La Comisión de Regulación de Comunicaciones (CRC) ha publicado para comentarios (24-nov-17) su propuesta regulatoria para modificar el régimen de calidad de servicio con respecto a las disposiciones en materia de seguridad de redes (incluida en el CapÃtulo 1 del TÃtulo V de la resolución compilada).
Propuesta
La CRC propone (mediante resolución) o recomienda lo siguiente:
- Aspectos asociados a las redes de los proveedores de redes y servicios de telecomunicaciones (PRST):
- Seguridad de red: los operadores deben implementar un sistema de gestión de seguridad de la información (SGSI), ajustando los procesos de los PRST para que estos permitan gestionar de manera eficiente la información, y asegurar la integridad, confidencialidad y disponibilidad de los datos (plazo hasta el 01-ene-19)
- Información de incidentes de seguridad: para generar un reporte estadÃsticamente relevante de los incidentes, los PRST deben determinar, almacenar y tener a disposición de las autoridades pertinentes la información sobre los incidentes de seguridad o de pérdida de integridad de la red que hayan afectado de manera significativa su base de usuarios
- Colaboración interinstitucional: se recomienda a los equipos de seguridad, equipos de respuesta a incidentes informáticos (CERTs/CSIRTs) y centros de operación de seguridad (SOC) de los proveedores de servicios de comunicaciones, establecer mecanismos que permitan la coordinación de los esfuerzos de respuesta entre las partes involucradas en los incidentes
- Mejores prácticas operacionales recomendadas por la Internet Society: se recomienda a los operadores de comunicaciones considerar la implementación de las mejores prácticas de operaciones BCP-38, BCP-194, adopción del protocolo IPv6 y adopción del protocolo DNSSEC
- Aspectos asociados con el Ministerio de las TecnologÃas de la Información y las Comunicaciones (MINTIC):
- Vigilancia y control de las medidas: se recomienda a la División de Vigilancia y Control del MINTIC desarrollar y discutir con las múltiples partes interesadas, un documento de verificación y vigilancia de los controles especÃficos para evaluar la efectiva implementación de los SGSI propuestos
- Sobre la iniciativa IPv6: adicional a los lineamientos para la adopción del protocolo IPv6 (03-oct-17), es importante que el MINTIC continúe la actividad de promoción en el sector privado y en los PRST
- Recomendación a usuarios: es importante que el MINTIC continúe generando conciencia a los usuarios de telecomunicaciones respecto al uso adecuado de Internet. AsÃ, iniciativas del Gobierno como “CiudadanÃa Digital†y “En TIC ConfÃo†son estrategias que abren espacios para educar al ciudadano en torno al buen uso de internet
- Recomendaciones a colCERT/CCP/CCOC: se recomienda que el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (colCERT) desarrolle protocolos especÃficos para el intercambio de información con los equipos de respuesta a incidentes de seguridad (CSIRT) y los equipos de seguridad del sector de las telecomunicaciones, de manera que pueda incrementarse de manera orgánica el nivel de cooperación actual
Antecedentes
El 23-jul-11, el Consejo Nacional de PolÃtica Económica y Social (CONPES) estableció los lineamientos de polÃtica para ciberseguridad y ciberdefensa, bajo los auspicios del MINTIC, el Ministerio de Defensa Nacional, el Departamento Nacional de Planeación (DNP) y otras instituciones nacionales clave. Esta estrategia se centró en el establecimiento de instituciones nacionales necesarias para el desarrollo de la capacidad cibernética en Colombia.
El 11-abr-16, el Estado aprobó la nueva PolÃtica Nacional de Seguridad Digital, la cual articula una visión estratégica, promoviendo la participación de múltiples actores.
Como resultado directo, Colombia es el primer paÃs de América Latina, y uno de los primeros en el mundo, en incorporar plenamente las recomendaciones y mejores prácticas internacionales en materia de gestión de riesgos de seguridad digital emitidas recientemente por la Organización para la Cooperación y el Desarrollo Económicos (OCDE).
La mencionada polÃtica definió en su plan de acción que la CRC debÃa realizar una revisión del marco normativo del sector TIC en materia de seguridad de las comunicaciones. Por tanto, la CRC incluyó dentro de su Agenda Regulatoria 2017-2018 el proyecto denominado “Revisión del marco regulatorio para la gestión de riesgos de seguridad digitalâ€.
Leave a reply