MITIC en su carácter de entidad técnica e instancia rectora en el ámbito de las TIC y ciberseguridad del Poder Ejecutivo,
informa y recuerda los lineamientos de utilidad para todos los OEE.
La presente Resolución tiene por objeto reglamentar los procedimientos aplicables para la emisión de la autorización e implementación de mecanismos de centralización, de procesos de contrataciones públicas en el ámbito de la comunicación estatal y las tecnologías de la información y comunicación (TIC), por parte del Ministerio de Tecnologías de la Información y Comunicación (MITIC)
Listado de Códigos de Catálogo cuyos procesos de contratación requieren autorización previa del MITIC:
Declara de interés nacional la aplicación y el uso de las Tecnologías de la Información y Comunicación (TIC) en la gestión pública, se define la estructura mínima con la que deberá contar y se establecen otras disposiciones para su efectivo funcionamiento
Decreto Nro. 6.234/2016
- Todo OEE debe contar con un área única especializada en TIC (con rango de Dirección General o equivalente) dependiente directo de la Máxima Autoridad Institucional.
- Dicha área de TIC es la única responsable de diseñar, desarrollar, mantener y mejorar los sistemas de TIC e infraestructura tecnológica, así como de las adquisiciones de TIC
Aprueba el modelo de gobernanza de seguridad de la información en el Estado
Resolución MITIC N° 733/2019
- Todo OEE debe contar con un Área de Seguridad de la Información que reporte directamente a la Máxima Autoridad Institucional, transversal a todas las áreas de la Institución.
- Se definen objetivos, roles, competencias y responsabilidades.
- No debe depender del área de TIC o tecnología, debiendo haber independencia pero trabajar de manera coordinada. No sustituye a las áreas de Seguridad TIC y/o otras áreas operativas.
¡Importante!
El listado de Responsables de Seguridad de la Información vigentes a la fecha puede verificarse en: https://www.cert.gov.py/rsi/, y se solicita a cada OEE enviar sus nuevas designaciones de Responsables de Seguridad de la Información en: servicios.mitic.gov.py completando los datos solicitados. En caso de no recibir nota de designación se asumirán las designaciones vigentes.
Actualizan los criterios mínimos de seguridad para el desarrollo y adquisición de software
Resolución MITIC N° 699/2019
- Todo sistema o componente de software gubernamental debe ser diseñado y desarrollado conforme los criterios mínimos de seguridad indicados en dicha Resolución. Estos criterios son aplicables al software desarrollado internamente por las instituciones públicas, adquirido de una empresa o desarrollador tercerizado y/o a través de donaciones a la institución.
- Es obligatorio realizar auditorías o verificación de vulnerabilidades para todo sistema de software gubernamental nuevo antes de entrar a producción. La verificación de seguridad podrá ser realizada internamente por la institución, o a través de una auditoría externa.
- Todo sistema de software gubernamental existente debió haber pasado por una auditoría de vulnerabilidades. Todo OEE que cuente con un sistema de software desarrollado a medida y en producción, que nunca haya pasado por una auditoría de vulnerabilidades, debe regularizar la situación en un plazo no mayor a 6 (seis) meses de la presente Circular.
- En caso de que el OEE no cuente con recursos propios para hacerlo, debe solicitar el servicio al MITIC, a través de https://servicios.mitic.gov.py – Opción “Auditoría de Vulnerabilidades de Sitios Web (CERT-PY).
Lineamientos de Gobierno Electrónico
Resolución MITIC N° 553/2024
- Identidad Electrónica
- Botón de Pagos del Gobierno
- Sistema de Intercambio de Información
- Gestión de Documentos en Línea
- Certificado electrónico no cualificado y Firma Electrónica
- Expediente Electrónico
- Sistema de Intercambio de Expedientes Electrónicos
- Página o sitio web institucional
- Dominios
- Correos electrónicos institucionales
- Datos Abiertos, Información Pública y Transparencia
- Trámites en Línea
- Digitalización de un Trámite
- Plan de Adecuación de Digitalización de Trámites
- Participación Ciudadana por medios electrónicos (e-Participacion)
- Adquisición de Software
- Evaluación de madurez de Gobierno Electrónico
Controles críticos de ciberseguridad
Resolución MITIC N° 277/2020
- Toda institución pública debe adoptar los Controles Críticos de Ciberseguridad como línea base, cumpliendo mínimamente los Controles Básicos.
