el pa"s2 as" como pol"ticas coordinadas y adecuadas para implementar las l"neas de acción deeste Plan 3acional2 es necesaria una estructura Bue posibilite la acción conjuntaentre los distintos actores. Para asegurar la implementación de manera e&ectiva deeste Plan 3acional de %iberseguridad2 es cr"tico el establecimiento y la de8nición deroles para la adecuada coordinación. Ser7 establecido por normativa un Sistema3acional de %iberseguridad2 bajo la dirección de la Presidencia de la República2 conla responsabilidad de aplicación de este Plan 3acional. El Sistema 3acional de%iberseguridad tendr7 los siguientes componentes9 ;i= el %oordinador 3acional de%iberseguridad y ;ii= la %omisión 3acional de %iberseguridad.

1. Coordinador /acional de Ciberseguridad

El %oordinador 3acional de %iberseguridad ser7 nombrado por la Presidencia de laRepública2 y responder7 directamente a la Presidencia. El %oordinador tendr7 laautoridad para monitorear y evaluar la implementación de los objetivos y de lasl"neas de acción de este Plan 3acional por parte de los distintos actoresgubernamentales. En l"neas generales2 el %oordinador ser7 responsable de9

a. Presidir la %omisión 3acional de %iberseguridad2 convocando y coordinandolas reuniones2 discusiones y actividades de la %omisiónG

b. >omentar la cooperación entre el sector público2 el sector privado2 academiay sociedad civil para la &ormulación e implementación de pol"ticas deciberseguridadG

c. %onducir procesos de evaluación nacional a 8n de identi8car la situación ent+rminos de ciberseguridadG

d. !onitorear la implementación de los objetivos y de las l"neas de acción delPlan 3acional. Para tal 8n2 el %oordinador solicitar7 in&ormación junto a lasentidades encargadas por la implementación y junto a los Subcomit+sEspeciali/ados de la %omisión 3acional de %iberseguridadG

e. %oordinar la preparación de reportes periódicos sobre el avance en laimplementación de los objetivos y l"neas de acción de este Plan 3acional2 as" como sobre las principales tendencias de los incidentes cibern+ticos Buea&ectan el pa"s con intención de in&ormar a los actores interesadosG

&. Proponer la revisión de este Plan 3acional y recomendar nuevos en&oBues deacción para la implementación de pol"ticas de ciberseguridad en ParaguayG

g. %oordinar la respuesta a un incidente o ataBue cibern+tico de gran impactonacional.

2. Comisión /acional de Ciberseguridad *a %omisión 3acional de %iberseguridad2 bajo la Presidencia y presidida por el%oordinador 3acional de %iberseguridad2 re&or/ar7 relaciones de coordinación2

#1


36/49

colaboración y cooperación entre las distintas entidades gubernamentales2 ypromover7 an7lisis2 estudios y propuestas de iniciativas tanto en el 7mbito nacionalcomo en el internacional. *a %omisión 3acional deber7 reportarse e in&ormar elprogreso en la implementación de este Plan 3acional al %oordinador 3acional. Paratal 8n2 la %omisión 3acional deber7 trabajar de cerca y coordinar con todas las

dem7s entidades Bue tienen responsabilidades en virtud del Plan 3acional2 as" comobuscar7 promover el intercambio de in&ormación y el desarrollo e implementaciónde soluciones de ciberseguridad conjuntas.

*a composición de la %omisión 3acional de %iberseguridad reFeja la importancia decoordinar aBuellas acciones Bue se deban abordar de &orma conjunta con el 8n deoptimi/ar los recursos y evitar la duplicación de es&uer/os. *a %omisión 3acional de%iberseguridad ser7 compuesta por representantes de los siguientes órganospúblicos9

• Secretar"a 3acional de (ecnolog"as de la In&ormación y %omunicación 5

SE3A(I%s• EBuipo de Respuesta a Emergencias %ibern+ticas 5 %ER(


37/49

Presidencia de laRepública

%oordinador3acional de

%iberseguridad%omisión 3acionalde %iberseguridad

Subcomit+ deSensibili/ación y

%ultura

Subcomit+ deInvestigación2$esarrollo eInnovación

Subcomit+ deProtección de

In&raestructuras%r"ticas

Subcomit+ deRespuesta ante

Incidentes%ibern+ticos

Subcomit+ deInvestigación y

Persecución de la%iberdelincuencia

Subcomit+ de laAdministración

Pública y%oordinación

3acional

Persecución de la %iberdelincuenciaG y ;vi= Subcomit+ de la Administración Pública y%oordinación 3acional.

