Encuentro digital organizado por la Dirección de Vigilancia, Inspección y Control del Ministerio de Tecnologías de la Información y Comunicaciones, con el propósito de generar un espacio de conocimiento y aprendizaje sobre las generalidades que rigen a los proveedores de redes y servicios de telecomunicaciones, entre ellos, las normas regulatorias descritas en la resolución 2710 del 2010 y 3401 de 2021.

El Ministerio de las Tecnologías de la Información y las Comunicaciones expidió la Resolución 1126 de 2021 «Por la cual se modifica la Resolución 2710 de 2017, por la cual se establecen lineamientos para la adopción del protocolo IPv6». Allí se establece nuevos plazos para continuar con el proceso de transición y adopción del nuevo protocolo IPv6 por parte de las entidades del orden nacional y territorial.

Documentos IPv6

https://www.mintic.gov.co/portal/inicio/Micrositios/Documentacion-sobre-IPv6/Documentos-IPv6/

El sistema de nombres de dominio DNS (Domain Name System), es un sistema de nomenclatura jerárquica que permite a los usuarios de Internet utilizar nombres en vez de tener que recordar direcciones IP numéricas.

Las consultas DNS son transmitidas en texto plano y pueden revelar no sólo qué sitios web visita una persona, sino también datos sobre otros servicios brindados en ciertos dominios. Esto facilita la recopilación de información sensible de los usuarios con fines indeseados.

Con el fin de mejorar la privacidad en el DNS, en el IETF se han discutido y creado diversos protocolos tales como el DNS Query Name Minimisation (Qname), DNS-over-TLS (DoT), DNS over Datagram Transport Layer Security (DTLS) DNS-over-HTTPS (DoH), y otras ideas en desarrollo como DNS-over-Quic (DoQ).

En este panel sobre Privacidad en el DNS intercambiaremos opiniones sobre los beneficios y riesgos que podrían darse a partir de la utilización masiva de estos protocolos.

Moderador
Cesar Diaz, Líder de Asuntos de Telecomunicaciones, LACNIC

Panelistas
Carlos Martinez, CTO, LACNIC
Cristine Hoepers, General Manager, CERT.br
Hugo Salgado, Investigación y Desarrollo, NIC Chile
Nicolás Antoniello, Regional Technical Engagement Manager, ICANN

las empresas están cada vez más expuestas a las amenazas de ciberseguridad es una realidad. Y este es un motivo más que suficiente para que las empresas y los usuarios tomen medidas con el fin de proteger sus sistemas. Desde la instalación de software de seguridad, auditorías y formación de los empleados y usuarios, hasta la adopción de medidas de seguridad físicas.

En cualquier caso, es de vital importancia que los empleados sean conscientes de las amenazas a las que están expuestos sus sistemas. Por eso, un primer paso es conocer qué es la seguridad informática y cómo implementarla en tu empresa o tu casa.

Qué es la seguridad informática

La seguridad informática es una rama de la seguridad que se dedica a proteger los sistemas informáticos de amenazas externas e internas. Las amenazas externas son aquellas que provienen del entorno exterior en el que se encuentra el sistema como, por ejemplo: ataques informáticos, virus, robos de información, etc. Las amenazas internas son aquellas que provienen del propio sistema, como: errores humanos, exposición pública de credenciales, fallos o desactualizaciones en el software y fallos en el hardware, entre otros.

Existen 4 pilares clave sobre los que se apoya la seguridad informática:

• Disponibilidad. Los sistemas deben permitir el acceso a la información cuando el usuario lo requiera, sin perder de vista la privacidad.
• Confidencialidad. La información solo debe ser accesible para las personas autorizadas.
• Integridad. Los sistemas deben garantizar la integridad de la información, sin errores ni modificaciones.
• Autenticación. La información que procede de un usuario debe verificarse para garantizar que es quien dice ser.

Sin embargo, la seguridad informática no se refiere únicamente a los ordenadores de tu empresa, sino a multitud de elementos y sistemas: redes informáticas, backup, dominios, direcciones email, servidores, redes VPN… ¿Cómo los estás protegiendo?

¡Sigue leyendo para aprender a garantizar la seguridad informática de todos tus sistemas!

5 pasos para implementar la seguridad informática en una empresa

La seguridad informática es una asignatura pendiente para muchas empresas. Más de 40.000 ciberataques impactan diariamente en las administraciones y pymes. Sin embargo, la implementación de soluciones de ciberseguridad requiere el apoyo de un proveedor experto en la materia.

