CERT Colombiano

ENTREGABLES 12 Y 13: DISEÑO DE UN CSIRT DE COLOMBIA PARA LAESTRATEGIA GOBIERNO EN LÍNEA

ÁREA DE INVESTIGACIÓN Y PLANEACIÓN © República de Colombia - Derechos Reservados

Bogotá, D.C., Diciembre de 2008

•itíai Ministerio de Comunicacionesj¿£ República de Colombia

UaMrUn

INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRTCOLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE

GOBIERNO EN LÍNEA

FORMATO PRELIMINAR AL DOCUMENTO

Título:Fecha elaboración aaaa-mm-dd:

Sumario:

Palabras Claves:

Formato:

Dependencia:

Código:

Categoría:

Autor (es):

Revisó:

Aprobó:

Información Adicional:

Ubicación:

MANUAL PARA LA CONSTITUCIÓN DE UN CSIRT COLOMBIANO SISTEMA DE GESTIÓN DE CALIDAD PROGRAMA AGENDA DE CONECTIVIDAD2008-12-04

Corresponde a los entregables No. 12 y 13, primero y segundo avance del CSIRT.

CSIRT, Seguridad de la información, Incidentes

Lenguaje: Castellano

Dirección de planificación e investigación

Versión: 2 Estado: En elaboración

Proyecto Diseño de modelo SGSIpara la estrategia de Gobierno enLíneaJuan C. AlarcónJairo PantojaJuan C. Alarcón

Firmas: ^

Página 2 de 192

CONTROL DE CAMBIOS

VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN1 23 10 2008 Fernando Gaona Primera versión del documento1.1 05 11 2008 Fernando Gaona Revisión interna conjunta equipo de Consultoría Digiware2 04 12 2008 Fernando Gaona Revisión con el Programa Gobierno en Línea

Página 3 de 192

TABLA DE CONTENIDO

DERECHOS DE AUTOR .................................................................................................................................................... 9

AUDIENCIA .................................................................................................................................................................. 20

INTRODUCCIÓN ........................................................................................................................................................... 21

1. QUÉ ES UN CSIRT .................................................................................................................................................. 23

1.1. DEFINICIÓN ....................................................................................................................................................... 231.2. ANTECEDENTES .................................................................................................................................................. 231.3. BENEFICIOSDE CONTAR CON UNCSIRT ............................................................................................................. 25

2. INICIATIVAS Y EXPERIENCIAS NACIONALES E INTERNACIONALES EN CSIRTS ....................................................... 26

2.1. ALGUNASINICIATIVASYEXPERIENCIAS ALREDEDOR DEL MUNDO ................................................................... 262.1.1. FIRST -FORUM FOR INCIDENTRESPONSE AND SECURITY TEAMS ..................................................................... 332.1.2. ENISA-EUROPEANNETWORK AND INFORMATIONSECURITY AGENCY ............................................................ 412.1.3. APCERT-ASIA PACIFIC COMPUTEREMERGENCY RESPONSE TEAM .................................................................. 442.1.4. CERT-COORDINATION CENTERDELAUNIVERSIDAD CARNEGIE MELLON ........................................................ 452.1.5. TERENA-TRANS-EUROPEANRESEARCH AND EDUCATIONNETWORKING ASSOCIATION ................................ 482.1.6. ALEMANIA-CERT-BUND (COMPUTER EMERGENCY RESPONSE TEAM FÜR BUNDESBEHÖRDEN) ................... 502.1.7. ARABIA SAUDITA-CERT-SA(COMPUTER EMERGENCY RESPONSE TEAM -SAUDIARABIA) .............................. 512.1.8. ARGENTINA-ARCERT (COORDINACIÓNDEEMERGENCIASENREDES TELEINFORMÁTICAS) ........................... 522.1.9. AUSTRALIA-AUSCERT (AUSTRALIA COMPUTER EMERGENCY RESPONSE TEAM) ............................................. 55

2.1.10. AUSTRIA-CERT.AT (COMPUTER EMERGENCY RESPONSE TEAM AUSTRIA) .................................................... 562.1.11. BRASIL -CERT.BR (COMPUTER EMERGENCYRESPONSE TEAM BRAZIL) .......................................................... 572.1.12. CANADÁ-PSEPC(PUBLIC SAFETY EMERGENCY PREPAREDNESS CANADA) .................................................... 582.1.13. CHILE – CSIRT-GOV ....................................................................................................................................... 592.1.14. CHILE -CLCERT (GRUPOCHILENO DE RESPUESTAAINCIDENTESDE SEGURIDAD COMPUTACIONAL) ............. 602.1.15. CHINA-CNCERT/CC (NATIONAL COMPUTERNETWORK EMERGENCY RESPONSE TECHNICAL TEAM) ............ 612.1.16. COREA DEL SUR-KRCERT/CC (CERT COORDINATION CENTER KOREA) ........................................................... 652.1.17. DINAMARCA–DK.CERT (DANISH COMPUTER EMERGENCYRESPONSE TEAM) .............................................. 672.1.18. EMIRATOSÁRABESUNIDOS–AECERT (THE UNITED ARAB EMIRATES COMPUTER EMERGENCY RESPONSE TEAM) 682.1.19. ESPAÑA-ESCERT (EQUIPODE SEGURIDADPARALACOORDINACIÓNDEEMERGENCIASENREDES TELEMÁTICAS)

692.1.20. ESPAÑA – IRIS-CERT (SERVICIO DE SEGURIDAD DE REDIRIS) ......................................................................... 702.1.21. ESPAÑA-CCN-CERT (CRYPTOLOGY NATIONAL CENTER-COMPUTER SECURITY INCIDENT RESPONSE TEAM)722.1.22. ESPAÑA-INTECO-CERT (CENTRODERESPUESTASAINCIDENTESENTIPARA PYMESY CIUDADANOS) ......... 74

Página 4 de 192

2.1.23. ESTADOS UNIDOS-US-CERT (UNITEDSTATES-COMPUTEREMERGENCY READINESS TEAM) ...................... 762.1.24. ESTONIA– CERT-EE (COMPUTER EMERGENCY RESPONSE TEAMOFESTONIA) ............................................ 772.1.25. FILIPINAS-PH-CERT (PHILIPPINESCOMPUTEREMERGENCY RESPONSE TEAM) ........................................... 782.1.26. FRANCIA-CERTA (CENTRE D'EXPERTISE GOUVERNEMENTAL DERÉPONSE ETDETRAITEMENT DES ATTAQUES INFORMATIQUES) ........................................................................................................................................................ 792.1.27. HONGKONG-HKCERT (HONGKONG COMPUTEREMERGENCY RESPONSE COORDINATION CENTRE) ......... 812.1.28. HUNGRÍA-CERT (CERT-HUNGARY) .............................................................................................................. 822.1.29. INDIA-CERT-IN (INDIAN COMPUTEREMERGENCY RESPONSE TEAM) ........................................................... 842.1.30. JAPAN-JPCERT/CC (JP CERT COORDINATION CENTER) ................................................................................ 862.1.31. MÉXICO– UNAM-CERT(EQUIPODE RESPUESTAAINCIDENTESDE SEGURIDADENCÓMPUTO) .................. 882.1.32. NUEVA ZELANDIA– CCIP (CENTRE FOR CRITICAL INFRASTRUCTURE PROTECTION) ...................................... 892.1.33. HOLANDA–GOVCERT.NL .............................................................................................................................. 902.1.34. POLONIA-CERT POLSKA (COMPUTER EMERGENCY RESPONSE TEAMPOLSKA) ............................................ 912.1.35. QATAR - Q-CERT (QATAR CERT) .................................................................................................................... 922.1.36. REINO UNIDO-GOVCERTUK (CESG´S INCIDENT RESPONSE TEAM) ............................................................... 932.1.37. SINGAPUR– SINGCERT (SINGAPORE CERT) ................................................................................................... 942.1.38. SRI LANKA– SLCERT (SRI LANKACOMPUTER EMERGENCY RESPONSE TEAM) ............................................... 952.1.39. TÚNEZ-CERT-TCC (COMPUTER EMERGENCY RESPONSE TEAM-TUNISIAN COORDINATION CENTER) ........ 972.1.40. VENEZUELA CERT.VE (VENCERT –EQUIPO DE RESPUESTA PARA EMERGENCIAS INFORMÁTICAS) ............. 1012.2. EXPERIENCIASOANTECEDENTESENCOLOMBIA ............................................................................................. 1032.2.1. CIRTISI– COLOMBIA (CENTRODE INFORMACIÓNY RESPUESTA TÉCNICAAINCIDENTESDE SEGURIDAD INFORMÁTICADECOLOMBIA) ................................................................................................................................... 1032.2.2. CSIRT COLOMBIA (COL CSIRT) ........................................................................................................................ 1082.2.3. COMITÉ INTERAMERICANO CONTRAEL TERRORISMODELAOEA (CICTE) .................................................... 1092.3. EN RESUMEN ................................................................................................................................................... 1102.3.1. CSIRTS PÚBLICOS ........................................................................................................................................... 1102.3.2. CSIRTS PRIVADOS .......................................................................................................................................... 1112.3.3. CSIRTS INTERNOS .......................................................................................................................................... 1112.3.4. CSIRTS DE COORDINACIÓN ............................................................................................................................ 1122.3.5. ESQUEMA ASOCIATIVO ENTREELSECTOR PÚBLICOYELPRIVADO ................................................................. 112

3. DEFINICIÓN DE LA ORGANIZACIÓN CSIRT PARA COLOMBIA .............................................................................. 113

3.1. TIPODEENTIDAD ............................................................................................................................................. 1133.2. RELACIÓN CONLASENTIDADES ....................................................................................................................... 1173.3. MISIÓN ............................................................................................................................................................ 1173.4. VISIÓN ............................................................................................................................................................. 1173.5. OBJETIVOSESTRATÉGICOS .............................................................................................................................. 1173.6. OBJETIVOS ESPECÍFICOS .................................................................................................................................. 118

4. PORTAFOLIO DE SERVICIOS ................................................................................................................................ 119

4.1. SERVICIOS PREVENTIVOS ................................................................................................................................ 1204.2. SERVICIOS REACTIVOS ..................................................................................................................................... 1224.3. GESTIÓNDELA SEGURIDADDE LAINFORMACIÓN .......................................................................................... 1244.4. CARACTERÍSTICAS DE LOSSERVICIOS .............................................................................................................. 1274.4.1. SERVICIOS PREVENTIVOS ............................................................................................................................... 127

Página 5 de 192

4.4.2. SERVICIOS REACTIVOS ................................................................................................................................... 1284.4.3. GESTIÓNDELACALIDAD DE LASEGURIDAD ................................................................................................... 128

5. PROCESOS Y PROCEDIMIENTOS .......................................................................................................................... 129

5.1. DELIMITACIÓN SISTÉMICA .............................................................................................................................. 1295.2. PROCESOS ....................................................................................................................................................... 1305.3. PROCEDIMIENTOS ........................................................................................................................................... 133

6. ANÁLISIS DEL MERCADO .................................................................................................................................... 135

6.1. MACROENTORNO ........................................................................................................................................... 1366.1.1. POLITICOS ..................................................................................................................................................... 1366.1.2. ECONOMICOS ............................................................................................................................................... 1376.1.3. SOCIALES ....................................................................................................................................................... 1396.1.4. TECNOLOGICOS ............................................................................................................................................. 139

6.2. INDUSTRIASY SECTORES ................................................................................................................................. 1416.3. ALIADOSESTRATÉGICOSYMERCADOS ........................................................................................................... 142

6.3.1. DEBILIDADES ................................................................................................................................................. 1436.3.2. OPORTUNIDADES .......................................................................................................................................... 1446.3.3. FORTALEZAS .................................................................................................................................................. 1446.3.4. AMENAZAS .................................................................................................................................................... 144

7. INDICADORES Y METAS ...................................................................................................................................... 146

7.1. PERSPECTIVA SEGURIDADDE LAINFORMACIÓN NACIONAL .......................................................................... 1507.2. PERSPECTIVA FINANCIERA ............................................................................................................................... 1517.3. PERSPECTIVA PROCESOSINTERNOS ................................................................................................................ 1517.4. PERSPECTIVA APRENDIZAJEY CRECIMIENTO ................................................................................................... 1527.5. RESUMENDELOSINDICADORES ...................................................................................................................... 1537.6. CONSIDERACIONES GENERALES ....................................................................................................................... 155

8. ESTRUCTURA ORGANIZACIONAL ........................................................................................................................ 157

8.1. ORGANIGRAMA ............................................................................................................................................... 1588.1.1. ASESOR JURÍDICO ......................................................................................................................................... 1588.1.2. DIRECCIÓN TÉCNICA ..................................................................................................................................... 1588.1.3. DIRECCIÓNDE COOPERACIÓNYFOMENTO ................................................................................................... 1618.1.4. DIRECCIÓNADMINISTRATIVOYFINANCIERA ................................................................................................. 1638.2. PROCESODESELECCIÓN .................................................................................................................................. 1658.2.1. COMPETENCIAS COMUNES ........................................................................................................................... 1658.2.2. COMPETENCIAS COMPORTAMENTALES POR NIVEL JERÁRQUICO .................................................................. 1668.2.3. COMPETENCIAS TÉCNICAS ............................................................................................................................ 1668.2.4. OTRAS CARACTERÍSTICAS ............................................................................................................................. 1678.3. CAPACITACIÓN ................................................................................................................................................ 168

Página 6 de 192

INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRTCOLOMBIANO – SISTEMA DE GESTIÓN DE CALIDAD –

ESTRATEGIA DE GOBIERNO EN LÍNEA

9. ETAPAS PARA LA CONFORMACIÓN DEL CSIRT – COLOMBIA ............................................................................. 169

10. PRESUPUESTO PRELIMINAR DE INVERSIÓN Y FUNCIONAMIENTO .................................................................. 170

10.1. PRESUPUESTO DE INVERSIÓN ........................................................................................................................ 172

10.2. PRESUPUESTODEFUNCIONAMIENTO ...........................................................................................................

172

11. TERMINOLOGÍA ...............................................................................................................................................

178

12. ANEXO A – CARACTERIZACIÓN DE PROCESOS Y PROCEDIMIENTOS ................................................................

192

Página 7 de 192

LISTA DE ILUSTRACIONES

Ilustración 1: Países con CSIRTs Miembros de FIRST .................................................................................. 35

Ilustración 2: Estructura de ENISA ............................................................................................................... 43

Ilustración 3: Modelo Detallado del Sistema Administrativo Nacional de Seguridad de la Información ......

113

Ilustración 4: Delimitación Sistemática de la Entidad ..................................................................................

129

Ilustración 5: Modelo Tecnológico del CSIRT, detallando los procesos misionales .....................................

130

Ilustración 6: Modelo de Segmentación del CSIRT ......................................................................................

131

Ilustración 7: Despliegue de Procesos ........................................................................................................

132

Ilustración 8: Catálogo de Procesos Misionales ...........................................................................................

133

Ilustración 9: Catálogo de Procedimientos ..................................................................................................

133

Ilustración 10: de Análisis del Mercado .......................................................................................................

135

Ilustración 11: Marco Político, Económico, Social y Tecnológico del CSIRT ................................................

136

Ilustración 12: Análisis de Competitividad de Porter ...................................................................................

141

Ilustración 13: Matriz DOFA ........................................................................................................................

143

Ilustración 14: Modelo de Gestión ..............................................................................................................

147

Ilustración 15: Alineación de la Visión y la Estrategia .................................................................................

148

Ilustración 16: Mapa Estratégico .................................................................................................................

149

Ilustración 17: Perspectivas y Orientadores Estratégicos ............................................................................

150

Ilustración 18: Estructura Organizacional Propuesta ...................................................................................

158

Página 8 de 192

DERECHOS DE AUTOR

Este documento pertenece a la Estrategia de Gobierno en Línea del Ministerio de Comunicaciones de Colombia, esta prohibida la reproducción total o parcial del contenido de este documento sin la autorización expresa de la Estrategia de Gobierno en Línea. A continuación, se detallan los derechos de autor relacionados en este documento:

SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx:

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.

FIRST. http://www.first.org/

Copyright © 1995 - 2006 by FIRST.org, Inc.


ENISA. http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf.

Reproduction of material published on this web site is authorized, provided the source is acknowledged, unless it is stated otherwise. Where prior permission must be obtained for the reproduction or use of material published on this web site the above mentioned permission sha l be cance led and restrictions sha l be imposed through a legal notice as appropriate published on that specific material.


APCERT. http://www.apcert.org/.

Copyright(C) 2008 APCERT. Al rights reserved


Terena. http://www.terena.org/


Página 9 de 192

http://www.surfnet.nl/en/Pages/default.aspx

http://www.terena.org/

http://www.apcert.org/

http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf

http://www.first.org/

Alemania - CERT-Bund. http://www.bsi.bund.de/certbund/

© Federal Office for Information Security (BSI). Al rights reserved


Arabia Saudita - CERT-SA. http://www.cert.gov.sa/

Copyright © 2006 - 2007 | Disclaimer. Al Rights Reserved


Argentina – ArCERT. http://www.arcert.gov.ar/


Australia – AusCERT. http://www.auscert.org.au/

The material on this web site is covered by copyright. Apart from any use permitted under the Copyright Act 1968, no part may be reproduced or distributed by any process or means, without the prior written permission of AusCERT.

AusCERT acknowledges al instances where copyright is held by, or shared with, another organisation. In such cases, each copyright owner should be contacted regarding reproduction or use of that material.

Se solicita autorización. Respuesta:

Date: Wed, 1 Oct 2008 03:43:58 +0000

CC: [email protected]

Subject: RE: RE: (AUSCERT#200869d4a) Re: Permission to use and to make translations about AusCert

To: [email protected]

From: [email protected]

----- BEGIN PGP SIGNED MESSAGE -- -

Hash: RIPEMD160

Hi Fernando,

Página 10 de 192

mailto:[email protected]



http://www.auscert.org.au/

http://www.arcert.gov.ar/

http://www.cert.gov.sa/

http://www.bsi.bund.de/certbund/

We are happy for you to translate the sections of our website that you have highlighted. Additiona ly we have in the last week assisted New Zealand via a workshop to aid them in the creation of a National CERT, and we also provide training for the purpose of creating National CERT teams.

Please do not hesitate to contact us further regarding the possibility of training and further co laboration.

Regards,

- -- Jonathan Levine –

Computer Security Analyst | Hotline: +61 7 3365 4417

AusCERT, Australia's National CERT | Fax: +61 7 3365 7031

The University of Queensland | WWW: www.auscert.org.au

QLD 4072 Australia | Email: [email protected]

Austria - CERT.at. www.cert.at


Brasil - CERT.br. http://www.cert.br


Canadá – PSEPC. http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp


Chile – CSIRT-GOV. http://www.csirt.gov.cl/

La información presentada en este portal tiene finalidad informativa, especialmente dirigida a los responsables de seguridad, administradores de redes y sistemas, personal informático y en general cualquier individuo que cumpla labores al interior de la Administración del Estado. El mal uso de la información entregada puede ser sancionado en conformidad al estatuto administrativo.

Como el acceso a este portal es público, en los casos en que se detecte uso malicioso de la información, o intentos de quebrantar la seguridad del sistema, CSIRT Chile se reserva el derecho de ejercer todas las acciones legales correspondientes contra quien resulte responsable de dichos actos, amparado en la Ley General de Telecomunicaciones y la Ley de Delito Informático.

Queda estrictamente prohibido utilizar la información presentada en este portal sin el conocimiento y consentimiento formal por parte de CSIRT Chile, en especial para efectos contrarios a los buscados por este equipo.

Página 11 de 192

http://www.csirt.gov.cl/

http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp

http://www.cert.br/

http://www.cert.at/



Se solicita autorización.

Chile – CLCERT. http://www.clcert.cl


China - CNCERT/CC. http://www.cert.org.cn/english_web/ .


Corea del Sur - KrCERT/CC. http://www.krcert.or.kr/

COPYRIGHT KRCERT.OR.KR. ALL RIGHTS RESERVED.

Al materials released by Internet Incident Response Support Center are protected under the copyright law and copyrights of al released materials are owned by the center. Accordingly, it is prohibited to copy or distribute them partia ly and entirely.

If you seek for economic profits or benefits equivalent of it, a prior consultation with the center or prior approval from the center is required. In case those materials are quoted partia ly or entirely after prior consent or approval, it sha l clearly state that the source of quoted contents belongs to the center.

The hyperlink from other web sites to the main web page of the center is a lowed but not to the other web pages (sub domain). Also, before setting a hyperlink to the main web page of the Center, it should be notified to the center in advance.

In case data posted at a web site of the Center is used for the purpose of positing at the other Internet sites in a due manner, the arbitrary change of data except simple error correction is prohibited. The violation of this act is subject to criminal punishment.

For the purpose of news report, criticism, education and study activities, data posted in the web page can be quoted as long as they satisfy fair practices within a legal boundary.

However, in this case, the quotation of materials is limited to less than 10% of the whole contents. The violation of this act is regarded as infringement on copyright.

As long as the data provided by the center is used for individual purpose (not commercial purpose) or within a boundary of household and equivalent boundary, it can be copied for use. However, even if a specific company, non-profit organization, intends to copy them for the purpose of internal use only, it is not a lowed to copy materials.

The i legal copy and distribution of materials provided by the center fa ls under infringement on copyright property law and the violator is sentenced to imprisonment not exceeding 5 years and a fine not exceeding 50 Mio.won.

For more detailed information, you can contact the Internet Incident Response Support Center

Página 12 de 192

http://www.krcert.or.kr/

http://www.cert.org.cn/english_web/

http://www.clcert.cl/

(Tel: 118 / [email protected] , [email protected] ).


Dinamarca – DK.CERT. https://www.cert.dk/

Información sobre estas páginas pueden ser protegidas por los derechos de autor


Emiratos Árabes Unidos – aeCERT. http://www.aecert.ae/

© 2007-2008 aeCERT. Al rights reserved


España – ESCERT. http://escert.upc.edu/index.php/web/es/index.html

Los textos, diseños, imágenes, bases de datos, logotipos, estructuras, marcas y otros elementos de esCERT-UPC, incluido todo lo referente a ALTAIR, están protegidos por la normativa de aplicación respecto a la propiedad intelectual e industrial. esCERT-UPC autoriza a los usuarios a reproducir, copiar, distribuir, transmitir, adaptar o modificar exclusivamente los contenidos de la web de esCERT-UPC, siempre que se especifique la fuente y/o los autores.

España – IRIS-CERT. http://www.rediris.es/cert/

RedIRIS © 1994-2008


España - CCN-CERT. https://www.ccn-cert.cni.es/

© 2008 Centro Criptológico Nacional - C/Argentona s/n 28023 MADRID


España - INTECO-CERT. http://www.inteco.es/rssRead/Seguridad/INTECOCERT

Todos los elementos que forman el sitio Web, así como su estructura, diseño y código fuente de la misma, son titularidad de INTECO y están protegidos por la normativa de propiedad intelectual e industrial.

Se prohíbe la reproducción total o parcial de los contenidos de este sitio Web, así como su modificación y/o distribución sin citar su origen o solicitar previamente autorización.

Página 13 de 192

http://www.inteco.es/rssRead/Seguridad/INTECOCERT

https://www.ccn-cert.cni.es/

http://www.rediris.es/cert/

http://escert.upc.edu/index.php/web/es/index.html

http://www.aecert.ae/

https://www.cert.dk/



misterio de Comunicaciones INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT;publica de Colombia COLOMBIANO - MODELO DE SEGURIDAD - ESTRATEGIA DE^^—^^— GOBIERNO EN LÍNEA

•

•

•

•

•

•

•

•

INTECO no asumirá ninguna responsabilidad derivada del uso por terceros del contenido del sitio Web y podrá ejercitar todas las acciones civiles o penales que le correspondan en caso de infracción de estos derechos por parte del usuario.

Estados Unidos - US-CERT. http://www.us-cert.gov

You are permitted to reproduce and distribute documents on this web site in whole or in part, without changing the text you use, provided that you include the copyright statement or "produced by" statement and use the document for noncommercial or internal purposes. For commercial use or translations, send your email request to [email protected].


Estonia – CERT-EE. http://www.ria.ee/?id=28201


Filipinas - PH-CERT. http://www.phcert.org/


Francia-CERTA. http://www.certa.ssi.gouv.fr/


Hong Kong – HKCERT. http://www.hkcert.org/


Hungría – CERT. http://www.cert-hungary.hu/


India - CERT-In. http://www.cert-in.org.in/


Japan - JPCERT/CC. http://www.jpcert.or.jp/

Copyright © 1996-2008 JPCERT/CC Al Rights Reserved

Página 14 de 192

http://www.jpcert.or.jp/

http://www.cert-in.org.in/

http://www.cert-hungary.hu/

http://www.hkcert.org/

http://www.certa.ssi.gouv.fr/

http://www.phcert.org/

http://www.ria.ee/?id=28201


http://www.us-cert.gov/


México – UNAM-CERT. http://www.cert.org.mx/index.html

Copyright® Todos los derechos reservados, cert.org.mx. DSC/UNAM-CERT DGSCA


Nueva Zelandia – CCIP. http://www.ccip.govt.nz/

Except where specifica ly noted, al material on this site is © Crown copyright.

Material featured on this site is subject to Crown copyright protection unless otherwise indicated. The Crown copyright protected material may be reproduced free of charge in any format or media without requiring specific permission, provided that the material is reproduced accurately and is not further disseminated in any way, and on condition that the source of the material and its copyright status are acknowledged.

The permission to reproduce Crown copyright protected material does not extend to any material on this site that is identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained from the copyright holders concerned.


Holanda - GOVCERT.NL. http://www.govcert.nl/


Polonia - CERT Polska. http://www.cert.pl/

Copyright © 2004 NASK


Qatar - Q-CERT. http://www.qcert.orgv


Reino Unido – GovCertUK. www.govcertuk.gov.uk

Crown Copyright 2008

Página 15 de 192

http://www.govcertuk.gov.uk/

http://www.qcert.orgv/

http://www.cert.pl/

http://www.govcert.nl/

http://www.ccip.govt.nz/

http://www.cert.org.mx/index.html


Reino Unido – GovCertUK. www.govcertuk.gov.uk

The material featured on this site is subject to Crown Copyright protection unless otherwise indicated. The Crown Copyright protected material (other than CPNI logo and website design) may be reproduced free of charge in any format or medium provided it is reproduced accurately and not used in a misleading context. Where any of the Crown Copyright items on this site are being republished or copied to others, the source of the material must be identified and the copyright status acknowledged.

The permission to reproduce Crown protected material does not extend to any material on this site which is identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained from the copyright holders concerned.

For further information on Crown copyright policy and licensing arrangements, please refer to the guidance on OPSI's website at www.opsi.gov.uk/advice/crown-copyright/copyright-guidance/index.htm.


Singapur – SingCERT. http://www.singcert.org.sg/

1. SingCERT Security Alerts (such as advisories and bu letins): Permission is granted to reproduce and distribute SingCERT security alerts in their entirety, provided the SingCERT PGP signature or the PGP signature of the original creator of the alerts is included and provided the alert is used for noncommercial purposes with the intent of increasing the awareness of the Internet community.

2. Al materials produced by SingCERT except as noted in Section 1, "SingCERT security alerts": Requests for permission to reproduce documents or Web pages or to prepare derivative works or external and commercial use should be addressed to SingCERT through email to [email protected] e-mail address is being protected from spam bots, you need JavaScript enabled to view it.


Sri Lanka – SLCERT. http://www.cert.lk/

Copyright Reserved. Sri Lanka CERT.

Website Material: Al material on this website is covered by copyright. No part may be re-produced or distributed by any process or means. Requests for permission to reproduce documents or Web pages or to prepare derivative works for external and commercial use should be addressed to Sri Lanka CERT through email to slcert@sl cert.gov.lk.

Security Alerts: Permission is granted to reproduce and distribute Sri Lanka CERT security alerts such as advisories and bu letins in its entirety, provided the signature of the original creator of the alerts is included and provided the alert is used for non-commercial purposes.


Página 16 de 192

http://www.cert.lk/

http://www.singcert.org.sg/

http://www.opsi.gov.uk/advice/crown-copyright/copyright-guidance/index.htm



GOBIERNO EN LÍNEA

•

•

•

•

Túnez - CERT-TCC. http://www.ansi.tn/en/about_cert-tcc.htm

Copyright © 2006 ANSI


Venezuela CERT.ve. http://www.cert.gov.ve/


CIRTISI COLOMBIA.

http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de %202007%202.pdf


CSIRT Colombia. http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt


http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt

http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de

http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de

http://www.cert.gov.ve/

http://www.ansi.tn/en/about_cert-tcc.htm

• Solicitud de Autorización de uso y traducción presentada a los diferentes organismos que así lo requieren:

Título:

Permission to use and to make translations about CSIRT

Solicitud:

In order to design a CSIRT for the program “Gobierno en Línea” (e-government) of Colombia, we want to identify a documented relation of national and international initiatives and experiences in CSIRTs. Then we request authorization to translate and to reproduce available information in your web page relating to precedents, offered services, structure of the CSIRT and area of coverage.

The results wi l be compiled and presented in a technical paper "Design of a CSIRT for the Program Gobierno en Linea of Colombia " in the chapter " Documented Relation of National and International Experiences and Initiatives in CSIRTs ".

Cordial greeting,

Fernando Gaona

Página 17 de 192

Organizations Team Leader

Project "Model of the Computer Security Management for e-Government"

Telephone (+57 3164720780)

Program "Agenda de Conectividad": http://www.agenda.gov.co/

Digiware: http://www.digiware.com.co/Digiware/index1.html

Página 18 de 192

http://www.digiware.com.co/Digiware/index1.html

http://www.agenda.gov.co/


GOBIERNO EN LÍNEA

CRÉDITOS

Este documento fue generado a partir de los resultados de la consultoría llevada a cabo para el diseño del modelo de seguridad de la información para la Estrategia de Gobierno en Línea. El desarrollo del proyecto estuvo a cargo del grupo de consultores contratados por Gobierno en Línea y el aporte de los responsables de la supervisión del contrato y demás grupos asesores de la Estrategia de Gobierno en Línea.

Página 19 de 192

El documento de Diseño de un CSIRT para la Estrategia de Gobierno en Línea de Colombia está dirigido especialmente para las entidades públicas y privadas, así como la comunidad académica que participen en la creación del CSIRT Colombiano o demanden sus productos o servicios, así como la comunidad nacional e internacional relacionada con el tema de la seguridad de la información.

Página 20 de 192

INTRODUCCIÓN

Con el rápido desarrollo de internet, las diferentes entidades del país son cada vez más dependientes del uso de redes públicas, volviendo crítica la protección de la estabilidad de la infraestructura nacional que componen la nueva e-economía emergente y así mismo es urgente.

Los ataques contra la infraestructura computacional están aumentando de frecuencia, en sofisticación y en escala. Esta amenaza cada vez mayor requiere un acercamiento y colaboración con las varias organizaciones públicas, privadas y la academia, que tomen el papel de liderazgo y coordinación con el apoyo total del gobierno tanto a nivel central como territorial.

Para tratar esta necesidad urgente, se propone el establecimiento de un grupo CSIRT Colombiano que tendría un foco operacional en la atención de emergencias de seguridad de la información para las transacciones en línea del país, con una permanente colaboración nacional e internacional.

CÓMO UTILIZAR ESTE DOCUMENTO

El presente documento describe el modelo propuesto para la creación de un Equipo de Respuesta a Incidentes de Seguridad de la Información - CSIRT Colombiano (por las siglas en inglés de Computer Security Incident Response Teams) considerando los siguientes aspectos:

En el primer capítulo se incluye un marco de referencia donde se define lo que es un CSIRT y algunos beneficios que conlleva.

En el segundo capítulo se hace una relación de algunas iniciativas y experiencias nacionales e internacionales en CSIRTs consideradas para el desarrollo de este documento.

En el tercer capítulo se presenta una definición general del CSIRT, el tipo de entidad que se recomienda constituir, su misión, visión, el portafolio de productos y servicios, y sus objetivos estratégicos.

En el cuarto capítulo se propone un potencial portafolio de productos y servicios que hagan auto sostenible la operación del CSIRT Colombiano.

Página 21 de 192

En el quinto capítulo se incluyen los procesos y procedimientos que sostengan la operación de la entidad, haciendo una articulación del modelo de seguridad con la NTC-GP 1000, MECI e ISO 9000. Su caracterización se presenta en el documento anexo.

En el sexto capítulo se hace una revisión del entorno del mercado que enfrentará el CSIRT.

En el séptimo capítulo se hace una recomendación de indicadores y metas que, bajo el enfoque de la metodología del Balanced Scorecard (Cuadro de Mando Integral), permitan su adecuado control y gestión.

En el octavo capítulo se incluye una propuesta de estructura organizacional con las competencias requeridas para cada rol, el modelo de contratación y capacitación del talento humano del CSIRT Colombiano.

En el noveno capítulo se sugieren las etapas para la conformación del CSIRT en Colombia.

En el décimo capítulo se elabora una propuesta de presupuesto de inversión y funcionamiento del CSIRT, teniendo en cuenta que sea auto sostenible en el mediano y largo plazo.

Página 22 de 192

1. QUÉ ES UN CSIRT

1.1. DEFINICIÓN

El término CSIRT significa Computer Security Incident Response Team (Equipo de Respuesta a Incidentes de Seguridad Informática), y ha sido acuñado respondiendo simultáneamente a diferentes abreviaturas usadas para denotar a nivel mundial este tipo de equipos:

CSIRT (Computer Security Incident Response Team / Equipo de Respuesta a Incidentes de Seguridad Informática): Término usado en Europa.

CERT o CERT/CC (Computer Emergency Response Team / Coordination Center, equipo de respuesta a emergencias informáticas / Centro de coordinación): Término registrado en los Estados Unidos de América por el CERT Coordination Center (CERT/CC).

IRT (Incident Response Team / Equipo de respuesta a incidentes).

CIRT (Computer Incident Response Team / Equipo de respuesta a incidentes informáticos).

SERT (Security Emergency Response Team / Equipo de respuesta a emergencias de seguridad).

Un CSIRT es un equipo de expertos en seguridad informática que pretenden responder a los incidentes de seguridad relacionados con la tecnología de la información y a recuperarse después de sufrir uno de estos incidentes. Para minimizar los riesgos también se ofrecen servicios preventivos y educativos relacionados con vulnerabilidades de software, hardware o comunicaciones y se informa a la comunidad sobre los potenciales riesgos que toman ventaja de las deficiencias de la seguridad.

1.2. ANTECEDENTES

Durante la segunda mitad de los años ochenta se vio la red Arpanet salir de la fase de I&D y convertirse en una realidad práctica bajo el impulso del mundo universitario y desarrollada por el DoD (el Departamento de Defensa estadounidense). La eficacia y la constante mejora de los distintos servicios, entre los cuales se cuenta el correo electrónico, rápidamente hicieron que esta red sea indispensable para numerosos sitios.

En noviembre de 1988, un estudiante de la Universidad de Cornell lanzó en esta red un programa que se propagaba y se replicaba solo. Este programa, conocido con el nombre de “gusano de Internet”, aprovechaba distintos fallos de seguridad del sistema Unix (el sistema operativo de la mayoría de los computadores conectados en la red). Aunque no fue programado con malas intenciones, este primer virus informático, se propagó rápidamente obstruyendo al mismo tiempo las máquinas infectadas por múltiples

Página 23 de 192

copias del gusano. En ese entonces, la red constaba de aproximadamente 60.000 computadores. Con sólo el 3 o 4 % de las máquinas contaminadas, la red estuvo totalmente indisponible durante varios días, hasta que se tomaron medidas cautelares (incluyendo la desconexión de numerosas máquinas de la red).