- Toda institución pública debe realizar un diagnóstico o evaluación anual, como mínimo, en base a este estándar.
- De acuerdo con la Circular VTIC Nro. 01/2021 se estableció el Sistema de Autodiagnóstico de Controles Críticos como instrumento para dicho diagnóstico, con fecha límite 30/06/2021 para el primer diagnóstico. Toda institución que no haya realizado al menos un diagnóstico, deberá regularizar la situación en un plazo no mayor a 6 (seis) meses desde la presente Circular.
- Todas las instituciones deben programar la actualización del diagnóstico a lo largo del presente año 2023.
Plan Nacional de Ciberseguridad
El Plan Nacional de Ciberseguridad es un documento estratégico que sirve como fundamento para la coordinación de las políticas públicas de ciberseguridad, integrando a todos los sectores en el desarrollo de las tecnologías de la información y comunicación (TIC) en un ambiente cibernético confiable y resiliente.
Plan Nacional TIC 2022 – 2030
El propósito del Plan Nacional TIC 2022 – 2030 es construir un país conectado, digitalizado y seguro, en el que la eliminación de las brechas en el acceso a las Tecnologías de la Información y Comunicación (TIC) garanticen el acceso plural a todos los servicios del Estado, la transparencia en la gestión pública y la competitividad de la economía en términos del fortalecimiento del talento humano con habilidades básicas y avanzadas, así como, la producción de bienes y servicios TIC y la transformación digital de todos los sectores económicos.
Toda institución pública que utilice los servicios de alojamiento (web compartido, VPS o VDC) y/o de provisión de servicio de correo electrónico debe cumplir con los términos y condiciones que se han aceptado al momento de la solicitud del servicio, incluyendo, pero no limitado, a:
- Designar formalmente a un contacto técnico, quien deberá ser funcionario nombrado o contratado de la institución, para todas las gestiones relativas al servicio y mantener actualizada dicha información.
- Configurar, administrar y mantener actualizado los componentes de software que se hayan definido como responsabilidad de la institución cliente, según sea el caso y el servicio acordado.
- Los términos y condiciones de los servicios pueden encontrarse aquí:
● Servicio de provisión de correo electrónico
● Servicio de provisión de hosting
● Servicio de provisión de VDC - Para asistencias técnicas relacionadas a servicios provistos por el MITIC pueden ser solicitadas mediante tickets en https://soporte.mitic.gov.py o enviando un correo a noc@mitic.gov.py.
Todo sistema o proyecto crítico de TIC nuevo que aborde un OEE, y que requiera algún tipo pedido de soporte o de asistencia técnica del MITIC, debe ser notificado obligatoriamente, con al menos (15) días de antelación a su lanzamiento a fin de tomar los recaudos, controles, y sugerencias necesarias previa:
- Pruebas de usabilidad
- Pruebas de performance
- Pruebas de conectividad / stress
- Auditoría de vulnerabilidades
-
- En caso de que algún pedido amerite un tratamiento con carácter urgente se deberá indicar en forma específica en la solicitud.
- El MITIC solamente proveerá servicios y asistencias a los OEE que cumplan con los criterios requeridos, debiendo remitir toda la documentación solicitada (contrato, decreto y/o resolución de nombramiento de los responsables de las áreas de TIC y/o Responsables de Seguridad de la Información), pudiendo suspender temporalmente los servicios que no remitan dicha información solicitada.
Otras directivas y lineamientos vigentes:
- Reglamento de Reporte obligatorio de incidentes cibernéticos de seguridad en el Estado
(Resolución MITIC Nro. 346/2020). - Directivas de Ciberseguridad para Canales de Comunicación oficiales del Estado
(Resolución MITIC Nro. 432/2019). - Directivas para protección de la amenaza de incidentes cibernéticos de ransomware
(Circular MITIC Nro. 01/2021). - Registro de Inventario de Activos TIC de OEE.
Dicho inventario deberá ser actualizado en el Sistema de Administración: https://admin.paraguay.gov.py(Circular MITIC Nro. 03/2022).