Presta atención a los pasos para implementar la seguridad informática:

1. Definir la estrategia de seguridad informática. En ella no puede faltar la protección de la información mediante contraseñas, cifrado de datos, uso de firewalls, antivirus, etc. Una buena forma de definir esta estrategia, es hacer una auditoría de ciberseguridad interna tipo “GAP Análisis” del SGSI (Sistema de Gestión de la Seguridad Interna) respecto a alguna normativa de seguridad como, por ejemplo, ISO27001
2. Establecer políticas de seguridad. Deben estar orientadas a proteger la información y los activos de la compañía. Entre las medidas que se pueden tomar se encuentran: política de contraseñas segura y actualizada, protección de datos o limitación de acceso a la información. Este paso se simplifica enormemente si has realizado la Auditoría GAP Análisis que indicábamos en el paso anterior.
3. Diseñar un plan de acción. La empresa debe tener un plan de respuesta ante incidentes de seguridad para actuar rápidamente en caso de que se produzca un ataque. Puedes hacerlo por tu cuenta o contratar un servicio gestionado por profesionales que se encarguen de ello.
4. Implementar el plan de acción. Llevar a la práctica las medidas establecidas para proteger los datos de la empresa frente a posibles amenazas. Los planes hay que probarlos y hacer simulacros periódicos para asegurarte de que el plan funciona.
5. Monitorear y evaluar el plan de acción. Verificar que se está siguiendo el plan y que se está cumpliendo los objetivos de seguridad. Esta tarea es engorrosa, pues se trata de medir y evaluar si los controles para verificar el estado de ciberseguridad funcionan y, en su caso, poder tomar acciones correctivas. Afortunadamente, existen en el mercado herramientas de cibercumplimiento que lo hacen de forma automática.

Esto no es todo. También debemos definir y aplicar una serie de medidas. Sigue leyendo para descubrir de qué se trata.

Consejos y medidas de seguridad informática

“El único sistema completamente seguro es aquel que está apagado, encerrado en un bloque de cemento y sellado en una habitación rodeada de alambradas y guardias armados”. La frase la pronunció Stewart Kirkpatrick, abogado canadiense.

Teniendo en cuenta que no nos queda más remedio que afrontar los riesgos de ciberseguridad con medidas sólidas, aquí te traemos algunas de las más recomendadas:

1. No abrir correos electrónicos de procedencia desconocida, ni descargar archivos adjuntos de estos, o abrir archivos sospechosos.
2. Controlar el acceso a la información, estableciendo quién y cómo debe autorizar el acceso. Asigna permisos según perfiles: gestiona la Identidad
3. Realizar copias de seguridad para proteger la información almacenada.
   
4. No visitar páginas web sospechosas.
5. Cifrar la información sensible. Por ejemplo: datos personales y bancarios
6. No descargar programas sospechosos.
7. Evitar compartir información personal o confidencial sin verificar su procedencia.
8. Utilizar contraseñas seguras robustas con doble factor de autenticación y no compartirlas con otros miembros de la organización.
9. Activar los cortafuegos y el antivirus.
10. Mantener actualizados los programas y el sistema operativo.
11. Evitar el uso de redes inalámbricas no protegidas.
12. Implementar un software integral de seguridad.
13. Conocer la política de seguridad y privacidad del proveedor.
14. Definir los servicios cloud permitidos.

Prescindir de las medidas de seguridad informática supone un riesgo muy elevado para cualquier empresa, independientemente de su tamaño o sector.

Conclusiones sobre la seguridad informática

Tomar cartas en el asunto de la seguridad es sinónimo de proteger la información contra el acceso no autorizado, la pérdida o el robo. Pero también lo es proteger la reputación, evitar que se publique información sensible o confidencial y cumplir con las regulaciones sobre privacidad y protección de datos.

Ahora que ya sabes qué es la seguridad informática, recuerda que no es una opción, es una obligación que ayuda a prevenir ciberataques, uno de los principales riesgos para las empresas en la actualidad. Pueden dañar seriamente la infraestructura de las organizaciones, así como la seguridad de los empleados, clientes y proveedores. Por esta razón, es importante que las empresas estén dotadas de las herramientas necesarias para responder a estas amenazas.

Recuerda que la ciberseguridad es una prioridad para las empresas. En cuestiones de información, empleados y clientes, la protección debe ser lo primero. Las amenazas de ciberseguridad son cada vez mayores para pymes, micropymes y grandes empresas, ya que los ciberdelincuentes buscan vulnerabilidades para robar información.