Para eliminar este “gusano de Internet”, se creó un equipo de análisis ad hoc con expertos del MIT, de Berkley, Purdue. Se reconstituyó y analizó el código del virus, lo cual permitió, por una parte, identificar y corregir los fallos del sistema operativo, y por otra parte, desarrollar y difundir mecanismos de erradicación. Después de este incidente, el director de obras de Arpanet, la DARPA (Defense Advanced Research Projects Agency), decidió instalar una estructura permanente, el CERT Coordination Center (CERT/CC) parecido al equipo reunido para resolver el incidente.

Este incidente actuó como una alarma e impulsó la necesidad de cooperación y coordinación multinacional para enfrentarse este tipo de casos. En este sentido, la DARPA (Defence Advanced Research Projects Agency / Agencia de Investigación de Proyectos Avanzados de Defensa) creó el primer CSIRT: El CERT Coordination Center (CERT/CC1), ubicado en la Universidad Carnegie Mellon, en Pittsburgh (Pensilvania, USA).

Poco después el modelo se adoptó en Europa, y en 1992 el proveedor académico holandés SURFnet puso en marcha el primer CSIRT de Europa, llamado SURFnet-CERT2. El número de CSIRTs continuó creciendo, cada uno con su propio propósito, financiación, divulgación y área de influencia. La interacción entre estos equipos experimentó dificultades debido a las diferencias en lengua, zona horaria y estándares o convenciones internacionales. Siguieron otros muchos equipos, y en la actualidad existen más de 100 equipos reconocidos alrededor del mundo. Con el tiempo, los CERT ampliaron sus capacidades y pasaron de ser una fuerza de reacción a prestadores de servicios de seguridad completos que incluyen servicios preventivos como alertas, avisos de seguridad, formación y servicios de gestión de la seguridad. Pronto el término “CERT” se consideró insuficiente, y a finales de los años noventa se acuñó el término “CSIRT”. En la actualidad, ambos términos (CERT y CSIRT) se usan como sinónimos.

Internet comenzó su vertiginoso crecimiento y muchas compañías comenzaron a confiar en Internet sus transacciones diarias. Así mismo, los CSIRTs continuaron creciendo alrededor del globo, soportando gobiernos enteros u organizaciones multinacionales.

Desde ese entonces, Internet ha seguido creciendo hasta llegar a ser la red que se conoce actualmente, con una multiplicación rápida de las máquinas conectadas (varios millones) y de las fuentes de agresión.

1 CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute - Carnegie

Mellon University. Autor: No determinado

2 SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx. U.A: 2008/09/26. Publicado por: SURFnet

network. Autor: No determinado

Página 24 de 192

http://www.surfnet.nl/en/Pages/default.aspx

http://www.cert.org/

1.3. BENEFICIOS DE CONTAR CON UN CSIRT

Disponer de un equipo dedicado a la seguridad de las TI ayuda a las organizaciones a mitigar y evitar los incidentes graves y a proteger su patrimonio. Otros posibles beneficios son:

Disponer de una coordinación centralizada para las cuestiones relacionadas con la seguridad de las TI dentro de la organización (punto de contacto).

Reaccionar a los incidentes relacionados con las TI y tratarlos de un modo centralizado y especializado.

Tener al alcance de la mano los conocimientos técnicos necesarios para apoyar y asistir a los usuarios que necesitan recuperarse rápidamente de algún incidente de seguridad.

Tratar las cuestiones jurídicas y proteger las pruebas en caso de pleito.

Realizar un seguimiento de los progresos conseguidos en el ámbito de la seguridad.

Fomentar la cooperación en la seguridad de las TI entre los clientes del grupo atendido (sensibilización).

Página 25 de 192

2. INICIATIVAS Y EXPERIENCIAS NACIONALES E INTERNACIONALESEN CSIRTs

2.1. ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL MUNDO

En la actualidad existen múltiples organizaciones que usan el nombre CERT - Computer Emergency Response Team (Equipo de Respuesta a Emergencias de Computación) o CSIRT (término genérico de significado equivalente).

A continuación se presentan algunas de estas experiencias como primer paso fundamental para la definición de una propuesta de creación del CSIRT Colombiano (ú.a = 30/09/2008).

Nombre del Documento

Resumen Enlace Fuente

CSIRT – Handbook Teoría General en temas de CSIRT

http://www.cert.org/ CSIRT - Handbook.pdf

CSIRT FAQ Teoría General en temas de CSIRT

http://www.cert.org/ CSIRT FAQ.doc

Incident Management Capability Metrics

Teoría General en temas de CSIRT

http://www.cert.org/ 07tr008 - Incident Management Capability Metrics Version 0.1.pdf

Incident Management Mission Diagnostic Method


http://www.cert.org/ 08tr007 - Incident Management Mission Diagnostic Method, Version 1.0.pdf

State of the Practice of Computer Security Incident Response Teams


http://www.cert.org/ State of the Practice of Computer Security Incident Response Teams.pdf

The Real Secrets of Incident Management


http://www.cert.org/ The Real Secrets ofIncidentManagement.pdf

The Real Secrets of Incident Management


http://www.cert.org/ The Real Secrets ofIncidentManagement.MP3

Incident Response SHight


csirt.es.html Incident_Response_SHig ht.pdf

Improving CSIRT Communication


http://www.tesink.org/thesis.pd f Thesis.pdf

Página 26 de 192

http://www.tesink.org/thesis.pd

http://www.rediris.es/cert/links/










Through Standardized and Secured Information ExchangeLimits to Effectiveness in Computer Security Incident Response Teams


https://www.cert.org/archive/p df/Limits-to-CSIRT-Effectiveness.pdf

Limits-to-CSIRT-Effectiveness.pdf

eCSIRT.net Deliverable Common Language Specification & Guideline to Application of the Common Language part (i)


http://www.ecsirt.net/cec/servi ce/documents/wp2-common-language.pdf

wp2-common-language.pdf

eCSIRT.net Deliverable1 Guideline to Application of the Common Language part (ii)


http://www.ecsirt.net/cec/servi ce/documents/wp2-and-3-guideline.pdf

wp2-and-3-guideline.pdf

Seguridad Informática para Administradores de Redes y Servidores


http://www.arcert.gov.ar/ncurs os/material/Seg-adm-6p.pdf

Seg-adm-6p.pdf

Seguridad InformáticaparaAdministradores deRedesy Servidores


http://www.arcert.gov.ar/curso s/seguridad_adm/Seguridad%2 0para%20Administradores.pdf

Seguridad%20para%20A dministradores.pdf

Helping prevent information security risks in the transition to integrated operations


http://www.telenor.com/telektronikk/volumes/pdf/1.2005/Page_029-037.pdf

Page_029-037.pdf

State of the Practice of Computer Security Incident Response Teams (CSIRTs)


http://www.rediris.es/cert/links/ csirt.es.html

03tr001 - State of the Practice of Computer Security Incident Response Teams.pdf

Expectations for Computer Security Incident Response


http://www.ietf.org/rfc/rfc2350. txt Expectations for Computer Security Incident Response.doc

Site Security Handbook


http://www.ietf.org/rfc/rfc2196. txt Site Security Handbook.doc

Guidelines for Evidence Collection and Archiving


http://www.ietf.org/rfc/rfc3227. txt Guidelines for Evidence Collection and Archiving.doc

Página 27 de 192

http://www.ietf.org/rfc/rfc3227




http://www.telenor.com/telektr

http://www.arcert.gov.ar/curso

http://www.arcert.gov.ar/ncurs

http://www.ecsirt.net/cec/servi

http://www.ecsirt.net/cec/servi

https://www.cert.org/archive/p



Why do I need a CSIRT?


http://www.terena.org/activities /tf-csirt/meeting9/jaroszewski-assistance-csirt.pdf

jaroszewski-assistance-csirt.pdf

Description of the different kinds of CSIRT environments


http://www.enisa.europa.eu/cer t_guide/pages/05_01_04.htm

Description of the different kinds of CSIRT environments.docs

Informe del relator del séptimo período ordinario de sesiones del Comité Interamericano Contra el Terrorismo

Antecedentes de los CSIRT

http://scm.oas.org/pdfs/2007/C ICTE00188E.pdf

CICTE00188E.pdf

Adopción de una estrategia interamericana integral para combatir las amenazas a la seguridad cibernética: Un enfoque multidimensional y multidisciplinario para la creación de una cultura de seguridad cibernética


http://dgpt.sct.gob.mx/fileadmi n/ccp1/redes/doc._472-04.doc

doc._472-04.doc

Puesta en marcha del CSIRT y Gestión de Seguridad de la Información de ANTEL


http://jiap.org.uy/jiap/JIAP2007 /Presentaciones%20Jiap%2020 07/ANTEL.pdf

Antel.pdf

FIRST - Forum for Incident Response and Security Teams

Experiencias en el Mundo

http://www.first.org/ Página Web

ENISA - European Network and Information Security Agency


http://www.enisa.europa.eu/cer t guide/downloads/CSIRT setti ng up guide ENISA-ES.pdf

Página Web

APCERT (Asia Pacific Computer Emergency Response Team)


http://www.apcert.org/ Página Web

CERT Coordination Center de la Universidad Carnegie Mellon


http://www.cert.org/ Página Web

Alemania - CERT-Bund


nd/ Página Web

Arabia Saudita - Experiencias en el http://www.cert.gov.sa/ Página Web

Página 28 de 192


http://www.bsi.bund.de/certbu



http://www.enisa.europa.eu/cer


http://jiap.org.uy/jiap/JIAP2007

http://dgpt.sct.gob.mx/fileadmi

http://scm.oas.org/pdfs/2007/C


http://www.terena.org/activities



CERT-SA (Computer Emergency Response Team - Saudi Arabia)

Mundo

Argentina - ArCERT (Computer Emergency Response Team of the Argentine Public)


http://www.arcert.gov.ar/ Página Web

Australia - AusCERT (Australia Computer Emergency Response Team)


http://www.auscert.org.au/ Página Web

Austria - CERT.at (Computer Emergency Response Team Austria)


www.cert.at Página Web

Brasil - CERT.br (Computer Emergency Response Team Brazil)


http://www.cert.br Página Web

Canadá - PSEPC (Public Safety Emergency Preparedness Canada)



Página Web

Chile – CSIRT-GOV Experiencias en el Mundo

http://www.csirt.gov.cl/ Página Web

Chile - CLCERT Experiencias en el Mundo

http://www.clcert.cl Página Web

China - CNCERT/CC (National Computer Network Emergency Response Technical Team)


http://www.cert.org.cn/english _web/

Página Web

Corea del Sur -KrCERT/CC (CERT Coordination Center Korea)


http://www.krcert.or.kr/ Página Web

Dinamarca – DK.CERT (Danish Computer Emergency Response Team)


https://www.cert.dk/ Página Web

Emiratos Árabes Unidos – aeCERT (The United Arab Emirates Computer


http://www.aecert.ae/ Página Web

Página 29 de 192




http://www.cert.org.cn/english



http://www.cert.br/

http://www.cert.at/





Emergency Response Team)España - ESCERT (Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas)


http://escert.upc.edu/index.php /web/es/index.html

Página Web

España – IRIS-CERT (Universidades)


http://www.rediris.es/cert/ Página Web

España - CCN-CERT (Cryptology National Center - Computer Security Incident Response Team)


https://www.ccn-cert.cni.es/ Página Web

España - INTECO-CERT (Centro de Respuestas a Incidentes en TI para PYMES y Ciudadanos)


http://www.inteco.es/rssRead/S eguridad/INTECOCERT

Página Web

Estados Unidos - US-CERT (United States -Computer Emergency Readiness Team)


http://www.us-cert.gov Página Web

Estonia – CERT-EE Experiencias en el Mundo

http://www.ria.ee/?id=28201 Página Web

Filipinas - PH-CERT (Philippines Computer Emergency Response Team)


http://www.phcert.org/ Página Web

Francia-CERTA (Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques)


http://www.certa.ssi.gouv.fr/ Página Web

Hong Kong - HKCERT (Hong Kong Computer Emergency Response Coordination Centre)


http://www.hkcert.org/ Página Web

Hungría - CERT-Hungria


http://www.cert-hungary.hu/ Página Web

India - CERT-In Experiencias en el Mundo

http://www.cert-in.org.in/ Página Web

Japan - JPCERT/CC Experiencias en el http://www.jpcert.or.jp/ Página Web

Página 30 de 192









http://www.inteco.es/rssRead/S



http://escert.upc.edu/index.php


GOBIERNO EN LÍNEA



(JP CERT Coordination Center)

Mundo

México – UNAM-CERT Experiencias en el Mundo

http://www.cert.org.mx/index.h tml

Página Web

Nueva Zelandia – CCIP (Centre for Critical Infrastructure Protection)


http://www.ccip.govt.nz/ Página Web

Holanda -GOVCERT.N


http://www.govcert.nl/ Página Web

Polonia - CERT Polska (Computer Emergency Response Team Polska)


http://www.cert.pl/ Página Web

Qatar - Q-CERT (Qatar CERT)


http://www.qcert.org Página Web

Reino Unido -GovCertUK


www.govcertuk.gov.uk Página Web


www.cpni.gov.uk Página Web

Singapur – SingCERT (Singapore CERT)


http://www.singcert.org.sg/ Página Web

Sri Lanka – SLCERT Experiencias en el Mundo

http://www.cert.lk/ Página Web

Túnez - CERT-TCC (Computer Emergency Response Team - Tunisian Coordination Center)


http://www.ansi.tn/en/about_c ert-tcc.htm

Página Web

Venezuela CERT.ve (VenCERT - Centro de Respuestas ante Incidentes Telemáticos del Sector Público)


http://www.cert.gov.ve/ Página Web

EXPERIENCIAS o antecedentes EN COLOMBIA



Página Web

ComitéInteramericano Contra el Terrorismo de la OEA (CICTE)


http://www.cicte.oas.org/Rev/E S/Events/Cyber Events/CSIRT %20training%20course Colom bia.asp

ENISA -work_programme_2006.pdf

CSIRT COLOMBIA Experiencias en Colombia


CSIRT COLOMBIA.doc

Developing an Aspectos Financieros http://www.securityfocus.com/i Developing an Effective

Página 31 de 192

http://www.securityfocus.com/i

http://www.udistrital.edu.co/co

http://www.cicte.oas.org/Rev/E

http://www.udistrital.edu.co/co


http://www.ansi.tn/en/about_c

http://www.cert.lk/


http://www.cpni.gov.uk/


http://www.qcert.org/

http://www.cert.pl/



http://www.cert.org.mx/index.h



Effective Incident Cost Analysis Mechanism

de un CSIRT nfocus/1592 Incident Cost Analysis Mechanism.doc

Incident Cost Analysis and Modeling Project

Aspectos Financieros de un CSIRT

http://www.cic.uiuc.edu/groups /ITSecurityWorkingGroup/archiv e/Report/ICAMPReport1.pdf

ICAMPReport1.pdf

Incident Cost Analysis and Modeling Project I-CAMP II

Aspectos Financieros de un CSIRT

http://www.cic.uiuc.edu/groups /ITSecurityWorkingGroup/archiv e/Report/ICAMPReport2.pdf

ICAMPReport2.pdf

Defining Incident Management Processes for CSIRTs

Procesos de un CSIRT

http://www.cert.org/ 04tr015 - Defining Incident Management Processes for CSIRTs.pdf

Benchmarking CSIRTworkProcesses


http://www.hig.no/index.php/c ontent/download/3302/70468/fi le/Kj%C3%A6rem%20-%20Benchmarking%20CSIRT% 20work%20processes.pdf

KjÃ¦rem - Benchmarking CSIRT work processes.pdf

How to Design a Useful Incident Response Policy


http://www.securityfocus.com/i nfocus/1467

How to Design a Useful Incident Response Policy.doc

Effectiveness of Proactive CSIRT Services

Productos y Servicios de un CSIRT

http://www.first.org/conference /2006/papers/kossakowski-klaus-papers.pdf

kossakowski-klaus-papers.pdf

Recommended Internet Service Provider Security Services and Procedures


http://www.ietf.org/rfc/rfc3013. txt Recommended Internet Service Provider Security Services and Procedures.doc

CSIRT Services List Productos y Servicios de un CSIRT

http://www.cert.org/ CSIRT-services-list.pdf

ENISA - Possible services that a CSIRT can deliver


http://www.enisa.europa.eu/cer t_guide/pages/05_02.htm

ENISA - Possible services that a CSIRT can deliver.doc

Organizational Models for Computer Security Incident Response Teams (CSIRTs)

Estructura de un CSIRT

http://www.rediris.es/cert/links/ csirt.es.html

03hb001 - Organizational Models for Computer Security Incident Response Teams (CSIRTs)

Organizational Models for Computer Security Incident Response Teams


http://www.sei.cmu.edu/publications/documents/03.reports/03hb001/03hb001chap07.html

Organizational Models for Computer Security Incident Response Teams.doc

Staffing Your Computer Security Incident Response Team


http://www.cert.org/ Staffing Your Computer Security Incident Response Team.doc

Página 32 de 192


http://www.sei.cmu.edu/public





http://www.first.org/conference

http://www.securityfocus.com/i

http://www.hig.no/index.php/c


http://www.cic.uiuc.edu/groups

http://www.cic.uiuc.edu/groups



CERT-FI First 12 months

Modelo de Negocio de un CSIRT

http://www.terena.org/activities /tf-csirt/meeting8/huopio-certfi.pdf

huopio-certfi.pdf

A step-by-stepapproachon how to set up aCSIRT


http://www.enisa.europa.eu/do c/pdf/deliverables/enisa csirt s etting_up_guide.pdf

enisa_csirt_setting_up_g uide.pdf

Steps for Creating National CSIRTs


f/NationalCSIRTs.pdf NationalCSIRTs.pdf

Action List for Developing a CSIRT


http://www.cert.org/ Action List for Developing a CSIRT.pdf

ENISA - Cómo crear un CSIRT paso a paso


http://www.enisa.europa.eu/cer t guide/downloads/CSIRT setti ng up _guide ENISA-ES.pdf

CSIRT setting up _guide _ENISA-ES.pdf

2.1.1. FIRST - FORUM FOR INCIDENT RESPONSE AND SECURITY TEAMS3

2.1.1.1. Antecedentes

El Foro de Equipos de Seguridad para Respuesta a Incidentes - FIRST es la primera organización global reconocida en respuesta a incidentes, tanto de manera reactiva como proactiva.

FIRST fue formado en 1990 en respuesta al problema del gusano de internet que atacó en 1988. Desde entonces, ha continuado creciendo y desarrollándose en respuesta a las necesidades que cambiaban de los equipos de la respuesta y de la seguridad del incidente.

2.1.1.2. Servicios Ofrecidos

FIRST reúne una variedad de equipos de respuesta de incidentes de seguridad informática para entidades gubernamentales, comerciales y académicas. FIRST busca fomentar la cooperación y coordinación en la prevención de incidentes, estimular la reacción rápida a los incidentes y promover el compartir información entre los miembros y la comunidad.

FIRST proporciona adicionalmente servicios de valor agregado tales como:

Acceso a documentos actualizados de mejores prácticas.

Foros técnicos para expertos en seguridad informática.

3Tomado de: http://www.first.org/. U.A: 2008/09/26. Publicado por: FIRST.ORG, Inc. Autor: No determinado.

Página 33 de 192




http://www.cert.org/archive/pd

http://www.enisa.europa.eu/do

http://www.terena.org/activities

• Clases

Conferencia Anual

Publicaciones y webservices

Grupos de interés especial

2.1.1.3. Estructura

FIRST funciona bajo de un marco operacional, que contiene los principios que gobiernan y las reglas de funcionamiento de alto nivel para la organización. Sin embargo, FIRST no ejercita ninguna autoridad sobre la organización y la operación de los equipos individuales miembros.

Comité de Dirección: El Comité de Dirección es un grupo de individuos responsables de la política de funcionamiento general, de procedimientos y de materias relacionadas que afectan a FISRT en su totalidad.

Nombre Entidad VigenciaDerrick Scholl (Chair) Sun Microsystems, USA 2008-2010Ken van Wyk (Vice-Chair) KRvW Associates, LLC, USA 2007-2009Chris Gibson (Treasurer) Citigroup, USA/UK 2008-2010Peter Allor IBM ISS, USA 2008-2010Yurie Ito JPCERT/CC, Japan 2007-2009

Scott McIntyre KPN-CERT, NL 2008-2010Francisco Jesus Monserrat Coll RedIRIS, Spain 2007-2009Tom Mullen British Telecom, UK 2007-2009Steve Adegbite Microsoft, USA 2008-2010Arnold Yoon KrCERT/CC, Korea 2007-2009

Junta Directiva: La Junta Directiva es un grupo de individuos responsables de la política de funcionamiento general, de procedimientos, y de materias relacionadas que afectan la organización FIRST en su totalidad.

Secretaría: La secretaría sirve como punto administrativo para FIRST y proporciona un contacto general.

Equipos Miembros: Los equipos de la respuesta del incidente que participan en FIRST representan las organizaciones que asisten a la comunidad de la tecnología de información o a entidades gubernamentales que trabajan en la prevención y manipulación de incidentes de seguridad informática.

Enlaces: Individuos o representantes de organizaciones con excepción de los equipos CSIRT que tienen un interés legítimo en y lo valoran a FIRST.

Comités: El Comité de Dirección de FIRST establece los comités temporales ad hoc requeridos para alcanzar mejor las metas.

Página 34 de 192

2.1.1.4. Área de Influencia

FIRST está una confederación internacional de los equipos de respuesta a incidente informáticos que de manera cooperativa manejan incidentes de la seguridad y promueven programas de la prevención del incidente, anima y promueve el desarrollo de productos, políticas y servicios de la seguridad, desarrolla y promulga las mejores prácticas de la seguridad y promueve la creación y expansión de los equipos de incidente alrededor del mundo.

Los miembros de FIRST desarrollan y comparten información técnica, herramientas, metodologías, procesos y mejores prácticas y utilizan su conocimiento, habilidades y experiencia combinados para promover un ambiente electrónico global más seguro. FIRST tiene actualmente más de 180 miembros, extienda por África, las Américas, Asia, Europa y Oceanía. Los siguientes son los equipos CSIRT distribuidos alrededor del mundo, donde Colombia aún no hace parte:

Ilustración 1: Países con CSIRTs Miembros de FIRST

CSIRT Nombre Oficial del CSIRT

AAB GCIRT ABN AMRO Global CIRT

ACERT Army Emergency Response Team

ACOnet-CERT ACOnet-CERT

AFCERT Air Force CERT

ARCcert The American Red Cross Computer Emergency Response Team

ASEC AhnLab Security E-response Center

AT&T AT&T

AboveSecCERT Above Security Computer Emergency Response Team

Apple Apple Computer

Página 35 de 192


ArCERT Computer Emergency Response Team of the Argentine Public Administration

AusCERT Australian Computer Emergency Response Team

Avaya-GCERT Avaya Global Computer Emergency Response Team

BCERT Boeing CERT

BELNET CERT BELNET CERT

BFK BFK edv consulting

BIRT BrandProtect IRT

BMO ISIRT BMO InfoSec Incident Response Team

BP DSAC BP Digital Security Alert Centre

BTCERTCC British Telecommunications CERT Co-ordination Centre

BadgIRT University of Wisconsin-Madison

Bell IPCR Bell Canada Information Protection Centre (IPC) Response

Bunker The Bunker Security Team

CAIS/RNP Brazilian Academic and Research Network CSIRT

CARNet CERT CARNet CERT

CC-SEC Cablecom Security Team

CCIRC Canadian Cyber Incident Response Centre

CCN-CERT CCN-CERT (Spanish Governmental National Cryptology Center -Computer Security Incident Response Team)

CERT POLSKA Computer Emergency Response Team Polska

CERT TCC TDBFG Computer Security Incident Response Team

CERT-Bund CERT-Bund

CERT-FI CERT-FI

CERT-Hungary Hungarian governmental Computer Emergency Response Team

CERT-IT CERT Italiano

CERT-In Indian Computer Emergency Response Team

CERT-Renater CERT-Renater

CERT-TCC Computer Emergency Response Team Tunisian Coordination Center

CERT-VW CERT-VW

CERT.at CERT.at

CERT.br Computer Emergency Response Team Brazil

CERT/CC CERT Coordination Center

CERTA CERT-Administration

CERTBw Computer Emergency Response Team Bundeswehr

CFC Cyber Force Center

CGI CIRT CGI Computer Incident Response Team

CIAC US Department of Energy's Computer Incident Advisory Capability

CLCERT Chilean Computer Emergency Response Team

CMCERT/CC China Mobile Computer Network Emergency Response Technical Team /Coordination Center

Página 36 de 192


CNCERT/CC National Computer Network Emergency Response Technical Team / Coordination Center of China

CSIRT ANTEL ANTEL's Computer and Telecommunications Security Incident Response Centre

CSIRT Banco Real Real Bank Brazil Security Incident Response Team

CSIRT.DK Danish Computer Security Incident Repsonse Team

CSIRTUK CSIRTUK

Cert-IST CERT France Industries, Services & Tertiaire

Cisco PSIRT Cisco Systems Product Security Incident Response Team

Cisco Systems Cisco Systems CSIRT

Citi CIRT Citi CIRT

ComCERT Commerzbank CERT

CyberCIRT Cyberklix Computer Incident Response Team

DANTE Delivery of Advanced Network Technology to Europe Limited

DCSIRT Diageo CSIRT

DFN-CERT DFN-CERT

DIRT DePaul Incident Response Team

DK-CERT Danish Computer Emergency Repsonse Team

E-CERT Energis Computer Emergency Response Team

EDS EDS

EMC EMCs Product Security Response Center

ESACERT ESA Computer and Communications Emergency Response Team

ETISALAT-CERT ETISALAT Computer Emergency Response

EWA-Canada/CanCERT EWA-Canada / Canadian Computer Emergency Response Team

EYCIRT Ernst & Young Computer Incident Response Team

Ericsson PSIRT Ericsson Product Security Incident Response Team

FSC-CERT CERT of Fujitsu-Siemens Computers

FSLabs F-Secure Security Labs

Funet CERT Funet CERT

GD-AIS General Dynamics – AIS

GIST Google Information Security Team

GNS-Cert GNS-Cert

GOVCERT.NL GOVCERT.NL

GTCERT Georgia Institute of Technology CERT

Goldman Sachs Goldman, Sachs and Company

GovCertUK CESGs Government Computer Emergency Response Team

HIRT Hitachi Incident Response Team

HKCERT Hong Kong Computer Emergency Response Team Coordination Centre

HP SSRT HP Software Security Response Team

IBM IBM

IIJ-SECT IIJ Group Security Coordination Team

Página 37 de 192


ILAN-CERT Israeli Academic CERT

ILGOV-CERT Israel governmental computer emergency response team

ING Global CIRT ING Global CIRT

IP+ CERT IP-Plus CERT

IPA-CERT IPA-CERT

IRIS-CERT IRIS-CERT

IRS CSIRC IRS (Internal Revenue Service) Computer Security Incident Response Team

Infosec-CERT Infosec Computer Emergency Response Team

Intel FIRST Team Intel FIRST Team

JANET CSIRT JANET CSIRT

JPCERT/CC JPCERT Coordination Center

JPMC CIRT JPMorgan Chase Computer Incident Response Team

JSOC Japan Security Operation Center

Juniper SIRT Juniper Networks Security Incident Response team

KFCERT Korea Financial Computer Emergency Response Team

KKCSIRT Kakaku.com Security Incident Response Team

KMD IAC KMD Internet Alarm Center

KN-CERT Korea National Computer Emergency Response Team

KPN-CERT Computer Emergency Response Team of KPN

KrCERT/CC KrCERT/CC

LITNET CERT LITNET CERT

MCERT Motorola Cyber Emergency Response Team

MCI MCI, Inc.

MCIRT Metavante Computer Incident Response Team

MFCIRT McAfee Computer Incident Response Team

MIT Network Security Massachusetts Institute of Technology Network Security Team

MLCIRT Merrill Lynch Computer Security Incident Response Team

MODCERT MOD Computer Emergency Response Team

MSCERT Microsoft Product Support Services Security Team

MyCERT Malaysian Computer Emergency Response Team

NAB ITSAR National Australia Bank - IT Security Assessments and Response

NASIRC NASA Incident Response Center

NCIRC CC NATO Computer Incident Response Capability - Coordination Center

NCSA-IRST National Center for Supercomputing Applications IRST

NCSIRT NRI SecureTechnologies Computer Security Incident Response Team

NGFIRST Northrop Grumman Corporation FIRST

NIHIRT NIH Incident Response Team

NISC National Information Security Center

NIST NIST IT Security

NN FIRST Team Nortel FIRST Team

Página 38 de 192


NORDUnet NORDUnet

NTT-CERT NTT Computer Security Incident Response and Readiness Coordination Team

NU-CERT Northwestern University

NUSCERT NUS Computer Emergency Response Team

Nokia-NIRT Nokia Incident Response Team

NorCERT Norwegian Computer Emergency Response Team

ORACERT Oracle Global Security Team

OS-CIRT Open Systems AG Computer Incident Response Team

OSU-IRT The Ohio State University Incident Response Team

OxCERT Oxford University IT Security Team

PRE-CERT PRE-CERT

PSU Pennsylvania State University

Pentest Pentest Security Team

Q-CERT Qatar CERT

Q-CIRT QinetiQ Computer Incident Response Team

RBC FG CSIRT RBC Financial Group CSIRT

RBSG Royal Bank of Scotland, Investigation and Threat Management

RM CSIRT ROYAL MAIL CSIRT CC

RU-CERT Computer Security Incident Response Team RU-CERT

RUS-CERT Stabsstelle DV-Sicherheit der Universitaet Stuttgart

Ricoh PSIRT Ricoh Product Security Incident Response Team

S-CERT CERT of the German Savings Banks Organization

SAFCERT Singapore Armed Forces Computer Emergency Response Team

SAIC-IRT Science Applications International Corporation - Incident Response Team

SAP CERT SAP AG CERT

SBCSIRT Softbank Telecommunications Security Incident Response Team

SGI Silicon Graphics, Inc.

SI-CERT Slovenian CERT

SIRCC Security Incident Response Control Center

SITIC Swedish IT Incident Centre

SKY-CERT Skype Computer Emergency Response Team

SLCERT Sri Lanka Computer Emergency Response Team

SUNet-CERT SUNet-CERT

SURFcert SURFcert

SWAT A.P.Moller-Maersk Group IT-Security SWAT

SWITCH-CERT Swiss Education and Research Network CERT

SWRX CERT SecureWorks Computer Emergency Response Team

Secunia Research Secunia Research

Siemens-CERT Siemens-CERT

Página 39 de 192


SingCERT Singapore CERT

Sprint Sprint

Stanford Stanford University Information Security Services

Sun Sun Microsystems, Inc.

SymCERT Symantec Computer Emergency Response Team

TERIS Telefonica del Peru Computer Security Incidents Response Team

TESIRT TELMEX Security Incident Response Team

TS-CERT TeliaSoneraCERT CC

TS/ICSA FIRST TruSecure Corporation

TWCERT/CC Taiwan Computer Emergency Response Team/Coordination Center

TWNCERT Taiwan National Computer Emergency Response Team

Team Cymru Team Cymru

Telekom-CERT Telekom-CERT

ThaiCERT Thai Computer Emergency Response Team

UB-First UB-First

UCERT Unisys CERT

UGaCIRT The University of Georgia Computer Incident Response Team

UM-CERT University of Michigan CERT

UNAM-CERT UNAM-CERT

UNINETT CERT UNINETT CERT

US-CERT United States Computer Emergency Readiness Center

Uchicago Network Security The University of Chicago Network Security Center

VISA-CIRT VISA-CIRT

VeriSign VeriSign

YIRD Yahoo Incident Response Division

dCERT debis Computer Emergency Response Team

dbCERT Deutsche Bank Computer Emergency Response Team

e-Cop e-Cop Pte Ltd

e-LC CSIRT e-LaCaixa CSIRT

esCERT-UPC CERT for the Technical University of Catalunya

secu-CERT SECUNET CERT

Página 40 de 192

2.1.2. ENISA - EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY4


El 10 de marzo de 2004 se creó una Agencia Europea de Seguridad de las Redes y de la Información (ENISA)5. Su objetivo era garantizar un nivel elevado y efectivo de seguridad de las redes y de la información en la Comunidad Europea y desarrollar una cultura de la seguridad de las redes y la información en beneficio de los ciudadanos, los consumidores, las empresas y las organizaciones del sector público de la Unión Europea, contribuyendo así al funcionamiento armonioso del mercado interior. Desde hace varios años, diferentes grupos europeos dedicados a la seguridad, como los CERT/CSIRT, los equipos de detección y respuesta a abusos y los WARP, colaboran para que Internet sea más seguro.

La ENISA desea apoyar el esfuerzo realizado por estos grupos aportando información acerca de las medidas que garantizan un nivel adecuado de calidad de los servicios. Además, la Agencia desea potenciar su capacidad de asesorar a los Estados miembros de la UE y los órganos comunitarios en cuestiones relacionadas con la cobertura de grupos específicos de usuarios de las TI con servicios de seguridad adecuados. Por lo tanto, basándose en los resultados del grupo de trabajo ad-hoc de cooperación y apoyo a los CERT, creado en 2005, este nuevo grupo de trabajo se encargará de asuntos relativos a la prestación de servicios de seguridad adecuados (servicios de los CERT) a grupos de usuarios específicos.


Para asegurar el cumplimiento de sus objetivos según lo precisado en su regulación, las tareas de la agencia se enfocan en:

Asesorar y asistir a los Estados miembro en temas de seguridad de la información y a la industria en problemas de seguridad relacionados con sus productos de hardware y de software.

Recopilar y analizar datos sobre incidentes de la seguridad en Europa y riesgos emergentes.

Promover métodos de gestión de riesgo de la seguridad de la información.

Los principales servicios que promueven son:

4Tomado de: http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf. U.A: 2008/09/26. Publicado

por: ENISA. Autor: No determinado.

5 Reglamento (CE) nº 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la

Agencia Europea de Seguridad de las Redes y de la Información. Una “agencia europea” es un órgano creado por la

UE para realizar una tarea técnica, científica o de gestión muy concreta perteneciente al ámbito comunitario de la UE.

Página 41 de 192

http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf

Servicios Reactivos Servicios Proactivos Manejo de Instancias Gestión de la Calidad de la Seguridad

• Alertas y • Comunicados • Análisis de • Análisis de riesgosadvertencias • Observatorio de instancias • Continuidad de la

• Tratamiento de tecnología • Respuesta a las operación yincidentes • Evaluaciones o instancias recuperación tras un

• Análisis de auditorías de la • Coordinación de la desastreincidentes seguridad respuesta a las • Consultoría de

• Apoyo a la • Configuración y instancias seguridadrespuesta a mantenimiento de • Sensibilizaciónincidentes la seguridad • Educación /

• Coordinación de la • Desarrollo de Formaciónrespuesta a herramientas de • Evaluación oincidentes seguridad graduación de

• Respuesta a • Servicios de productosincidentes in situ detección de

• Tratamiento de la intrusosvulnerabilidad • Difusión de

• Análisis de la informaciónvulnerabilidad relacionada con la

• Respuesta a la seguridadvulnerabilidad

• Coordinación de larespuesta a lavulnerabilidad

Página 42 de 192


GOBIERNO EN LÍNEA

Ilustración 2: Estructura de ENISA


ENISA cubre la Comunidad Económica Europea y sus países miembros son: Austria, Bélgica, Bulgaria, Chipre, República Checa, Dinamarca, Estonia, Finlandia, Francia, Alemania, Grecia, Hungría, Irlanda, Italia, Latvia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, Rumania, Eslovaquia, Eslovenia, España, Suecia, Reino Unido, Noruega, Islandia, Liechtenstein.

Página 43 de 192

2.1.2.3. Estructura

2.1.3. APCERT6 - ASIA PACIFIC COMPUTER EMERGENCY RESPONSE TEAM


APCERT ha sido constituida con la misión de mantener una red de contactos de expertos en seguridad informática en la región Pacífica de Asia, para mejorar el conocimiento y la capacidad de la región en lo referente a incidentes de la seguridad de la computadora.


