Centro Nacional de Protección de Infraestructura de Información Crítica

Una unidad de la Organización Nacional de Investigación Técnica (NTRO), India

El Centro Nacional de Protección de Infraestructuras de Información Crítica (NCIIPC) es una organización del Gobierno de la India creada en virtud del artículo 70A de la Ley de Tecnología de la Información de 2000 (modificada en 2008), mediante una notificación en el boletín oficial el 16 de enero de 2014. ^{[1] [2] [3 ]} Con sede en Nueva Delhi, India, está designada como la Agencia Nodal Nacional en términos de Protección de Infraestructura de Información Crítica. ^[4] Es una unidad de la Organización Nacional de Investigación Técnica (NTRO) y, por lo tanto, depende de la Oficina del Primer Ministro (PMO). ^[5]

Infraestructura de información crítica

La Ley de Tecnología de la Información de 2000 define la Infraestructura de Información Crítica (CII) como "...aquellos recursos informáticos cuya incapacitación o destrucción tendrá un impacto debilitante en la seguridad nacional, la economía, la salud o la seguridad públicas". ^[2]

El NCIIPC ha identificado ampliamente los siguientes como "sectores críticos":

• Energía electrica
• Banca, servicios financieros y seguros
• telecomunicaciones
• Transporte
• Gobierno
• Empresas estratégicas y públicas

Prácticas y procedimientos de seguridad de la información para reglas de sistemas protegidos, 2018 ^{[6] [7]}

Visión

"Facilitar una Infraestructura de Información segura, protegida y resiliente para los Sectores Críticos de la Nación". ^[8]

Misión

"Tomar todas las medidas necesarias para facilitar la protección de la Infraestructura de Información Crítica, contra el acceso no autorizado, la modificación, el uso, la divulgación, la interrupción, la incapacitación o la destrucción a través de una coordinación coherente, sinergia y la sensibilización sobre la seguridad de la información entre todas las partes interesadas." ^[8]

Funciones y Deberes

• Agencia nodal nacional para todas las medidas destinadas a proteger la infraestructura de información crítica de la nación.
• Proteger y brindar asesoramiento que tenga como objetivo reducir las vulnerabilidades de la infraestructura de información crítica, contra el ciberterrorismo, la guerra cibernética y otras amenazas.
• Identificación de todos los elementos críticos de la infraestructura de información para su aprobación por parte del Gobierno correspondiente para notificarlos.
• Proporcionar liderazgo estratégico y coherencia en todo el gobierno para responder a las amenazas de seguridad cibernética contra la infraestructura de información crítica identificada.
• Coordinar, compartir, monitorear, recopilar, analizar y pronosticar amenazas a nivel nacional a las ICI para orientación política, intercambio de experiencia y conciencia situacional para alertas o alertas tempranas. La responsabilidad básica de proteger el sistema de ICI recaerá en la agencia que gestiona esa ICI.
• Ayudar en el desarrollo de planes apropiados, adopción de estándares, intercambio de mejores prácticas y perfeccionamiento de los procesos de adquisiciones con respecto a la protección de la infraestructura de información crítica.
• Evolución de estrategias de protección, políticas, evaluación de vulnerabilidad y metodologías de auditoría y planes para su difusión e implementación para la protección de la Infraestructura de Información Crítica.
• Llevar a cabo investigación y desarrollo y actividades afines, proporcionar financiación (incluidas subvenciones) para la creación, colaboración y desarrollo de tecnología futura innovadora para desarrollar y permitir el crecimiento de habilidades, trabajar en estrecha colaboración con industrias más amplias del sector público, el mundo académico y otros. y con socios internacionales para la protección de la infraestructura de información crítica.
• Desarrollar u organizar programas de capacitación y concientización, así como también fomentar y desarrollar agencias de auditoría y certificación para la protección de la infraestructura de información crítica.
• Desarrollar y ejecutar estrategias de cooperación nacional e internacional para la protección de la Infraestructura Crítica de Información.
• Emitir directrices, avisos y notas de vulnerabilidad o auditoría, etc. relacionadas con la protección de la infraestructura y prácticas de información crítica, procedimientos, prevención y respuesta en consulta con las partes interesadas, en estrecha coordinación con el Equipo de Respuesta a Emergencias Informáticas de la India y otras organizaciones que trabajan en el campo o relacionadas. campos.
• Intercambiar incidentes cibernéticos y otra información relacionada con ataques y vulnerabilidades con el Equipo de Respuesta a Emergencias Informáticas de la India y otras organizaciones interesadas en el campo.
• En caso de cualquier amenaza a la infraestructura de información crítica, el Centro Nacional de Protección de la Infraestructura de Información Crítica podrá solicitar información y dar instrucciones a los sectores críticos o personas que prestan servicios o tienen un impacto crítico en la Infraestructura de Información Crítica.