No lo dudes, tu empresa va a sufrir un ataque. ¿Conoces los riesgos de ciberseguridad a los que está expuesta tu empresa? ¿Dispones de barreras de seguridad informática? ¿Te preocupa la seguridad de la información que almacenas en tus sistemas?

fuente: Cibernos.

La entidad expidió la Resolución 746 de 2022, a través de la cual se crea una nueva normativa que adiciona lineamientos y estándares relacionados con los proveedores de productos y servicios de seguridad digital y con la Protección de los Datos Personales.

El Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC) publicó la Resolución 746 del 11 de marzo de 2022, «por la cual se fortalece el Modelo de Seguridad y Privacidad de la Información y se definen lineamientos adicionales a los establecidos en la Resolución No. 500 de 2021».

La necesidad de esta adición obedece a que algunos de los sistemas de información en la nube procesan datos personales y su tratamiento en este tipo de entornos informáticos es mayor, así como el número de oportunidades en las que una entidad estatal necesita cooperar con otras entidades o proveedores en relación con el tratamiento de datos personales.

Tras la coyuntura que se ha presentado en el último año (a raíz de la pandemia), con el aumento en la digitalización de las actividades diarias se ha logrado identificar que para dar cumplimiento a las obligaciones previstas en el Modelo de Seguridad y Privacidad de la Información, las entidades públicas requieren de la adquisición de productos y servicios de múltiples proveedores.

Situación que, en la mayoría de las ocasiones, facilita el acceso directo o indirecto a la información y a los sistemas de información de las entidades adquirientes, o proporcionan elementos (software, hardware, procesos o recursos humanos) que están involucrados en el procesamiento de la información. Lo anterior, conlleva al incremento en las brechas, frente a los riesgos de seguridad de la información entre las entidades.

De allí, surge la necesidad de evaluar y tratar los riesgos de Seguridad Digital de los diferentes actores que intervienen en el proceso de contratación, mediante una gestión adecuada de la seguridad de la información y la implementación de los controles pertinentes. Es por ello que estos riesgos deben ser evaluados y tratados tanto por las entidades como por las organizaciones proveedoras, mediante una gestión adecuada de la seguridad de la información y la implementación de los controles identificados.

Al respecto, la ministra de las Tecnologías de la Información y las Comunicaciones, Carmen Ligia Valderrama Rojas, precisó que «las entidades estatales necesitan tener mayor conciencia de la responsabilidad legal o contractual frente a la protección de datos, aunque la información sea tratada por un proveedor. Con esta resolución, el Ministerio TIC busca mitigar los riesgos activos y proteger la información».

Tras este requerimiento, el Ministerio de las Tecnologías de la Información y las Comunicaciones amplía la normativa para las entidades, sus líderes y sus proveedores, con el objetivo de mantener la seguridad de la información. Además, se complementan las guías que forman parte del Modelo de Seguridad y Privacidad de la Información (MSPI) y que señalarán la hoja de ruta sobre los aspectos más relevantes a tener en cuenta en las relaciones con proveedores de productos y servicios de seguridad digital para las entidades del Estado.

Frente a este punto, la normativa señala que las entidades deberán mantener la seguridad de la información durante el período de ejecución de la relación con el proveedor teniendo en cuenta aspectos como: evaluar el impacto del cambio en el suministro del producto o servicio cuando haya sido previamente operado o fabricado por la entidad o por un proveedor diferente; capacitar al personal involucrado en los requisitos de seguridad de la información definidos en el contrato con el proveedor; gestionar cambios e incidentes que puedan tener impactos en la seguridad de la información en el suministro del producto o servicio; así como, supervisar y asegurar el cumplimiento de las disposiciones de seguridad de la información definidas en el contrato con el proveedor.

Desde el Ministerio TIC seguimos motivando estrategias y acciones en pro de proteger la confidencialidad, integridad y disponibilidad de la información, con un enfoque de mitigación de riesgos y una definición clara de los roles y responsabilidades al interior de las entidades.

Resolución No. 746 del 2022

Anexo 2: Relación con proveedores

El señor Samuel es un emprendedor como yo, en su arte como carpintero ha logrado sacar adelante su familia, Hoy instalamos internet en su vivienda ubicada en la vereda el Guayabal municipio de Contratación Santander

Somos una empresa 100% Contrateña Legal y gracias a todas las personas y empresas que nos apoyan es que podemos crecer y llegar a los mas necesitados, las inversiones se hacen en nuestra comunidad y podemos favorecer a los necesitados.