Impulsar la cooperación regional e internacional de Asia pacífica en seguridad de la información.

Tomar medidas comunes para atender incidentes de seguridad de la red.

Facilitar compartir información e intercambio de tecnología, relacionada con seguridad de la información, virus informáticos y código malévolo, entre sus miembros.

Promover la investigación y colaboración en temas del interés en sus miembros.

Asistir a otros CERTs y CSIRTS en la región para conducir respuestas eficiente y eficaz a emergencia computacionales.

Generar recomendaciones de ayudar en cuestiones legales relacionadas con la respuesta a incidentes de seguridad y de emergencias informáticas en la región.

2.1.3.3. Estructura

Miembros de pleno derecho

Equipo Nombre oficial del equipo Economía

AusCERT Australian Computer Emergency Response Team AustraliaBKIS Bach Khoa Internetwork Security Center Vietnam

CCERT CERNET Computer Emergency Response Team República Popular de China

CERT-En Indian Computer Emergency Response Team India

CNCERT/ CC National Computer network Emergency Response technical Team / Coordination Center of China

República Popular de China

HKCERT Hong Kong Computer Emergency Response Team Coordination Centre

Hong Kong, China

ID-CERT Indonesia Computer Emergency Response Team Indonesia

JPCERT /CC Japan Computer Emergency Response Team / Japón

6Tomado de: http://www.apcert.org/. U.A: 2008/09/26. Publicado por: APCERT. Autor: No determinado.

Página 44 de 192



Coordination CenterKrCERT/CC Korea Internet Security Center Corea

MyCERT Malaysian Computer Emergency Response Team Malasia

PHCERT Philippine Computer Emergency Response Team Filipino

SingCERT Singapore Computer Emergency Response Team Singapur

ThaiCERT Thai Computer Emergency Response Team Tailandia

TWCERT /CC Taiwan Computer Emergency Response Team / Coordination Center

Taipei china

TWNCERT Taiwan National Computer Emergency Response Team Taipei china

Miembros Generales


BP DSIRT BP Digital Security Incident Response Team SingapurBruCERT Brunei Computer Emergency Response Team Negara Brunei Darussalam

GCSIRT Government Computer Security and Incident Response Team

Filipinas

NUSCERT National University of Singapore Computer Emergency Response Team

Singapur

SLCERT Sri Lanka Computer Emergency Response Team Sri Lanka

VNCERT Vietnam Computer Emergency Response Team Vietnam


La región de Asia Pacífico

2.1.4. CERT - COORDINATION CENTER DE LA UNIVERSIDAD CARNEGIE MELLON7


El equipo del CERT CSIRT ayuda a organizaciones para desarrollar, para funcionar, y para mejorar capacidades de la gerencia del incidente. Las organizaciones pueden aprovecharse de los productos, del entrenamiento, de los informes, y de los talleres para la comunidad global del Internet.

El centro de coordinación del CERT (CERT/CC), es uno de los grupos con mayor reconocimiento en el campo de los CERTs. Aunque fue establecido como equipo de respuesta a incidente, el CERT/CC se ha desarrollado más allá, centrándose en identificar las amenazas potenciales, de notificar a los

7 CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute - Carnegie

Mellon University. Autor: No determinado.

Página 45 de 192



GOBIERNO EN LÍNEA

administradores de sistemas y al personal técnico acerca de dichas amenazas y de coordinar con los proveedores y los equipos CERT en todo el mundo para tratar las amenazas.


Las áreas en las cuales puede ayudar son:

• Análisis de vulnerabilidades, esperando identificar y atenuar los impactos antes de que se conviertan en una amenaza significativa de la seguridad. Una vez que se identifica una vulnerabilidad, se trabaja con los proveedores apropiados de la tecnología para resolver la acción.

• Además de identificar vulnerabilidades, previenen la introducción de nuevas amenazas, estableciendo prácticas que los proveedores pueden utilizar mejorar la seguridad y la calidad de su software.

• Promueven el desarrollo de una capacidad global de la respuesta, ayudando a organizaciones y a países a establecer los Equipos de Respuesta a Incidente de la Seguridad Informática (CSIRTs) y trabajan con los equipos existentes para coordinar la comunicación y la respuesta durante acontecimientos importantes de seguridad.

• Examinan, catalogan y hacen ingeniera inversa sobre códigos malévolos. Estas actividades ayudan a entender mejor cómo el código trabaja y permiten que se identifiquen las tendencias y los patrones que pueden revelar vulnerabilidades explotables u otras amenazas potenciales.

• Promueven el intercambio de información referente a los servicios de seguridad:

• Avisos de prevención

• Actualizaciones de las actividades de seguridad

• Análisis y entrenamiento en incidentes

• Alertas

• Investigación en tendencias, amenazas y riesgos

• Generan intercambios Técnicos Consultoría, entrenamiento y

desarrollo de habilidades técnicas. Intercambios técnicos de

personal o afiliados residentes Herramienta de desarrollo y ayuda

Página 46 de 192

•

•

Análisis de vulnerabilidad

Análisis de hardware

INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRTCOLOMBIANO – MODELO DE SEGURIDAD –

ESTRATEGIA DEGOBIERNO EN LÍNEA

• Red de supervisión y análisis

• Evalúan la madurez y capacidad del CSIRT

• Interactúan para el patrocinio de FIRST y presentación a otras organizaciones y socios estratégicos

• Hacen análisis de la infraestructura crítica

2.1.4.3. Estructura

El Carnegie Mellon CyLab es una iniciativa universitaria, multidisciplinaria que implica más de 200 facultades, estudiantes, y personal en Carnegie Mellon que han construido el liderazgo en tecnología de información de Carnegie Mellon. Los trabajos de CyLab se centran en la coordinación del CERT (CERT/CC), el conducir un centro reconocido internacionalmente de seguridad de Internet. A través de su conexión al CERT/CC, CyLab también trabaja de cerca con US-CERT - una sociedad entre el departamento de la división nacional de la seguridad de la Ciberseguridad del gobierno (NCSD) y del sector privado, protegiendo la infraestructura nacional de la información en Estados Unidos.


ESgífeiiSl

i 9 9 ^ *0

^V

j

9SÍ

5>

(--. *

i 9

9 V

Ilustración 3: CERT apoyados por el Centro de Coordinación de la Universidad Carnegie Mellon

Página 47 de 192

2.1.5. TERENA8 - TRANS-EUROPEAN RESEARCH AND EDUCATION NETWORKING ASSOCIATION


La Asociación Trans Europea de Redes de Investigación y Educación – TERENA (Trans-European Research and Education Networking Association) ofrece un foro de colaboración, innovación y compartir conocimiento para fomentar el desarrollo de la tecnología, de la infraestructura y de los servicios del Internet que se utilizan por la comunidad de Investigación y educación.

Los objetivos de TERENA se orientan a promover y participar en el desarrollo de información de alta calidad y de una infraestructura de telecomunicaciones internacionales en beneficio de la investigación y de la educación.


Las principales actividades de TERENA son:

Proveer un ambiente de fomento de nuevas iniciativas en la investigación en la comunidad europea para el establecimiento de una red de conocimiento.

Empalmar el soporte europeo para evaluar, probar, integrar y promover nuevas tecnologías del establecimiento de una red de conocimiento.

Organizar conferencias, talleres y seminarios para el intercambio de la información en Comunidad europea para el establecimiento de una red de investigación y buscar transferencia del conocimiento a organizaciones menos avanzadas.

Junto con FIRST, TERENA organiza regularmente talleres de entrenamiento para los miembros de los Equipos de Respuesta al incidente de Seguridad Computacional (CSIRTs), con base en materiales desarrollados originalmente por el proyecto TRANSITS que funcionó entre 2002 y 2005.

TRANSITS era originalmente un proyecto financiado por la Comunidad Económica Europea para promover el establecimiento de los equipos de la respuesta del incidente de la seguridad de la computadora (CSIRTs) tratando el problema de la escasez del personal experto en CSIRTs. Esta meta ha sido tratada proporcionando cursos de especialización al personal de CSIRTs en temas organizacionales, operacionales, técnicos, de mercado y temas legales implicados en el establecimiento de un CSIRT.

Desde que el proyecto TRANSITS terminó en septiembre de 2005, TERENA y FIRST unieron sus fuerzas para organizar talleres a través de Europa, con la ayuda de ayuda financiera de varias organizaciones. Los talleres más recientes han sido co-organizados y patrocinados por ENISA.

8 Tomado de: http://www.terena.org/. U.A: 2008/09/26. Publicado por: Terena. Autor: No determinado.

Página 48 de 192

http://www.terena.org/

2.1.5.3. Estructura

La estructura de TERENA incluye:

Asamblea General de TERENA

Asamblea General Representantes

Comité ejecutivo Técnico de TERENA

Comité Técnico de TERENA

Consejo Consultivo Técnico

Secretaría


ACOnet, Austria FCCN, Portugal MREN, Montenegro SURFnet, TheNetherlands

AMRES - University of FUNET, Finland PCSS, Poland SWITCH, SwitzerlandBelgrade, SerbiaARNES, Slovenia GARR, Italy RedIRIS, Spain UIIP NASB, BelarusBELNET, Belgium GRNET, Greece RENATER, France ULAKBIM, Turkey

BREN, Bulgaria HEAnet, Ireland RESTENA, Luxembourg UNI-C, DenmarkCARNet, Croatia HUNGARNET, Hungary RHnet, Iceland UNINETT, NorwayCESNET, Czech Republic IUCC, Israel RoEduNet, Romania Malta, University of

MaltaCYNET, Cyprus JANET(UK), United SANET, Slovakia

KingdomDFN, Germany LITNET, Lithuania SigmaNet, LatviaEENet, Estonia MARNET, FYR of SUNET, Sweden

Macedonia

Página 49 de 192

2.1.6. ALEMANIA - CERT-BUND9 (COMPUTER EMERGENCY RESPONSE TEAM FÜR BUNDESBEHÖRDEN)


La Oficina Federal para la Seguridad en la Tecnología de Información (Bundesamt für Sicherheit in der Informationstechnik - BSI) es la central de servicios de seguridad del gobierno y por ende, asume la responsabilidad de la seguridad de la sociedad, convirtiéndose en la columna básica de la seguridad interna en Alemania.

Mantiene contacto con los usuarios (administraciones públicas, gobierno y los municipios, así como las empresas y los usuarios privados) y fabricantes de tecnología de información.

En Septiembre de 2001 se creo el contexto de la reorganización del BSI CERT-BUND (Equipo de Respuesta a Emergencias Computacionales para las autoridades federales). Los ataques de virus computacionales repetidos a las redes y sistemas, creo la necesidad de contar con un lugar central para la solución de los problemas de la seguridad informática, enfocados en prevenir los agujeros de seguridad en los sistemas informáticos del gobierno, con reacción siete días la semana.


Entre las tareas del CERT están:

Generar y publicar recomendaciones preventivas para evitar las acciones que generen daños.

Identificar puntos débiles del hardware y software.

Sugerir medidas de recuperación de los agujeros de seguridad,

Advertir situaciones especiales de amenaza relacionadas con la tecnología de información.

Recomendar medidas reactivas para delimitar daños.

Investigar riesgos de seguridad con el uso de la tecnología de información así como desarrollar las medidas de seguridad.

Desarrollar criterios de prueba.

Evaluar la seguridad en sistemas información.

9 Tomado de: http://www.bsi.bund.de/certbund/. U.A: 2008/09/26. Publicado por: Bundesamt für Sicherheit in der

Informationstechnik (BSI). Autor: No determinado.

Página 50 de 192

http://www.bsi.bund.de/certbund/


• Ayudar de las autoridades gubernamentales en temas relacionados con la seguridad en la tecnología deinformación.


Alemania

2.1.7. ARABIA SAUDITA - CERT-SA10 (COMPUTER EMERGENCY RESPONSE TEAM - SAUDI ARABIA)


El Equipo de Respuesta a Emergencia Computacionales (CERT-SA) es un organismo sin ánimo de lucro establecido para desempeñar un papel importante en la creación de conocimiento, la administración, la detección, la prevención, la coordinación y la respuesta a los incidentes de seguridad de la información a nivel nacional en Arabia Saudita.

Su misión se establece en torno a los siguientes objetivos orientados a Arabia Saudita:

• Incrementar el nivel de conocimiento acerca de la seguridad de la información.

• Coordinar a nivel nacional los esfuerzos para promover las mejores prácticas de la seguridad y crear confianza entre la comunidad del ciberespacio.

• Ayudar a manejar ataques e incidentes de la seguridad de la información.

• Ser la referencia en seguridad de la información para la comunidad de Ciberespacio.

• Construir talento y capacidad humana en el campo de la seguridad de la información.

• Proporcionar un ambiente de confianza para las e-transacciones.

• Fomentar la confianza, cooperación y colaboración entre los componentes y la ciber-comunidad de Arabia Saudita.


• Gerencia de la calidad de la seguridad

10 Tomado de: http://www.cert.gov.sa/. U.A: 2008/09/26. Publicado por:CERT-SA. Autor: No determinado.


Página 51 de 192

Construcción de conocimiento: Proporciona conocimiento y dirección en temas de seguridad de la información para una mejor adecuación a las prácticas aceptadas en seguridad informática, vía portal, campaña y seminarios.

Educación / Entrenamiento: Provee educación en seguridad de la información con el entrenamiento interno ajustado para requisitos particulares y en colaboración con instituciones de entrenamiento.

Servicios Proactivos

Aviso: Genera alarmas de seguridad de la información que incluye pero no se limitado a la intrusión, advertencias de vulnerabilidad y asesorías en la seguridad a través del portal.

Difunde información relacionada con la seguridad.

Servicios reactivos

Alarmas y advertencia: Difunde información que describe intrusos, vulnerabilidades de la seguridad, alarmas de intrusión, virus informáticos, bromas y establece la línea de conducta relevante para enfrentar problemas específicos.

Ayuda de la respuesta del incidente: Asiste en la recuperación de incidentes vía teléfono, email, fax, o documentación. Puede implicar asistencia técnica en la interpretación de los datos y orienta en estrategias de mitigación y recuperación.

Análisis del incidente: Examina la información disponible y evidencia de soporte relacionados con un incidente, con el fin de identificar el alcance del incidente, el grado del daño causado por el incidente, la naturaleza del incidente y las estrategias de respuesta.


Arabia Saudita

2.1.8. ARGENTINA - ARCERT11 (COORDINACIÓN DE EMERGENCIAS EN REDES TELEINFORMÁTICAS)


En el año 1999, la Secretaría de la Función Pública de la Jefatura de Gabinete de Ministros de Argentina dispuso la creación de ArCERT, unidad de respuesta ante incidentes en redes que centraliza y coordina los

11 Tomado de: http://www.arcert.gov.ar/. U.A: 2008/09/26. Publicado por:Subsecretaría de Tecnología de Gestión,

Secretaría de la Gestión Pública, Argentina. Autor: No determinado.

Página 52 de 192


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT

COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DEGOBIERNO EN LÍNEA

esfuerzos para el manejo de los incidentes de seguridad que afecten los recursos informáticos de la Administración Pública Nacional, es decir cualquier ataque o intento de penetración a través de sus redes de información.

Adicionalmente difunde información con el fin de neutralizar dichos incidentes, en forma preventiva o correctiva, y capacita al personal técnico afectado a las redes de los organismos del Sector Público Nacional. ArCERT comenzó a funcionar en mayo de 1999 en el ámbito de la Subsecretaría de la Gestión Pública, siendo sus principales funciones:

• Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administración Pública Nacional y facilitar el intercambio de información para afrontarlos.

• Proveer un servicio especializado de asesoramiento en seguridad de redes.

• Promover la coordinación entre los organismos de la Administración Pública Nacional para prevenir, detectar, manejar y recuperar incidentes de seguridad.

• Actuar como repositorio de toda la información sobre incidentes de seguridad, herramientas y técnicas de defensa

ArCERT cumple funciones de naturaleza eminentemente técnica. No pretende investigar el origen de los ataques ni quienes son sus responsables. Corresponde al responsable de cada organismo efectuar las denuncias para iniciar el proceso de investigación


Servicios: Todos los servicios que el ArCERT brinda a los Usuarios son gratuitos y no implican erogación alguna para el Organismo representado.

• Acceso al Sitio Privado de ArCERT

• Análisis y seguimiento de los incidentes de seguridad reportados

• Difusión de información sobre las principales fallas de seguridad en productos

• Recomendación de material de lectura

• Asesorías sobre seguridad informática

• Acceder a la utilización del Producto SiMoS (Sistema de Monitoreo de Seguridad)

• Acceso a la Base de Conocimiento de Seguridad del ArCERT

Página 53 de 192

Acceso a las Herramientas de Seguridad seleccionadas por el ArCERT

Servicios por Pedidos de Asistencia Específicos

Instalación y configuración de Firewall de libre disponibilidad

Instalación y configuración de IDS de libre disponibilidad

Análisis de la topología de red

Análisis perimetrales y visibilidad de la red

Búsqueda de vulnerabilidades en los servidores de red

Recomendaciones para robustecer los Sistemas Operativos y las Aplicaciones

Productos

SIMOS - Sistema de Monitoreo de Seguridad: Permite detectar las vulnerabilidades conocidas de los servidores, que brinden servicio a través de Internet, de los organismos de la Administración Pública

FW-APN - Firewall de libre disponibilidad para la Administración Pública Nacional: Solución basada en software de libre disponibilidad, eficiente, robusta y de bajos requerimientos que cubre las necesidades de Firewall en la mayoría de las redes de la Administración Pública Nacional. Funciona directamente desde CD-ROM.

DNSar - Sistema de Análisis de Servidores y Dominios DNS: DNSar es un software desarrollado por ArCERT para analizar los servidores y dominios DNS en busca de posibles errores de configuración y funcionamiento.

CAL - Coordinación y Análisis de Logs (En desarrollo): CAL es un conjunto de software, de fácil instalación, que los organismos pueden instalar en una máquina dedicada para la detección de alertas de seguridad en su red. Además, estas alertas son reenviadas a ArCERT para una visión macro de estado de seguridad de la administración pública.

2.1.8.3. Estructura

ArCERT está sustentado por un grupo de especialistas, que hoy conforman el equipo de seguridad en redes, dedicado a investigar sobre incidentes, hacking, herramientas de protección y detección, etc., con conocimientos y experiencia entre otras, en las siguientes áreas: tecnologías informáticas, Firewalls, seguridad en Internet é Intranet, detección y erradicación de intrusos, políticas y procedimientos de seguridad, administración de riesgos, etc.

Página 54 de 192

Funciona en la Oficina Nacional de Tecnologías de Información de la Subsecretaría de Tecnologías de Gestión de la Secretaría de Gabinete y Gestión Pública de la Jefatura de Gabinete de Ministros de Argentina.


Argentina

2.1.9. AUSTRALIA - AUSCERT12 (AUSTRALIA COMPUTER EMERGENCY RESPONSE TEAM)


AusCERT es el Equipo de Respuesta a Emergencias Computacionales nacional para Australia y proporciona asesoría en temas de seguridad de la información de la computadora, a la comunidad australiana y a sus miembros, como punto único de contacto para ocuparse de dichos incidentes de seguridad que afectan o que implican redes australianas.

AusCERT supervisa y evalúa amenazas globales de la red de computadores y las vulnerabilidades. AusCERT publica boletines de seguridad, incluyendo estrategias recomendadas de prevención y mitigación.

AusCERT ofrece servicios de administración de incidentes que puede ser una manera eficaz de parar un ataque en curso de la computadora o proporcionar la asesoría práctica en la respuesta y recuperación de un ataque.


Las organizaciones del miembro de AusCERT gozan de un número de servicios no disponibles al público en general. Estos servicios incluyen:

Servicio de la detección temprana.

Acceso vía Web site a contenidos exclusivos.

Entrega vía email de boletines de seguridad.

Acceso a Foros.

Servicios de gerencia del incidente: incluyen la coordinación del incidente y la dirección del incidente.

12 Tomado de: http://www.auscert.org.au/. U.A: 2008/09/26. Publicado por: AusCERT, The University of Queensland, Brisbane QLD 4072, Australia. Autor: No determinado.

Página 55 de 192


Supervisión, evaluación y asesoría acerca de la vulnerabilidad y amenazas.

Los miembros de AusCERT reciben boletines de la seguridad vía email. Los no miembros pueden suscribir al servicio de alerta libre nacional.

AusCERT investiga el ambiente de la seguridad del Internet para el gobierno y la industria dentro de Australia. Estructura

AusCERT es una organización independiente, sin ánimo de lucro, con base en la Universidad de Queensland, como parte del área de Servicios de Tecnología de la Información.

AusCERT cubre sus gastos con una variedad de fuentes incluyendo suscripciones de miembros y el entrenamiento y educación en seguridad informática.

Es miembro activo del Foro FIRST y del Equipo de Respuesta a Emergencia Informática de Asia Pacífico (APCERT), AusCERT tiene acceso a la información sobre amenazas y vulnerabilidades de la red de computadores que surgen de manera regional y global.


Australia y Asia en la región pacífica

2.1.10. AUSTRIA - CERT.AT13 (COMPUTER EMERGENCY RESPONSE TEAM AUSTRIA)


CERT.at es el CERT austríaco nacional que comenzó como un ensayo en marzo de 2008. Como el CERT nacional, CERT.at es el punto de contacto primario para la seguridad informática en el contexto nacional. CERT.at coordina otro CERT que funciona en el área de la infraestructura crítica o de la infraestructura de la comunicación. En el caso de ataques en línea significativos contra la infraestructura austríaca, CERT.at coordina la respuesta de los operadores y de los equipos locales de la seguridad.


Respuesta al incidente: CERT.at asiste al equipo de seguridad en el manejo de los aspectos técnicos y de organización de incidentes. Particularmente, proporciona ayuda o asesoría con respecto a los aspectos siguientes de la administración del incidente:

Determina si un incidente es auténtico y define la prioridad requerida.

13Tomado de: www.cert.at. U.A: 2008/09/26. Publicado por: Computer Emergency Response Team Austria. Autor: No determinado.

Página 56 de 192

http://www.cert.at/

Coordinación del incidente: Investiga el incidente y toma las medidas apropiadas. Facilita el contacto con otros participantes que puedan ayudar a resolver el incidente.

Resolución del incidente. Recomienda las acciones apropiadas.

Actividades Proactivas:

Recopila información de contacto de los equipos locales de seguridad.

Publica avisos referentes a amenazas serias de la seguridad.

Informa acerca de tendencias en tecnología y distribuyen conocimiento relevante.

Ofrece foros para construir la comunidad e intercambiar información.


Austria

2.1.11. BRASIL - CERT.BR14 (COMPUTER EMERGENCY RESPONSE TEAM BRAZIL)


El CERT.br es el equipo de respuesta a los incidentes de seguridad para el Internet brasileño, responsable de recibir, analizar y responder a dichos incidentes.

Más allá del proceso de respuesta a los incidentes en sí mismo, el CERT.br también actúa sobre los problemas de la seguridad, la correlación entre los acontecimientos en el Internet brasileño y de ayuda al establecimiento de nuevos CSIRTs en el Brasil.


Los servicios dados para el CERT.br incluyen:

Ser un único punto para las notificaciones de los incidentes de seguridad, para proveer la coordinación y la ayuda necesaria en el proceso de respuesta a los incidentes, contactando las piezas implicadas cuando sea necesario.

14Tomado de: http://www.cert.br. U.A: 2008/09/26. Publicado por: Comitê Gestor da Internet no Brasil (CGI.br). Autor:

No determinado.

Página 57 de 192

http://www.cert.br/

Establecer un trabaje colaborativo con otras entidades, como el gobierno, los proveedores de acceso y servicios y de Internet.

Dar apoyo al proceso de recuperación y al análisis de sistemas.

Entrenar en la respuesta a los incidentes de seguridad, especialmente a los miembros de CSIRTs y de las instituciones que están creando sus propios grupos.


Brasil

2.1.12. CANADÁ - PSEPC15 (PUBLIC SAFETY EMERGENCY PREPAREDNESS CANADA)


El Centro Canadiense de Respuesta a Ciberincidentes (CCIRC) es responsable de supervisar amenazas y de coordinar la respuesta nacional a cualquier incidente de la seguridad del ciberespacio. Su foco es la protección de la infraestructura crítica nacional contra incidentes.

El centro es una parte del Centro de Operaciones del Gobierno y un componente importante en la preparación de la seguridad nacional para atender emergencias en los peligros que acechan al gobierno.

Las iniciativas actuales incluyen:

Coordinación de la respuesta del incidente a través de jurisdicciones.

Fomentar el compartir la información entre las organizaciones y las jurisdicciones

Generar las advertencias en torno a la seguridad.

Divulgación de incidentes

Desarrolla estándares operacionales de seguridad de la tecnología de información y documentación técnica en temas tales como supervisión del sistema y software malévolo.

15 Tomado de: http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp. U.A: 2008/09/26. Publicado por: Gobierno de Canadá.

Autor: No determinado.

Página 58 de 192



GOBIERNO EN LÍNEA

• Servicios de inteligencia canadienses de la seguridad: Investiga y analiza amenazas del ciberespacio a la seguridad nacional. También proporciona asesoría en la seguridad e inteligencia, incluyendo amenazas y la información de riesgos.

• Establecimiento de la seguridad de comunicaciones: Proporciona asesoría y dirección en la protección del gobierno acerca de la información electrónica de Canadá y de la infraestructura de la información. También ofrece ayuda técnica y operacional a las agencias federales en la aplicación de la Ley de Seguridad.


CCIRC le proporciona los servicios a los profesionales y los encargados de la infraestructura crítica y de otras industrias relacionadas. Estos servicios se hacen sin cargo alguno:

• Coordinación 7*24 y ayuda a la respuesta del incidente.

• Supervisión 7*24 y análisis del ambiente de la amenaza del ciberespacio.

• Asesoría técnica 7*24 relacionada con seguridad de la tecnología de información

• Construcción de la capacidad nacional (estándares, mejores prácticas, conocimiento, educación)


Canadá

2.1.13. CHILE – CSIRT-GOV16


Tiene como propósito contribuir a asegurar el ciberespacio del Gobierno de Chile, en conformidad con lo señalado en el artículo 17 de la Agenda Digital. Su misión es constituirse como referente en materias de seguridad informática para todos los servicios que forman parte de la administración del Estado.

CSIRT Chile es dirigido por la jefatura de la División Informática del Ministerio del Interior.

16Tomado de: http://www.csirt.gov.cl/. U.A: 2008/09/26. Publicado por: Ministerio del Interior, Palacio de la Moneda,

Santiago de Chile. Autor: No determinado.

Página 59 de 192



El equipo de trabajo CSIRT Chile ofrece a los sistemas y redes gubernamentales los siguientes servicios:

Monitoreo de actividades y detección de anomalías.

Apoyo forense en respuesta a incidentes computacionales.

Asesoría en la generación e implementación de políticas y sistemas de seguridad.

Boletines de alertas adecuadamente traducidos y adaptados a las necesidades nacionales.

Asesoría en la implementación del decreto supremo 83/2004 del Ministerio Secretaría General de la Presidencia.

2.1.13.3. Estructura

El CSIRT Chile es una unidad dependiente de la División de Informática del Ministerio del Interior.


Chile

2.1.14. CHILE - CLCERT17 (GRUPO CHILENO DE RESPUESTA A INCIDENTES DE SEGURIDAD COMPUTACIONAL)


El Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional – CLCERT, tiene como misión monitorear y analizar los problemas de seguridad de los sistemas computacionales en Chile, y reducir la cantidad de incidentes de seguridad perpetrados desde y hacia éstos.

Desde comienzos de 2004, el CLCERT se auto-financia a través de su área de capacitación, asesorías en la generación de políticas públicas concernientes a seguridad de sistemas informáticos y proyectos de colaboración con el sector productivo.

Para ello, CLCERT se constituye como un punto nacional de encuentro, contacto y coordinación entre instituciones y personas relacionadas del medio local.

17Tomado de: http://www.clcert.cl. U.A: 2008/09/26. Publicado por: FCFM Ingeniería, Universidad de Chile. Autor: No

determinado.

Página 60 de 192



El CLCERT tiene como principales objetivos:

Entregar en forma oportuna y sistemática información sobre vulnerabilidades de seguridad y amenazas

Divulgar y poner a disposición de la comunidad información que permita prevenir y resolver estos incidentes de seguridad

Educar a la comunidad en general sobre temas de seguridad, promoviendo las políticas que permiten su implementación.

CLCERT promueve el uso de Internet, los sistemas computacionales abiertos, y las tecnologías de la información, haciendo sus usos más seguros y que por lo tanto gocen de la confianza de la comunidad que los utiliza.


El origen del CLCERT (fines de 2001) está estrechamente ligado al del Laboratorio de Criptografía Aplicada y Seguridad (CASLab). Surge como una forma en que el CASLab se vincula con el medio local.

El CLCERT y el CASLab conforman una misma unidad y comparten financiamiento, pero los ámbitos de acción son distintos. El CASLab prioriza las actividades de investigación, formación de capital humano altamente especializado y tiene por ámbitos de acción el medio académico principalmente internacional. El CLCERT prioriza actividades de formación profesional, extensión, transferencia tecnológica y tiene por principal ámbito de acción el medio local.


Chile

2.1.15. CHINA - CNCERT/CC18 (NATIONAL COMPUTER NETWORK EMERGENCY RESPONSE TECHNICAL TEAM)


El Equipo Técnico Nacional de Respuesta a Emergencias de Redes Computacionales / Centro de Coordinación de China CNCERT/CC (National Computer Network Emergency Response Technical Team / Coordination Center of China) es una organización funcional que opera en la Oficina de Coordinación de Respuesta a Emergencia de Internet del Ministerio de la Industria de Información de China y que es

18 Tomado de: http://www.cert.org.cn/english_web/. U.A: 2008/09/26. Publicado por: CNCERT/CC. Autor: No determinado.

Página 61 de 192

http://www.cert.org.cn/english_web/

responsable de la coordinación de actividades entre todos los equipos de Respuesta a Emergencias Computacionales de China relacionadas con incidentes en las redes públicas nacionales.

CNCERT/CC fue fundado en octubre de 2000 y se hizo miembro de FIRST en agosto de 2002. CNCERT/CC formó parte activa en el establecimiento de APCERT como miembro del comité de dirección de APCERT. Así CNCERT/CC está parado para una nueva plataforma para una cooperación internacional mejor y un interfaz prestigioso de la respuesta del incidente de la seguridad de la red de China.


Proporciona servicios de seguridad de la red de computadores y brinda orientación para el manejo de los incidentes de seguridad para las redes públicas nacionales, los sistemas nacionales importantes y las principales organizaciones, incluyendo la detección, predicción, respuesta y prevención. Recopila, verifica, acumula y publica la información relacionada con la seguridad del Internet. Es también responsable del intercambio de la información y la coordinación de acciones con organizaciones de la seguridad internacional.

Recopila información oportuna sobre acontecimientos de seguridad.

Supervisión de Incidentes: Detecte los problemas y acontecimientos severos de la seguridad a tiempo, y entrega prevenciones y apoyo a las organizaciones relacionadas.

Dirección del Incidente.

Análisis de datos de los incidentes de seguridad.

Recopila y mantiene la información básica pertinente, incluyendo vulnerabilidades, correcciones, herramientas y las últimas tecnologías de seguridad.

Investigación sobre las tecnologías de seguridad.

Entrenamiento en seguridad: Proporciona los cursos en respuesta de la emergencia, las tecnologías requeridas, la orientación y la construcción del CERT.

Ofrece servicios de consultoría técnica en el manejo de incidentes de seguridad.

Promueve el intercambio internacional, organizando CERTs locales para orientar la cooperación y el intercambio internacionales.

Página 62 de 192



Ilustración 4: Estructura CNCERT/CC

El CNCERT/CC hace parte del Sistema de la Red Pública Nacional de Respuesta a Emergencias de Seguridad China:

Página 63 de 192

Dep. Administración y Operación


Ilustración 5: Sistema de la Red Pública Nacional de Respuesta a Emergencias de Seguridad China

2.1.15.4. Área de Influencia China

Página 64 de 192


GOBIERNO EN LÍNEA

2.1.16. COREA DEL SUR - KRCERT/CC19 (CERT COORDINATION CENTER KOREA)


Para hacer frente a los ataques informáticos, prevenir los casos de infracción de seguridad informática y reducir al mínimo los posibles daños en Corea, el Centro de Seguridad del Internet de Corea ha dedicado su energía a definir las medidas y metodología eficaces para dar respuesta técnica a los ataques, para la protección de la red de comunicaciones, de la infraestructura de la red y para el refuerzo del sistema de la predicción y de alarmas.

Desde julio de 1996 se establece el equipo coreano de respuestas a la emergencia computacional llamado CERTCC-KR.

En junio de 1997 se establece la Organización de Respuesta al Incidente en el Asia Pacífico

En febrero de 1998 se establece como el primer miembro coreano en el FIRST (foro de Equipos de la Respuesta y de la Seguridad del Incidente).

En diciembre de 2003 se establece el KISC (Korea Internet Security Center), con su centro de operaciones KrCERT/CC's.


• Administración del Centro de Respuesta y Asistencia a Incidentes

• Análisis de incidentes y tecnología de soporte

• Establecimiento del sistema de coordinación para respuesta a incidentes de internet.


• Equipo de Análisis de Incidentes:

• Investigación sobre nuevas vulnerabilidades de la red y tendencias de nuevos virus.

• Verificación y análisis en vulnerabilidades de la red

• Análisis en virus.

19Tomado de: http://www.krcert.or.kr/. U.A: 2008/09/26. Publicado por: Korea Internet Security Center. Autor: No determinado.


Página 65 de 192

Recopilación de muestras de virus.

Establecimiento y gerencia de la base de datos de vulnerabilidades.

Equipo de Monitoreo de la Red:

Supervisión del trafico de ISPs y los Web site más importantes nacionales o internacionales.

Respuesta temprana a los incidentes, pronóstico y mensajes de alerta al público.

Atención de respuestas y direccionamiento de incidentes que ocurren de manera local o internacional.

Publicación de reportes mensuales con estadística y análisis del virus

Equipo de Respuesta a Hacking:

Investigación sobre técnicas y tendencias de hacking.

Análisis de casos de hacking en redes piloto.

Establecimiento y gerencia de investigaciones de incidentes y del sistema del análisis.

Desarrollo y distribución de tecnologías para enfrentar ocurrencias de hacking.

Respuesta de la emergencia contra incidentes y ayuda tecnológica

Equipo de Coordinación de Respuestas:

Muestras incrementales para recopilar y compartir información.

Cooperación con FIRST para el CERT.

Operación de la oficina administrativa para APCERT y CONCERT.

Recepción de correos electrónicos de incidentes y manipulación de ellos.

Activación del CERT nacional y establecimiento del sistema cooperativo.

Participación en la estandarización con respecto a incidentes del Internet.

Página 66 de 192


Corea del Sur

2.1.17. DINAMARCA – DK.CERT20 (DANISH COMPUTER EMERGENCY RESPONSE TEAM)


DK CERT es el equipo danés de Respuestas a Emergencias Computacionales y es de los pioneros alrededor del mundo, cuando a inicios de los años noventa FIRST tomó la iniciativa de establecer la cooperación internacional basada en el concepto original de CERT en los E.E.U.U. Como parte del trabajo cooperativo internacional DK CERT supervisa la seguridad en Dinamarca.

El objetivo de DK CERT es recopilar información y conocimientos técnicos vía la cooperación en FIRST permitiendo a DK CERT publicar alarmas y otra información relacionada con riesgos potenciales de la seguridad. Así mismo recibe información sobre incidentes de seguridad y coordina esfuerzos en el campo.

DK CERT es un miembro del Foro de los Equipos de Respuesta y Seguridad del Incidente (FIRST).


Consulta con respecto a incidentes de la seguridad

DK CERT analiza notificaciones de las personas que se han expuesto a los incidentes de seguridad, propone soluciones a los problemas y advierte a otros que pudieron ser blancos potenciales para incidentes similares.

