Ubicación
La Gerencia de Gestión Incidentes Telemáticos (Vencert) se define como el brazo técnico estratégico del Estado venezolano, cuya responsabilidad es garantizar la soberanía tecnológica y la seguridad de la información. Su misión de salvaguardar los sistemas del Estado y las Infraestructuras Críticas se materializa a través de un modelo de gestión de riesgos.
Los encargados a nivel nacional de asegurar que las prácticas de tecnología y gestión de la seguridad sean usadas adecuadamente, así como resistir ataques en sistemas interconectados, limitar los daños que reciban estos sistemas y asegurar la seguridad en las infraestructuras de servicios críticos; son por sus siglas en ingles los CERT (Computer Emergency Response Team) – (Equipo de Respuesta a Incidentes Informáticos)
El equipo del Sistema Nacional de Gestión de Incidentes Telemáticos de Venezuela -VenCERT- coordinado desde esta Superintendencia tiene la competencia de detectar y gestionar los incidentes telemáticos generados en los sistemas de la administración pública nacional.
El trabajo que se emplea en la Seguridad Informática se encargada de diseñar los procesos, técnicas y métodos para proteger la información digital en los medios informáticos, atendiendo de tres pilares fundamentales, los cuales son:
La confidencialidad: consiste en asegurar que sólo el personal autorizado acceda a la información que le corresponde.
La integridad: consiste en asegurarse de que la información no se pierda ni se vea comprometida.
La disponibilidad: que esté disponible en el tiempo y forma exclusivamente para el personal autorizado.
Existe una gran diferencia en la clasificación de los eventos o incidencias dentro de la seguridad de la información, en la que se conceptualizan de la siguiente manera:
• Evento en la Seguridad de la Información: Cualquier evento identificado en un sistema de información, servicio o estado de la red que indica una posible infracción en la seguridad de la información, en la política o fallo en los controles, o una situación previamente desconocida que puede ser relevante para la seguridad.
• Incidente en la Seguridad de la Información: Cuando el evento se puede clasificar como no deseado o inesperado dentro de los eventos de seguridad de la información y además tienen una probabilidad significativa de comprometer las operaciones comerciales y suponen una seria amenaza para la seguridad de la información
VenCERT, está encargado de la prevención, detección y gestión de los incidentes generados en los sistemas de información de la Administración Pública Nacional y los Entes Públicos a cargo de Infraestructuras Críticas de la nación; Además gestiona los incidentes telemáticos emitidos por el Sistemas de Monitorización de Alertas Tempranas (SMAT) en los sistemas/portales de la Administración Pública Nacional. Dentro de sus competencias también destaca:
• Lectura de bitácora log.
• Ejecución de evaluaciones de seguridad a portales web, esto con el fin de ayudar a las infraestructuras en el proceso de corregir sus vulnerabilidades.
• Inspecciones técnicas de infraestructura de red.
La Gerencia de Estandarización, Acreditación y Fiscalización es la unidad técnica normativa responsable de establecer los procedimientos para el cumplimiento de los estándares en materia de certificación electrónica por parte de los Proveedores de Servicios de Certificación (PSC) y solicitantes con la finalidad de que estos actores tecnológicos operen bajo niveles de excelencia, seguridad y legalidad.
Un certificado electrónico, emitido y firmado por un PSC permite autenticar a su signatario, esto apunta a un rol significativo de la certificación electrónica en el modelado de la identidad del usuario, permitiéndole identificarse de forma segura y confiable.
Las Autoridades de Certificación principales de los PSC Acreditados están subordinadas a la AC Raiz del Estado Venezolano, siendo por lo tanto, el segundo nivel de la Infraestructura Nacional de Certificación Electrónica con la finalidad de emitir, renovar, revocar y suspender los certificados electrónicos a los diferentes signatarios.
Actualmente, en Venezuela existen seis (06) Proveedores de Servicios de Certificación (PSC) acreditados por SUSCERTE, uno de carácter público, la Fundación Instituto de Ingeniería para Investigación y Desarrollo Tecnológico (FIIIDT), y otros cinco de carácter privado como, Proveedor de Certificados PROCERT C.A, Authenticsing, Soluciones Tecnológicas Apacuana C.A. Documentos Digitales PSC y Soluciones Financieras Chinchin.
Por otra parte, SUSCERTE contempla el proceso de acreditación y renovación a los solicitantes y PSC bajo su norma N° 027, la cual tiene como objeto y campo de aplicación la descripción de los procedimientos y recaudos que deben presentarse por parte de los solicitantes para tales procesos.
Así mismo, la Norma N° 040 “Guía de estándares tecnológicos y lineamientos de seguridad para la Acreditación como Proveedor de Servicios de Certificación”, la cual contiene la descripción y aspectos a evaluar de todos los recaudos técnicos exigidos para la prestación de servicios de certificación, incluso presenta una serie de anexos donde se especifica la documentación solicitada y se ejemplifica la estructura de muchos de los recaudos solicitados.
Cabe destacar, que en la Norma SUSCERTE N.º 032 Infraestructura Nacional de Certificación Electrónica: estructura, certificados y listas de certificados revocados, se especifican los tipos de certificados que pueden emitir los PSC tales como los de firma electrónica que van destinados a las personas naturales, personas jurídicas, entre otros.
Respecto a los recaudos de auditoría, el solicitante debe aprobar una auditoría que efectuará un auditor de SUSCERTE, quien se regirá por las normativas establecidas por la Superintendencia y las normativas y estándares internacionales para la realización de la auditoría técnica de infraestructura de clave pública (PKI).
