Vision of information security in the Bolivarian Republic of Venezuela

The Superintendence of Electronic Certification Services (SUSCERTE), organism assigned to the Ministry of the Popular Authority on Telecommunications and Information of the Bolivarian Republic of Venezuela, aware of the need for education and training of Institutions in the Security of Information, has the goal of implementing a Model for the Management of Telematic Risks that take into account the processes, methodologies and policies for an adequate management of these risks in the Institutions of the country, so that we can ensure that the information in the networks and public systems and particularly in the more critical organisms.

Note of the editor: Article only available in Spanish.

1.         OBJETIVO

El presente documento es de carácter informativo y tiene como objetivo presentar los avances de la República Bolivariana de Venezuela (RBV) en materia de Seguridad de la Información.

2.         RESUMEN

La Superintendencia de Servicios de Certificación Electrónica (SUSCERTE), organismo adscrito al Ministerio del Poder Popular para las Telecomunicaciones y la Informática de la RBV, consciente de la necesidad de la formación y capacitación de las Instituciones en la Seguridad de la Información, persigue la implantación de un Modelo de Gestión de Riesgos Telemáticos que contemple los procesos, metodologías y políticas para una gestión adecuada de estos riesgos en las Instituciones del Estado Venezolano, que permita asegurar el activo de información en las redes y sistemas públicos, y particularmente en aquellos organismos de mayor criticidad. Igualmente, esta consciencia ha llevado a que esta superintendencia se encuentre trabajando en la Creación del Centro de Respuesta ante Incidentes Telemáticos denominado VENCERT, el cual tiene por misión la prevención, detección y gestión de los incidentes producidos en los Sistemas de Información del Estado y de los Sistemas de Información de las entidades gestoras de Infraestructuras Críticas de la Nación.  Por más que las entidades públicas cuenten con sistema de seguridad, ello no implica que están exentos de la ocurrencia de incidentes que violen o aprovechen vulnerabilidades presentes en los mecanismos de seguridad instalados.

Como complemento al VENCERT, SUSCERTE está apalancando al Centro Nacional de Informática Forense (CENIF), centro de alto nivel para la colección, preservación, análisis y presentación de evidencias relacionadas con la tecnología de la información que apoyará las investigaciones judiciales en esta materia, que brinde confiabilidad, integridad, seguridad y estabilidad del proceso forense.

Todos estos proyectos apuntan a fomentar una cultura de Seguridad de la Información dentro de las Instituciones que conforman el Estado Venezolano y atender las tres perspectivas más importantes en materia de seguridad, un ambiente administrado con criterios de seguridad, que acepta la posibilidad de ocurrencia de incidentes de seguridad que hay que atender y administrar sus consecuencias y análisis, y que eventualmente pueden estar asociados a hechos delictivos.

3.         VISIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN LA REPÚBLICA BOLIVARIANA DE VENEZUELA

La Superintendencia de Servicios de Certificación Electrónica, en el marco del cumplimiento de sus atribuciones en materia de Seguridad de la Información dentro de la RBV, se encuentra impulsando distintas iniciativas que conllevarán a la protección de la información manejada por los diferentes organismos y entes de la Administración Pública Nacional.

A continuación se describen los proyectos que se están desarrollando en esta área:

GESTIÓN DE RIESGO TELEMÁTICO

Con la ejecución de este proyecto, se propone implantar un modelo de gestión de riesgos telemáticos que contemple los procesos, metodologías y políticas para una gestión adecuada de estos riesgos en las Instituciones del Estado Venezolano, y así poder estructurar adecuadamente la seguridad de la información en los sistemas y redes de comunicación de las Infraestructuras Críticas Nacionales.

Esta situación generará inicialmente organismos con mayor consciencia de la seguridad telemática y con un mejor tratamiento de los riesgos y sus posibles incidentes, y servirán de referencia obligado para impulsar la implementación del modelo en el resto de la organización de la administración pública.

Dentro del proyecto se ha considerado la incorporación de un modelo de madurez de la seguridad telemática, que permitirá establecer el nivel o meta a alcanzar con el proyecto, y a futuro definir metas mucho más exigentes que vayan hacia instalaciones cada vez más segura y que presten una información más confiable, para aquellas instituciones que incorporen el modelo para la gestión de su ambiente telemático.

Paralelamente a estos logros y como resultado de las actividades de capacitación previstas en el desarrollo del proyecto, se contará con un mayor número de personas con la competencia para el cuidado de los niveles de seguridad requeridos en la administración pública y la gestión de los riesgos telemáticos.

OBJETIVOS ESPECÍFICOS

·               Desarrollar  un Sistema de Clasificación de Activos Telemáticos en el Estado Venezolano.

·               Definir el Modelo de Gestión de Riesgo Telemático para el Estado Venezolano, y sus procesos, mecanismos y regulaciones.

·               Establecer los requerimientos de seguridad telemática mínimos a ser utilizados en las instituciones del Estado.