DK CERT coordina la información entre las partes implicadas y otras organizaciones, tales como equipos extranjeros de respuesta y la policía.

DK CERT tiene un papel consultivo y no tiene ninguna autoridad para ordenar realizar tareas.

DK CERT puede actuar como intermediario de la información entre diversas partes que desean mantener el anonimato

DK CERT proporciona asesoría con respecto a riesgos potenciales de seguridad y ofrece la ayuda por ejemplo, para identificar el método de ataque. Además da instrucción en cómo los sistemas pueden ser restaurados y como se pueden remediar los daños posibles.

20Tomado de: https://www.cert.dk/. U.A: 2008/09/26. Publicado por: DK.CERT - Danish Computer Emergency Response

Team. Autor: No determinado.

Página 67 de 192



GOBIERNO EN LÍNEA


DK CERT fue establecido en 1991 por el Centro para la Educación y la Investigación Danes UNI-C, bajo el Ministerio Danés de la Educación, por uno de los primeros casos del hacker en Dinamarca. DK CERT coordina aproximadamente 10.000 incidentes de seguridad por año.


Dinamarca

2.1.18. EMIRATOS ÁRABES UNIDOS – AECERT21 (THE UNITED ARAB EMIRATES COMPUTER EMERGENCY RESPONSE TEAM)


El Equipo de Respuesta a Emergencias Computacionales (aeCERT) es el centro de coordinación de la seguridad del ciberespacio en los Emiratos Árabes Unidos. Ha sido establecido por la Autoridad Reguladora de Telecomunicaciones (TRA) como iniciativa para facilitar la detección, la prevención y la respuesta de los incidentes de la seguridad del ciberespacio en Internet.

Su misión es sostener una infraestructura vigilante de las ciber amenazas de la seguridad y construir una cultura de la seguridad del ciberespacio en los Emiratos Árabes Unidos.


• Ayudar en la creación de nuevas leyes para la seguridad del ciberespacio.

• Recopilar conocimiento de la seguridad de la información de los Emiratos Árabes Unidos.

• Construir experiencia nacional en seguridad de la información, administración del incidente y la computación forense.

• Proporcionar a punto central confiable de contacto para el manejo de incidentes de la seguridad del ciberespacio en los Emiratos Árabes Unidos.

• Establecer un centro nacional para divulgar la información sobre las amenazas, vulnerabilidades e incidentes de la seguridad del ciberespacio.

• Fomentar el establecimiento de nuevos CSIRTs.

21Tomado de: http://www.aecert.ae/. U.A: 2008/09/26. Publicado por: aeCERT. Autor: No determinado.

Página 68 de 192


Coordinar las operaciones entre CSIRTs doméstico, internacionales y organizaciones relacionadas.


Ha sido establecido por la Autoridad Reguladora de Telecomunicaciones (TRA) de los Emiratos Árabes Unidos como un cuerpo consultivo que debe recomendar buenas prácticas, políticas, procedimientos y tecnologías, sin embargo sin ejercer ninguna autoridad sobre su adopción ni responsabilidad sobre la administración de los riesgos de la ciberseguridad.


Emiratos Árabes Unidos

2.1.19. ESPAÑA - ESCERT22 (EQUIPO DE SEGURIDAD PARA LA COORDINACIÓN DE EMERGENCIAS EN REDES TELEMÁTICAS)


A principios de la década de los noventa surge en Europa una iniciativa dispuesta a crear Equipos de Respuestas a Incidentes de Seguridad en Computadores. Gracias al apoyo del programa técnico TERENA se empiezan a crear CSIRT europeos, es entonces cuando aparece, concretamente a finales de 1994, esCERT-UPC (Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas -Universidad Politécnica de Cataluña) como primer centro español dedicado a asesorar, prevenir y resolver incidencias de seguridad en entornos telemáticos.

esCERT - UPC ayuda y asesora en temas de seguridad informática y gestión de incidentes en redes telemáticas.

Los principales objetivos son:

Informar sobre vulnerabilidades de seguridad y amenazas.

Divulgar y poner a disposición de la comunidad información que permita prevenir y resolver incidentes de seguridad.

Realizar investigaciones relacionadas con la seguridad informática.

Educar a la comunidad en general sobre temas de seguridad.

22Tomado de: http://escert.upc.edu/index.php/web/es/index.html. U.A: 2008/09/26. Publicado por: Equipo de Seguridad para la

Coordinación de Emergencias en Redes Telemáticas. Autor: No determinado.

Página 69 de 192

http://escert.upc.edu/index.php/web/es/index.html


GOBIERNO EN LÍNEA

De esta forma esCERT pretende mejorar la seguridad de los sistemas informáticos y a su vez aumentar el nivel de confianza de las empresas y de los usuarios en las redes telemáticas.


Para llevar a cabo sus objetivos esCERT-UPC ofrece a la comunidad una serie de servicios que van desde la respuesta a incidentes a la definición de una política de seguridad para las empresas, pasando por la formación.

• Respuesta a Incidentes

• Altair (Servicio de Avisos de Vulnerabilidades)

• Formación


esCERT es miembro de TF-CSIRT (Task Force-Collaboration of Incident Response Teams) y junto con otros equipos de seguridad como los de las compañías Telia o British Telecom.

Forma parte de EPCI (European Private CERT Initiative) una agrupación de CERTs europeos privados. Dentro de EPCI se encuentran compañías como BT, Alcacel o Siemens.

esCERT en el ámbito mundial participa en el FIRST, principal foro de coordinación de los diferentes CERTs de todo el mundo.


España

2.1.20. ESPAÑA – IRIS-CERT23 (SERVICIO DE SEGURIDAD DE REDIRIS)


El servicio de seguridad de RedIRIS (IRIS-CERT) tiene como finalidad la detección de problemas que afecten a la seguridad de las redes de centros de RedIRIS, así como la actuación coordinada con dichos centros para poner solución a estos problemas. También se realiza una labor preventiva, avisando con tiempo de problemas potenciales, ofreciendo asesoramiento a los centros, organizando actividades de acuerdo con los mismos, y ofreciendo servicios complementarios.

23Tomado de: http://www.rediris.es/cert/. U.A: 2008/09/26. Publicado por: IRIS - CERT. Autor: No determinado.


Página 70 de 192

IRIS-CERT es miembro del FIRST desde el 11 de Febrero de 1997. Además ha sido contribuidor al piloto EuroCERT desde el 25 de Marzo de 1997 hasta la finalización del mismo en Septiembre de 1999. Actualmente participa activamente en el Task Force auspiciado por TERENA, TF-CSIRT, para promover la cooperación entre CSIRTs en Europa.

Los usuarios del servicio de seguridad son de tres tipos:

Instituciones afiliadas a RedIRIS: Incluye universidades y otros centros de investigación. Estos usuarios tienen derecho a todos los servicios (por definición) y pueden participar en la coordinación de los mismos.

Otros servicios de seguridad nacionales e internacionales: IRIS-CERT actúa como punto de contacto y de coordinación de incidentes para otros servicios de seguridad. El ámbito de coordinación es toda España. El ámbito de representación es todo el mundo. IRIS-CERT es miembro de FIRST, fue contribuyente del proyecto EuroCERT y actualmente participa en el Task Force de TERENA TF-CSIRT, para promover la cooperación entre CSIRTs en Europa. IRIS-CERT también puede actuar de enlace con las fuerzas de seguridad del Estado (Policía y Guardia Civil), aunque no tomará acción judicial en nombre de terceros, y limitará su participación en tales procesos a la asesoría técnica.

Proveedores y usuarios de Internet en España: El servicio ofrecido a éstos, fuera de las instituciones de RedIRIS, se limita a lo siguiente:

Uso de los recursos públicos de IRIS-CERT (Servidor web, FTP, listas de correo).

Atención de incidentes de seguridad. El servicio de atención de incidentes se ofrece a todos por igual, según los criterios y prioridades establecidos aquí.


IRIS-CERT ofrece una serie de servicios principalmente orientados a las instituciones afiliadas a RedIRIS. Algunos de estos servicios se ofrecen, así mismo, a la comunidad de Internet.

Comunidad RedIRIS

Asesoramiento instituciones afiliadas

Auditoría en línea

Comunidad de Internet

Gestión de incidentes.

Listas de Seguridad de RedIRIS

Página 71 de 192

Otros Servicios de Seguridad (Servicios no específicos de IRIS-CERT)

Infraestructura de Clave Pública para la comunidad RedIRIS (RedIRIS-PKI)

Servidor de claves públicas PGP

Red de Sensores AntiVirus de la Comunidad Académica (RESACA)

EL servicio no tiene costo para quien tenga derecho a usar el servicio. No se presta servicio a nadie más. El Plan Nacional de I+D financia una red para los investigadores, y un servicio de seguridad que garantice la integridad de la misma. La coordinación de incidentes ajenos a RedIRIS es una tarea adicional, necesaria para llevar a cabo ese servicio.


IRIS-CERT funciona bajo el auspicio y con la autoridad delegada del director de RedIRIS.

El IRIS-CERT espera trabajar cooperativo con los administradores y los usuarios de sistema en las instituciones conectadas RedIRIS, evitando relaciones autoritarias.


España

2.1.21. ESPAÑA - CCN-CERT24 (CRYPTOLOGY NATIONAL CENTER - COMPUTER SECURITY INCIDENT RESPONSE TEAM)


Este servicio se creo a principios de 2007 como CERT gubernamental español y está presente en los principales foros internacionales en los que se comparte objetivos, ideas e información sobre la seguridad de forma global.

Su principal objetivo es contribuir a la mejora del nivel de seguridad de los sistemas de información de las tres administraciones públicas existentes en España (general, autonómica y local).

Su misión es convertirse en el centro de alerta nacional que coopere y ayude a todas las administraciones públicas a responder de forma rápida y eficiente a los incidentes de seguridad que pudieran surgir y afrontar de forma activa las nuevas amenazas a las que hoy en día están expuestas.

24Tomado de: https://www.ccn-cert.cni.es/. U.A: 2008/09/26. Publicado por: Centro Criptológico Nacional. Ministerio de Defensa de España. Autor: No determinado.

Página 72 de 192



Para contribuir a esta mejora del nivel de seguridad, el CCN-CERT ofrece sus servicios a todos los responsables de Tecnologías de la Información de las diferentes administraciones públicas a través de cuatro grandes líneas de actuación:

Soporte y coordinación para la resolución de incidentes que sufra la Administración General, Autonómica o Local. El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actúa rápidamente ante cualquier ataque recibido en los sistemas de información de las administraciones públicas.

Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros de las administraciones públicas. En este sentido, las citadas Series CCN-STIC elaboradas por el CCN ofrecen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los Sistemas TIC en la Administración.

Formación a través de los cursos STIC, destinados a formar al personal de la Administración especialista en el campo de la seguridad de las TIC e impartidos a lo largo de todo el año. Su principal objetivo, aparte de actualizar el conocimiento del propio equipo que forma el CCN-CERT, es el de permitir la sensibilización y mejora de las capacidades del personal para la detección y gestión de incidentes.

Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información, recopiladas de diversas fuentes de reconocido prestigio (incluidas las propias)

El CCN-CERT ofrece información, formación y herramientas para que las distintas administraciones puedan desarrollar sus propios CERTs, permitiendo a este equipo actuar de catalizador y coordinador de CERTs gubernamentales.


El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI).


España

Página 73 de 192

2.1.22. ESPAÑA - INTECO-CERT25 (CENTRO DE RESPUESTAS A INCIDENTES EN TI PARA PYMES Y CIUDADANOS)


El Centro de Respuesta a Incidentes en Tecnologías de la Información para PYMEs y Ciudadanos sirve de apoyo al desarrollo del tejido industrial nacional y ofrece los servicios clásicos de un Centro de Respuesta a Incidentes, dando soluciones reactivas a incidentes informáticos, servicios de prevención frente a posibles amenazas y servicios de información, concienciación y formación en materia de seguridad a la PYME y ciudadanos españoles. Para todo el proceso de definición y creación de INTECO-CERT se han seguido las directrices propuestas por ENISA (European Network and Information Security Agency, Agencia Europea de Seguridad de las Redes y de la Información).

El centro de respuesta surge como iniciativa pública con los siguientes objetivos:

Proporcionar información clara y concisa acerca de la tecnología, su utilización y la seguridad que mejore su comprensión.

Concienciar a las PYMEs y ciudadanos de la importancia de contemplar y abordar adecuadamente todos los aspectos relacionados con la seguridad informática y de las redes de comunicación.

Proporcionar guías de buenas prácticas, recomendaciones y precauciones a tener en cuenta para mejorar la seguridad.

Proporcionar mecanismos y servicios de divulgación, formación, prevención y reacción ante incidencias en materia de seguridad de la información.

Actuar como enlace entre las necesidades de PYMEs y ciudadanos y las soluciones que ofertan las empresas del sector de la seguridad de las tecnologías de la información.


Para llevar a cabo la misión de concienciación, formación, prevención y reacción en materia de seguridad en tecnologías de la información, INTECO-CERT ofrece un catálogo de servicios a los usuarios:

Servicios de información sobre Actualidad de la Seguridad:

Suscripción a boletines, alertas y avisos de seguridad.

25Tomado de: http://www.inteco.es/rssRead/Seguridad/INTECOCERT. U.A: 2008/09/26. Publicado por: Instituto Nacional de

Tecnologías de la comunicación S.A.. Autor: No determinado.

Página 74 de 192

http://www.inteco.es/rssRead/Seguridad/INTECOCERT



• Actualidad, noticias y eventos de relevancia.

• Avisos sobre nuevos virus, vulnerabilidades y fraude. Estadísticas.

• Servicios de Formación en seguridad y en la legislacón vigente para Pyme y ciudadanos, proporcionando guías, manuales, cursos online y otros recursos a los usuarios.

• Servicios de Protección y prevención: catálogo de útiles gratuitos y actualizaciones de software.

• Servicios de Respuesta y Soporte:

• Gestión y soporte a incidentes de seguridad.

• Gestión de malware y análisis en laboratorio del INTECO-CERT.

• Lucha contra el fraude.

• Asesoría Legal en materia de seguridad en las tecnologías de la información.

• Foros de Seguridad.

• Cooperación y coordinación con otras entidades de referencia en el sector, tanto a nivel nacional como internacional.

INTECO-CERT como servicio público e intermediario INTECO-CERT tiene vocación de servicio público sin ánimo de lucro. El Centro surge con la vocación de servir de apoyo preventivo y reactivo en materia de seguridad en tecnologías de la información y la comunicación a una tipología de usuarios, la Pequeña y Mediana Empresa (PYME) y ciudadanos, que no disponen de la formación, sensibilización y recursos suficientes en dicho campo.

INTECO-CERT no vende soluciones tecnológicas o de consultoría. Si en su labor de apoyo a PYME y ciudadanos, entiende que debe aconsejar alguno de ellos, facilita un directorio de entidades que prestan esos servicios, para que el usuario elija según su criterio.

El Centro de Respuesta quiere, en este contexto, erigirse como un puente entre las necesidades de la demanda (PYMEs y ciudadanos) y las soluciones de la oferta (entidades del sector de la seguridad de las tecnologías de la información).


España

Página 75 de 192


2.1.23. ESTADOS UNIDOS - US-CERT26 (UNITED STATES - COMPUTER EMERGENCY READINESS TEAM)


Establecido en 2003 para proteger la infraestructura del Internet de la nación, US-CERT coordina la defensa contra y respuestas a los ataques del ciberespacio a través de la nación.

US-CERT es cargado con la protección de la infraestructura del Internet coordinando la defensa y la respuesta a los ataques del ciberespacio.


US-CERT es responsable de

• Analizar y reducir amenazas y vulnerabilidades del ciberespacio.

• Divulgar información y advertencias de amenaza del ciberespacio.

• Coordinar la respuesta a incidente.

• US-CERT obra recíprocamente con las agencias federales, industria, la comunidad de investigación, el estado y los gobiernos locales, y otros para divulgar la información de la seguridad del ciberespacio entre el público.


El equipo de la Preparación para Emergencias Computacionales de Estados Unidos (US-CERT) es una sociedad entre Departamento de la seguridad de la patria y los sectores públicos y privados


Estados Unidos

26Tomado de: http://www.us-cert.gov. U.A: 2008/09/26. Publicado por: Department of Homeland Security - USA. Autor: No determinado.

Página 76 de 192



GOBIERNO EN LÍNEA

2.1.24. ESTONIA – CERT-EE 27 (COMPUTER EMERGENCY RESPONSE TEAM OF ESTONIA)


El Equipo de la Respuesta a Emergencias Computacionales de Estonia (CERT Estonia), se establece en 2006. Su tarea es asistir a usuarios estonios del Internet en la puesta en práctica de medidas preventivas para reducir los daños posibles de incidentes de la seguridad y ayudarles a responder a las amenazas de la seguridad. El CERT Estonia se ocupa de los incidentes de la seguridad que ocurren en redes estonias.

Los incidentes de la seguridad se atienden acorde con una prioridad definida según su severidad y alcance potenciales considerando el número de usuarios afectados, el tipo de un incidente, la blanco del ataque, así como el origen del ataquey los recursos requeridos para manejar el incidente. Los incidentes prioritarios incluyen, por ejemplo: ataques que pueden comprometer la vida de la gente, ataques en la infraestructura del Internet (servidores de nombres, nodos de red importantes y ataques automáticos en grande en los servidores de la red), etc.


El CERT Estonia ofrece los servicios siguientes:

• Orientación en el incidente

• Recepción de informes de incidente Asignación de prioridades a los

incidentes según su nivel de la severidad Análisis del incidente Respuesta a

los incidentes.


Estonia

•

•

•

27Tomado de: http://www.ria.ee/?id=28201. U.A: 2008/09/26. Publicado por: Department for Handling Information Security

Incidents - Estonia. Autor: No determinado.

Página 77 de 192



GOBIERNO EN LÍNEA

2.1.25. FILIPINAS - PH-CERT28 (PHILIPPINES COMPUTER EMERGENCY RESPONSE TEAM)


El Equipo de Respuesta a Emergencias Computacionales de Filipinas (PH-CERT) es una organización sin ánimo de lucro que pretende brindar un punto confiable de contacto para emergencias computacionales, de internet y otras emergencias relacionadas de la tecnología de información.


• Proporcione ayuda legal y consultiva.

• Opera como punto central para divulgar vulnerabilidades de la seguridad computacional y proporcionará ayuda coordinada en respuesta a tales informes.

• Genera informes técnicos de análisis referentes a código malévolo.

• Proporciona información sobre la futura tecnología que puede plantear amenazas de la seguridad.

• Proporciona entrenamiento para promover el conocimiento de la seguridad.

• Genera alarmas sobre medidas a tomar contra amenazas existentes o próximas de la seguridad.

• Proporciona pautas en el uso y la combinación eficaces de las herramientas de la seguridad para detección y prevención del incidente.


Filipinas

28Tomado de: http://www.phcert.org/. U.A: 2008/09/26. Publicado por: Philippines Computer Emergency Response Team. Autor: No determinado.

Página 78 de 192


2.1.26. FRANCIA-CERTA29 (CENTRE D'EXPERTISE GOUVERNEMENTAL DE RÉPONSE ET DE TRAITEMENT DES ATTAQUES INFORMATIQUES)


El Primer Ministro anunció la creación del CERTA, tras la decisión del Comité Interministerial para la Sociedad de la Información (CISI), en enero de 1999 e inaugurado en febrero de 2000, con el fin de reforzar la protección de las redes del Estado contra los ataques. A fin de reforzar y coordinar la lucha contra las intrusiones en los sistemas informáticos de las administraciones del Estado, el Gobierno decide la creación de una estructura de alerta y de asistencia en la Internet encargada de la misión de vigilar y responder a los ataques informáticos.

Los dos principales objetivos del CERTA son:

Garantizar la detección de las vulnerabilidades y la resolución de incidentes relativos a la seguridad de los sistemas de información

Asistir en la instalación de medios que permitan prevenir futuros incidentes.

Para alcanzar estos dos objetivos, deben llevarse a cabo en paralelo las tres misiones siguientes:

Llevar a cabo una vigilancia tecnológica.

Organizar la instalación de una red de confianza.

Administrar la resolución de un incidente (si es necesario en relación con la red mundial de los CERT).

El CERTA es miembro del FIRST desde el 12 de setiembre de 2000 y participa en la actividad TF-CSIRT (Computer Security Incident Response Team) que es la coordinación de los CERT europeos.

En la actualidad existen varios CERT en Francia. Esta es la lista de los equipos miembros del FIRST o de la TF-CSIRT:

El CERTA es el CERT dedicado al sector de la administración francesa.

El Cert-IST es el CERT dedicado al sector de la Industria, de los Servicios y del Terciario (IST). Fue creado a finales del año 1998 por cuatro socios: ALCATEL, el CNES, ELF y France Telecom.

29Tomado de: http://www.certa.ssi.gouv.fr/. U.A: 2008/09/26. Publicado por: Premier Ministre / Secrétariat Général de la

Défense Nationale / Direction centrale de la sécurité des systèmes d'information. Autor: No determinado.

Página 79 de 192


El CERT-RENATER es el CERT dedicado a la comunidad de los miembros del GIP RENATER (Red Nacional de telecomunicaciones para la tecnología, la Enseñanza y la Investigación).


Las tareas prioritarias del CERT son las siguientes:

Centralización de las solicitudes de asistencia tras los incidentes de seguridad (ataques) en las redes y sistemas de informaciones: recepción de las solicitudes, análisis de los síntomas y eventual correlación de los incidentes.

Tratamiento de las alertas y reacción a los ataques informáticos: análisis técnico, intercambio de informaciones con otros CERT, contribución a estudios técnicos específicos.

Establecimiento y mantenimiento de una base de datos de las vulnerabilidades.

Prevención por difusión de informaciones sobre las precauciones que tomar para minimizar los riesgos de incidente o, por lo menos, sus consecuencias.

Coordinación eventual con las demás entidades (fuera del campo de acción): centros de competencia en redes, operadores y proveedores de acceso a Internet, CERT nacionales e internacionales.


Dicha estructura depende de la Secretaría General de la Defensa Nacional y trabajará en red con los servicios encargados de la seguridad de la información en todas las administraciones del Estado. Participará en la red mundial de los CERT (Computer Emergency Response Team).

El CERTA depende de la Dirección Central de la Seguridad de Sistemas de Información (DCSSI) en la Secretaría General de la Defensa Nacional (SGDN), y se encarga de asistir a los organismos de la administración en la instalación de medios de protección y en la resolución de los incidentes o las agresiones informáticas de las cuales son víctimas. Constituye el complemento indispensable para las acciones preventivas ya aseguradas por la DCSSI y que son anteriores en el procedimiento de seguridad de los sistemas de información.


Francia

Página 80 de 192

2.1.27. HONG KONG - HKCERT30 (HONG KONG COMPUTER EMERGENCY RESPONSE COORDINATION CENTRE)


En respuesta a las necesidades de hacer frente a amenazas de la seguridad, el gobierno ha financiado al consejo de la productividad de Hong Kong para poner a funcionar el Centro de Coordinación del Equipo de Respuesta a Emergencias Computacionales de Hong Kong (HKCERT). El objetivo de HKCERT es proporcionar un contacto centralizado en la divulgación de incidentes y seguridad computacionales y de la red y brindar la respuesta para las empresas locales y los usuarios del Internet en el caso de los incidentes de la seguridad. Coordinará las acciones de respuesta y recuperación para los incidentes divulgados, ayuda a supervisar y a divulgar la información sobre seguridad y proporciona asesoría en medidas preventivas contra amenazas de la seguridad. El HKCERT también organiza seminarios del conocimiento y cursos de en asuntos relacionados seguridad de la información.


Respuesta a Incidentes: HKCERT proporciona respuesta durante 24 horas al día, 7 días a la semana. Acepta incidentes por teléfono, fax y e-mail. HKCERT asiste y coordina las acciones de recuperación para los incidentes.

Alarma de la Seguridad: HKCERT supervisa de cerca la información sobre temas relacionadas con la seguridad tales como últimos virus, debilidades de la seguridad y divulga la información al público.

Publicación: HKCERT publica pautas, listas de comprobación, alarmas y artículos relacionados con la seguridad. Estos documentos incluyen la información sobre vulnerabilidades de la seguridad, estrategias de defensa y detección temprana de ataques probables. HKCERT también publica un boletín de noticias mensual que proporciona la información más reciente en seguridad computacional y de la red.

Entrenamiento y educación: Para elevare el conocimiento de la seguridad de la información y para mejorar la comprensión pública, HKCERT organiza seminarios libres y brinda a los informes a las asociaciones comerciales regularmente. HKCERT también organiza los cursos que proporcionan conocimiento profundizado en asuntos del específico de la seguridad de la información.

Investigación y desarrollo: HKCERT conduce estudios en asuntos seleccionados seguridad de la información y la situación en Hong Kong referente ataques de la computadora, pérdida, contramedidas, etc.


Hong Kong

30Tomado de: http://www.hkcert.org/. U.A: 2008/09/26. Publicado por: HKCERT. Autor: No determinado.

Página 81 de 192


2.1.28. HUNGRÍA - CERT31 (CERT-HUNGARY)


CERT-Hungría es el centro húngaro de la seguridad de la red y de la información del gobierno. Su tarea es proporcionar la ayuda de la seguridad de la red y de la información al público húngaro entero, a los negocios y a los sectores privados. El centro tiene un papel vital en la protección crítica de la infraestructura de la información de Hungría. CERT-Hungría también actúa como base de conocimiento para profesionales y público húngaro.

CERT-Hungría fue fundada en 2004 en la fundación de Theodore Puskas con la ayuda del Ministerio de la Informática y de las Comunicaciones.

Los servicios públicos de la organización se ofrecen al gobierno, a los municipios, y a los negocios húngaros, con la atención especial a la protección de los sistemas informáticos del gobierno húngaro.

CERT-Hungría es lista abordar problemas de la seguridad 24 horas al día 365 días al año. Proporciona alarmas sobre amenazas nuevamente que emergen. Es responsable de manejar compromisos de la seguridad en los sistemas informáticos del gobierno húngaro. Proporciona la dirección para reducir boquetes de la seguridad, y aumenta conocimiento social sobre la información y seguridad de la computadora a través de varios foros.


CERT-Hungría ofrece los servicios siguientes:

Alarmas y advertencias: Este servicio implica que CERT-Hungría divulgue la información que describe los ataques de intrusos, vulnerabilidades de la seguridad, alarmas de intrusión, virus informáticos, bromas, proporcionando una línea de conducta recomendada a corto plazo para ocuparse del problema. La alarma, la advertencia o la asesoría se envían como reacción a un problema existente para notificar los componentes de la actividad y para proporcionar la orientación para proteger los sistemas o recuperar cualquier sistema que fuera afectado.

Avisos: Los avisos incluyen, pero no se limitan a las alarmas de la intrusión, las advertencias de la vulnerabilidad y las recomendaciones de seguridad. Los avisos permiten proteger sistemas y redes contra problemas encontrados antes de que puedan explotar.

Difusión de la información relacionada con la Seguridad: Este servicio provee una recopilación de información útil para mejorar la seguridad. Tal información puede incluir:

Información de contactos para CERT-Hungría y pautas de divulgación.

31Tomado de: http://www.cert-hungary.hu/. U.A: 2008/09/26. Publicado por: CERT Hungary. Autor: No determinado.

Página 82 de 192


Archivos de alarmas, de advertencias y de otros avisos

Documentación sobre mejores prácticas actuales

Orientación general de la seguridad computacional

Políticas, procedimientos y listas de comprobación

Información del desarrollo y distribución de correcciones

Ajustes de proveedores

Estadística y tendencias actuales en la divulgación del incidente

Otra información que puede mejorar seguridad total

Dirección del incidente: CERT-Hungría se ocupa solamente de incidentes de la seguridad informática. Estos incidentes de la seguridad pueden ser acceso desautorizado a los datos sobre un sistema informático, negación de los ataques del servicio, virus contra un sistema informático, las vulnerabilidades, o cualquier otra actividad o programa que amenacen la seguridad de un sistema informático. Durante su incidente los expertos de CERT-Hungría reciben, dan la prioridad, y responden a los incidentes y a los informes y analizan incidentes y acontecimientos. Las actividades particulares de la respuesta pueden incluir:

Acción a tomar para proteger los sistemas y las redes afectadas o amenazadas por el intrusos

Proveer soluciones y estrategias de mitigación de o de alarmas relevantes

Filtración de tráfico de la red

Dirección de la vulnerabilidad: Las vulnerabilidades están basadas en errores de la configuración que crean los agujeros de seguridad en los sistemas informáticos y redes. La dirección de la vulnerabilidad implica recibir información sobre vulnerabilidades del hardware y del software. CERT-Hungría analiza la naturaleza, mecanismos y efectos de las vulnerabilidades y desarrollan las estrategias de la respuesta para detectar y reparar las vulnerabilidades.

Manejo de artefactos: Un artefacto es cualquier archivo u objeto encontrado en un sistema que impacta en sistemas y redes, que atacan o que se esté utilizando para destruir medidas de seguridad. CERT-Hungría analiza la naturaleza, mecanismos, versión y el uso de los artefactos y desarrolla (o sugiere) las estrategias de respuesta para detectar, quitar y defender contra estos artefactos.

Educación y entrenamiento: Con seminarios, los talleres, los cursos y clases particulares, CERT-Hungría educa sobre soluciones de seguridad computacional. Los temas pueden ser:

Página 83 de 192

• Incidente y pautas

• Métodos apropiados de respuesta

• Herramientas de respuesta del incidente

• Métodos para la prevención del incidente

• Otra información necesaria para proteger, detectar, divulgar y responder a los incidentes de la seguridad computacional.


Hungría

2.1.29. INDIA - CERT-IN32 (INDIAN COMPUTER EMERGENCY RESPONSE TEAM)


El propósito del CERT-In es convertirse en la agencia de confianza de la comunidad india para responder a los incidentes de la seguridad de computacional. CERT-In asiste a los miembros de la comunidad india para ejecutar medidas proactivas para reducir los riesgos de los incidentes de la seguridad informática.


• Servicios Reactivos

• Proporciona un solo punto del contacto para divulgar problemas locales.

• Asiste al gobierno y a la comunidad general en la prevención y la manipulación de incidentes de la seguridad computacional.

• Comparte la información y las lecciones aprendidas con el CERT/CC, otros CERTs y las organizaciones.

• Respuesta del incidente

• Proporciona el servicio de una seguridad 24 x 7.

32Tomado de: http://www.cert-in.org.in/. U.A: 2008/09/26. Publicado por: Department of Information Technology. Ministry

of Communications & Information Technology, Government of India. Autor: No determinado.

Página 84 de 192


• Procedimientos de recuperación

• Análisis de artefactos

• Trazo del incidente

• Servicios Proactivos

• Publica las pautas de la seguridad, las recomendaciones y consejos oportunos.

• Análisis y respuesta de la vulnerabilidad

• Análisis del riesgo

• Evaluación de producto relacionados con la seguridad

• Colaboración con los proveedores

• Perfilar atacantes.

• Entrenamiento, investigación y desarrollo de la conducta.

• Funciones

• Divulgación

• Punto central para divulgar incidentes

• Base de datos de incidentes

• Análisis

• Análisis de tendencias y patrones de la actividad del intruso

• Desarrollo de las estrategias preventivas

• Respuesta

• La respuesta del incidente es un proceso dedicado a restaurar sistemas afectados a la operación

• Envío de recomendaciones para la recuperación y la contención del daño causada por los incidentes.

Página 85 de 192


GOBIERNO EN LÍNEA

• Ayuda a los administradores de sistemas a tomar la acción de seguimiento para prevenir la repeticiónde incidentes similares


CERT-In funciona bajo auspicios y con la autoridad delegada del Departamento de Tecnología de Información, del Ministerio de Comunicaciones y Tecnología de Información, del gobierno de la India.

CERT-In trabaja cooperativamente con los oficiales de información y los administradores de sistema de varias redes sectoriales y de gobierno.


India

2.1.30. JAPAN - JPCERT/CC33 (JP CERT COORDINATION CENTER)


JPCERT/CC es el primer CSIRT establecido en Japón. Se coordina con los proveedores de servicios de red, vendedores de productos de seguridad, agencias estatales, así como las asociaciones gremiales de la industria. En la región Pacífica de Asia, JPCERT/CC ayudó a formar APCERT (Equipo de Respuesta a Emergencias Computacionales de Asia Pacífico) y ejerce la función de secretaría para APCERT. Es miembro del Foro de Equipos de Respuesta y Seguridad del Incidente (FIRST).

Los objetos de JPCERT/CC son:

• Proporcionar respuestas a incidente de seguridad computacionales.

• Coordinar la acción con CSIRTs locales e internacional y organizaciones relacionadas.

• Ayudar al establecimiento de nuevos CSIRTs y promover la colaboración entre CSIRTs

• Divulgar información técnica sobre incidentes de seguridad computacional y las vulnerabilidades y ajustes a la seguridad, generar alarmas y advertencias.

• Generar investigación y análisis de incidentes de la seguridad computacional.

• Conducir investigaciones sobre tecnologías relacionadas con la seguridad.

33Tomado de: http://www.jpcert.or.jp/. U.A: 2008/09/26. Publicado por: JPCERT/CC. Autor: No determinado.


Página 86 de 192

Aumentar el entendimiento de la seguridad de la información y del conocimiento técnico, con educación y entrenamiento.


Incidente Respuesta y análisis: JPCERT/CC proporciona ayuda técnica para divulgar problemas de la seguridad de la siguiente manera:

Con base en información proporcionada por los sitios afectados, JPCERT/CC determina los daños.

Identifica las vulnerabilidades.

Proporciona información técnica relevante.

Adicionalmente genera un informe semanal y trimestral sobre respuestas y análisis de incidentes y otra información relevante a la seguridad computacional.

Alertas de Seguridad: JPCERT/CC recopila la información relacionada con seguridad computacional y genera alarmas y mensaje para prevenir ataques contra redes locales de las organizaciones, así como para evitar que el impacto de tales ataques llegue a ser extenso. Un informe semanal, contiene amenazas potenciales y mensajes de cómo evitarlos o reducir al mínimo el daño causado por incidentes o las vulnerabilidades.

Coordinación con otros CSIRTs: Siendo el primer CSIRT formado en Japón, mantiene relaciones cercanas establecidas con mucho CSIRTs no sólo en la Asia y la región pacífica, sino también en otras regiones. La coordinación y la colaboración con esos CSIRTs es crucial para el uso seguro de la tecnología del Internet en todo el mundo.

Coordinación de Proveedores: Con el fin de evitar, reduce al mínimo o recupera del daño con eficacia y eficiencia, la coordinación con los proveedores que pudieron afectar la seguridad del Internet es importante. JPCERT/CC comparte la información con los proveedores locales y distribuyen la información de la vulnerabilidad de manera oportuna.

Educación y entrenamiento: JPCERT/CC proporciona la educación y el entrenamiento relacionados con la seguridad de la red, incidentes de seguridad, vulnerabilidad y las tendencias y ayudas de seguridad a partir de seminarios y talleres. Además, vario informes técnicos y otros documentos están disponibles en el web site.

Investigación y análisis: Los incidentes de la computadora se están convirtiendo en un problema cada vez más difícil de identificar. JPCERT/CC ejerce investigación y análisis para encontrar mejores maneras de prevenir ataques o de limitar su daño.

Página 87 de 192


Japón

2.1.31. MÉXICO – UNAM-CERT34 (EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD EN CÓMPUTO)


El UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo) es un equipo de profesionales en seguridad en cómputo localizado en el Departamento de Seguridad en Cómputo (DSC) de la Dirección General de Servicios de Cómputo Académico (DGSCA), de la UNAM.

