Cabecera-v2-web.jpg

Criterios mí­nimos de seguridad para el desarrollo y adquisición del software


En el marco de los esfuerzos de ciberseguridad que ha impulsado el Gobierno Paraguayo, se ha aprobado los "Criterios mí­nimos de seguridad para el desarrollo y adquisición de Software", mediante Resolución Nro. 699/2019 del MITIC. Esta guí­a de criterios mí­nimos de seguridad se desprende de la "Guí­a de Controles Crí­ticos de Ciberseguridad".

En la presente Guí­a se establecen aquellos criterios de seguridad mí­nimos que una institución debe contemplar en los requerimientos para el desarrollo y adquisición de software e implementaciones con software de terceros de manera a poder cumplir con los controles establecidos en la "Guí­a de Controles Crí­ticos de Ciberseguridad". Estos criterios son aplicables al software desarrollado internamente por las instituciones públicas, adquirido de una empresa o desarrollador tercerizado y/o a través de donaciones a la institución.

Los criterios abarcan los siguientes puntos principales:

  • Soporte y gestión continua del software
  • Gestión segura de usuarios, sesiones y privilegios
  • Autenticación y gestión segura de credenciales
  • Generación y gestión adecuada de registros de auditoría
  • Codificación segura, siguiendo estándares y buenas prácticas reconocidas de la industria (ejemplo: OWASP)
  • Utilización de protocolos de red cifrados, basado en protocolos estándar

Además, se establece la obligatoriedad de realizar auditorías o verificación de vulnerabilidades para todo sistema de software gubernamental nuevo antes de entrar a producción. La verificación de seguridad podrá ser realizada internamente por la institución, o a través de una auditoría externa, según la criticidad y el riesgo asociado al mismo, así como también considerando la capacidad institucional.

Los sistemas de software existentes y en producción, que nunca hayan sido sujetos a una auditoría de vulnerabilidades, deberán ser auditados ya sea interna o externamente en un lapso no mayor a 6 meses desde la aprobación de la Resolución. Es responsabilidad de las instituciones gestionar adecuadamente las vulnerabilidades que sean detectadas en dicha auditoría, ya sea mediante su corrección, mitigación con controles adicionales o la migración a un sistema nuevo.

pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11