Lineamientos TIC

MITIC en su carácter de entidad técnica e instancia rectora en el ámbito de las TIC y ciberseguridad del Poder Ejecutivo,
informa y recuerda los lineamientos de utilidad para todos los OEE.

Declara de interés nacional la aplicación y el uso de las Tecnologías de la Información y Comunicación (TIC) en la gestión pública, se define la estructura mínima con la que deberá contar y se establecen otras disposiciones para su efectivo funcionamiento
Decreto Nro. 6.234/2016

  1. Todo OEE debe contar con un área única especializada en TIC (con rango de Dirección General o equivalente) dependiente directo de la Máxima Autoridad Institucional.
  2. Dicha área de TIC es la única responsable de diseñar, desarrollar, mantener y mejorar los sistemas de TIC e infraestructura tecnológica, así como de las adquisiciones de TIC

Aprueba el modelo de gobernanza de seguridad de la información en el Estado
Resolución MITIC N° 733/2019

  1. Todo OEE debe contar con un Área de Seguridad de la Información que reporte directamente a la Máxima Autoridad Institucional, transversal a todas las áreas de la Institución.
  2. Se definen objetivos, roles, competencias y responsabilidades.
  3. No debe depender del área de TIC o tecnología, debiendo haber independencia pero trabajar de manera coordinada. No sustituye a las áreas de Seguridad TIC y/o otras áreas operativas.​​​​

¡Importante!

El listado de Responsables de Seguridad de la Información vigentes a la fecha puede verificarse en: https://www.cert.gov.py/rsi/, y se solicita a cada OEE enviar sus nuevas designaciones de Responsables de Seguridad de la Información en: servicios.mitic.gov.py completando los datos solicitados. En caso de no recibir nota de designación se asumirán las designaciones vigentes.

Actualizan los criterios mí­nimos de seguridad para el desarrollo y adquisición de software
Resolución MITIC N° 699/2019

  1. Todo sistema o componente de software gubernamental debe ser diseñado y desarrollado conforme los criterios mínimos de seguridad indicados en dicha Resolución. Estos criterios son aplicables al software desarrollado internamente por las instituciones públicas, adquirido de una empresa o desarrollador tercerizado y/o a través de donaciones a la institución.
  2. Es obligatorio realizar auditorías o verificación de vulnerabilidades para todo sistema de software gubernamental nuevo antes de entrar a producción. La verificación de seguridad podrá ser realizada internamente por la institución, o a través de una auditoría externa.
  3. Todo sistema de software gubernamental existente debió haber pasado por una auditoría de vulnerabilidades. Todo OEE que cuente con un sistema de software desarrollado a medida y en producción, que nunca haya pasado por una auditoría de vulnerabilidades, debe regularizar la situación en un plazo no mayor a 6 (seis) meses de la presente Circular.
  4. En caso de que el OEE no cuente con recursos propios para hacerlo, debe solicitar el servicio al MITIC, a través de https://servicios.mitic.gov.py – Opción “Auditoría de Vulnerabilidades de Sitios Web (CERT-PY).

Lineamientos del Portal Único de Gobierno y Trámites en Línea
Resolución MITIC N° 218/2020

  1. Todas las cuentas de correo institucionales otorgadas a funcionarios deben estar asociadas al dominio institucional gov.py o equivalente, conforme fue otorgado por el NIC.py, al igual que la página web institucional.
  2. Los servidores de correo institucionales deben estar alojados en infraestructuras (datacenter, servidores físicos o virtuales, servicios de cloud) dentro del territorio nacional, ya sea mediante servicios gubernamentales o de empresas privadas.
  3. Se debe contar con políticas y procedimientos de administración, seguridad y uso aceptable.
  4. No se permite el uso de correos particulares (Gmail, Outlook/Hotmail, dominios propios .com, etc.).
  5. Los OEE que no cuentan con los recursos para implementar su propio servidor de correo, pueden recurrir al servicio de provisión de correo electrónico del MITIC, a través del portal https://servicios.mitic.gov.py.​​​​