El UNAM-CERT se encarga de proveer el servicio de respuesta a incidentes de seguridad en cómputo a sitios que han sido víctimas de algún "ataque", así como de publicar información respecto a vulnerabilidades de seguridad, alertas de la misma índole y realizar investigaciones de la amplia área del cómputo y así ayudar a mejorar la seguridad de los sitios.

El DSC (Departamento de Seguridad en Cómputo) de la DGSCA, UNAM, es un punto de encuentro al cual puede acudir la comunidad de cómputo para obtener información, asesorías y servicios de seguridad, así como para intercambiar experiencias y puntos de vista, logrando con ello, establecer políticas de seguridad adecuadas, disminuir la cantidad y gravedad de los problemas de seguridad y difundir la cultura de la seguridad en cómputo.


El DSC pone a la disposición de los Institutos, Facultades y organizaciones externas su portafolio de servicios de Seguridad en Tecnologías de la Información:

Análisis de Riesgos.

Test de Penetración.

Análisis Forense.

Auditorias de Seguridad.

Administración de Infraestructura de Seguridad en TI.

34Tomado de: http://www.cert.org.mx/index.html. U.A: 2008/09/26. Publicado por: UNAM-CERT. Autor: Jefe del

Departamento de Seguridad en Cómputo: Juan Carlos Guel. Líder del Proyecto: Alejandro Núñez Sandoval.

Página 88 de 192

http://www.cert.org.mx/index.html


GOBIERNO EN LÍNEA

• Tecnologías de Seguridad.

• Desarrollo de Soluciones.

• Asesorías.


El UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo) es un equipo de profesionales en seguridad en cómputo localizado en el Departamento de Seguridad en Cómputo (DSC) de la Dirección General de Servicios de Cómputo Académico (DGSCA), de la UNAM.


México

2.1.32. NUEVA ZELANDIA – CCIP35 (CENTRE FOR CRITICAL INFRASTRUCTURE PROTECTION)


El Centro para la Protección de la infraestructura Crítica (CCIP) es la agencia de estatal dedicada al trabajo con las organizaciones, la industria y el gobierno relacionados con la infraestructura crítica de Nueva Zelandia, para mejorar la protección y la seguridad computacional de amenazas.


• Proporcionar un servicio de asesoría 7*24 hacia dueños y operadores de la Infraestructura Crítica Nacional y del gobierno de Nueva Zelandia.

• Investigar y analizar los incidentes del ciberespacio que ocurren contra la Infraestructura Crítica Nacional.

• Trabajar con las agencias de protección de la Infraestructura Crítica Nacional tanto de manera local como internacionalmente para mejorar el conocimiento de la seguridad del ciberespacio en Nueva Zelandia.

35Tomado de: http://www.ccip.govt.nz/. U.A: 2008/09/26. Publicado por: Centre for Critical Infrastructure Protection. Autor: No determinado.


Página 89 de 192


GOBIERNO EN LÍNEA


El Centro para la Protección de la Infraestructura Crítica (CCIP) es una unidad de negocio dentro de la oficina de Seguridad de Comunicaciones del Gobierno (GCSB).

La persona responsable del CCIP y de GCSB es el Primer Ministro de Nueva Zelandia.


Nueva Zelandia

2.1.33. HOLANDA – GOVCERT.NL36


GOVCERT.NL es el Equipo de Respuesta a Emergencias Computacionales para el gobierno holandés. Desde 2002 apoya al gobierno en la prevención y atención de incidentes relacionados con la seguridad.


• Coordinación: Actúa como punto central de la emergencia de incidentes relacionados con la seguridad, tales como virus informáticos y detección de vulnerabilidades.

• Información: Proporciona la información correspondiente a temas de seguridad a las partes apropiados.

• Asiste a oficiales del gobierno en la prevención de incidentes de seguridad.

• Intercambio internacional del conocimiento: mantiene la cooperación e intercambio de información a nivel internacional.

• Banco de datos: GOVCERT. NL es un centro de información. Proporciona acceso al conocimiento y a la experiencia de su personal y organizaciones que participan. Además, promueve el intercambio de información entre estas organizaciones. El banco de datos facilita el intercambio por medio de listas de distribución, de archivos de documentos relevantes y de mejores prácticas.

• Paneles: Organizamos reuniones periódicas para dar la oportunidad de intercambiar conocimiento e ideas en temas de actualidad.

• Ayuda en caso de incidentes: Ofrece ayuda haciendo frente a todas las clases de incidentes, extendiéndose al correo Spam, a los ataques de la red de la escala grande, con un soporte 7*24.

36Tomado de: http://www.govcert.nl/. U.A: 2008/09/26. Publicado por: GOV-CERT.NL. Autor: No determinado.

Página 90 de 192



GOBIERNO EN LÍNEA


Holanda

2.1.34. POLONIA - CERT POLSKA37 (COMPUTER EMERGENCY RESPONSE TEAM POLSKA)


El CERT Polska es el nombre oficial del equipo desde el enero de 2001. Era conocido antes como CERT Nask. Desde el febrero de 1997 el CERT Polska ha sido un miembro del Foro Mundial de Equipos de Respuesta y Seguridad del Incidente - FIRST. El CERT Nask fue establecido en marzo de 1996 según la disposición del director de Nask (Red Académica y de Investigación en Polonia).

Sus objetivos son constituir un único punto confiable de atención a incidentes y prevención en Polonia para los clientes de la comunidad Nask y otras redes en Polonia, responder por los incidentes de seguridad, proveer información referente a la seguridad y advertencias de los ataques en cooperación con otros equipos de respuesta a incidentes por todo el mundo


• El CERT Polska registra las peticiones, alertas y proporcionará datos e informes estadísticos de incidentes.

• Proporciona ayuda a los sitios que tienen problemas de seguridad.

• El CERT Polska brinda información actual sobre problemas de seguridad y su solución (vía web y lista de suscripción).


El equipo lo conforma la Red Académica y de Investigación en Polonia, con la ayuda de expertos de universidades polacas.


Polonia

37Tomado de: http://www.cert.pl/. U.A: 2008/09/26. Publicado por: CERT Polska. Autor: No determinado.

http://www.cert.pl/

Página 91 de 192


GOBIERNO EN LÍNEA

2.1.35. QATAR - Q-CERT38 (QATAR CERT)


Como Equipo Nacional de Respuesta a Incidente de Seguridad Computacional de Qatar, Q-CERT coordinará el sistema de actividades de la ciber - seguridad necesarias para mejorar la protección de infraestructura crítica en la nación y en la región.

Para alcanzar esta meta, Q-CERT trabajará con las agencias y la industria estatal para formar una estrategia de la gerencia de riesgo para la seguridad del ciberespacio que incluye los siguientes frentes:

• Planeamiento, medición y evaluación

• Disuasión

• Protección

• Supervisión, detección y análisis

• Respuesta

• Reconstitución y recuperación

• Investigación y desarrollo

Q-CERT cubre todas las organizaciones autorizadas para utilizar el dominio del código de país.qa, así como la población en general de Qatar que utiliza el Internet. Incluye al gobierno de Qatar, a los negocios e instituciones educativas que utilizan el Internet para sus operaciones. Los socios estratégicos incluyen la industria petrolera del aceite, la industria de servicios financieros, la industria de las telecomunicaciones, y los ministerios del estado de Qatar. Q-CERT trabajará con los institutos educativos en Qatar para aumentar conocimiento de la seguridad de la información y para mejorar prácticas de seguridad de la información.


• Talleres, seminarios, y cursos diseñados para aumentar el conocimiento acerca de la seguridad del ciberespacio.

• Provee un Web site para brindar información sobre las amenazas que emergen, nuevas vulnerabilidades y otros temas de seguridad.

38Tomado de: http://www.qcert.org. U.A: 2008/09/26. Publicado por: Supreme Council of Information & Comunication Technology. Autor: No determinado.

http://www.qcert.org/

Página 92 de 192

Explorar la información de la seguridad de sistemas de fuente abierta para prevenir amenazas emergentes.

Genera nuevas alarmas y estrategias de mitigación.

Analiza vulnerabilidades y código malévolo para desarrollar estrategias de la mitigación.

Analizar incidentes de la seguridad e identifica contramedidas.

Coordina a través de las organizaciones internacionales el manejo de atención a incidentes e investigaciones.

Ayuda en la determinación del alcance y de la magnitud de incidentes de seguridad e identifica estrategias de la recuperación


Q-CERT es un organismo nacional patrocinado del Consejo Supremo para la Tecnología de Información y de Comunicaciones (ictQATAR) del estado de Qatar en asocio con el programa CERT que es parte de Instituto de Ingeniería de Software de la Universidad Carnegie - Mellon en Pittsburgh, Estados Unidos.


Gobierno y sector privado en Qatar y en la región cercana del golfo.

2.1.36. REINO UNIDO - GOVCERTUK39 (CESG´S INCIDENT RESPONSE TEAM)


GovCertUK nace en febrero de 2007, como la autoridad técnica nacional para el aseguramiento de la información y proporciona la función de CERT al gobierno británico. Asiste a organizaciones del sector público en la respuesta a los incidentes de seguridad computacional y proporciona asesoría para reducir la exposición a la amenaza.

Este papel incluye disponer de una capacidad de respuesta a emergencias de las organizaciones del sector público que pueden requerir la ayuda técnica y la asesoría durante períodos de ataque electrónico o de otros incidentes de la seguridad de la red.

El equipo GovCertUK presta ayuda técnica y asesoría al Centro para la Protección de la Infraestructura Nacional (Centre for the Protection of National Infrastructure – CPNI40), que proporcionará un papel similar

39Tomado de: www.govcertuk.gov.uk. U.A: 2008/09/26. Publicado por: CESG GovCertUK Incident Response Team. Autor: No determinado.

Página 93 de 192


de ayuda a la infraestructura nacional crítica, a las organizaciones del sector público y privado, protegiendo la seguridad nacional ayudando así a reducir la vulnerabilidad de la infraestructura nacional al terrorismo y a otras amenazas.


• Publicaciones orientadas a la protección general de la seguridad.

• Informes de seguridad de la información destacando los riesgos frente a la infraestructura nacional.

• Notas técnicas de la Seguridad de la Información.

• Vulnerabilidades de la Seguridad de la Información.

• Investigación en vulnerabilidades computacionales para determinar las amenazas, identificar problemas y se trabaja de la mano con proveedores de tecnología para suministrar patches de software.

• Promueven las mejores prácticas entre los operadores de la infraestructura nacional, compartiendo la información.

• Descripción de tecnologías emergentes.

• Intercambios de información sobre los riesgos.


Reino Unido e Irlanda del Norte

2.1.37. SINGAPUR – SINGCERT41 (SINGAPORE CERT)


El Equipo de Respuesta a Emergencias Computacionales de Singapur (SingCERT) fue instalado para facilitar la detección, la resolución y la prevención de incidentes relacionados con la seguridad en Internet.

Sus objetivos son:

40Tomado de: www.cpni.gov.uk. U.A: 2008/09/26. Publicado por: Centre for the Protection of National Infrastructure – CPNI. Autor: No determinado.

41Tomado de: http://www.singcert.org.sg/. U.A: 2008/09/26. Publicado por: Singapur – SingCERT. Autor: No determinado.

Página 94 de 192


http://www.cpni.gov.uk/


GOBIERNO EN LÍNEA

• Ser un punto de contacto confiable.

• Facilitar la resolución de las amenazas de la seguridad.

• Aumente la capacidad nacional en seguridad.


• Genera alarmas, recomendaciones y patches de seguridad.

• Promueve el conocimiento de la seguridad a través de cursos, seminarios y talleres de seguridad.

• Colabora con los proveedores y otros CERTs para encontrar soluciones a los incidentes de la seguridad


SingCERT fue establecido inicialmente en octubre de 1997 como programa de la autoridad del desarrollo de Infocomm de Singapur, en colaboración con el Centro para la Investigación del Internet de la Universidad Nacional de Singapur.


Singapur

2.1.38. SRI LANKA – SLCERT42 (SRI LANKA COMPUTER EMERGENCY RESPONSE TEAM)


El Equipo de Respuesta a Emergencia Computacionales de Sri Lanka (SLCERT) es el centro para la seguridad del ciberespacio, designado por mandato para proteger la infraestructura de la información de la nación y para coordinar medidas protectoras y respuestas a las amenazas y a las vulnerabilidades de la seguridad informática.

Un CERT nacional actúa como punto focal para la seguridad de Ciberespacio para una nación. Es la única fuente confiable para asesorar sobre las amenazas y las vulnerabilidades más recientes que afectan los sistemas informáticos y las redes y para asistir al gobierno en responder y recuperarse de Ataques computacionales.

42Tomado de: http://www.cert.lk/. U.A: 2008/09/26. Publicado por: Sri Lanka – SLCERT. Autor: No determinado.

http://www.cert.lk/

Página 95 de 192


SLCERT ofrece tres categorías de servicio:

Servicios de Respuesta: Son los servicios que son activados por los acontecimientos que son capaces de causar efectos nocivos sobre los sistemas de información. Los ejemplos son ataques de Spam, virus y acontecimientos inusuales de intrusos.

Dirección en incidentes: Este servicio implica responder a una petición o a una notificación asociada a la detección de un acontecimiento inusual, que puede afectar el funcionamiento, la disponibilidad o la estabilidad de los servicios o sistemas informáticos.

SLCERT realizará pasos para identificar el incidente y para clasificar la severidad del incidente, asesorando en cómo contener el incidente y suprimir la causa. Una vez los sistemas se recuperan completamente, SLCERT genera un informe de incidente detallando su naturaleza, medidas tomadas para recuperarse de incidente y medidas preventivas recomendadas para el futuro.

Servicios del Conocimiento: Se diseñan para educar en la importancia de la seguridad de la información y de los asuntos relacionados y las mejores prácticas.

Alarmas: Este servicio se utiliza para divulgar la información en relación con virus informáticos, bromas y vulnerabilidades de la seguridad, y en lo posible, para proporcionar recomendaciones a corto plazo para ocuparse de las consecuencias de tales ataques.

Seminarios y conferencias: Estos servicios tienen la intención de aumentar el conocimiento sobre la seguridad de la información, seguridad estándares y mejores prácticas. Se busca ayudar a reducir perceptiblemente la probabilidad de ser atacado.

Talleres: Estos servicios son dirigido para aumentar el conocimiento acerca de la seguridad de la información. Se orientan a los profesionales más técnicos, que realizan tareas diarias relacionadas con la seguridad de la información.

Base de Conocimiento: La base de conocimiento es un servicio pasivo ofrecido por SLCERT a los interesados con documentos, artículos, noticias, etc., publicado en el Web site de SLCERT y los medios. Se busca proporcionar una gama de recursos del conocimiento que permitan a cualquier persona encontrar información útil para ayudar a aumentar su comprensión de la seguridad de la información.

Servicios de la Consulta: Estos servicios se orientan a proveer medios de toma de decisiones con respecto a la seguridad de la información, y para tomar las medidas necesarias para consolidar las defensas.

Soporte Técnico: Este servicio de revisión y análisis está dirigido a la infraestructura y procedimientos de la seguridad adoptados dentro de las organizaciones, de acuerdo con la experiencia en seguridad de la información del SLCERT y de ciertos parámetros predefinidos. El resultado final es un identificación

Página 96 de 192

detallada de las debilidades de la infraestructura, las mejoras que deben llevarse a cabo y cómo tales las mejoras deben ser puestas en ejecución.

Soporte Consultivo para Política Nacional: Éste es un servicio realizado por SLCERT como obligación con la nación. Como autoridad primaria en seguridad de la información en Sri Lanka, SLCERT es responsable de generar y de hacer cumplir estándares de seguridad de la información a nivel nacional.


Sri Lanka

2.1.39. TÚNEZ - CERT-TCC43 (COMPUTER EMERGENCY RESPONSE TEAM - TUNISIAN COORDINATION CENTER)


A partir de 2002 se establece el núcleo de un CSIRT en Túnez, que condujo en 2004 al lanzamiento oficial del CERT-TCC (Computer Emergency Response Team - Centro Tunecino de Coordinación), un CSIRT público gestionado por la Agencia Nacional para la Seguridad Computacional.

El CERT-TCC tiene los siguientes objetivos:

Aumentar el conocimiento y entendimiento acerca de la seguridad de la información y de la seguridad de la computadora a través de medidas proactivas.

Proporcionar un soporte confiable7*24, con un solo punto de contacto para las emergencias, para ayudar a manejar incidentes de la seguridad y para asegurar la protección del Ciberespacio nacional y la continuidad de servicios críticos nacionales a pesar de ataques.

Proporcionar el entrenamiento y la certificación de alto nivel para los aprendices y los profesionales.

Informar sobre las mejores prácticas y sobre aspectos de organización de la seguridad, con un foco especial en la gerencia de la intervención y de riesgo.

Informar sobre vulnerabilidades y respuestas correspondientes y sirve como un punto confiable de contacto para recopilar e identificar vulnerabilidades en sistemas informáticos.

Informar sobre mecanismos y herramientas de la seguridad y asegurar que la tecnología apropiada y las mejores prácticas de gerencia sean utilizadas.

43Tomado de: http://www.ansi.tn/en/about_cert-tcc.htm. U.A: 2008/09/26. Publicado por: National Agency for Computer

Security - Tunez. Autor: No determinado.

Página 97 de 192

http://www.ansi.tn/en/about_cert-tcc.htm

Poner en ejecución los mecanismos que permitan alertar y dar respuesta a organizaciones y a instituciones, para desarrollar sus propias capacidades de la gerencia del incidente

Facilitar la comunicación entre el profesional y los expertos que trabajan en estructuras de seguridad y estimular la cooperación entre y a través de los negocios públicos y privados de las agencias estatal y de las organizaciones académicas.

Colaborar con la comunidad internacional y nacional en incidentes de detección y de resolución de la seguridad computacional.

Promover o emprende el desarrollo de los materiales educativos, de conocimiento y de entrenamiento apropiados para mejorar las habilidades y el conocimiento técnico de los usuarios y los profesionales de la seguridad.


Actividades del conocimiento

Publicaciones: Como material del conocimiento, se desarrollan y distribuyen folletos y guías que explican a los usuarios de una manera simple y clara las amenazas y cómo proteger sus sistemas. También distribuyen libremente los CDs con las herramientas de seguridad y de control parental, libres para el uso doméstico, pero también los patches.

Presentaciones: Co-organizan e intervienen en conferencias nacionales y talleres relacionados con la seguridad, con demostraciones en vivo de ataques, para sensibilizar a la gente con la realidad de los riesgos y la importancia de las mejores prácticas.

Juventud y padres: Referente a conocimiento de la juventud y de los padres, preparan material del conocimiento. Un manual “Pasaporte de la seguridad para la familia” incluyendo concursos, historietas y juego pedagógico, que explican a los niños de una manera divertida, los riesgos (pedofilia, virus, etc…) y las reglas básicas de protección.

Prensa: Participa en emisiones semanales en medios nacionales, creando un posicionamiento.

Información y actividades de alertas: Una de las principales tareas es detectar y analizar amenazas y transmitir esa información a los administradores de sistema y a la comunidad de usuarios. CERT-TCC divulga regularmente información y alarmas sobre vulnerabilidades críticas y actividades malévolas a través de sus listas de distribución y con su web site. Analiza las vulnerabilidades potenciales, recogiendo la información, trabajando con otros CSIRTs y proveedores de software para conseguir las soluciones a estos problemas.

Entrenamiento y educación: CERT-TCC está actuando para la construcción de un grupo de trabajo de los multiplicadores y e la creación de diplomados especializados en seguridad, junto con el estímulo de los profesionales para obtener certificación internacional. Para solucionar eficientemente el problema de la carencia del entrenamiento especializado en seguridad, el CERT-TCC organiza entrenamientos para

Página 98 de 192

los multiplicadores que estarán en cargo de reproducir esos cursos en una escala mayor. Los primeros asuntos identificados son los siguientes:

Técnicas de seguridad del perímetro de la red: Arquitecturas seguras, firewall, identificaciones, servidores de marcado manual seguros.

Organización y técnicas internas: Desarrollo de política de la seguridad, desarrollo del plan de seguridad, herramientas de seguridad de la red (Firewall, entradas distribuidos contra-virus, PKI.).

Tecnologías de supervivencia de la información: Planes de recuperación de desastres.

Base técnica para la prevención de la intrusión: Identifica y previene intrusiones y defectos de seguridad.

Fundamentos en la orientación del manejo del incidente.

Metodologías de la autovaloración de la seguridad.

ISO 17799 e ISO 27000.

Curso de CBK, para la preparación a la certificación de CISSP.

Cursos especializados para el personal judicial y de investigación.

También desarrollan un programa de entrenamiento para la certificación de personas del sector privado, que permite la obtención de la certificación nacional de interventor de la seguridad, además, al entrenamiento para los administradores de los sistemas de e-gobierno, y como motivación para la certificación de CISSP, los entrenamientos que cubren todos los capítulos del CBK.

CERT-TCC trabaja con profesionales e instituciones académicas para desarrollar planes de estudios en seguridad de la información y se tiene el proyecto para lanzar un centro de entrenamiento regional en seguridad en sociedad con el sector privado.

Prepara adicionalmente los entrenamientos especiales para los jueces, y periodistas.

Educación: En colaboración con dos instituciones académicas, se lanzó la primera maestría en seguridad en 2004 y ahora tres universidades públicas y cuatro privadas, proponen programas de maestría similares. Para motivar a estudiantes a atender a esos cursos, se les ofrece la posibilidad de postular a la certificación nacional del interventor de la seguridad. De otro lado, consideran que todos los estudiantes deben ser preparados para obtener conocimiento apropiado sobre riesgos y la existencia de las mejores prácticas y de herramientas de seguridad para la protección. Con ese propósito, comenzaron sesiones del conocimiento de verano para los nuevos profesores de las escuelas secundarias y están motivando a todas las entidades de educación para la introducción de los cursos básicos del conocimiento dentro de programas académicos, desde las escuelas secundarias hasta la

Página 99 de 192

universidad. CERT-TCC comenzó el desarrollo del material y de los programas del conocimiento para las escuelas secundarias.

Dirección y ayuda del incidente: Según la ley relacionado con la seguridad computacional, las corporaciones privadas y públicas deben informar al CERT-TCC sobre cualquier incidente, que pueda tener impacto en otros sistemas de información nacionales, con la garantía de confidencialidad ala que están obligados los empleados del CERT-TCC y los interventores de la seguridad, bajo sanciones penales. Las organizaciones tanto privadas como públicas deben confiar en el CERT-TCC por lo cual se obligan a guardar confidencial sobre sus identidades y la información sensible proporcionada. También deben ser neutrales, que permita trabajar con las entidades y las entidades sin predisposición.

Se establecieron teléfonos 7*24 que permiten a los profesionales y a los ciudadanos divulgar y llamar para solicitar ayuda en caso de incidentes de la seguridad computacional y también para solicitar la información y/o la ayuda en cualquier tema relacionado a la seguridad.

En las actividades de dirección de la vulnerabilidad y del incidente se asigna una prioridad más alta a los ataques y a las vulnerabilidades que afectan directamente el ciberespacio nacional. En este sentido se comenzó a desarrollar un sistema llamado “Saher” que permite determinar y predecir amenazas grandes y potenciales a la infraestructura de telecomunicación sensibles y al Ciberespacio local, basado en código abierto que permite supervisar la seguridad del Ciberespacio nacional en tiempo real para la detección temprana de ataques masivos. El primer prototipo fue desplegado en noviembre de 2005.

Para asegurar una respuesta rápida y correcta en caso de ataques grandes contra el Ciberespacio, se ha desarrollado un plan global de la reacción basado en el establecimiento de células de crisis coordinadas a nivel de varios agentes del Ciberespacio nacional ( ISPs, IDCs, proveedores de acceso, redes corporativas grandes) con CERT-TCC actuando como coordinador entre ellos.

Colaboración con asociaciones: Co-organizan regularmente talleres del conocimiento y entrenamiento buscando sinergia entre los profesionales y los agentes nacionales. Animan la creación de dos asociaciones especializadas en el campo de la seguridad informática: Una asociación académica lanzada en 2005 (“Asociación Tunecina para la Seguridad Numérica”) y durante 2006 (“Asociación Tunecina de Expertos en Seguridad Computacional”). Con el propósito de motivar la agregación técnica de esas asociaciones, las están motivando para la creación de equipos de trabajo técnicos.

Colaboración internacional: CERT-TCC se ha establecido como miembro de pleno derecho de FIRST en mayo de 2007 y busca colaborar con otros CSIRTs para lograr un apoyo mayor y colaboración en investigaciones. También intentan ser activos a nivel regional en África y en organizaciones internacionales.


Cuenta con dos equipos:

Equipo Amen: A cargo del análisis del incidente y coordinación y respuesta en sitio y en caso de emergencia nacional.

Página 100 de 192

Equipo Saherel: A cargo de la detección del incidente y del artefacto, que desarrolla y maneja un sistema de supervisión para el ciberespacio nacional, basado en soluciones de código abierto. Está también a cargo de dar asistencia técnica y ayuda para el despliegue de las soluciones de código abierto.


Túnez

2.1.40. VENEZUELA CERT.VE44 (VENCERT – EQUIPO DE RESPUESTA PARA EMERGENCIAS INFORMÁTICAS)


El Ministerio de Ciencia y Tecnología, cumpliendo su competencia en materia de Tecnologías de Información y Comunicación, pone en marcha el proyecto parea conformar un Equipo de Respuesta para Emergencias Informáticas a través de la Superintendencia de Servicios de Certificación Electrónica -SUSCERTE. Este equipo en conjunto con la academia, centralizará y coordinará los esfuerzos para el manejo de incidentes que afecten oi puedan afectar los recursos informáticos de la Administración Pública, así como difundir información de cómo neutralizar incidentes, tomar precauciones para las amenazas de virus que puedan comprometer la disponibilidad y confiabilidad de las redes.

Además centralizará los reportes sobre incidentes de seguridad ocurridos en la Administración Pública y facilitará el intercambio de información para afrontarlos, provee documentación y asesoría sobre la seguridad informática.

Sus objetivos son combinar esfuerzos con la comunidad internet nacional e internacional para facilitar y proporcionar respuesta a los problemas de seguridad informática que afecten o puedan afectar a los sistemas centrales, así como elevar la conciencia colectiva sobre temas de seguridad informática y llevar a cabo tareas de investigación que tengan como finalidad mejorar la seguridad de los sistemas existentes. Coordinar las acciones de monitoreo, detección temprana y respuesta ante incidentes de seguridad de informática entre los órganos del Poder Público, así como el tratamiento formal de estos incidentes y su escalamiento ante las instancias correspondientes.

La Superintendencia debe promocionar y divulgar el uso de Políticas de Seguridad, la firma electrónica y certificado electrónico apoyándose en los centros educativos, planteándose programas académicos que apoyen a dichos centros en las carreras jurídicas para dar a conocer la Ley sobre mensaje de Datos y Firma Electrónica, los reglamentos y las resoluciones de la superintendencia. Así se pretende lograr que la Administración Pública venezolana identifique sus requisitos de seguridad y aplique medidas para alcanzarlos, mediante el uso de tres fuentes principales:

44Tomado de: http://www.cert.gov.ve/. U.A: 2008/09/26. Publicado por: Venezuela CERT.ve. Autor: No determinado.

Página 101 de 192



GOBIERNO EN LÍNEA

• Valoración de los riesgos de cada uno de los Entes Gubernamentales. Con ello se identifican las amenazas a los activos, se evalúa la vulnerabilidad y la probabilidad de su ocurrencia y se estima su posible impacto.

• Determinación de requisitos legales, estatutarios y regulatorios que deberían satisfacer los entes de la Administración Pública, sus usuarios, contratistas y proveedores de servicios.

• Establecimiento de los principios, objetivos y requisitos que forman parte del tratamiento de la información que el Gobierno Nacional ha desarrollado para apoyar sus operaciones.

Para ello el VenCERT (Centro de Respuestas ante incidentes telemáticos del Sector Público) implementará un conjunto de políticas, prácticas, y procedimientos y los controles que garanticen el cumplimiento de los objetivos específicos de seguridad. Asimismo, orientará y asesorará en la definición de estructuras organizativas, funciones de software y necesidades de formación.

El VenCERT deberá igualmente constituirse en eje central de un sistema de investigación científica aplicada a la seguridad telemática, convirtiéndose en demandante principal de sus productos y proveedor permanente de nuevos temas de investigación.


Proveer un servicio especializado de asesoramiento en seguridad de redes

• Promover la coordinación entre los organismos de la Administración Pública para prevenir, detectar, manejar y recuperar incidentes de seguridad.

• Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administración Pública y facilitar el intercambio de información para afrontarlos.

• Crear listas de correo con el fin de mantener informados a los directores de informática sobre las noticias más recientes en materia de seguridad.

2.1.40.2.1. Estructura

El VenCERT hace parte de la Superintendencia de Servicios de Certificación Electrónica de Venezuela – SUSCERTE.


Administración Pública de Venezuela

Página 102 de 192

2.2. EXPERIENCIAS O ANTECEDENTES EN COLOMBIA

2.2.1. CIRTISI – COLOMBIA45 (CENTRO DE INFORMACIÓN Y RESPUESTA TÉCNICA A INCIDENTES DE SEGURIDAD INFORMÁTICA DE COLOMBIA)


En colaboración de varías entidades gubernamentales se desarrolló una primera propuesta para la constitución de un Centro de Información y Respuesta Técnica a Incidentes de Seguridad Informática de Colombia – CIRTISI.

Según esta propuesta, CIRTISI Colombia buscaría propender por la prevención, detección y reacción frente a incidentes de seguridad informática que amenacen y/o desestabilicen la normal operación de entidades gubernamentales e incluso la seguridad nacional, mediante apoyo tecnológico, entrenamiento y generación de una cultura global de manejo de la información.

Sus objetivos generales serían:

Brindar apoyo a las entidades gubernamentales para la prevención y rápida detección, identificación, manejo y recuperación frente a amenazas a la seguridad informática.

Interactuar con los entes de policía judicial generando un espacio de consulta frente a las amenazas de seguridad e investigaciones informáticas.

Proporcionar información especializada y conocimiento a las autoridades de policía judicial durante los procesos investigativos relacionados con la seguridad informática.

Construir un laboratorio de detección e identificación, control y erradicación de amenazas informáticas para los diferentes organismos gubernamentales.

Consolidar el capitulo HTCIA (High Technology Crime Investigation Association) Colombia y adelantar las actividades necesarias para su permanencia y crecimiento

Sus objetivos específicos serían:

Proporcionar alertas tempranas frente a amenazas informáticas que puedan desestabilizar la tecnología y la seguridad nacional.

45 Documento: CIRTISI COLOMBIA, Tomado de

http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de%202007%202.pdf. U.A:

2008/09/26. Publicado por: Gobierno en Línea. Autor: No determinado.

Página 103 de 192

http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de%202007%202.pdf

• Fomentar la investigación y desarrollo de estrategias de seguridad informática.

• Brindar una adecuada respuesta a incidentes de seguridad informática, con un enfoque metodológico que propenda por la eficiencia de las investigaciones realizadas.

• Establecer canales de comunicación nacionales expeditos de manera que sea posible ofrecer una atención a incidentes en forma efectiva.

• Generar redes de apoyo temáticas en materia de seguridad de la información.

• Promover la coordinación nacional con otras entidades pertinentes del orden regional

• Fortalecer la cooperación con organismos intergubernamentales en el ámbito subregional, regional e internacional.

• Impulsar la cooperación internacional con organismos de similar naturaleza y propósito.

• Participar en el Forum of Incident Response and Security Teams (FIRST)

• Consolidar, mantener y liderar el capitulo HTCIA Colombia

• Fomentar una conciencia global de seguridad informática

• Proveer un servicio especializado de asesoramiento en seguridad de redes.

2.2.1.2. Servicios Propuestos

• Investigación técnica de amenazas informáticas existentes e identificación de tendencias.

• Generación de alertas tempranas frente a las amenazas existentes, conocidas y potenciales.

• Entrenamiento local, nacional o internacional en materia de seguridad informática y procedimientos de computación forense para los organismos de policía judicial colombiana.

• Respuesta efectiva a incidentes de seguridad informática que se presenten en cualquier órgano gubernamental, brindando apoyo técnico para la recolección, análisis, preservación y presentación de evidencia digital en incidentes que den lugar a investigaciones informáticas.

• Promover la cultura de la seguridad informática y la estandarización de protocolos de seguridad.

• Establecer contactos con equipos de similar naturaleza o propósito y con organizaciones que agrupen estos equipos, tanto a nivel nacional como internacional.

Página 104 de 192


GOBIERNO EN LÍNEA

El CIRTISI - Colombia propone desarrollar sus actividades dentro de los siguientes ejes estratégicos:

• Desarrollo de Políticas: Promover la formulación de políticas que contribuyan con la prevención, detección, identificación, manejo y recuperación frente a amenazas a la seguridad informática así como con la adopción de legislación para adecuar y actualizar la tipificación de las conductas conocidas por el CIRTISI.

• Actividad Operacional: Obtener diagnósticos reales sobre las diferentes amenazas informáticas que se generan a partir de una cobertura de servicios y sectores definida y, de la permanente capacitación y optimización tecnológica.

• Impacto Social: Generación de una cultura global de manejo de la información conciencia frente a la seguridad informática mediante la permanente socialización conocidas y nuevas y su impacto sobre la seguridad informática en Colombia.

y fomento de la de las amenazas

2.2.1.3. Estructura Sugerida

La conformación del CIRTISI involucraría cinco áreas o divisiones con liderazgo propio de manera que se puedan cubrir diversos aspectos de la seguridad informática nacional.

DirecciónGeneral

División de

Infraestructura y

Asesor íaL.

1 l . i1

División deAlertasTempranas

División deIntegración yDesarrollo

i División de íRespuesta a i

Incidentes |

1 División de

Divulgación y Concienciación

•

•

Ilustración 6: Estructura CIRTISI Colombia

División de Infraestructura y Asesoría: Esta división será la encargada de todo el planeamiento logístico y estratégico necesario para la conformación y puesta en operación del CIRTISI - Colombia, apoyando directamente a la dirección general y junta directiva que se designe.

División de Alertas Tempranas y Coordinación: Esta división se concentrará en el monitoreo de amenazas y coordinación con CERT’s nacionales e internacionales, generando las alertas tempranas

Página 105 de 192

frente a amenazas potenciales. En conjunto con la investigación y desarrollo son el corazón del CIRTISI en la medida que se convierte en el punto de detección de amenazas globales. Adicionalmente, esta división está encargada de mantener una base estadística de amenazas a la seguridad de la información.

División de Investigación y Desarrollo: La división de Investigación y Desarrollo estará encargada del laboratorio de amenazas, proporcionadas por la división de alertas tempranas, con el fin de identificar riesgos efectivos. Esta división afinará la base estadística de amenazas convirtiéndolas en riesgos y generando las alertas acerca de aquellos riesgos que podrían impactar de mayor manera la seguridad nacional. Estos estudios contribuirán con la elaboración de diagnósticos sobre la situación real del país en materia de seguridad informática. Adicionalmente, esta División se encargará todo lo relacionado con capacitación y entrenamiento tanto al interior del CIRTISI como hacia los diferentes entes del Gobierno. Asimismo, administrará y distribuirá entre las entidades nacionales competentes las ofertas de cooperación, asistencia y capacitación en nuevas tecnologías y manejo de incidentes de seguridad informática.

División de Respuesta a Incidentes: La División de Respuesta a Incidentes será el grupo de reacción frente a cualquier incidente de seguridad de la información que se presente en el sector Gobierno. Esta división estará a cargo de los mecanismos de comunicación únicos nacionales que atenderían y manejarían los requerimientos de incidentes. Adicionalmente, los funcionarios de esta división podrán interactuar con las entidades con funciones de policía judicial en el desarrollo de investigaciones informáticas ofreciendo apoyo técnico y especializado. Asimismo, el CIRTISI pondría a disposición de dichas entidades las estadísticas sobre investigaciones informáticas a nivel nacional. Inicialmente, contará con la infraestructura necesaria para brindar asistencia de lunes a viernes de 9:00 a 18:00 horas, y en el mediano plazo, a medida que aumente la capacidad y la demanda, entraría a operar en el modelo 24 horas al día, 7 días a la semana (7/24).