La Gerencia de Seguridad Informática es la unidad estratégica responsable de la ejecución, supervisión y control de las políticas criptográficas en el entorno de la certificación electrónica. Su labor no es estática; se traduce en un ciclo continuo de acciones y directrices técnicas destinadas a blindar las Infraestructuras de Clave Pública.
De acuerdo a lo expresado en el ejemplar “PKI Infraestructura de Clave Pública”, la criptografía puede ser vista al momento de ser utilizada, como un proceso donde los cálculos matemáticos realizados para camuflar o cifrar cierta información con valor confidencial suelen ser sencillos.
La palabra criptografía proviene según la Real Academia Española, de las palabras griegas «criptos» (oculto) y «grafos» (escritura). Es la técnica, ciencia o arte de la escritura secreta, su principio básico es mantener la privacidad de la comunicación entre dos entidades, alterando el mensaje original de modo que sea incomprensible a toda persona distinta del destinatario; a esto se le puede atribuir de cierta forma la autenticación de quien manda el mensaje, de modo que un tercero no pueda hacerse pasar por el emisor.
Los certificados electrónicos pueden identificar a las personas y/u organizaciones, convirtiéndose de esta manera en documentos de identidad que contienen información importante con respecto a su portador, por ejemplo: nombre, fecha de nacimiento o constitución y dirección. Generar un certificado electrónico, garantiza la integridad de un documento digital o cualquier acción cometida sobre éste.
Toda persona está acostumbrada a usar su firma autógrafa, especialmente para sus actos civiles y mercantiles al firmar cheques, contratos y otros. La firma electrónica es la forma análoga de una firma escrita, la cual identifica al firmante y lo relaciona con los datos firmados.
Es así como cada día se acerca el momento en que la firma electrónica se emplee con mayor auge. La seguridad de la firma electrónica se basa en el uso de la criptografía valiéndose de mecanismos de cifrado de la información para que no sea accedida por personas no autorizadas, estas características de cifrado otorgan las siguientes propiedades a la firma electrónica:
• Autenticidad, vincula de forma única el documento a su autor
• Integridad, verifica la no alteración de los datos del documento original, desde que fue firmado.
• No repudio, garantiza que el emisor no pueda negar o repudiar su autoría o existencia, ser susceptible de verificación ante tercero
La Infraestructura Nacional de Certificación Electrónica es el conjunto de servidores, programas (software), dispositivos criptográficos, políticas, normas y procedimientos, dispuestos y utilizado de manera exclusiva por la Autoridad de Certificación Raíz y los PSC acreditados para la generación, almacenamiento y publicación de los certificados electrónicos, así como también, para la publicación de información y consulta del estado de vigencia y validez de dichos certificados. Esta Infraestructura se basa en dos pilares fundamentales, tales como la confianza y la tecnología.
La Infraestructura Nacional de Certificación Electrónica, fue concebida según Providencia emitida el 2 de marzo de 2007, en la cual se establecen las Normas Técnicas bajo las cuales SUSCERTE coordinará e implementará el modelo jerárquico de dicha infraestructura, para que los PSC emitan los certificados electrónicos en el Marco del Decreto Ley sobre Mensajes de Datos y Firmas Electrónicas y su Reglamento.
La AC Raíz del Estado Venezolano emite, renueva, revoca, suspende y firma su propio certificado electrónico, de acuerdo a lo establecido en la Declaración de Prácticas de Certificación y Políticas de Certificados, siendo este el primer nivel de la Infraestructura Nacional de Certificación Electrónica. Este certificado se denomina certificado electrónico raíz o certificado electrónico auto-firmado.
La Gerencia de Investigación, Formación y Desarrollo en Certificación y Seguridad Informática, es el área destinada a la investigación de temas relacionados con la criptografía, seguridad informática, ciberseguridad e informática forense, destacando que cada uno de estos temas son llevados a un proceso minucioso de tratamiento pedagógico.
De esta manera, se desarrollan actividades formativas, que finalmente se despliegan hacia la generación de líneas de formación dirigidos a una población especializada o al público en general; tras una serie de conocimientos, competencias, habilidades y destrezas propias del tema a desarrollar, encaminados a fortalecer las acciones propias del autoresguardo en cuanto a seguridad de la información y la comunicación, así como el manejo seguro de las tecnologías; dando prioridad a las comunidades especializadas en la seguridad informática nacional.
El objetivo es atender los nudos críticos, para asegurar la calidad y la seguridad de los sistemas tecnológicos y de la información. En tal sentido, la Gerencia de Investigación, Formación y Desarrollo en Seguridad Informática, la responsable de investigar, desarrollar nuevos conocimientos, diseñar y ejecutar estrategias formativas en el área tecnológica, para la concientización sobre las vulnerabilidades que pueden existir y la importancia de prevenirlas. Además, de generar seguimiento a los procesos de captación de participantes para su incursión en los cursos de formación; alineando las acciones para su desarrollo, promoción y divulgación. Todo ello tras el seguimiento de las acciones de validación de información, trato directo con los participantes de los cursos, entre otras acciones que garantizan el logro de las actividades en la plataforma virtual.
Es importante señalar, que la creación y actualización del aula virtual de Suscerte propicia elementos importantes de comunicación con los participantes de los programas de formación, generando una comunicación mas directa, efectiva y asertiva para el logro de sus procesos de formación.