Controles críticos de ciberseguridad
Resolución MITIC N° 277/2020

  1. Toda institución pública debe adoptar los Controles Críticos de Ciberseguridad como línea base, cumpliendo mínimamente los Controles Básicos.
  2. Toda institución pública debe realizar un diagnóstico o evaluación anual, como mínimo, en base a este estándar.
  3. De acuerdo con la Circular VTIC Nro. 01/2021 se estableció el Sistema de Autodiagnóstico de Controles Críticos como instrumento para dicho diagnóstico, con fecha límite 30/06/2021 para el primer diagnóstico. Toda institución que no haya realizado al menos un diagnóstico, deberá regularizar la situación en un plazo no mayor a 6 (seis) meses desde la presente Circular.
  4. Todas las instituciones deben programar la actualización del diagnóstico a lo largo del presente año 2023.

Plan Nacional de Ciberseguridad

El Plan Nacional de Ciberseguridad es un documento estratégico que sirve como fundamento para la coordinación de las políticas públicas de ciberseguridad, integrando a todos los sectores en el desarrollo de las tecnologías de la información y comunicación (TIC) en un ambiente cibernético confiable y resiliente.

Plan Nacional TIC 2022 – 2030

El propósito del Plan Nacional TIC 2022 – 2030 es construir un país conectado, digitalizado y seguro, en el que la eliminación de las brechas en el acceso a las Tecnologías de la Información y Comunicación (TIC) garanticen el acceso plural a todos los servicios del Estado, la transparencia en la gestión pública y la competitividad de la economía en términos del fortalecimiento del talento humano con habilidades básicas y avanzadas, así como, la producción de bienes y servicios TIC y la transformación digital de todos los sectores económicos.

Toda institución pública que utilice los servicios de alojamiento (web compartido, VPS o VDC) y/o de provisión de servicio de correo electrónico debe cumplir con los términos y condiciones que se han aceptado al momento de la solicitud del servicio, incluyendo, pero no limitado, a:

  1. Designar formalmente a un contacto técnico, quien deberá ser funcionario nombrado o contratado de la institución, para todas las gestiones relativas al servicio y mantener actualizada dicha información.
  2. Configurar, administrar y mantener actualizado los componentes de software que se hayan definido como responsabilidad de la institución cliente, según sea el caso y el servicio acordado.
  3. Los términos y condiciones de los servicios pueden encontrarse aquí:
    Servicio de provisión de correo electrónico​​​​​
    Servicio de provisión de hosting
    Servicio de provisión de VDC
  4. Para asistencias técnicas relacionadas a servicios provistos por el MITIC pueden ser solicitadas mediante tickets en https://soporte.mitic.gov.py o enviando un correo a noc@mitic.gov.py.

Todo sistema o proyecto crítico de TIC nuevo que aborde un OEE, y que requiera algún tipo pedido de soporte o de asistencia técnica del MITIC, debe ser notificado obligatoriamente, con al menos (15) días de antelación a su lanzamiento a fin de tomar los recaudos, controles, y sugerencias necesarias previa:

  1. Pruebas de usabilidad
  2. Pruebas de performance
  3. Pruebas de conectividad / stress
  4. Auditoría de vulnerabilidades
    • En caso de que algún pedido amerite un tratamiento con carácter urgente se deberá indicar en forma específica en la solicitud.
    • El MITIC solamente proveerá servicios y asistencias a los OEE que cumplan con los criterios requeridos, debiendo remitir toda la documentación solicitada (contrato, decreto y/o resolución de nombramiento de los responsables de las áreas de TIC y/o Responsables de Seguridad de la Información), pudiendo suspender temporalmente los servicios que no remitan dicha información solicitada.

Otras directivas y lineamientos vigentes:

  1. Reglamento de Reporte obligatorio de incidentes cibernéticos de seguridad en el Estado
    (Resolución MITIC Nro. 346/2020).
  2. Directivas de Ciberseguridad para Canales de Comunicación oficiales del Estado ​​​​​​
    (Resolución MITIC Nro. 432/2019).
  3. Directivas para protección de la amenaza de incidentes cibernéticos de ransomware
    (Circular MITIC Nro. 01/2021).
  4. Registro de Inventario de Activos TIC de OEE.
    Dicho inventario deberá ser actualizado en el Sistema de Administración: https://admin.paraguay.gov.py(Circular MITIC Nro. 03/2022).