División de Divulgación y Concienciación: Esta División será la única encargada de proporcionar la información oficial que se derive de las actividades del CIRTISI hacia los medios de comunicación y la comunidad en general. Adicionalmente y, como parte de la misión social del CIRTISI, promoverá la generación de conciencia en el adecuado manejo de la seguridad de la información.

Las entidades involucradas en su constitución serían:

Ministerio del Interior y de Justicia

Ministerio de Defensa Nacional

Ministerio de Relaciones Exteriores

Ministerio de Comunicaciones

Ministerio de Comercio, Industria y Turismo

Departamento Administrativo de Seguridad (DAS)

Página 106 de 192

Policía Nacional (DIPOL, DIJIN)

Comisión de Regulación de Telecomunicaciones (CRT)

Dirección Nacional de Planeación (DNP)

Fiscalía General de la Nación

Cuerpo Técnico de Investigación (CTI)

Procuraduría General de la Nación


El CIRTISI Colombia tendría un alcance nacional que abarca el sector Gobierno y brindaría apoyo a las entidades gubernamentales para la prevención y rápida detección, identificación, manejo y recuperación frente a amenazas a la seguridad informática.

También brindaría apoyo técnico y proporcionaría información especializada a los cuerpos de policía judicial y de control en aspectos relacionados con la seguridad informática. En estos casos, manteniendo reserva en la información reportada a los organismos y teniendo en cuenta las responsabilidades y controles que el manejo de este tipo de información requiere.

El CIRTISI establecería canales de interlocución con usuarios del sector privado y la academia con el propósito de ampliar la información en materia de tendencias e investigación. En este sentido, hará seguimiento a los principales dispositivos, aplicaciones y herramientas (hardware, software), a fin de conocer las vulnerabilidades de los sistemas operativos, alertar y obrar en consecuencia. Adicionalmente, mantendrá una base de datos de incidentes de seguridad, la cual servirá para consulta, seguimiento, y permitirá llevar un registro histórico de los mismos.

El CIRTISI brindaría capacitación especializada a las áreas técnicas de las diferentes entidades nacionales.

Teniendo en cuenta que la cooperación e intercambio de información entre equipos de esta naturaleza está basada en la confianza, el CIRTISI - Colombia estaría llamado a constituirse en el punto focal confiable para organismos similares en el ámbito internacional. El CIRTISI entraría en contacto con otros Equipos de Seguridad existentes en el mundo, y con las organizaciones que los agrupan, y establecería canales comunicación permanente para facilitar el intercambio de información técnica, experiencias, metodologías, procesos, buenas prácticas y otros servicios que ofrecen dichas organizaciones.

Página 107 de 192



2.2.2. CSIRT COLOMBIA46 (COL CSIRT)


El COL-CSIRT es un grupo de investigación de la Universidad Distrital Francisco José de Caldas que pretende un marco de operación nacional y cuyo constituyente estará dado por entidades de educación superior y entidades oficiales del estado.

Su objetivo es ofrecer un servicio de soporte a las entidades estatales y de educación superior, para la prevención, detección y corrección de los incidentes de seguridad informáticos, con los siguientes objetivos específicos.

• Desarrollar una Base de Datos que contenga la información concerniente a los diferentes incidentes de seguridad informáticos existentes y las preguntas más frecuentemente contestadas (FAQ's).

• Prestar el soporte sobre Sistemas Operativos Windows y Linux (Unix).

• Utilizar la clasificación taxonómica de los incidentes y ataques con código malicioso propuesta en el proyecto de maestría en Teleinformática titulado "ANÁLISIS DE INCIDENTES RECIENTES DE SEGURIDAD EN INTERNET 1995 a 2003" para ofrecer una respuesta oportuna, eficaz y eficiente a los distintos reportes y alertas que se reciban diariamente en el centro de respuesta.

• Establecer detalladamente los servicios que prestará el centro de respuesta con respecto a los incidentes de seguridad informáticos.

• Integrar la base de datos del Centro de Respuesta a incidentes y ataques con código malicioso, al portal WEB del COL-CSIRT que está siendo desarrollado por el grupo de investigación ARQUISOFT de la Universidad Distrital Francisco José de Caldas.

46 Tomado de: http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt. U.A: 2008/09/26. Publicado por:Universidad Distrital

Francisco José de Caldas. Autores: Coordinadora: MsC. Zulima Ortiz Bayona. Docentes asistentes: Ing. Claudia Liliana Bucheli, María del Pilar

Bohorquez. Estudiantes coordinadores: Erika Tatiana Luque Melo, Jeffrey Steve Borbón Sanabria, Anthony Molina. Estudiantes investigadores:

Lina Rocio Infante, Diego Alfonso Barrios Contreras, Ivon Carolina Rodríguez Parra, Laura Patricia Ortiz Ortiz, Diego Iván Arango, Jorge

Eduardo Ibáñez Sepúlveda, Edwin Giovanny Gutierrez Ramírez, Jairo Andrés Gómez Monrroy, Rene Alejandro Rangel Segura, Alvaro

Hernando Talero Niño, Daniel Arturo Acosta, Camilo Andrés Alfonso Vargas, Mónica Patricia Basto Guevara, Wilmer Daniel Galvis, Saira

Carvajal, Diana Marcela Cotte Corredor, Luis Francisco Fontalvo Romero, Cristian Camilo Betancourt Lemus, Rodrigo Cruz Hernández, Julián

Bonilla M, Jorge Gamba V, Giulio Leonardo Aquite Pinzón, Nidia Marcela Corcovado B, Jorge Andrés Diab, Daniel Felipe Rentería Martínez

Página 108 de 192



Prestará el servicio de manejo de incidentes de seguridad informáticos, a través del análisis de incidentes, respuesta a los incidentes en lí-nea, soporte a la respuesta del incidente y la coordinación de la respuesta del incidente.

2.2.2.3. Estructura

El grupo está compuesto por una coordinación, docentes asistentes, estudiantes coordinadores y estudiantes investigadores.


Colombia

2.2.3. COMITÉ INTERAMERICANO CONTRA EL TERRORISMO DE LA OEA (CICTE)

En junio de 2004 se llevó a cabo un taller para practicantes en materia de seguridad cibernética del CICTE sobre la estrategia integral de seguridad cibernética de la OEA47, y sirvió como marco para establecer una Red Interamericana CSIRT de vigilancia y alerta.

Su objetivo era crear una red hemisférica de puntos nacionales de contacto entre equipos de respuesta a incidentes de seguridad en computadoras (Computer Security Incident Response Teams: CSIRT) con responsabilidad nacional (CSIRT nacionales), en los Estados Miembros de la OEA, con el mandato y la capacidad de responder debida y rápidamente a las crisis, incidentes y peligros relacionados con la seguridad cibernética.

Estos equipos podrían comenzar simplemente como puntos de contacto oficiales en cada uno de los Estados y estarían a cargo de recibir información sobre seguridad cibernética. En el futuro se convertirían en un CSIRT.

Reviste importancia creciente la colaboración mundial y la capacidad de respuesta en tiempo real entre los equipos. Dicha colaboración debe permitir lo siguiente:

El establecimiento de CSIRT en cada uno de los Estados Miembros

El fortalecimiento de los CSIRT hemisféricos

La identificación de los puntos de contacto nacionales

47Tomado de: http://www.cicte.oas.org/Rev/en/Documents/OAS_GA/AG-RES.%202004%20(XXXIV-O-04)_SP.pdf. U.A: 2008/09/26.

Publicado por: Comité Interamericano Contra el Terrorismo de la OEA. Autor: No determinado.

Página 109 de 192

http://www.cicte.oas.org/Rev/en/Documents/OAS_GA/AG-RES.%202004%20(XXXIV-O-04)_SP.pdf

La identificación de los servicios críticos

El diagnóstico rápido y preciso del problema

El establecimiento de protocolos y procedimientos para el intercambio de información

La pronta diseminación regional de advertencias sobre ataques

La pronta diseminación regional de advertencias sobre vulnerabilidades genéricas

a difusión de un alerta regional sobre actividades sospechosas y la colaboración para analizar y diagnosticar tales actividades

El suministro de información sobre medidas para mitigar y remediar los ataques y amenazas

La reducción de duplicaciones de análisis entre los equipos

El fortalecimiento de la cooperación técnica y la capacitación en materia de seguridad cibernética para establecer los CSIRTs nacionales

La utilización de los mecanismos subregionales existentes.

En mayo de 2008 se llevó a cabo en la ciudad de Bogotá una capacitación en “Fundamentos para creación y manejo de un CSIRT” organizada por la Secretaría del CICTE en coordinación con la Cancillería y la Policía Nacional de Colombia (DIJIN), con la participación de representantes de Bolivia, Chile, Ecuador, Paraguay, Perú, República Dominicana, y Colombia, con responsabilidades técnicas y/o políticas relativas al desarrollo de su infraestructura nacional de seguridad cibernética, incluida la creación y desarrollo de Computer Security Incident Response Teams (CSIRT).

2.3. EN RESUMEN

A modo de resumen de la revisión documental acerca de las iniciativas y experiencias de CSIRT nacionales e internacionales y en concordancia con los comentarios recibidos de la firma Suárez Beltrán & Asociados por medio del Programa Gobierno en Línea, se identifica una tipificación de los CSIRT acorde con sus estructuras, objetivos y funciones.

2.3.1. CSIRTs PÚBLICOS

El carácter público de los CSIRT suelen ser los responsables por la seguridad de la información para las entidades gubernamentales, enfocándose en servir como punto único y de coordinación para el manejo de incidentes de la información relacionados con la infraestructura crítica nacional. Así mismo, son responsables por la definición de estándares y buenas prácticas e impulsan la formación y difusión del conocimiento en temas de seguridad de la información. Se identifican dos tipos de estructuras: Unidades públicas independientes o unidades dependientes de entidades existentes.

Página 110 de 192

Unidades públicas independientes: Tiene su área de influencia limitada al país y a las entidades públicas, pero cuentan con plena autoridad para impulsar medidas y tomar acciones preventivas a lo largo de los sectores económicos y administrativos. Dentro de los beneficios de contar con un CSIRT dentro de la estructura del gobierno se pueden considerar el permitir identificar un punto único de contacto central, así como la capacidad de tener un equipo capaz de instrumentar y conducir una rápida respuesta para contener un incidente de seguridad de la información que pueda poner en riesgo la infraestructura crítica nacional.

Unidades dependientes de entidades existentes. Estas dependencias suelen estar asociadas a las áreas de inteligencia, sector de las comunicaciones, la ciencia y tecnología, directamente vinculadas a gabinetes de gobierno o a las entidades policiales o militares. Suelen tener autoridad compartida con otras instancias para el manejo del incidente informático.

2.3.2. CSIRTs PRIVADOS

Organismos consultivos sin ánimo de lucro: Despliegan gran parte de sus servicios y actividades a favor de sus miembros inscritos, quienes pagan una suma por la afiliación para el mantenimiento de la estructura del CSIRT. Tiene un papel consultivo y no tiene ninguna autoridad para ordenar o realizar tareas por parte de sus miembros o el área de influencia. Son fuentes generalizadas de buenas prácticas, documentos técnicas compartidos con la comunidad y creación de estándares de mercado. De igual forma, promueven foros para la creación y difusión de conocimiento técnico.

Organismo con ánimo de lucro: Identificados como proveedores, el mercado ofrece los servicios de los CSIRT a través de varias alternativas:

Centros de Análisis, que se concentran en la agrupación y análisis de datos desde varias fuentes para determinar las tendencias y patrones en la actividad de incidentes.

Equipos de Proveedores, que manejen informes de vulnerabilidades en sus productos de software o hardware.

Proveedores de Respuesta a Incidentes, que ofrecen servicios de manejo de incidentes para otras organizaciones.

No tienen ningún tipo de autoridad para la mitigación o tratamiento en los incidentes informáticos.

Iniciativas Académicas: Bajo este esquema universitario, se generan equipos con énfasis en la investigación y el análisis de la seguridad informática. Se elaboran publicaciones, foros y talleres, cursos de capacitación y boletines periódicos.

2.3.3. CSIRTs INTERNOS

Estos equipos sólo responden a las necesidades de las organizaciones privadas a las que pertenecen, imparte instrucciones, políticas y reglas de aplicación. Su principal actividad es la gestión de incidentes en sus propias entidades.

Página 111 de 192

2.3.4. CSIRTs DE COORDINACIÓN

Estas organizaciones coordinan y facilitan el manejo de incidentes de seguridad de la informaciñon con el apoyo de todas las entidades relacionadas con el tema a nivel nacional y a través de varios CSIRTs nacionales e internacionales.

2.3.5. ESQUEMA ASOCIATIVO ENTRE EL SECTOR PÚBLICO Y EL PRIVADO

Esta alianza se organiza con el fin de proteger la infraestructura de internet del país, ante ataques que pongan en juego su seguridad de la información, beneficiándose del patrocinio económico del sector privado.

Página 112 de 192

3.1. TIPO DE ENTIDAD

Iniciando el proceso de definición y diseño de un CSIRT48 en Colombia, es muy importante tener en cuenta la naturaleza de la estrategia de Gobierno en Línea en el cual se enmarca este proyecto.

El CSIRT entra a apoyar el modelo de Seguridad de la Información definido para el estrategia de Gobierno en Línea, facilitando la rápida y efectiva acción para el manejo estratégico de incidentes de seguridad de la información, e interactuando con el Grupo Técnico de Apoyo que tiene entre sus responsabilidades los estudios técnicos y el soporte técnico - jurídico para la preparación de los documentos, políticas, objetivos de control y controles recomendados que son avalados por la Comisión. Asesora a las entidades en su implementación, verifica su cumplimiento y proporciona apoyo técnico y jurídico para la operatividad del modelo.

Ilustración 3: Modelo Detallado del Sistema Administrativo Nacional de Seguridad de la Información

48 CSIRT: Computer Security Incident Response Team (Equipo de Respuesta a Incidentes de Seguridad

Computacional)

Página 113 de 192

Si bien es cierto que en el marco de este proyecto, el CSIRT que se constituya se orientará a los aspectos de seguridad de la información para la Estrategia de Gobierno en Línea, con el ánimo de hacerlo auto sostenible en el tiempo, es necesario considerar un amplio portafolio de servicios orientados tanto al sector público como privado, para lo cual se han considerado 3 alternativas de tipo de entidad, cada una con ventajas y desventajas respectivamente:

Ventajas Consideradas:

MODELO 1(Como Dirección delMinisterio deComunicaciones)

MODELO 2(Como Asociación Públicasin ánimo de lucro)

MODELO 3(Como Asociación con

Participación Mixta)

Está sometida al control fiscal y social que verifica que los fondos públicos sean utilizados de acuerdo con la Ley y la eficiencia administrativa - competitividad. Brinda mayor transparencia a su operación.

Está sometida al control fiscal y social que verifica que los fondos públicos sean utilizados de acuerdo con la Ley y la eficiencia administrativa -competitividad. Brinda mayor transparencia a su operación.

Foco de la entidad en el objeto misional del CSIRT.

Toma de decisiones depende de un único actor

La adopción de decisiones se hace de manera coordinada, por cuanto ellas suponen un ejercicio colegiado, y opera según lo que el acto constitutivo establezca.

La adopción de decisiones se hace de manera coordinada por cuanto ellas suponen un ejercicio colegiado, y opera según lo que el acto constitutivo establezca.

No pueden suspender sus funciones por voluntad de las personas que están a su cargo. Los órganos de la administración y los servicios que se han establecido deben continuar mientras la Ley no autorice la suspensión o supresión de ellos, con lo cual se garantiza la continuidad del servicio.

No pueden suspender sus funciones por voluntad de las personas que están a su cargo. Los órganos de la administración y los servicios que se han establecido deben continuar mientras la Ley no autorice la suspensión o supresión de ellos, con lo cual se garantiza la continuidad del servicio.

Los resultados de un establecimiento público no se miden en términos de utilidades o ganancias que se reparten en beneficio de particulares sino por el grado de eficiencia del servicio que se le lleva a la comunidad y la seguridad es un tema de alto impacto en el que todas las entidades deben involucrarse.

Los resultados de un establecimiento público no se miden en términos de utilidades o ganancias que se reparten en beneficio de particulares sino por el grado de eficiencia del servicio que se le lleva a la comunidad y la seguridad es un tema de alto impacto en el que todas las entidades deben involucrarse.

Página 114 de 192

MODELO 1(Como Dirección del

Ministerio deComunicaciones)

MODELO 2(Como Asociación Pública

sin ánimo de lucro)



Foco de la entidad en el objeto misional del CSIRT.

Mayor credibilidad por parte de la comunidad.

Desventajas Consideradas:





En la comunidad Colombiana existe una baja confianza en la efectividad de las instituciones públicas.

Se debe entrar a negociar la participación de los integrantes de la sociedad.

Se debe entrar a negociar la participación de los integrantes de la sociedad.

El CSIRT no tendría jerarquía como centro de respuesta.Limitado a la estructura organizacional y funcional del Ministerio.La constitución y los actos de una entidad pública se rigen por leyes y decretos de función pública. Todos sus actos son reglamentados y están encaminados a la prestación de servicios de interés general para la sociedad, sin embargo esto puede hacer más lenta su operación.Limitaciones presupuestales para contar con personal altamente especializado para cubrir los frentes de trabajo del CSIRT, aunque podría acudirse a contrataciones de prestación de servicios.

La constitución de la asociación supone la elaboración de actos de constitución que se deben concertar con cada uno de los miembros, lo cual toma tiempo.

La constitución de la asociación supone la elaboración de actos de constitución que se deben concertar con cada uno de los miembros, lo cual toma tiempo.

Página 115 de 192





Sujeción a las reglas de ejecución presupuestal. Rigidez y problemas operativos.

Sujeción a las reglas de ejecución presupuestal. Rigidez y problemas operativos.

La seguridad de la información nacional es un punto crítico del Estado y se convierte en soporte básico para la seguridad nacional, siendo la seguridad nacional y la seguridad de su infraestructura crítica una responsabilidad del mismo Estado, que no puede dejarse en manos de particulares. Por esta razón, se recomienda el establecimiento de una Asociación de carácter público sin ánimo de lucro, adscrita al Ministerio de Comunicaciones, que favorezca los intereses de seguridad nacional sobre intereses particulares y que garantice la transparente e igualitaria gestión de sus servicios. La composición de esta sociedad puede establecerse con la participación del Ministerio de Comunicaciones ya que es la entidad encargada de definir y promover la política del sector de las Tecnologías de la información y la comunicación en Colombia (50%), los entes policivos (DAS y Policía Nacional por su responsabilidad sobre la Seguridad Nacional, y adicionalmente la Fiscalía como unidad especializada en delitos de telecomunicaciones y la administración pública, todas ellas con el 25%) y la academia (25%), representada por el Instituto Colombiano para el Desarrollo de la Ciencia y la Tecnología, ‘Francisco José de Caldas’, Colciencias (ahora constituido como Departamento Administrativo), debido a la capacidad investigativa de la academia y en particular Colciencias como organización líder en la generación de políticas y capacidades que permiten incorporar la Ciencia la Tecnología y la Innovación.

La participación accionaria se distribuye asignando un 50% al Ministerio de Comunicaciones como ente gestor y responsable por la estrategia de Gobierno en Línea, pero se distribuye el otro 50% entre las entidades que permiten la investigación y desarrollo de las ciencias relacionadas con la seguridad de la información y con las entidades responsables por la seguridad nacional de la información.

Algunas de las ventajas de contar con un CSIRT como entidad pública son:

Puede dar prioridad a incidentes relacionados con la seguridad de la información de la infraestructura crítica nacional.

Contar con un adecuado, seguro, transparente e igualitario manejo de la información confidencial de cada organización cuando se presente un incidente de seguridad de la información.

Contar con un grupo de personal especializado, certificado y entrenado en aspectos técnicos a los cuales muchas entidades públicas no tendrían acceso de manera individual.

Establecer canales y acuerdos de intercambio de información de manera oficial con otros CSIRT de carácter gubernamental, policivo y privado así como con organizaciones que agrupan equipos de seguridad de la información a nivel internacional (por ejemplo, el FIRST y la Red Interamericana de Respuesta a Incidentes de Seguridad Cibernética de la Organización de Estados Americanos).

Página 116 de 192

3.2. RELACIÓN CON LAS ENTIDADES

El CSIRT entra a apoyar el Modelo de Seguridad de la Información definido para la Estrategia de Gobierno en Línea y como tal, su relación con las entidades corresponderá a la definida en el Sistema Administrativo Nacional de Seguridad de la Información (ver entregable 5 Sistema de Gestión de Seguridad de la Información, numeral 3 – Estructura Institucional). Así mismo, en el capítulo de definición de los Procesos y Procedimientos, en el numeral 5, se detallará la relación con las diferentes entidades.

3.3. MISIÓN

El CSIRT es el órgano técnico que lidera y coordina los procesos de aseguramiento de la información en el ámbito Colombiano, para prevenir, detectar, proteger y reaccionar frente a amenazas, vulnerabilidades e incidentes de seguridad de la información, en entidades públicas y privadas, mediante apoyo tecnológico, entrenamiento y generación de una cultura e higiene para el manejo adecuado de la seguridad de la información.

3.4. VISIÓN

El CSIRT se consolidará como referente a nivel regional en temas de prevención, detección, coordinación y respuesta a incidentes de seguridad de la información buscando el mejoramiento continuo y coordinando el trabajo de grupos de apoyo nacionales e internacionales.

3.5. OBJETIVOS ESTRATÉGICOS

Perspectiva Objetivos Estratégicos Definición

SEGURIDAD DE LAINFORMACIÓN NACIONAL

Brindar apoyo para optimizar la seguridad de la información en las entidades públicas y privadas.

Brindar apoyo a las entidades públicas y privadas para la prevención, rápida detección, identificación, manejo, coordinación y recuperación frente a incidentes relacionados con la seguridad de la información, proporcionando servicios preventivos y reactivos frente a las amenazas y vulnerabilidades potenciales.

Consolidar la marca CSIRT Colombia, con base en la credibilidad de los usuarios.

Consolidar actuaciones que posicionen al CSIRT Colombia, de acuerdo con su objeto misional a nivel nacional, así como reforzar la nueva marca, fundamentado en la credibilidad generada en la población objetivo, por los resultados obtenidos.

FINANCIERA Ser una entidad auto sostenible. Ofrecer productos y servicios que garanticen la auto sostenibilidad de la organización.

Página 117 de 192

Perspectiva Objetivos Estratégicos Definición

PROCESOS INTERNOS

Lograr la cultura, excelencia operacional y la competitividad.

Hacer de manera correcta los procesos internos y hacer que estos se traduzcan en mejores resultados en la satisfacción de clientes y estados financieros.

APRENDIZAJE Y CRECIMIENTO

Gestionar el Conocimiento. Identificar, registrar y administrar el conocimiento esencial con el cual se dará un eficiente y eficaz cumplimiento a las ideas rectoras del CSIRT.

Tener el Mejor Talento Humano. Contar con el mejor Talento Humano en técnicas de seguridad de la información, personal profesional con certificaciones y/o especializaciones en seguridad de la información.

3.6. OBJETIVOS ESPECÍFICOS

Impulsar la cooperación e interactuar con organismos nacionales e internacionales de similar naturaleza y propósito, con entidades públicas, privadas, la academia y las instituciones policivas generando un espacio de trabajo conjunto frente a las amenazas e investigaciones y redes de apoyo temáticas en materia de seguridad de la información.

Proporcionar alertas tempranas frente a amenazas de la seguridad de la información que puedan desestabilizar la seguridad nacional relacionada con la información.

Fomentar la investigación y desarrollo de estrategias de seguridad de la información.

Brindar una adecuada respuesta a incidentes de seguridad de la información, con un enfoque metodológico.

Fomentar una conciencia nacional de seguridad de la información.

Proveer un servicio especializado de asesoramiento en seguridad de la información.

Por defecto, todos los usuarios de información en Colombia, tanto personas jurídicas como naturales, entidades públicas o privadas, podrán ser apoyados por el CSIRT.

Página 118 de 192

4. PORTAFOLIO DE SERVICIOS

Para el CSIRT, la adecuada selección de servicios se convierte en una decisión relevante para su definición, fortalecimiento, sostenimiento y continuidad. A continuación, se presenta una recopilación de los principales tipos de servicios que podría llegar a ofrecer el CSIRT partiendo de la experiencia de otros CSIRT a nivel mundial. De manera general, los posibles servicios se agrupan así:

Servicios Preventivos Servicios Reactivos Gestión de la Seguridad de la información

• Análisis de riesgos• Observatorio de tecnología• Planificación de lacontinuidad de laoperación y recuperacióntras un desastre• Evaluaciones de laseguridad• Auditorías de la seguridad• Alertas y advertencias• Configuración ymantenimiento de laseguridad• Desarrollo deherramientas de seguridad• Sensibilización• Difusión de informaciónrelacionada con laseguridad

• Tratamiento de incidentes• Análisis de incidentes• Recopilación de pruebasforenses• Seguimiento o rastreo• Coordinación de la respuesta aincidentes• Apoyo a la respuesta aincidentes• Coordinación del Manejo deevidencias• Respuesta a incidentes in situ

• Consultoría de seguridad• Publicaciones• Educación / Formación• Formación Comunitaria• Evaluación y graduación de

Entidades• Evaluación y graduación de

Establecimientos.• Alquiler de Software• Alquiler equipos forenses• Centro de interacción

multimedia.• Estandarización pliegos de

seguridad informática para elsector gobierno.

Es importante anotar que a pesar de que todos los servicios ofrecidos serán responsabilidad del CSIRT, su labor principal será la de coordinación de todas las acciones y entidades involucradas en el manejo de incidentes de la información a nivel nacional y el desarrollo de muchas actividades serán objeto de tercerización, buscando el beneficio de las mejores experiencias y conocimientos a nivel nacional e internacional. En este sentido, ejercerá las funciones de coordinador de otros CSIRT nacionales o internacionales, las entidades públicas y privadas involucradas en los incidentes de seguridad de la información, los proveedores de servicios relacionados con la seguridad de la información, los proveedores de hardware y software y la academia. En particular con los entes policivos, su responsabilidad llegará hasta la entrega de los casos y sus insumos correspondientes para su posterior judicialización. A continuación, se detalla cada uno de los servicios que puede brindar con el apoyo de las entidades coordinadas.

Página 119 de 192

4.1. SERVICIOS PREVENTIVOS

Aquellos servicios que proveen asistencia y atención para ayudar a preparar, proteger y asegurar activos de información, anticipándose a futuros ataques, problemas o eventos. Llevar a cabo este tipo de servicios reducirá directamente el número de incidentes en el futuro.

Análisis de riesgos: Este servicio busca diagnosticar y evaluar los posibles riesgos sobre los activos críticos relacionados con la información, para mejorar así o determinar las estrategias de protección y respuesta.

Observatorio de la tecnología: Busca que a través del análisis del entorno de su injerencia, el CSIRT observe y haga seguimiento a nuevos desarrollos técnicos, actividades de intrusos y tendencias en identificación de futuras amenazas, incluyendo las disposiciones jurídicas y legislativas, las amenazas sociales o políticas y las nuevas tecnologías. Todo lo anterior se deberá desarrollar mediante diferentes actividades tales como: lectura de listas de correo de seguridad, sitios web de seguridad y noticias y artículos periodísticos de carácter científico, tecnológico, político y público, con lo cual se logrará una buena retroalimentación en información relacionada con la seguridad de los sistemas y las redes de los clientes. Adicionalmente y con el objeto de obtener y validar la información e interpretación exacta, se deberán buscar alianzas o conexiones con otros CSIRT o partes consideradas autoridades en este ámbito. El producto de este servicio podrá materializarse a través de comunicados, directrices o unas recomendaciones centradas en las cuestiones de seguridad a medio o largo plazo.

Planificación de la continuidad de la operación y la recuperación tras un desastre: Teniendo en cuenta que cada vez serán más los incidentes potenciales que provoquen una degradación grave de los operaciones, se ofrece este servicio que permite aprovechar el conocimiento y experiencia del CSIRT, para la planificación de la continuidad de la operación y la recuperación tras un desastre en los eventos relacionados con los ataques y las amenazas a la seguridad de la información.

Evaluaciones de la seguridad: Estudio y evaluación de la infraestructura de seguridad de una organización, basados en los requisitos establecidos por ésta o por otras normas nacionales o internacionales aplicables. Existen varios tipos entre las que se destacan:

Revisión de la infraestructura: Con el fin de asegurar las políticas, mejores prácticas y las configuraciones estándar, se revisan los dispositivos informáticos que intervengan o prevengan un incidente informático, entre los que se destacan de manera general el hardware, software, redes, enrutadores, firewall, servidores, etc. y se generan las recomendaciones para la configuración y correcta instalación de los recursos relacionados con la infraestructura tecnológica.

Revisión de las mejores prácticas: Con el objeto de determinar si las prácticas de seguridad se adaptan a las políticas establecidas y definidas por la organización u otras normas establecidas, se realizaran entrevistas con los empleados y con los administradores de los sistemas y las redes.

Escaneo: Uso de detectores de vulnerabilidades o de malware para averiguar qué sistemas y redes son vulnerables.

Página 120 de 192

Pruebas de penetración: Con esta evaluación o auditoria, se busca comprobar la seguridad de la información de una entidad a través de un ataque deliberado y autorizado a sus sistemas y redes.

Auditorías de la seguridad: Las auditorías de seguridad pueden ser técnicas, que se centran en los riesgos existentes en los sistemas de información de la organización y en la calidad técnica de las medidas de protección introducidas y no técnicas o procedimentales, que estudian el cumplimiento efectivo de la Política de Seguridad de la organización y de sus procedimientos.

Alertas y advertencias: Servicio que difunde información, por medio de la cual se describe el ataque de un intruso, vulnerabilidades de seguridad, alertas de intrusos, virus informáticos o hoaxes49, malware, etc. Este a su vez recomienda acciones a corto plazo para la atención o solución a problemas consecuentes.

Configuración y mantenimiento de herramientas, aplicaciones, infraestructura y servicios de seguridad: Este servicio, tiene como objeto principal la identificación y orientación para configurar y mantener de un modo seguro las herramientas, las aplicaciones y la infraestructura informática general que usan los clientes atendidos por el CSIRT. El alcance a este servicio será cualquier cuestión o problema que surja con las configuraciones o con el uso de herramientas y aplicaciones que el CSIRT considere podría dejar a un sistema, vulnerable a un ataque. Dentro de este servicio, se podrá actualizar la configuración y realizar el mantenimiento de herramientas y servicios de seguridad, como los sistemas de control de acceso y de detección de intrusos, el escaneo de la red o el control de los sistemas, filtros, firewall, redes privadas virtuales (VPN) y mecanismos de autenticación. Incluso se podrá configurar los servidores, los computadores personales y portátiles, los asistentes digitales personales (PDA) y otros dispositivos de acuerdo con las políticas de seguridad, así como encargarse de su propio mantenimiento.

Desarrollo de herramientas de seguridad: Este servicio ofrece desarrollar herramientas específicas para necesidades particulares o generales de sus clientes o propias del CSIRT relacionadas con la seguridad de la información. Como por ejemplo, desarrollo de actualizaciones correctivas de seguridad para la plataforma utilizada por el grupo de clientes o la generación de recomendaciones para reconstruir los sistemas comprometidos. Así mismo, se podrá desarrollar herramientas o secuencias de comandos que amplíen la funcionalidad de las herramientas de seguridad existentes, tales como un nuevo plug-in para una vulnerabilidad o escáner de red, secuencias de comandos que faciliten el uso de la tecnología de encripción o mecanismos de distribución automática de actualizaciones correctivas.

Difusión de información relacionada con la seguridad: Servicio que proporciona de manera fácil y completa, información útil para mejorar la seguridad de la información. Este servicio busca informar de manera proactiva a sus clientes, nuevas vulnerabilidades o amenazas recientemente detectadas. Dicha información puede incluir:

Advertencias de vulnerabilidad y amenazas.

49 Mensajes de correo electrónico engañosos que se distribuyen en cadenas de correo.

Página 121 de 192

o

o

o

o

o

o

o

o

o

o

o


GOBIERNO EN LÍNEA

Avisos sobre seguridad.

Directrices de comunicación e información de contacto del CSIRT.

Alertas, advertencias y otros comunicados.

Estadísticas y tendencias actuales de los incidentes de seguridad de la información.

Recolección, análisis y publicación de estadísticas de seguridad de la información para Colombia por medio de redes de investigación abiertas.

Asesoramiento general sobre seguridad de la información.

Documentación acerca de las mejores prácticas principales.

Políticas, procedimientos y listas de comprobación.

Desarrollo de actualizaciones correctivas y difusión de información.

Enlaces con proveedores de seguridad de la información.

Información adicional que pueda mejorar las prácticas generales de seguridad de la información.

Esta información podrá proceder de fuentes externas tales como otros CSIRT, proveedores, y expertos en seguridad.

• Sensibilización: Buscando que los grupos de clientes atendidos y/o potenciales, desarrollen sus labores cotidianas de manera más segura, así como también de mejorar el grado de entendimiento de las temáticas relacionadas con seguridad, se ofrece un servicio que intenta reducir el número de ataques con éxito y aumentar la probabilidad que se detecten y comuniquen ataques. Lo anterior, por medio de la sensibilización de incidentes de seguridad de la información a través de artículos y desarrollando afiches, folletos, boletines, sitios web u otros recursos informativos que explican las mejores prácticas en seguridad de la información y consejos sobre las precauciones que conviene tomar. Durante este proceso de sensibilización, también se incluyen reuniones o seminarios de actualización.

4.2. SERVICIOS REACTIVOS

Aquellos servicios que se provocan o se desencadenan por un evento o requerimiento. Este tipo de servicios, son un componente clave para un trabajo de atención de incidentes.

Página 122 de 192

• INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRTCOLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE

GOBIERNO EN LÍNEA

Tratamiento de incidentes: Servicio que abarca la recepción, evaluación, priorización y respuesta a peticiones y comunicaciones, así mismo al análisis de incidentes y acontecimientos en seguridad de la información. Las actividades de respuestas pueden ser entre otras, las siguientes:

o Acciones para proteger sistemas y redes afectadas o amenazadas por la actividad de

intrusos.

Aporte de soluciones y estrategias de mitigación a partir de avisos o alertas.

Generación de recomendaciones para la reconstrucción de los sistemas

comprometidos. o Análisis del tráfico de la red relacionado con el incidente.

Búsqueda de actividad de intrusos en otras partes de la red.

Desarrollo de otras estrategias de respuesta o provisionales.

o

o

o

o

•

•

Análisis de Incidentes: Este servicio busca definir el alcance del daño e incidentes causados, su naturaleza, así como también la estrategia definitiva o temporal de respuesta. Este análisis es un examen general de la información disponible y de las pruebas o instancias relacionadas con un incidente o evento. Existen muchos niveles de análisis de incidentes y numerosos subservicios, que dependen del servicio mismo, objetivos y procesos del CSIRT. A continuación se detallan dos subservicios.

o Recopilación de pruebas forenses: Acción que incluye la recolección, la conservación, la documentación y análisis de las pruebas procedentes de un sistema informático comprometido, para determinar cambios en el sistema y ayudar a reconstruir los eventos que han desembocado en el compromiso. Las actividades de recopilación de pruebas forenses incluyen, entre otras cosas, la realización de una copia bit a bit del disco duro de los sistemas afectados, la búsqueda de cambios en el sistema, tales como nuevos programas, archivos, servicios y usuarios, el examen de los procesos en ejecución y los puertos abiertos, y la búsqueda de troyanos y juegos de herramientas. Es usual que las personas que tengan a cargo este tipo de responsabilidades, declaren como testigos periciales en actos judiciales.

o Seguimiento o rastreo: Busca rastrear los orígenes de una intrusión o identificar sistemas a los que se haya tenido acceso. Con este servicio, además de incluir la posible identificación del intruso, se podrá en los sistemas afectados y redes relacionadas, incluir el seguimiento al acceso del intruso.