Ilustraci!n 1& rganigrama de la Comisi!n Nacional de Ciberseguridad

*a composición de los Subcomit+s Especiali/ados ser7 determinada por losmiembros de la %omisión 3acional de %iberseguridad. %abe recalcar Bue otras

entidades2 Bue no se encuentran actualmente representadas en la %omisión3acional de %iberseguridad2 podr7n Dacer parte de los Subcomit+s Especiali/adosde acuerdo con la decisión de los miembros de la %omisión. *os Subcomit+s tendr7nla tarea de &ormular la estrategia de implementación de los ejes de este Plan3acional2 de8niendo las entidades Bue ser7n responsables por la implementaciónconcreta de las l"neas de acción.

Adem7s de los Subcomit+s Especiali/ados2 se con&ormar7n2 cuando sea necesario26rupos de (rabajo (em7ticos donde se invitar7n a actores relevantes del sectorprivado2 gremios pro&esionales2 academia2 sociedad civil y especialistas. *a%omisión 3acional establecer7 los criterios de selección de las instituciones y de losindividuos Bue con&ormar7n los grupos de trabajo según las 7reas establecidas2 as" como el producto 8nal deseado con cada 6rupo de (rabajo (em7tico. *os 6rupos de

(rabajo (em7ticos ser7n con&ormados para apoyar a la %omisión 3acional y a losSubcomit+s Especiali/ados cuando Daya la necesidad de anali/ar un tema y reali/arinvestigaciones de manera m7s detallada.

##


38/49

El establecimiento de la %omisión 3acional de %iberseguridad2 de los Subcomit+sEspeciali/ados y sus 6rupos (em7ticos de (rabajo se reali/ar7 paulatinamentemediante la aprobación de las disposiciones normativas necesarias2 con el objetivode alcan/ar el &uncionamiento coordinado y e8ciente.

/onitoreo y Evaluaci!n

Esta sección tiene como propósito asegurar la e8ciencia y la e8cacia del Plan3acional de %iberseguridad2 tanto en el uso de los recursos como en la orientaciónde las iniciativas de8nidas. El monitoreo de las acciones constituye uno de losprincipios orientadores del Plan 3acional junto con la idea de evaluación Bue2 a suve/2 reBuiere el dise o de indicadores. *os indicadores tienen como propósitoanali/ar la implementación de las pol"ticas de ciberseguridad y permitir laretroalimentación para una eventual corrección de las pol"ticas por medio de

decisiones basadas en evidencia. Es decir2 un en&oBue basado en evidencias &acilitala priori/ación de los objetivos en la toma de decisiones2 garanti/ando la legitimidady la credibilidad de las pol"ticas de ciberseguridad en Paraguay.

*os indicadores constituyen una e4presión cuantitativa o cualitativa Bue permitecomparar el desempe o de una pol"tica con respecto a los objetivos pre<establecidos2 buscando determinar si la implementación de la pol"tica Da avan/adoy si los procesos de trabajo Bue se reali/an permitir7n alcan/ar los e&ectosdeseados. *os indicadores deben seguir un conjunto de par7metros t+cnicos. Esdecir2 los indicadores deben ser espec"8cos2 cuanti8cables2 alcan/ables2 relevantes2y susceptibles de monitorear2 según el conjunto de caracter"sticas propuestas por el

modelo S!AR(. '#

El Plan 3acional de %iberseguridad cuenta con un Plan de Acción ;Ane4o 1= Buede8ne las l"neas de acción para el cumplimiento de los objetivos de largo pla/o. Sebuscar7 de8nir para la adecuada implementación de este Plan 3acional losproductos inmediatos Bue se busca y los resultados intermedios2 '' as" como losrespectivos indicadores. ', Es &undamental Bue los productos inmediatos est+nvinculados a los resultados intermedios Bue2 por su parte2 deben estar vinculados a

'# Acrónimo en ingl+s para #peci*c+ easurable+ ,c$ievable+ !elevant y &rackable .

'' *os .roductos son las consecuencias directas de las acciones2 y suelen ser tangibles y m7s&7cilmente mensurables cuantitativa y cualitativamente. *os resultados intermedios 2 por su parte2reFejan los e&ectos de corto y mediano pla/o de las pol"ticas.

', *os indicadores de .roductos miden los entregables m7s inmediatos de un proyecto como2 porejemplo2 el número de bene8ciarios de un proyecto o la cuantidad de servicios prestados o productosproducidos. Por otro lado2 los indicadores de resultados intermedios miden los resultados de cortoy mediano pla/o2 lo Bue incluye cambios graduales de comportamiento2 &ortalecimiento de lascapacidades y Dabilidades en ciberseguridad.

#'


39/49

los objetivos de largo pla/os de8nidos en este Plan 3acional. *os indicadores sonesenciales no sólo para seguir el progreso de la implementación de este Plan3acional de %iberseguridad2 sino Bue tambi+n para apoyar en la revisión general delPlan 3acional2 ase

plan nacional de seguridad cibernetica v3

Documents