La Comisión de Regulación de Comunicaciones (CRC) ha publicado para comentarios (24-nov-17) su propuesta regulatoria para modificar el régimen de calidad de servicio con respecto a las disposiciones en materia de seguridad de redes (incluida en el Capítulo 1 del Título V de la resolución compilada).

Propuesta

La CRC propone (mediante resolución) o recomienda lo siguiente:

1. Aspectos asociados a las redes de los proveedores de redes y servicios de telecomunicaciones (PRST):

• Seguridad de red: los operadores deben implementar un sistema de gestión de seguridad de la información (SGSI), ajustando los procesos de los PRST para que estos permitan gestionar de manera eficiente la información, y asegurar la integridad, confidencialidad y disponibilidad de los datos (plazo hasta el 01-ene-19)
• Información de incidentes de seguridad: para generar un reporte estadísticamente relevante de los incidentes, los PRST deben determinar, almacenar y tener a disposición de las autoridades pertinentes la información sobre los incidentes de seguridad o de pérdida de integridad de la red que hayan afectado de manera significativa su base de usuarios
• Colaboración interinstitucional: se recomienda a los equipos de seguridad, equipos de respuesta a incidentes informáticos (CERTs/CSIRTs) y centros de operación de seguridad (SOC) de los proveedores de servicios de comunicaciones, establecer mecanismos que permitan la coordinación de los esfuerzos de respuesta entre las partes involucradas en los incidentes
• Mejores prácticas operacionales recomendadas por la Internet Society: se recomienda a los operadores de comunicaciones considerar la implementación de las mejores prácticas de operaciones BCP-38, BCP-194, adopción del protocolo IPv6 y adopción del protocolo DNSSEC

2. Aspectos asociados con el Ministerio de las Tecnologías de la Información y las Comunicaciones (MINTIC):

• Vigilancia y control de las medidas: se recomienda a la División de Vigilancia y Control del MINTIC desarrollar y discutir con las múltiples partes interesadas, un documento de verificación y vigilancia de los controles específicos para evaluar la efectiva implementación de los SGSI propuestos
• Sobre la iniciativa IPv6: adicional a los lineamientos para la adopción del protocolo IPv6 (03-oct-17), es importante que el MINTIC continúe la actividad de promoción en el sector privado y en los PRST
• Recomendación a usuarios: es importante que el MINTIC continúe generando conciencia a los usuarios de telecomunicaciones respecto al uso adecuado de Internet. Así, iniciativas del Gobierno como “Ciudadanía Digital” y “En TIC Confío” son estrategias que abren espacios para educar al ciudadano en torno al buen uso de internet

3. Recomendaciones a colCERT/CCP/CCOC: se recomienda que el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (colCERT) desarrolle protocolos específicos para el intercambio de información con los equipos de respuesta a incidentes de seguridad (CSIRT) y los equipos de seguridad del sector de las telecomunicaciones, de manera que pueda incrementarse de manera orgánica el nivel de cooperación actual

Antecedentes

El 23-jul-11, el Consejo Nacional de Política Económica y Social (CONPES) estableció los lineamientos de política para ciberseguridad y ciberdefensa, bajo los auspicios del MINTIC, el Ministerio de Defensa Nacional, el Departamento Nacional de Planeación (DNP) y otras instituciones nacionales clave. Esta estrategia se centró en el establecimiento de instituciones nacionales necesarias para el desarrollo de la capacidad cibernética en Colombia.

El 11-abr-16, el Estado aprobó la nueva Política Nacional de Seguridad Digital, la cual articula una visión estratégica, promoviendo la participación de múltiples actores.

Como resultado directo, Colombia es el primer país de América Latina, y uno de los primeros en el mundo, en incorporar plenamente las recomendaciones y mejores prácticas internacionales en materia de gestión de riesgos de seguridad digital emitidas recientemente por la Organización para la Cooperación y el Desarrollo Económicos (OCDE).

La mencionada política definió en su plan de acción que la CRC debía realizar una revisión del marco normativo del sector TIC en materia de seguridad de las comunicaciones. Por tanto, la CRC incluyó dentro de su Agenda Regulatoria 2017-2018 el proyecto denominado “Revisión del marco regulatorio para la gestión de riesgos de seguridad digital”.