Coordinación de la respuesta a incidentes: Servicio que busca coordinar tareas de respuesta entre las partes implicadas en el incidente. Dentro de estos se incluye, la víctima del ataque, los sitios relacionados con el ataque y cualquier otro sitio necesario de asistencia para el análisis del ataque. Este se hace extensivo inclusive, a aquellas áreas de soporte (IT) de la víctima, tales como proveedores de servicio de internet, administradores del sistema y la red, así como también a otros CSIRT. La recolección de información sobre contactos, la notificación a los sitios de su implicación potencial (como víctimas o como orígenes de un ataque), la recolección de datos estadísticos sobre el número de sitios

Página 123 de 192

implicados y tareas dirigidas a facilitar el intercambio y el análisis de la información, así como el reporte del incidente a departamentos internos o externos, serán entre otras, las tareas de coordinación que puede abarcar este servicio. Este no incluye una respuesta a los incidentes directa e in situ.

Apoyo respuesta a incidentes: Servicio proporcionado a través de orientación remota, para que el personal in situ de la entidad afectada realice por si mismo, las tareas de recuperación. La función del CSIRT será la de orientar y ayudar al grupo víctima del ataque, a recuperarse del incidente, pero lo hará por medios telefónicos, correo electrónico, fax o documentación. Dentro del servicio, se podrá incluir, entre otros, la interpretación de los datos recogidos, la entrega de información sobre contactos o la orientación en cuanto a estrategias de mitigación y recuperación.

Coordinación del Manejo de evidencias: Con fines policivos, se coordina la labor de recopilación y manejo de evidencias en casos de incidentes de la información, con el fin de garantizar el debido proceso en el manejo de evidencias digitales (Servicios Forenses).

Respuesta a incidentes in situ: Asistencia directa, que busca ayudar a los clientes del grupo atendido a recuperarse de un incidente. El CSIRT se encargará de analizar los sistemas afectados y de generar recomendaciones para su reparación y recuperación.

4.3. GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Son servicios establecidos y muy conocidos, diseñados para mejorar la seguridad general de una organización. Estos servicios están diseñados para tener en cuenta los comentarios recibidos y las lecciones aprendidas basándose en los conocimientos adquiridos al responder a incidentes, vulnerabilidades y ataques. Lo anterior hace que se oferten productos que permitan a terceros ayudar a mejorar toda la seguridad de una organización, identificar riesgos, amenazas y debilidades del sistema. Son servicios generalmente no técnicos pero preventivos en naturaleza, contribuyendo indirectamente a la reducción en el número de incidentes.

Consultoría sobre seguridad: Este servicio busca asesorar y orientar, a los grupos de clientes atendidos en las mejores prácticas de seguridad. Por lo cual el CSIRT participará en las recomendaciones o identificación de requisitos de compra, instalación o protección de nuevos sistemas, aplicaciones de software, dispositivos de red entre otros. Así mismo, se ofrece asistencia y orientación en la definición de políticas de seguridad.

Publicaciones: Se busca elaborar y distribuir folletos que expliquen de manera simple, las diferentes amenazas, acciones preventivas y correctivas para el tratamiento de riesgos informáticos. Estas publicaciones podrán tener adjuntos discos compactos de libre uso doméstico de herramientas de seguridad y de control parental50.

50 Programas (software) que tienen la capacidad de bloquear, restringir o filtrar el acceso a determinada

información ofensiva para los niños o personas susceptibles.

Página 124 de 192

Sensibilización: Buscando que los grupos de clientes atendidos y/o potenciales, desarrollen sus labores cotidianas de manera más segura, así como también de mejorar el grado de entendimiento de las temáticas relacionadas con seguridad de la información, se ofrece un servicio que intenta reducir el número de ataques con éxito y aumentar la probabilidad que se detecten y comuniquen ataques. Lo anterior, por medio de la sensibilización de incidentes de seguridad de la información a través de artículos y desarrollando afiches, folletos, boletines, sitios web u otros recursos informativos que explican las mejores prácticas en seguridad de la información y consejos sobre las precauciones que conviene tomar. Durante este proceso de sensibilización, también se incluyen reuniones o seminarios de actualización.

Prensa: Participar en emisiones periódicas en los principales medios nacionales, creando así un posicionamiento del CSIRT.

Educación / Formación: Este servicio busca capacitar tanto al primer respondiente en las entidades, como a los grupos de clientes atendidos y/o potenciales, entre otros temas en la comunicación de incidentes, métodos de respuesta adecuados, herramientas de respuesta a incidentes, métodos de prevención de incidentes y otras temáticas necesarias para protegerse de incidentes de seguridad de la información, detectarlos, comunicarlos y responder adecuadamente a ellos. El servicio podrá ofrecerse a través de seminarios, talleres, cursos y/o tutoriales. Incluso, podrá crearse diplomados especializados en seguridad. Teniendo en cuenta la importancia de la seguridad de la información dentro de cualquier organización, su amplio campo de acción laboral y el incremento a la demanda de personal capacitado, se pueden crear y ofrecer con colaboración de la academia programas de capacitación. Estos servicios se enfocarán y desarrollarán teniendo en cuenta las necesidades propias de cada uno de los sectores públicos y privados, sin embargo este servicio será cobrado únicamente al sector privado.

Formación Comunitaria: Este servicio podría enfocarse y ofrecerse a la sociedad en general y específicamente a la familia a través de entidades estatales que lo promuevan. El objeto principal será el de explicar de manera didáctica en especial a los niños, los riesgos y reglas básicas de la protección, en diferentes temas que afecten su vida cotidiana. Este servicio busca inculcar, a edades tempranas, una cultura de protección y mitigación de cualquier tipo de riesgo, incluidos los informáticos. Lo anterior podrá ser ofrecido a través de concursos, historietas, obras de teatro, juegos pedagógicos, etc.

Graduación, Evaluación y Registro: El CSIRT otorgará el registro de cumplimiento del Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea a las entidades destinatarias que lo implementen acorde con las condiciones establecidas en el sistema SANSI. Lo anterior, se realizará a través de una auto-evaluación del grado de madurez del desarrollo de la seguridad de la información en los diferentes tipos de entidades, lo cual generará un registro del grado de cumplimiento del Modelo de Seguridad -RSI, que será validado nacionalmente como un sello de seguridad en la información a las empresas que cumplan con el. Así mismo, podrá facultar a terceros para que actúen como empresas certificadoras basándose en sus competencias, conocimiento, características técnicas, de infraestructura y know how entorno a la seguridad de la información, para que certifiquen de manera directa, a las entidades públicas y privadas que cumplan con el Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea.

Página 125 de 192

•

•

•

INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRTCOLOMBIANO - MODELO DE SEGURIDAD - ESTRATEGIA DE

GOBIERNO EN LÍNEA

Graduación, Evaluación y Registro: El CSIRT otorgará el grado de cumplimiento del Modelo de Seguridad de la Información para las entidades de la Estrategia de Gobierno en Línea a través del “Registro de Seguridad de la Información -RSI” en los tres grados siguientes: RSI Grado 1, Grado 2 y Grado 3, siendo el RSI Grado 1 el más básico y el RSI Grado 3 el más avanzado, en lo concerniente con la madurez de los controles de seguridad implementados en la entidad (Ver documento “Modelo Seguridad - SANSI - SGSI”, numeral 6.5.3.). El CSIRT generará un registro RSI del grado que será otorgado a las entidades y establecimientos como sello de seguridad en la información, facilitando a los usuarios identificar que establecimientos son seguros para realizar sus trámites electrónicos. Así mismo, el SANSI a través del CSIRT, podrá facultar a terceros para que corroboren el grado de la entidad, basándose en sus competencias, conocimiento, características técnicas, de infraestructura y know how en torno a la seguridad de la información, para que avalen de manera directa a las entidades públicas y privadas que cumplan con el Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea. A continuación, se detallan los tipos de graduación otorgadas por los terceros facultados:

o Graduación de entidades: Graduación otorgada a las entidades públicas y privadas que cumplan con los requerimientos plasmados en el Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, evidenciando el mejoramiento y evolución de su sistema de gestión en seguridad de la información -SGSI. Esta graduación se otorga teniendo en cuenta los siguientes criterios:

- La graduación es renovada anualmente.

- La graduación provee un sello RSI que puede ser usado tanto en páginas web como en las firmas de los empleados.

- La graduación no es renovada cuando la Entidad no evidencie el mejoramiento de su sistema de gestión en seguridad de la información SGSI o cuando una auditoría encuentre no conformidades mayores con el Modelo. (Ver documento “Modelo Seguridad - SANSI - SGSI”, numeral 6.5.3.).

o Graduación de establecimientos: Graduación otorgada a los establecimientos que pertenezcan a la cadena de prestación de servicios para la Estrategia de Gobierno en Línea (ISP, Telecentros, Compartel, centros de acceso comunitario, cafés Internet, entre otros), que cumplan con los requerimientos plasmados en el Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, evidenciando la implementación de sus controles y recomendaciones. Estas graduaciones se otorgan con períodos de renovación de un año.

Alquiler de Software: Este servicio permite que el CSIRT, tenga la posibilidad de cobrar el uso de sus licencias de software de seguridad de la información (por internet), a través del pago de una cuota periódica. Entre las ventajas para el cliente, están entre otras: dedicar el dinero que destinaría a las licencias y al proyecto, a su actividad principal, ahorro de costos, reducir el riesgo de obsolescencia del software, libertad de continuidad en caso de que el software no cumpla con las expectativas, etc.

Alquiler de Equipo Forense: Permite al CSIRT la generación de ingresos provenientes de la plataforma instalada y su óptimo aprovechamiento.

P

Centro de interacción multimedia: Línea de atención a nivel de seguridad, que tendrá como función, facilitar la comunicación entre el CSIRT y sus clientes a través de cualquier medio interactivo (Ej, internet, chat, teléfono, SMS, etc), permitiendo que estos últimos contacten o sean contactados para solución de problemas e inquietudes de seguridad de la información. Este servicio será fuente de información que podrá materializarse en estadísticas y diseño de nuevos servicios.

Estandarización de pliegos de seguridad de la información del sector gobierno: Con el objeto de apoyar la contratación pública, y dar un acompañamiento a las interventorías de seguridad de la información, el CSIRT con su experiencia, normalizará parámetros que permitan a las entidades del Gobierno, de acuerdo con sus necesidades de seguridad de la información, realizar contrataciones públicas con estándares mínimos exigibles para cada caso.

4.4. CARACTERÍSTICAS DE LOS SERVICIOS

Todos los servicios propuestos serán responsabilidad del CSIRT, sin embargo algunos de ellos tendrán la posibilidad de ser ofrecidos por firmas externas (terceros) que tengan la competencia necesaria, para soportar las actividades del CSIRT. Todas las compañías públicas y privadas que usen servicios del CSIRT, deberán estar matriculados por medio de una membrecía periódica pagada, la cual le otorga el uso de algunos de esos servicios que se incluyen en el valor de la membresía. Existen otros servicios que se excluyen de esta membresía y deberán ser pagados de manera independiente, así como algunos servicios que se ofrecen gratuitamente. A continuación se resumen los servicios de acuerdo con lo anterior.

Del total de servicios ofrecidos, solo el 32% serán ejecutados directamente por el CSIRT, el 68% restante serán responsabilidad de este mismo, pero ejecutados por Terceros. Así mismo el 94% de los servicios ofrecido, traerá para este ente técnico retribuciones de tipo económico.

4.4.1. SERVICIOS PREVENTIVOS

Servicios Preventivos Tipo de Oferta TarifaComunicados Directa Incluida en la Membresía

Análisis de riesgos Tercerizada Costo

Observatorio de tecnología Directa Incluida en la Membresía

Continuidad de la operación y recuperación tras un desastre Tercerizada Costo

Evaluaciones de seguridad Tercerizada Costo

Página 127 de 192

Servicios Preventivos Tipo de Oferta TarifaAuditorías de la seguridad Tercerizada Costo

Alertas y advertencias Tercerizada Incluida en la Membresía

Configuración y mantenimiento de la seguridad Tercerizada Costo

Desarrollo de herramientas de seguridad Tercerizada Costo

Difusión de información relacionada con la seguridad Directa Incluida en la Membresía

4.4.2. SERVICIOS REACTIVOS

Servicios Reactivos Tipo de Oferta TarifaTratamiento de incidentes Tercerizada Incluida en la Membresía

Análisis de incidentes Tercerizada Incluida en la Membresía

Recopilación de pruebas forenses Tercerizada Incluida en la Membresía

Seguimiento o rastreo Tercerizada Incluida en la Membresía

Coordinación de la respuesta a incidentes Directa Incluida en la Membresía

Apoyo a la respuesta a incidentes Directa Incluida en la Membresía

Coordinación del Manejo de evidencias Directa Incluida en la Membresía

Respuesta a incidentes in situ Tercerizada Incluida en la Membresía

4.4.3. GESTIÓN DE LA CALIDAD DE LA SEGURIDAD

Gestión de la Calidad de la Seguridad Tipo de Oferta TarifaConsultoría en seguridad Tercerizada Costo

Publicaciones Directa Gratis para toda la comunidad

Sensibilización Tercerizada Costo

Prensa Directa Gratis para toda la comunidad

Educación / Formación sector publico Tercerizada Incluida en la Membresía

Educación / Formación sector privado Tercerizada Costo

Formación Comunitaria Tercerizada Gratis para toda la comunidad

Graduación a terceros para entidades Directa Costo para los grados 2 y 3, subsididado para grado 1.

Graduación a terceros para productos Directa Costo

Alquiler Software Tercerizada Costo

Alquiler equipos forenses Tercerizada Costo

Centro de interacción multimedia Tercerizada Incluida en la Membresía

Estandarización pliegos de seguridad de la información Directa Incluida en la Membresía

Página 128 de 192


GOBIERNO EN LÍNEA

5. PROCESOS Y PROCEDIMIENTOS

5.1. DELIMITACIÓN SISTÉMICA

Para entender una organización en términos de procesos es fundamental delimitar con precisión los bordes de la institución creada o a crear, identificando los procesos y los diferentes actores o agentes que definen el quehacer de la entidad. En la gráfica siguiente se muestra dicha delimitación, partiendo del nemónico TASCOI que permite precisar seis elementos necesarios para esta tarea: Transformación (Misión de la entidad), Actores (Quienes participan directamente en la transformación que adelanta la entidad), Suministradores (Proveedores), Clientes (Beneficiarios o usuarios), Organizadores (Quien dirige y orienta el curso de la entidad) e Intervinientes (Aunque no hacen parte de la entidad regulan su propósito).51

Ilustración 4: Delimitación Sistemática de la Entidad

51 Basado en: Guia para la implementación del modelo estandar de control interno con enfoque sistemico. Veeduria Distrital. 2007

y Organizational trasnforming and leaning, Espejo Raul. Chichester:Willey 1996.

Página 129 de 192

La grafica anterior ilustra de manera general el comportamiento de la entidad en términos de su proceso de transformación y quienes intervienen en él, permitiendo abordar con más precisión el análisis de procesos a continuación.

5.2. PROCESOS

Con este diseño se pretende promover la integración de actividades en una estructura organizacional por procesos, que permita identificar las relaciones de estos (interacción) y su secuencia lógica para maximizar el valor a ofertar al usuario final del producto institucional, para el efecto se ha partido de identificar un modelo tecnológico de procesos y un modelo de segmentación por servicios, después de esto se cruzan los dos modelos y se despliegan los procesos para al final caracterizar los mismos.

El Modelo Tecnológico o Mapa de Procesos permite identificar 4 niveles de procesos a saber: Direccionamiento estratégico, misionales, de evaluación o medición, análisis y mejora y los procesos de apoyo, permitiendo visualizar de manera grafica el comportamiento de los mismos y un primer acercamiento a las necesidades de herramientas tecnológicas de información para apoyarlos. Es el mapa de procesos de la entidad, como se ilustra a continuación, detallando más adelante los procesos misionales:

Ilustración 5: Modelo Tecnológico del CSIRT, detallando los procesos misionales

El Modelo de Segmentación permite un acercamiento de manera general a los servicios que puede prestar la nueva institución, de tal forma que pueda ir previendo la estructura funcional, los cargos y competencias requeridas para operar.

Página 130 de 192

Ilustración 6: Modelo de Segmentación del CSIRT

En seguida se cruzan los dos modelos y esto permite establecer de qué manera se despliegan los procesos en la entidad, base para poder iniciar el proceso de caracterización, es decir, de identificación de los rasgos diferenciadores de cada proceso:

Página 131 de 192



Ilustración 7: Despliegue de Procesos

Página 132 de 192



Debido a que la razon de ser del CSIRT se concentra en sus procesos misionales, el alcance de este documento se enfoca en la definición y diseño de dichos procesos.

Con esta información se define el catálogo final de procesos misionales y se inicia la caracterización de los mismos, disponible en el documento ANEXO A – CARACTERIZACIÓN DE PROCESOS Y PROCEDIMIENTOS.

MACROPROCESO PROCESO

INVESTIGACIÓN Y INVESTIGACIÓN

DESARROLLO DESARROLLO

FOMENTO Y INFORMACIÓN Y SENSIBILIZACIÓN

PREVENCIÓN CAPACITACIÓN

RESPUESTA Y GESTIÓN DE RIESGO

SOPORTE RESPUESTA A INCIDENTES

Ilustración 8: Catálogo de Procesos Misionales

5.3. PROCEDIMIENTOS

Los procedimientos representan la forma especificada de llevar a cabo los procesos, en otras palabras, cómo se adelanta de manera operativa la tarea. Basados en el esquema del numeral anterior, se ha definido el siguiente catalogo de procedimientos:

MACROPROCESO PROCESO PROCEDIMIENTO

INVESTIGACIÓN INVESTIGACIÓN

INVESTIGACIÓN Y FORMULACIÓN DE POLÍTICAS Y DIRECTRICES DE SEGURIDAD

DESARROLLO DESARROLLO CONFIGURACIÓN Y MANTENIMIENTO DE HERRAMIENTAS. APLICACIONES, INFRAESTRUCTURAS Y SERVICIOS DE SEGURIDADDISEÑO Y DESARROLLO DE SOLUCIONES DE CSIRT

INFORMACIÓN Y SENSIBILIZACIÓN PLAN DE MEDIOS

FOMENTO Y PREVENCIÓN

OBSERVATORIO DE LA TECNOLOGÍA

CAPACITACIÓN GESTIÓN DE PROGRAMAS CURRICULARES

GESTIÓN DE RIESGO AUDÍTORIA DE RIESGOS

RESPUESTA Y SOPORTE

VALORACIÓN DE RIESGOS

RESPUESTA A INCIDENTES GESTIÓN DE INCIDENTES

Ilustración 9: Catálogo de Procedimientos

Página 133 de 192

6. ANÁLISIS DEL MERCADO

En este análisis se busca identificar las influencias externas generadas por tres diferentes niveles del entorno, que afectan directa o indirectamente al CSIRT. Todo el análisis en su conjunto permitirá a los directivos de esta nueva Entidad, entender que factores pueden influir en el éxito o fracaso de las estrategias a implementar.

Ilustración 10: de Análisis del Mercado

El análisis propuesto, resulta efectivo en la medida que se haga una periódica retroalimentación a cada uno de los niveles, ya que el entorno tiene como características, su amplia diversidad, complejidad y alta velocidad de cambio. A continuación se describe brevemente cada uno de los tres niveles y su metodología de análisis.

Página 135 de 192

6.1. MACRO ENTORNO

Detalla los factores generales del entorno que afectan en mayor o menor medida al CSIRT. El marco PEST (Político, Económico, Social y Tecnológico) permite identificar como pueden afectar a la organización las tendencias políticas, económicas, sociales, tecnológicas.

Ilustración 11: Marco Político, Económico, Social y Tecnológico del CSIRT

Dentro de este abanico de factores externos, se resalta el tema regulatorio, las tendencias informacionales a nivel mundial y el compromiso del Gobierno por garantizar la seguridad nacional y allí la seguridad de la seguridad de la información en Colombia. A continuación se mostrara en más detalle la descripción de algunos de estos factores.

6.1.1. POLITICOS

6.1.1.1. Estabilidad Política

El 2008 a nivel mundial podría ser considerado como un año en el que se ajustaron temas trascendentales, con lo que se espera que el 2009 sea un año de florecimiento. En este año en curso se deberán corregir

Página 136 de 192

errores, derroches y malas decisiones, que hicieron que empresas y economías consolidadas se fueran a pique.

En Colombia, la reforma política y la posibilidad de una segunda reelección presidencial inmediata serán tema de discusión en la agenda política de 2009. Para el Gobierno, un tema critico, será la reforma política. Este proyecto expuesto, se ocupa de dos temas principales: 1) la elección y calidades de los magistrados y otros altos funcionarios de control, y 2) el procedimiento para juzgar a los congresistas y otros altos funcionarios. Temas que Impactan de manera general o particular, a las altas cortes, organismos de control, administración de la rama judicial, fuero de altos funcionarios, libertad de voto en reformas constitucionales y juicios a congresistas. Así mismo, proyectos como el de la Ley de Víctimas, que busca reparar integralmente a afectados por los crímenes cometidos por grupos armados ilegales o por acciones de las Fuerzas Militares, espera la correspondiente plenaria en la Cámara.

Actualmente uno de los principales acuerdo comerciales con los EEUU, el Tratado de Libre Comercio, se encuentra en duda y análisis de aprobación por el gobierno americano, entre los principales argumentos esgrimidos por la oposición a la firma del tratado, se menciona la violencia contra los sindicalistas y el atropello constante a los derechos laborales y humanos. El TLC entre estas dos naciones le generará al sector tecnológico colombiano nuevas y mayores oportunidades de crecimiento y desarrollo, generando un mayor intercambio de conocimientos nacionales e internacionales, así como una mayor internacionalización de la economía y del sector.

6.1.1.2. Regulación

En los últimos años se ha perfilado en el ámbito internacional un cierto consenso en las valoraciones político-jurídicas de los problemas derivados del mal uso que se hace de las computadoras, lo cual ha dado lugar a que, en algunos casos, se modifiquen los derechos penales nacionales e internacionales. Todos estos cambios hacen que una posible normalización de políticas de seguridad informática, deban presentar flexibilidad a los constantes cambios que se generan a nivel mundial en este entorno. Y del mismo modo como organización estar preparados para asumir estos cambios.

6.1.2. ECONOMICOS

6.1.2.1. Política Monetaria

La TRM después de cinco años de bajas constantes, tuvo en el último trimestre del 2008 una fuerte tendencia alcista como reflejo de la crisis financiera internacional. Tras caer a niveles de casi 1.600 pesos a mediados del año, al final la divisa se recuperó para cerrar por encima en 2.243,59 pesos. De todas maneras, la moneda estadounidense está lejos de llegar a los niveles máximos históricos alcanzados en febrero del 2003 cuando el precio estuvo muy de los 3.000 pesos. El alza del dólar de finales del año pasado no tuvieron nada que ver con medidas tomadas por el Gobierno o el Banco de la República, pues todo obedeció a la crisis mundial, que afectó a todos los mercados del planeta. Gracias a ello se apagaron las voces de los exportadores que venían pidiendo medidas extraordinarias para acabar con la revaluación. El 31 de diciembre de 2009, la Tasa Representativa del Mercado (TRM) cerró en 2.243,59 pesos.

Página 137 de 192

La TRM promedio anual, desde el año 2003, muestra una tendencia decreciente, sin embargo para el año 2009 se espera mejore levemente. El 31 de diciembre pasado, el peso Colombiano terminó con una devaluación de 11,36 por ciento frente al dólar

Las tasas de interés tuvieron el año pasado una tendencia al alza como reflejo de la política de restricción monetaria aplicada por el Banco de la República para controlar la inflación. Con ese contexto, la tasa DTF (que mide los intereses que paga la banca por las captaciones vía CDT a 90 días de plazo) registró aumentos, lo que también se reflejó en el costo de los créditos. El aumento de intereses y la desaceleración de la economía han hecho que el deterioro de la calidad de la cartera bancaria se acelere, especialmente en la modalidad de consumo. Para el 2009 se prevén reducciones de tasas de interés, siempre y cuando la inflación baje.

Todos estos cambios pueden generar un impacto destacado en las negociaciones que se encuentran sujetas al dólar.

6.1.2.2. Situación Económica

Luego de las cifras descendentes con las que cerró el 2008, que obligaron a ajustar metas, se busca cumplir con lo previsto este año. Con excepción de los precios del café y las señales de recuperación de las acciones que se transan en la Bolsa de Valores de Colombia, la mayoría de los indicadores claves para el sector productivo ratificaron las señales de bajo desempeño y los nubarrones que enfrenta el país en materia económica para el 2009. Aumento de la inflación, bajos precios del petróleo, descenso en la producción industrial y altas tasas de interés hacen parte de los retos que enfrentan las autoridades económicas para el año que comienza y cuya primera misión será detener su deterioro.

La situación económica del país, obviamente repercutirá en los resultados operativos y financiero de las diferentes compañías, así consecuentemente en los recursos dirigidos a fortalecer la seguridad informática de las organizaciones.

6.1.2.3. Seguridad Física

Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc. la seguridad de la misma será nula si no se ha previsto como combatir por ejemplo un incendio, inundación, etc.

La Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial"52. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

52 HUERTA, Antonio Villalón. "Seguridad en Unix y Redes". Versión 1.2 Digital - Open Publication License v.10 o Later. 2 de

Octubre de 2000.

Página 138 de 192

Las principales amenazas que se prevén en la seguridad física son:

Desastres naturales, incendios accidentales tormentas e inundaciones.

Amenazas ocasionadas por el hombre.

Disturbios, sabotajes internos y externos deliberados.

Todo lo anterior y de acuerdo a las diferentes condiciones empresariales y climáticas en Colombia, pone al descubierto un riesgo latente que de no ser mitigado mediante diferentes planes de contingencia, la posible pérdida irrecuperable de información en las organizaciones, siendo este uno de los activos más preciados en estos últimos tiempos.

6.1.3. SOCIALES

Cuando hablamos del impacto social de la tecnología nos estamos refiriendo a su influencia sobre la vida de los hombres, sus relaciones, sus conductas, sus preferencias y su bienestar.

Algunos analistas considera que tanto la tecnología como la innovación tecnológica son en sí mismas ambivalentes, ya que producen tanto efectos positivos como negativos. En ese sentido se señala que el científico no sabe qué va a descubrir con su investigación, mientras que el tecnólogo sabe de antemano qué es lo que va a producir y a quienes beneficiará, por lo cual es moralmente responsable. También propone que el control sobre la tecnología debe provenir de una asociación entre las esferas de decisión tecnológica y política.

Lo anterior hace pensar que tanto los cambios sociales, culturales, de educación tendrán un impacto significativo en la manera como variaran las actitudes y opiniones de los consumidor, modas y modelos a seguir las cuales traerán consigo ajustes en los planteamientos previamente establecidos, especialmente en los tecnológicos.

6.1.4. TECNOLOGICOS

6.1.4.1. Cambios en información y tecnología

Un estado sin fronteras será el predominante en el sector de las tecnologías de la información y las comunicaciones (TIC) en el año 2015. El pronóstico pertenece a la consultora Gartner, que predice que las organizaciones, incluyendo a los gobiernos, obtendrán los servicios tecnológicos alrededor del mundo, sin importar el país de origen o la sede del fabricante de la solución, o si es software, hardware, telecomunicaciones, servicios TIC o trabajadores.

Los avances en las TIC y el crecimiento de la comunicación digitalizada suponen un gran impulso para el sistema económico general. La intensidad y duración de este impulso vienen determinadas por las políticas que se adopten desde el sector público durante los próximos años, ya que el pleno desarrollo del potencial de las TIC requiere un aumento importante de las inversiones en infraestructuras de telecomunicaciones y en los servicios e instalaciones relacionados con ellas.

Página 139 de 192


GOBIERNO EN LÍNEA

Obviamente todos estos cambios van a afectar el modelo de seguridad de información de los diferentes países, así como también las herramientas usadas para aplicar sus propios propósitos.

6.1.4.2. Cambios Internet

Según un estudio denominado el Pew Internet & American Life Project y la Elon University, en el que preguntaron a 742 especialistas en Internet acerca de cómo será la Red en el 2020, se concluyeron entre otras los siguientes:

Las personas confiarán cada vez más en la tecnología y dispondrán agentes tecnológicos que se ocuparán de hacer tareas diversas. Se advierte que los peligros y la dependencia en la tecnología crecerán más allá de la habilidad de controlarla.

La realidad virtual ayudará a mejorar la productividad pero a su vez propiciará la aparición de nuevas adicciones.

Surgimiento de un grupo cultural (Refuseniks) caracterizado por su opción radical de vivir fuera de la Red, con dos tendencias, una cuyo propósito será simplemente evitar la sobrecarga de información y otra, interesada en realizar actos de violencia y terrorismo para afectar a los usuarios de Internet.

La gente consciente e inconscientemente entregará más información personal para obtener beneficios, al mismo tiempo que perderán mucha más privacidad.

Todos estos pronósticos advierte las grandes oportunidades y amenazas que deberán ser analizados durante los próximos anos, para que además de gozar de nuevos beneficios se eviten nuevos riegos.

6.1.4.3. Obsolescencia Tecnológica

Los diferentes proyectos se caracterizan por una utilización intensiva de diversas tecnologías que permitan desarrollar los productos, procesos o servicios objeto de cada uno de estos. En muchos casos, si no existe el conocimiento tecnológico suficiente no se podrá realizar el proyecto e implicará previamente acceder y disponer de la misma con el nivel de conocimiento adecuado.

Debido a ello, las empresas dedicadas fundamentalmente a la realización de proyectos deben disponer de las tecnologías adecuadas que permitan su desarrollo. Ello implica disponer de los procesos de gestión adecuados para su identificación, evaluación, selección, adquisición, incorporación a la empresa, optimización y mejora continua.

Todo lo anterior hace pensar que las inversiones hechas en tecnología tiene un ciclo de vida y que tras un periodo en saturación, esta se hace obsoleta porque el rendimiento comparativo con otra posible tecnología competidora la convierte en perdedora.

Página 140 de 192

6.1.4.4. Tecnologías Sustitutas

Ninguna empresa se encuentra aislada hoy del vertiginoso desarrollo tecnológico. Las empresas tradicionalmente han limitado sus esfuerzos tecnológicos a sus necesidades de producción, más no han visionado ventajas anexas al uso de tecnologías más apropiadas y desarrolladas que se han originado con el continuo cambio. Los cambios tecnológicos pueden derrumbar, fusionar o construir empresas, para lo cual la gerencia debe prepararse, la clave radica en la capacidad para aprovechar esta ventaja sostenible y competitiva en el mercado.

Todo lo anterior está muy ligado a la obsolescencia y tendrá un impacto financiero en las inversiones hechas, así como en el mejoramiento de la productividad de las compañías.

6.2. INDUSTRIAS Y SECTORES

Grupo de entidades que prestan similares o iguales servicios, que son sustitutos cercanos a los ofertados por el nuevo CSIRT. El modelo de las cinco fuerzas de Porter resulta útil para comprender los cambios de la dinámica competitiva dentro y fuera del sector de seguridad de TIC. A continuación se detalla su análisis.

Ilustración 12: Análisis de Competitividad de Porter

Página 141 de 192

Por su naturaleza es una industria con bastante competencia, en la cual se ofertan varios tipos de servicios y productos focalizados en la seguridad de la información, los usuarios tienen un buen poder de negociación, ya que además de tener acceso a información, poseen una variedad de posibilidades que les permiten hacer procesos de selección variados y ajustados a cada unas de sus realidades informáticas. Por lo cual no existe una dependencia a los proveedores de estos servicios o productos, sino más bien infinidad de los mismos, los cuales podrán ser sustituidos en su gran mayoría.

Es importante resaltar que existen barreras de entradas, para entidades que busquen incurrir en negocios de seguridad TIC’s, tales como los grandes capitales de inversión en el desarrollo y oferta de servicios y productos, así como también una insipiente regulación en términos de seguridad de la información los cuales se espera se concreten en el mediano plazo. No se evidencia en el país, casos generales a nivel nacional (solo algunos casos, especialmente en universidades), en la que tanto entidades públicas como privadas presenten una oferta variada de servicios integrados, dirigidos a cubrir servicios de seguridad de la información, a nivel departamental o nacional.

6.3. ALIADOS ESTRATÉGICOS Y MERCADOS

Dentro de este sector existen varias organizaciones con distintas características, participando del mercado sobre bases diferentes. El principal objetivo será el de identificar este tipo de proveedores directos e indirectos, con el fin de crear alianzas estratégicas que permitan el cumplimiento de los objetivos misionales del nuevo CSIRT.

Es importante considerar iniciativas y actuales modelos de seguridad de la información, como aliados estratégicos en el propósito mismo del nuevo CSIRT, el cual está enfocado principalmente a la coordinación de incidentes computacionales a través de proveedores que faciliten esta gran responsabilidad. Lo anterior abarcará de igual forma alianzas con proveedores de servicios informáticos, de software y hardware, la academia, sectores públicos y privados así como gremios, que se ajusten a los objetivos institucionales de esta Entidad y al portafolio de servicio y productos, que se busca ofertar.

Los conceptos analizados en los tres anteriores niveles ayudan a comprender los factores macroeconómicos, de la industria y el mercado del CSIRT. Sin embargo, lo verdaderamente importante son las implicaciones que se derivan de esta comprensión general para las decisiones y elecciones estratégicas. Por lo cual se hace necesario comprender a detalle cómo puede influir este conjunto de factores sobre el éxito o fracaso estratégico. Para lo anterior se realiza un análisis DOFA.

Página 142 de 192


GOBIERNO EN LÍNEA

OPORTUNIDADES

DEBILIDADES

-Experiencia y reconocimiento del nuevo CSIRT.-El sector público y privado no tienen la prioridad ni la costumbre de asesorarse por un ente nacional en cuestiones de seguridad informática.-Infraestructura de Tics débil con respecto a otros competidores de la región.- Incipiente regulación.

-Desarrollar relaciones comercia les de largo plazo con clientes en el mercado regional latinoamericano.-Búsqueda de alianzas con terceros en mercados objetivo.-Gran necesidad de coordinación de incidentes de seguridad computacional.-Proyecto de interés nacional en sectores publico y privados.- No existe centralización en la medición y seguimiento de la seguridad informática del país.

FORTALEZAS

AMENAZAS

-El CSIRT ti ene el respaldo del gobierno a través de la agenda de conectividad-Calidad y cantidad de la oferta colombiana, con un número importante de compañías proveedoras de productos de software y servicios relacionados con seguridad informática, con madurez y estándares de calidad a nivel internacional.-Disponibilidad de personal técnico ca lif ica do y actua liza do.

- Desaceleración de la economía mundial y nacional.-Rápida obsolescencia de los equipos informáticos.-Competidores ya establecidos en el mercado de la seguridad computacional.-Respaldo financiero con limitaciones.-Bajos incidentes de seguridad informática, pueden acarrear dificultad en el auto sostenimiento del negocio.

Ilustración 13: Matriz DOFA

6.3.1. DEBILIDADES

• En las entidades nacionales no se cuenta con una amplia experiencia en el tema de seguridad de la información, por lo cual será importante posicionar el modelo como una iniciativa en la búsqueda de la competitividad del país, el cual deberán desarrollarse y afinarse en el tiempo. Lo anterior busca que los participes del modelo, vean esta iniciativa como herramienta que ayuda al incremento de la productividad de las entidades, y no solo como un nuevo modelo que trae consigo atender nuevas responsabilidades o obligaciones.