Operaciones

• NCIIPC mantiene una mesa de ayuda 24 horas al día, 7 días a la semana para facilitar la notificación de incidentes. Número gratuito 1800-11-4430.
• Emite avisos o alertas y proporciona orientación e intercambio de experiencia para abordar las amenazas/vulnerabilidades para la protección de las ICI.
• En caso de una amenaza probable o real a nivel nacional, desempeña un papel fundamental coordinar la respuesta de las diversas partes interesadas de las ICI en estrecha cooperación con CERT-India.

Programas

NCIIPC ejecuta una serie de programas para interactuar con sus partes interesadas. Algunos de ellos son los siguientes:

• Programa de divulgación responsable de vulnerabilidades (RVDP)
• Respuesta a incidentes (IR)
• Informes de malware
• Cursos de prácticas
• Investigadores, etc.

Iniciativas

Algunas de las principales iniciativas del NCIIPC son las siguientes:

• Programa de respuesta a incidentes y divulgación responsable de vulnerabilidades: NCIIPC ejecuta estos programas para informar cualquier vulnerabilidad en infraestructuras de información crítica.
• APP para capacitación: identificación de entidades de APP para asociación y formulación de requisitos de capacitación y pautas para llevar a cabo la capacitación para todas las partes interesadas.
• Gama CII para simular amenazas del mundo real: simulaciones de TI y OT para sectores críticos para probar la defensa de CII.
• Encuesta de preparación para la seguridad cibernética, evaluación de riesgos, auditoría, revisión y cumplimiento.
• Pasantes, investigadores académicos y profesionales de seguridad cibernética: el programa de pasantías NCIIPC (tanto a tiempo completo como a tiempo parcial) está disponible durante todo el año.

Boletín del NCIIPC

NCIIPC publica su boletín trimestral que abarca los últimos avances en el campo de la infraestructura de información crítica (CII) y su protección junto con varias iniciativas tomadas por NCIIPC para difundir la conciencia, las mejores prácticas y mucho más.

• julio 2022
• abril 2022
• enero 2022
• octubre 2021
• julio 2021
• abril 2021
• enero 2021
• octubre 2020
• julio 2020
• abril 2020
• enero 2020
• octubre 2019
• julio 2019
• abril 2019
• enero 2019
• octubre 2018
• julio 2018
• abril 2018
• enero 2018
• octubre 2017
• julio 2017
• abril 2017
• enero 2017

Directrices del NCIIPC

NCIIPC publica SOP y directrices para CISO, organizaciones CII y otros para mejorar la postura de defensa de la ciberseguridad. A continuación se muestran las copias:

• Pautas del NCIIPC COVID-19
• SOP: Asociación público-privada
• Directrices para la identificación de ICI
• Reglas para las Prácticas y Procedimientos de Seguridad de la Información para Sistemas Protegidos
• Política Nacional de Seguridad Cibernética, 2013
• Funciones y responsabilidades de los CISO
• Directrices para la protección de las ICI
• Evaluación de la ciberseguridad en CII
• POE: Respuesta a incidentes
• SOP: Auditoría de ICI/Sistemas protegidos

Referencias

1. "Copia archivada" (PDF) . Archivado desde el original (PDF) el 19 de enero de 2017 . Consultado el 4 de enero de 2017 .{{cite web}}: Mantenimiento CS1: copia archivada como título ( enlace )
2. "La LEY de Tecnología de la Información" (PDF) . 2008. Archivado desde el original (PDF) el 3 de enero de 2017 . Consultado el 3 de enero de 2017 .
3. "Copia archivada" (PDF) . Archivado desde el original (PDF) el 25 de enero de 2017 . Consultado el 2 de enero de 2017 .{{cite web}}: Mantenimiento CS1: copia archivada como título ( enlace )
4. "NCIIPC: Es hora de dar un paso adelante y proteger nuestras infraestructuras críticas de los ciberataques".
5. "Directrices para la identificación de infraestructura de información crítica" (PDF) . Archivado desde el original (PDF) el 13 de mayo de 2020 . Consultado el 21 de julio de 2020 .
6. "Copia archivada" (PDF) . Archivado desde el original (PDF) el 2 de septiembre de 2018 . Consultado el 22 de octubre de 2018 .{{cite web}}: Mantenimiento CS1: copia archivada como título ( enlace )
7. "El NCIIPC y su marco en evolución - Portal de políticas digitales". www.digitalpolicy.org .
8. NCIIPC. "Centro Nacional de Protección de Infraestructuras Críticas de Información". Nciipc.gov.in . Consultado el 19 de julio de 2018 .

enlaces externos

• Página web oficial