·               Diseñar mecanismo para la asistencia técnica a los organismos del estado en la incorporación de políticas, procesos y controles para la gestión de los riesgos telemáticos y la gestión de seguridad telemática.

·               Implantar en una muestra piloto de organismos del Estado Venezolano el modelo, procesos y mecanismos para la gestión de la seguridad y el riesgo telemático.

·               Desarrollar y ejecutar un plan de capacitación y concienciación al personal responsable de la seguridad telemática en la Administración Pública Nacional.

·               Elaborar un plan de implementación para que los organismos puedan administrar la implantación del modelo, procesos y controles para la gestión del riesgo telemático.

VENCERT

Otra de las estrategias para afianzar el desarrollo de la seguridad de la información es el desarrollo del VENCERT, un centro con el fin de prevenir, detectar y gestionar los incidentes producidos en los Sistemas de Información del Estado y de los Sistemas de Información de las entidades gestoras de Infraestructuras Críticas (IC) de la Nación.

FUNCIONES

·               Prevención, detección y gestión de los incidentes generados en los Sistemas de Información de la Administración Pública Nacional (APN) y entidades gestoras de Infraestructuras Críticas de la Nación.

·               Punto principal de coordinación de otros centros de gestión de incidentes a nivel nacional e internacional.

·               Asesoramiento, apoyo y formación en materia de seguridad a los diferentes responsables de TI en organismos de la APN o de entidades gestoras de la gestión de Infraestructuras Críticas Nacionales.

·               Coordinación de iniciativas públicas o privadas relativas a seguridad de las TIC en el Estado, materializadas a través de proyectos I+D, acciones de formación y sensibilización, elaboración de políticas normas o guías, tanto para beneficio de la comunidad (APN e IC Nacionales), como para la mejora de los servicios prestados por el centro.

SERVICIOS

Los servicios que ofrecerá el VENCERT se clasifican en dos grandes grupos: los reactivos y los proactivos. En cuanto a los servicios reactivos se cuentan el manejo de incidentes y el manejo de vulnerabilidades, mientras que dentro de los proactivos están los siguientes: Sistema de Alerta Temprana, Alertas y avisos, Formación / Comunicación, Observatorio Estadístico.

El Centro prestará sus servicios a:

·               Administraciones Públicas Nacionales: Entes ministeriales, organismos adscritos y resto de organismos administrativos de carácter general del Estado o de ámbito local.

·               Sector Público dedicados a la Gestión de Infraestructuras Críticas: se entiende por IC aquellas instalaciones, sistemas y redes, así como servicios y equipos físicos y de tecnología de la información cuya  inhabilitación o destrucción tendría un impacto negativo sobre la población, la salud pública, la seguridad económica, el medio ambiente, la gobernabilidad democrática o el eficaz funcionamiento del Estado.

Como resultado colateral, el ciudadano y las empresas privadas serán  beneficiarias también de las acciones de divulgación realizadas por medios públicos.

CENTRO NACIONAL DE INFORMÁTICA FORENSE (CENIF) 

En nuestro país es necesario fortalecer las capacidades nacionales, mecanismos y estructuras que apoyen los procesos de investigación judicial en materia de delitos informáticos, especializados en la captura, preservación, procesamiento y análisis de la evidencia digital. El objetivo primordial de este proyecto es desarrollar un centro de alto nivel en Informática Forense, que apoye las investigaciones judiciales en materia de delitos informáticos.

OBJETIVOS ESPECÍFICOS

·               Desarrollar un modelo de Implantación y Funcionamiento del Centro Nacional de Informática Forense.

·               Desarrollar el procedimiento para la obtención, análisis y presentación de la prueba electrónica y los requisitos para su admisibilidad.

·               Coordinar acuerdos de cooperación con los diversos organismos judiciales del Estado Venezolano, para el análisis de la legislación existente en materia de prueba electrónica.

·               Articular esfuerzos con los organismos de investigación judicial del Estado Venezolano para la formación y apoyo técnico en delitos informáticos

·               Desarrollar y ejecutar un plan de formación en Informática Forense para los entes de investigación judicial

·               Coordinar acciones de cooperación técnica internacional en materia de delitos informáticos.

SERVICIOS

Entre los servicios que prestará el CENIF, podemos mencionar los siguientes:

·               Colección, Procesamiento y Análisis de la Evidencia Digital: El proceso implica en primer lugar, analizar dónde y cómo han sido creadas las pruebas y a partir de esta información, seleccionar el o los métodos y procedimientos manuales y automatizados de colección de la evidencia digital más adecuados que garanticen que no sea alterada, modificada o dañada.

·               Recuperación de Datos: recuperar archivos o fragmentos que han sido borrado o modificado.

·               Análisis forense de teléfonos celulares: Este proceso consiste en la colección de información almacenada en teléfonos celulares tales como mensaje de texto, lista de direcciones, historial de llamadas, calendario, imágenes, etc.

·               Consultoría: Asesorar a los organismos de la Administración Pública Nacional sobre las metodologías y procedimientos a seguir para la colección, análisis y preservación de la evidencia digital.