• Aunque Colombia ha venido presentando avances importantes en el desarrollo de su infraestructura de TIC, el gobierno reconoce que existe aún un camino importante por recorrer, en la búsqueda del mejoramiento de variables competitivas del sector, las cuales se esperan alcanzar con el “Plan Nacional de Tecnologías de la Información y las Comunicaciones”.

Página 143 de 192

Se observa de manera general que Colombia aún no tiene una regulación específica en temas de seguridad de la información, a pesar que el gobierno a través de nuevas leyes busca desarrollar un entorno jurídico y político más estable en esta competencia. En el informe jurídico de esta consultoría, se detallan los actuales avances en la materia.

6.3.2. OPORTUNIDADES

Las oportunidades son extensas en el sentido de que existen diferentes y exitosos modelos en el mundo, y el tema de la seguridad de la información es de interés mundial lo que promueve la colaboración internacional en este frente.

Actualmente no existe un modelo en el estado colombiano, que regule, lidere, coordine y promueva la seguridad de la información del país, convirtiéndose en un plan necesario, novedoso y útil para las entidades colombianas. Lo anterior permitirá dinamizar el mercado de las TIC como consecuencia de que dentro del planteamiento del modelo, los terceros privados participaran activamente, trayendo consigo el incremento de demanda de sus servicios, lo cual se materializara en mayores beneficios económicos y oferta de empleo.

Así mismo se observa gran interés por parte del sector privado y público en la definición de un buen modelo, que aporte al desarrollo competitivo del país, el cual se vislumbra en la iniciativa propia del gobierno y la participación activa de los diferentes sectores en la construcción del mismo.

Dentro de la región latinoamericana se observa incluso que algunos países, desarrollan modelos similares que ayudarían a fortalecer en conocimiento y experiencia al nuevo modelo. Con lo cual se podrían crear alianzas en el intercambio de conocimiento y soporte. Incluso se podría entrar a aportar en aquellos países que no contemplan aún crear este tipo de iniciativas y que al final deberán implementar.

6.3.3. FORTALEZAS

A nivel interno se destaca el apoyo brindado por el gobierno al Sistema Administrativo Nacional de Seguridad de la Información. Adicionalmente en el mercado se encuentra una gran variedad de proveedores de productos y servicios que garantizan la demanda y calidad del portafolio de servicios propuesto.

La experiencia específica de la mano de obra requerida en el modelo, así como la oferta educacional actual, garantiza la consecución del recurso humano competente para asumir los diferentes cargos que se crean dentro del modelo.

6.3.4. AMENAZAS

Se considera como amenaza la actual desaceleración en la economía global y local, lo cual es ya todo un reto para el sostenimiento y desarrollo de muchos negocios, adicionalmente se pronostica que existirán reducciones en los recursos de nuevas inversiones.

Página 144 de 192


GOBIERNO EN LÍNEA

•

•

El tercerizar una gran cantidad de servicios, permite al CSIRT que se blinde en cierta medida de los riesgos que acarrean invertir grandes sumas de dinero en equipos especializados y con riesgo de pronta obsolescencia.

Actualmente en el mercado se presentan de manera descentralizada mucho de los servicios que busca ofrecer el CSIRT, sin embargo el modelo planteado permitiría ver a esos posibles competidores como aliados estratégicos, en la prestación de los servicios.

Página 145 de 192

La propuesta planteada a través de este documento no podrá quedarse solo en planes, sino que deberá ser implementada y sus resultados deberán evaluarse y medirse. Por lo cual será responsabilidad de este nuevo CSIRT, la implementación y control estratégico de su accionar.

Como mecanismo de control y seguimiento, se propone un modelo integral de gestión, basado en la filosofía Balanced Scorecard (BSC) o Cuadro de Mando Integral53, con lo cual se busca que el nuevo CSIRT, sea una organización enfocada en su estrategia. Este alineamiento estratégico se divide en planeación, difusión, revisión y ajuste, con lo que se busca entre otros lo siguiente:

• Movilizar el cambio a través del liderazgo ejecutivo,

• Traducir la estrategia en términos operativos: Definir los mapas estratégicos, los objetivos, indicadores y metas,

• Alinear la organización con una única estrategia,

• Hacer de la estrategia un trabajo de todos: Proporcionar formación, comunicación, definición de metas, compensación por incentivos y capacitación del personal,

• Hacer de la estrategia un proceso continuo: integrar la estrategia en la planificación, el presupuesto, la generación de informes y las revisiones de gestión,

53 KAPLAN, Robert, NORTON, David. “Cuadro de Mando Integral”.

Página 146 de 192

misterio de Comunicaciones INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT;publica de Colombia COLOMBIANO - MODELO DE SEGURIDAD - ESTRATEGIA DE^^—^— GOBIERNO EN LÍNEA

Ilustración 14: Modelo de Gestión54

Este conjunto de elementos ayudará como instrumento de planificación, información y control simultaneo de las diversas partes de esta organización, al mismo tiempo que:

• Proveerá una clara definición de lo que el nuevo CSIRT debe medir,

• Alineará los elementos ya estructurados en la fase de formulación estratégica,

• Establecerá indicadores cuantitativos en cada una de sus perspectivas,

• Mantendrá las métricas financieras tradicionales e introducirá nuevos componentes como guía para los nuevos elementos de gestión empresarial,

• Traducirá las directrices del nuevo CSIRT en un conjunto equilibrado de indicadores de desempeño,

• Comunicará los objetivos estratégicos a través de toda la organización,

• Alineará las iniciativas individuales y organizacionales,

54 SERNA GOMEZ, Humberto. “Índices de Gestión”.

Página 147 de 192

Mejorará el aprendizaje y la retroalimentación estratégica del CSIRT.

Esta herramienta tiene un conjunto de componentes que es importante conocer y definir. El Cuadro de Mando propuesto se divide en cuatro perspectivas, que representan de manera general las áreas más relevantes del nuevo CSIRT.

Ilustración 15: Alineación de la Visión y la Estrategia

Perspectiva Seguridad de la información Nacional: Esta perspectiva es la razón de ser del CSIRT, buscando minimizar el impacto de fallos informáticos con base en la prevención y protección frente a amenazas, vulnerabilidades e incidentes computacionales a usuarios de la tecnología de información, logrando una permanente incorporación y retención de clientes, con base en su satisfacción, garantizándoles el soporte efectivo y eficiente.

Perspectiva Financiera: Garantizar la auto sostenibilidad de la operación del CSIRT, generando rentabilidad a sus accionistas.

Perspectiva Interna: Lograr un excelente desempeño ante el cliente que se deriva de procesos, decisiones y acciones basadas en las mejores prácticas mundiales en seguridad de la información. Así como también crear e inculcar una cultura propia para el eficiente y efectivo desarrollo de las actividades de esta nueva organización.

Página 148 de 192


GOBIERNO EN LÍNEA

• Perspectiva de Aprendizaje y Crecimiento: A partir del mejor talento humano y el permanente desarrollo de las personas, el CSIRT estará en capacidad de crear conocimiento en torno a la seguridad de la información, aprender de su propio actuar, lanzar nuevos productos y servicios, crear más valor para los clientes y mejorar la eficiencia operativa continuamente. El aprendizaje organizacional se convierte en una ventaja competitiva y se integra al mejoramiento continuo de esta nueva organización.

Estas cuatro perspectivas deberán interrelacionarse, por medio de algunos orientadores estratégicos, tales como: posicionamiento, calidad, servicio al cliente, motivación y cultura y serán la base y propósito de la gestión del CSIRT. A continuación se detallan los principales objetivos por cada una de las perspectivas, con sus indicadores y metas, así como su interacción con los orientadores estratégicos, a través del esquema de un mapa estratégico.

Ilustración 16: Mapa Estratégico

Página 149 de 192

Ilustración 17: Perspectivas y Orientadores Estratégicos

7.1. PERSPECTIVA SEGURIDAD DE LA INFORMACIÓN NACIONAL

Cobertura del CSIRT en entidades a nivel nacional: Con este indicador se pretende medir el apoyo brindado en seguridad de la información al mayor número de entidades a nivel nacional, de manera periódica no menor a 1 año. Se separa en entidades públicas y en entidades privadas.

Cobertura del CSIRT en departamentos a nivel nacional: Este indicador busca definir porcentualmente el número de departamentos al que se espera llegar con el alcance del CSIRT, de manera periódica no menor a 1 año.

Porcentaje de incidencia de seguridad declarada con impacto negativo. Este indicador busca definir porcentualmente para los diferentes grupos de clientes, de manera periódica no mayor a 3 meses, el total de incidencias ocurridas a nivel nacional, las cuales se discriminen por incidencias ocurridas, incidencias prevenidas y incidencias de impacto. Entre las incidencias a definir se podrá incluir: la denegación de servicios, troyanos, recepción de correo no deseado, virus informático, software espía o

Página 150 de 192

¿EL GRAN SUEÑO?

MISIÓN - ¿QUÉ HACE EL CSÍRT? VISIÓN - ¿QUE QUIERE SER EL CSIRT?

spyware, instrucciones remotas de computadores, intrusiones en su correo electrónico, intrusiones en otras cuentas de servicio web, bombas lógicas, robos de información, fraudes, robo de ancho de banda, etc.

Posicionamiento (Top of Mind): Este indicador busca entender la dinámica de la marca CSIRT en Colombia, se recomienda hacerse de manera periódica no menor a un año. Con este indicador la compañía podrá darse cuenta a través del mercado objetivo, si existe o se tiene un bajo o alto grado de recordación de la marca CSIRT. Este índice es una relación entre el numero de menciones de marca sobre el total de entrevistados.

Índice de Satisfacción de Usuarios: Mediante encuestas, se pretende determinar la satisfacción de los usuarios basada en la calidad percibida como medición de una satisfacción general, el cumplimiento de expectativas y la cercanía a la compañía perfecta acorde con el estándar internacional del Índice Americano de Satisfacción de Clientes (ACSI – American Customer Satisfaction Index)55

7.2. PERSPECTIVA FINANCIERA

Gasto versus Punto de Equilibrio: El nuevo CSIRT deberá verificar en el volumen de venta que, luego de deducidos los costos variables, queda un excedente suficiente para cubrir los costos fijos. Este punto umbral de rentabilidad será el punto en el que el CSIRT ingresa a una zona de ganancias, mientras que por debajo, no cubrirá sus costos. Por esta razón el CSIRT debe operar a un nivel superior al punto de equilibrio para poder reponer sus equipos y tomar provisiones para su expansión. Este indicador se recomienda sea teniendo en cuenta sólo para un periodo de tiempo definido por la propia organización (no mayor a un año), este después deberá ser remplazado por uno que mida y exija beneficios monetarios ascendentes. Este indicador busca medir la auto sostenibilidad financiera y de crecimiento del CSIRT para que pueda ofrecer servicios sostenibles a los diferentes mercados objetivos. Se deberá observar en este una tendencia de crecimiento y diversificación sana y sostenida de la oferta de servicios, con una muy buena calidad de cartera y adecuados niveles de eficiencia y rentabilidad. Así mismo busca medir como mínimo en un periodo inferior a 6 meses. Se medirá como mínimo, con base en el cubrimiento de los costos fijos de la operación (punto de equilibrio), teniendo en cuenta el margen bruto de rentabilidad.

7.3. PERSPECTIVA PROCESOS INTERNOS

Promedio de la Evaluación de 360 grados: La Evaluación de 360 grados o evaluación integral es una herramienta que permite medir el desempeño de los funcionarios y sus competencias, y de esta forma diseñar programas de desarrollo para individuales y colectivos. La evaluación de 360 grados pretende dar a los empleados una perspectiva de su desempeño desde el punto de vista de sus jefes, sus compañeros, subordinados, clientes internos, etc. El propósito de aplicar esta evaluación es brindar al funcionario la retroalimentación necesaria para mejorar su desempeño, su comportamiento o ambos y dar a la dirección la información necesaria para tomar decisiones oportunas. Se recomienda aplicarse semestralmente.

55 The American Customer Satisfaction Index (ACSI). http://www.theacsi.org/

Página 151 de 192

http://www.theacsi.org/

Certificaciones obtenidas: Este indicador busca garantizar la calidad de los procesos del CSIRT. El término se refiere a una serie de normas universales basadas inicialmente en la norma NTGCP 1000 y la norma ISO 27000. Una certificación indica a los clientes que el CSIRT ha implementado un sistema para garantizar que cualquier producto o servicio que ofrezca cumplirá constantemente con las normas internacionales de calidad.

7.4. PERSPECTIVA APRENDIZAJE Y CRECIMIENTO

La principal función de la gestión del conocimiento es que el CSIRT no deba pasar dos veces por un mismo proceso para resolver de nuevo el mismo problema, sino que ya disponga de mecanismos para abordarlo utilizando información guardada sobre situaciones previas. Este indicador busca transformar el conocimiento tácito en conocimiento explícito, se recomienda se logre alcanzar este objetivo en no menos a seis meses. Para este fin pueden emplearse herramientas, como las bases de datos, las intranets, revistas o manuales, que en su conjunto forman la denominada "memoria organizacional" que permite organizar el conocimiento de la entidad. Existen diferentes técnicas para representar y gestionar el conocimiento, codificado desde áreas diferentes: La inteligencia artificial, los sistemas de gestión de bases de datos, como text mining, la ingeniería del software, y otras técnicas empleadas desde la perspectiva del estudio de los sistemas de información. Esta tendencia se denomina “orientación al conocimiento”, y es la que el CSIRT deberá tener como objetivo en el desarrollo al propósito de crear un sistema de gestión documental.

La Gestión del Conocimiento contribuye a:

Mejorar la rapidez de respuesta en un entorno, tanto interno como externo, en continua evolución (Tiempo promedio de atención de incidentes)

Mejorar la calidad de los productos o servicios desarrollados por la propia entidad y reducir los errores en el proceso productivo (Número de errores en el proceso productivo).

Publicación y difusión de conocimiento concerniente al tema de seguridad de la información (Número de Investigaciones publicadas al año)

Protección y registro de Derechos de Propiedad Intelectual.

Porcentaje de funcionarios directivos y técnicos certificados en CISSP o CISM: El Talento Humano será el elemento de mayor participación dentro del nuevo CSIRT, siendo ésta la base para crear valor agregado intangible que le permita sobresalir en un mercado competitivo y exigente. Debido a lo anterior será importante el proceso de selección de cada uno de los empleados, en el que se deberán contemplar las aptitudes, conocimiento y habilidades técnicas / gerenciales definidas a través de este documento. El objetivo será el de cumplir con el mayor numero de requerimientos establecidos para cada cargo y del mismo modo desarrollarlos o capacitarlos en el total de los mismos.

Algunas de las certificaciones para los perfiles de trabajo en el CSIRT son:

Página 152 de 192

o CISSP56: Dominio de conocimiento en tecnología y gerencia en Seguridad de la Información.

o CISM57: Conocimiento en gerencia de Seguridad de la Información.

o ABCP o CBCP58: Conocimiento en planes y gestión de la continuidad de la operación.

o CISA59: Experiencia en auditoría de sistemas.

o ISO 27001 Lead Auditor: Conocimiento en auditoría de sistemas de gestión en seguridad de la información SGSI.

7.5. RESUMEN DE LOS INDICADORES

PERSPECTIVA OBJETIVOS ESTRATÉGICOS

INDICADOR METAS UNIVERSO

Año 1 Año 2

SEGURIDAD DE LAINFORMACIÓN NACIONAL

Brindar apoyo para optimizar la seguridad de la información en las entidades públicas y privadas.

Cobertura del CSIRT en entidades públicas del orden nacional (grados 2 y 3)

50 100 182 60

Cobertura del CSIRT en entidades privadas a nivel nacional

50 100 21.210 61

Cobertura del CSIRT en departamentos a nivel nacional

5 15 32

56 www.isc2.org

57 www.isaca.org

58 www.drii.org

59 www.isaca.org

60 Fuente dato disponible en el programa Gobierno en Línea

61 Fuente: Entidades que reportaron Estados financieros a la Superintendencia de Sociedades durante el año 2007

Página 153 de 192

http://www.isaca.org/

http://www.drii.org/


http://www.isc2.org/



Año 1 Año 2

Porcentaje de incidencia de seguridad declaradas con impacto negativo

30% 10% Total deincidentes

reportados alCSIRT

Consolidar la marca CSIRT Colombia, con base en la credibilidad de los usuarios.

Posicionamiento (Top of Mind)

>80% >80% Total de Encuestas realizadas

Índice de Satisfacción de Usuarios

>65% >75% Total de Encuestas realizadas

FINANCIERA Ser una entidad auto sostenible.

Gasto versus Punto de Equilibrio (P.E.)

Gastos <= P.E.

Gastos <= P.E.

Total gastos

PROCESOS INTERNOS

Lograr la cultura yexcelenciaoperacional.

Promedio de la Evaluación de 360 grados

80% 85% Evaluaciones 360 grados al

total de funcionarios

Certificaciones obtenidas

NTGCP 1000

NTGCP1000, ISO27000

Total decertificaciones

de calidadaplicables al

CSIRT

APRENDIZAJE Y CRECIMIENTO

Gestionar el conocimiento.

Tiempo promedio de atención de incidentes

4 horas 1 horas Total de incidentes atendidos

Número de errores en el proceso productivo

3 errorespor cada 10incidenciasatendidas

1 error porcada 10

incidencias atendidas

Total de erroresregistrados y

total deincidentesatendidos

Número de Investigaciones publicadas al año

3 10 Total de investigaciones publicadas por

el CSIRT

Número de patentes registradas al año

1 3 Total depatentes

registradas porel CSIRT

Página 154 de 192



Año 1 Año 2

Tener el mejor Talento Humano.

Porcentaje de funcionarios directivos y técnicos certificados en CISSP o CISM

> 60% > 80% Total de funcionarios directivos y

técnicos

7.6. CONSIDERACIONES GENERALES

Una vez descrita la formulación a nivel estratégico del posible sistema integrado de medición, a través del Cuadro de Mando Integral, finalmente es importante tener en cuenta para el diseño e implementación, los siguientes puntos:

• El marco previo de referencia al proceso de planeación estratégica, antes de la ejecución de los planes y control de la gestión, será la formulación del concepto estratégico, formulación del plan estratégico basado en la estrategia y la formulación de los planes tácticos y operacionales.

• El presupuesto, el Talento Humano, la tecnología y la operación deben alinearse con la estrategia,

• El CSIRT deberá crear un contexto positivo para la medición,

• El enfoque de la medición será la creación de valor,

• La medición deberá ser integral (horizontal y vertical),

• La recolección de información y experiencias deberán ser transformadas en estrategias,

• La medición y control deberá ser parte de la cultura organizacional,

• Clarificar las condiciones que crearan valor para el cliente,

• Definir los procesos que transformaran los activos intangibles a resultados financieros y del cliente,

• Definir los activos intangibles que deben ser alineados e integrados para facilitar la creación de valor,

• Los componentes del Sistema Integrado de Medición son el direccionamiento estratégico y las perspectivas,

• Los indicadores se deberán definir en diferentes niveles organizacionales: Estratégicos (Monitorean y miden fundamentalmente el desempeño de los macro procesos), tácticos (Monitorean y miden los

Página 155 de 192

procesos), operativos (Monitorean y miden las actividades) y de frontera o compartidos (Monitorean y miden el desempeño de los procesos donde existe responsabilidad compartida),

Los indicadores deberán tener necesariamente una relación causa efecto,

El mapa estratégico hará explicita y comunicable a cualquier nivel la estrategia,

La ejecución a este modelo debe ser el elemento central de la cultura de una organización,

Comunicación, Implantación y Sistematización: Incluye divulgación, automatización, agenda gerencial con el Cuadro de Mando Integral, planes de acción para detalles, plan de alineación de iniciativas y objetivos estratégicos, plan de despliegue a toda la empresa.

Con todo lo anterior se propone y plantea que a partir de los diferentes lineamientos dados en este documento, se diseñe e implemente esta iniciativa estratégica, la cual permitirá al nuevo CSIRT monitorear y evaluar su desempeño de una manera integral frente a sus objetivos estratégicos.

Página 156 de 192

8. ESTRUCTURA ORGANIZACIONAL

De acuerdo con el Software Engineering Institute en su documento “Organizational Models for Computer Security Incident Response Teams (CSIRTs)”62, existen criterios definidos para tres tipos de estructuras organizacionales para un CSIRT, con lo cual se procederá a determinar cuales de estas, se ajustan a la realidad de la estrategia de Gobierno en Línea.

Estos grupos son:

Equipos de Seguridad

CSIRT Coordinado

CSIRT Interno

Teniendo en cuenta el modelo de Seguridad de la Información definido para la estrategia de Gobierno en Línea, el CSIRT propuesto será un ente técnico que funcione como un ente coordinador, que faculte a terceros en el desarrollo y prestación de los servicios, de este modelo se destaca:

Su equipo coordina el esfuerzo de respuesta de incidentes e intercambio de información a través de muchos CSIRT, equipos de seguridad, terceros u otras organizaciones externas.

Su equipo no pertenece a la misma organización de su jurisdicción.

El CSIRT, será el responsable de la prestación de servicios ofrecidos por terceros.

Su principal servicio es coordinar intercambio de información y facilitar la discusión de incidentes.

62 Tomado de: http://www.rediris.es/cert/links/csirt.es.html. Fecha de acceso: 2008/10/10. Publicado por

Carnegie Mellon University - Software Engineering Institute. Autores: Georgia Killcrece, Klaus-Peter Kossakowski,

Robin Ruefle, Mark Zajicek.

Página 157 de 192

http://www.rediris.es/cert/links/csirt.es.html


GOBIERNO EN LÍNEA

8.1. ORGANIGRAMA

Ilustración 18: Estructura Organizacional Propuesta

A continuación se describen cada uno de los principales objetivos de las direcciones que conforman el CSIRT, y sus principales responsabilidades generales.

8.1.1. ASESOR JURÍDICO

La Asesoría Jurídica tiene por objetivo asesorar a la Dirección General, en todo lo relacionado con temas legales de competencia del CSIRT, tanto a nivel administrativo y comercial como a nivel de la consultoría, prestación de servicios y temas forenses de seguridad de la información.

8.1.2. DIRECCIÓN TÉCNICA

8.1.2.1. Grupo de Incidentes

Grupo que busca proveer a las entidades facultadas o tercerizadas por el CSIRT (en la prestación de los diferentes servicios), la coordinación, asistencia y atención, para ayudar a preparar, proteger y asegurar componentes de sistemas de clientes objetivos, en anticipación a futuros ataques, problemas o eventos derivados de la seguridad de la información.

• Hacer seguimiento de los principales indicadores información en el ámbito nacional e internacional.

y políticas relacionadas con la seguridad de la

Página 158 de 192

Crear una base de conocimiento que permita el análisis y evaluación de la seguridad de la información.

Definir, planificar y fomentar las responsabilidades y respuestas primarias, de carácter operacional, para el control de cualquier tipo de emergencia de seguridad de información.

Promover y velar para que métodos probados internacionalmente, para el control de las emergencias hechas por terceros, se apliquen eficiente y eficazmente.

Definir y fomentar equipos de trabajo que puedan utilizar las técnicas elementales de acción ante emergencias.

Definir técnicas o herramientas que permitan rastrear los orígenes de un incidente o identificar sistemas a los se haya tenido acceso no autorizado.

Definir y fomentar la integración de equipos de trabajo técnico, con roles perfectamente definidos ante una emergencia.

Asistir en la recuperación tras desastres relacionados con los ataques y las amenazas a la seguridad de información de las Entidades, mediante la coordinación de los diferentes recursos.

Mediante actividades de coordinación, velar por la eficiente y eficaz detección, tratamiento, análisis y respuesta de incidentes de seguridad de la información, hechas por las entidades facultadas por el CSIRT en esta materia.

Gestionar la recopilación de pruebas forenses, en lo que se refiere a la recolección, la conservación, la documentación y el análisis de las pruebas procedentes del sistema informático comprometido.

8.1.2.2. Grupo Gestión y Control

Este grupo tiene como fin coordinar y dar soporte a las entidades tercerizadas por el CSIRT, para que consoliden y apliquen los conocimientos y habilidades requeridas, para administrar, controlar y auditar los sistemas informáticos.

Realizar la validación y monitoreo del modelo de seguridad de la información.

Soportar la evaluación de infraestructura de seguridad de la información, a través de evaluaciones y/o auditorias de seguridad, basados en los requisitos establecidos por el sistema y/o normas nacionales e internacionales aplicables.

Administrar la herramienta de autoevaluación y soportar las auditorias, monitoreos y análisis a la información, desarrollada por los terceros contratados por el CSIRT.

Brindar soporte en lo relacionado con la herramienta de autoevaluación y auditoria.

Página 159 de 192

Desarrollar y complementar las herramientas de auto-evaluación y de auditoría con base en las necesidades y requisitos actuales y futuros del Modelo de Seguridad.

Recopilar las estadísticas, métricas e indicadores que permitan medir el desempeño y evidenciar el mejoramiento del modelo de seguridad en las Entidades.

Centralizar la información enviada por los diferentes terceros contratados por el CSIRT.

8.1.2.3. Grupo de Investigación y Desarrollo

El Grupo de Investigación y Desarrollo, tiene como principal propósito la investigación científica, el desarrollo y la innovación de la seguridad de la información. En este grupo se establecen instrumentos y/o medios que garanticen el cumplimiento del modelo de seguridad de la información. Adicionalmente se busca el desarrollo y la gestión del conocimiento del CSIRT, a través de eficientes y eficaces vías de comunicación.

Asesorar a las Entidades públicas y privadas en materia de seguridad de la información, así como apoyar a la elaboración, seguimiento y evaluación de políticas en este ámbito.

Difundir información relacionada con la seguridad de la información a todos los actores relacionados.

Desarrollar herramientas específicas para necesidades particulares o generales de sus clientes o propias del CSIRT.

Convocar al sector privado y a la academia para obtener apoyo en la investigación en materia de seguridad de la información.

Mantener contacto permanente con los distintos sectores de la industria para la identificación de necesidades tecnológicas y de seguridad de la información.

Recomendar o identificar para las Entidades objetivo, requisitos de compra, instalación o protección de nuevos sistemas de seguridad, aplicaciones de software, dispositivos de seguridad, entre otros. Así mismo, ofrecer asistencia y orientación en la implementación de las políticas de seguridad del modelo.

Proponer los lineamientos, temas y elementos de sensibilización al Grupo CSIRT – Función de Capacitación, en lo concerniente a las campañas de Concienciación - sensibilización.

Gestionar la información y documentación del CSIRT.

Diseñar herramientas de organización y difusión del conocimiento dentro del CSIRT.

Gestionar la comunicación interna de la Institución.

Gestionar el aprendizaje organizativo del CSIRT.

Página 160 de 192


• Gestionar el cambio y la innovación institucional.

• Adecuar la taxonomía de las piezas de conocimiento conforme se incremente el conjunto de conocimiento derivado de la experiencia y conocimiento del CSIRT.

• Generar estrategias de difusión de piezas de conocimiento de interés general.

• Fomentar la automatización de los procesos relacionados con seguridad de la información.

• Realizar auditorías anuales de conocimiento a los empleados del CSIRT.

• Vigilar que el conocimiento fluya de forma ágil a través del CSIRT.

• Diseñar políticas para el uso de las bases de datos institucionales.

8.1.3. DIRECCIÓN DE COOPERACIÓN Y FOMENTO

8.1.3.1. Grupo Capacitación

El Grupo de Capacitación tiene como principal objeto, ayudar a sensibilizar, dar a conocer y preparar al mercado objetivo, en los beneficios y amenazas que se derivan de la seguridad de la información, desarrollar la capacidad de estos para alcanzar objetivos de desarrollo informático y a promover el uso de herramientas y procedimientos que prevengan posibles incidentes de seguridad de la información.

• Promover campañas de capacitación periódicas para el sector público y privado, en temas relacionados con la seguridad de la información, coordinando los diferentes cursos, charlas y/o conferencias.

• Buscar convenios con terceros, para soportar, ejecutar y/o fortaleces los diferentes programas de capacitación, en los que se incluya de manera integrada, la academia, el sector público y privado.

• Dar lineamientos generales, a los responsables directos de los programas de capacitación, en las diferentes áreas de seguridad de la información.

• Soportar a terceros en la capacitación y entrenamiento a las Entidades, en temas relacionados con la herramienta de autoevaluación y auditoria.

• Planear el desarrollo de capacitaciones internas para el desarrollo de las competencias y habilidades técnico/gerenciales para todo el personal del Grupo Técnico de Apoyo y el de la Comisión Nacional de Seguridad de la Información.

Página 161 de 192


GOBIERNO EN LÍNEA

8.1.3.2. Grupo Relaciones Públicas y Comunicación

Grupo que tiene como objetivo, gestionar y proyectar de manera integral los sistemas de comunicación e información del CSIRT, liderar cambios, establecer programas de cultura e identidad corporativa, diagnosticar y planear estratégicamente y de manera armónica la comunicación según los diferentes públicos y entornos.

• Diseñar e implementar el plan de comunicaciones del CSIRT.

• Mantener la articulación con los entes policivos para la atención de los incidentes de seguridad de la información.

• Gestionar la comunicación entre el CSIRT y público clave para construir, administrar y mantener su imagen positiva.

• Construir la identidad, la cultura y la reputación del CSIRT, como un camino que facilitará la construcción de vínculos con los involucrados (Stakeholders), mediante el desarrollo de programas de identidad corporativa.

• Definir y diseñar la Política de imagen corporativa que deba adoptar el CSIRT.

• Crear estrategias de publicidad para lograr difundir y promocionar el programa de capacitación.

• Posicionar la nueva marca CSIRT en el mercado nacional y regional, por medio de rutinas de campañas de publicidad.

• Diseñar métodos y mecanismos que permitan conocer el grado de aceptación de los programas y proyectos desarrollados por el CSIRT.

• Sensibilizar a los grupos objetivo en el conocimiento y uso de los temas relacionados con la seguridad de información.

• Coordinar la emisión de boletines, revistas y toda clase de documentos relacionados con la acción del CSIRT.

• Difundir estudios e informes publicados por otras entidades y organismos nacionales e internacionales, así como de información sobre la actualidad en materia de la seguridad y confianza de la Información.

• Propender por las buenas relaciones y comunicaciones, con la prensa local, seccional, nacional e internacional.

• Crear alianzas con CSIRT nacionales e internacionales.

Página 162 de 192


• Crear alianzas de largo plazo con el sector académico, privado, proveedores de tecnología, etc, las cuales permitan entre otros crear, gestionar y trasmitir el conocimiento del CSIRT.

• Diseñar mecanismos y establecer los conductos de divulgación del CSIRT.

8.1.4. DIRECCIÓN ADMINISTRATIVO Y FINANCIERA

Este grupo tiene como principal objeto administrar los recursos financieros, tecnológicos (IT), legales y humanos del CSIRT.

8.1.4.1. Financieros

• Administrar el proceso de elaboración presupuestaria.

• Controlar y supervisar la ejecución del presupuesto de manera articulada con la planificación estratégica y el control de gestión de la institución.

• Realizar la gestión contable, patrimonial y la administración de recursos de la institución, procurando el estricto cumplimiento en la aplicación de todos los sistemas y procedimientos administrativos establecidos.

• Administrar el proceso de compras y contrataciones de bienes y servicios del CSIRT.

• Intervenir desde el punto de vista presupuestario en el financiamiento de los proyectos.

• Desarrollar criterios, metodologías e instrumentos de aspectos administrativos, contables y de control.

• Administrar la gestión de desarrollo de la infraestructura física y la gestión de servicios de mantenimiento y soporte logístico de las distintas direcciones.

• Establecer e implantar mecanismos idóneos para la administración de los recursos financieros, de bienes, materiales y servicios asignados al funcionamiento del CSIRT.

• Coordinar con la Gerencia de Recursos Humanos las tareas contables, administrativas y financieras requeridas para la administración del personal de la Institución.

• Dirigir y supervisar la elaboración de los estados contables del CSIRT.

8.1.4.2. Tecnológicos

• Mantener, monitorear y reparar la infraestructura de redes del CSIRT.

• Implementar y mantener servidores y servicios de red comunes dentro del CSIRT.

Página 163 de 192


• Diseñar, implementar y mantener sistemas de monitoreo y respaldo para la infraestructura de redes del CSIRT.

• Asegurar la calidad y el desempeño en el funcionamiento de la infraestructura de redes y servicios de la organización CSIRT.

La gestión de los equipos tecnológicos especializados corresponderá a las entidades consideradas en la tercerización de los servicios.

8.1.4.3. Legales

• Elaborar todo tipo de contratos, actas constitutivas, actas de Asamblea e instrumentos jurídicos de la competencia del CSIRT.

• Participar en la negociación, seguimiento y cierre de distintos tipos de operaciones con clientes y proveedores de naturaleza comercial, de alianza estratégica, societaria, etc.

• Emitir consultas y opiniones acerca de asuntos que influyan de manera directa en el patrimonio y responsabilidad de la empresa y sus socios dentro de su operación comercial.

• Realizar todo tipo de trámites ante dependencias gubernamentales de carácter departamental y nacional.

8.1.4.4. Humanos

• Asesorar y participar en la formulación de la política de personal.

• Dar a conocer las políticas de personal y asegurar su cumplimiento.

• Establecer y normalizar el perfil y el rol de cada uno de los puestos de trabajo dentro del CSIRT.

• Reclutar, seleccionar y contratar al personal del CSIRT.

• Desarrollar y gestionar la estructura y política salarial.

• Planear las diferentes capacitaciones internas para promover y desarrollar las competencias y habilidades técnico/gerenciales para todo el personal del CSIRT.

• Mantener todos los registros necesarios concernientes al personal.

• Incentivar la integración y buenas relaciones humanas entre el personal.

• Recibir quejas, sugerencias y resuelve los problemas de los colaboradores.

Página 164 de 192


GOBIERNO EN LÍNEA

• Hacer la evaluación del desempeño de los colaboradores.

8.2. PROCESO DE SELECCIÓN

Las competencias laborales generales se establecerán de acuerdo con el Decreto número 2539 de 2005, en el cual se detallan para los empleos públicos de los distintos niveles jerárquicos de las entidades, las competencias requeridas. Estas deberán tenerse en cuenta a la hora de realizar los procesos de selección de los diferentes vacantes creadas para el CSIRT. A continuación se enumeran dichas competencias:

8.2.1. COMPETENCIAS COMUNES

• Orientación a resultados

• Orientación al usuario y al ciudadano

• Transparencia

• Compromiso con la Organización

Nivel Directivo

• Liderazgo

• Planeación

• Toma de decisiones

• Dirección y Desarrollo de Personal

• Conocimiento del entorno

Nivel Asesor Nivel Profesional

• Experticia Profesional • Aprendizaje Continuo

• Conocimiento del entorno • Experticia profesional

• Construcción de relaciones • Trabajo en Equipo y Colaboración

Página 165 de 192

• Iniciativa • Creatividad e Innovación

Nivel Técnico Nivel Asistencial

• Experticia Técnica • Manejo de la Información

• Trabajo en equipo • Adaptación al cambio

• Creatividad e innovación • Disciplina

• Relaciones Interpersonales

• Colaboración

8.2.2. COMPETENCIAS COMPORTAMENTALES POR NIVEL JERÁRQUICO

Cuando se tengan personal a cargo, se deberá incluir; liderazgo de grupos de trabajo y toma de decisiones

8.2.3. COMPETENCIAS TÉCNICAS

Estas deberán evaluarse con mayor exigencia dependiendo de las responsabilidades propias del cargo.

• Principios de seguridad de la información.

• Amplio conocimiento de la tecnología y los protocolos de Internet y redes.

• Conocimiento de diversos sistemas operativos tipo Windows, Unix, Linux.

• Conocimiento de los equipos de infraestructura de redes (enrutador, switches, DNS, proxy, correo, etc.).

• Conocimiento de las aplicaciones de Internet.

• Conocimiento de amenazas a la seguridad (phishing, defacing, sniffing, etc.).

• Conocimiento de la evaluación del riesgo y las implementaciones prácticas.

• Servicios y aplicaciones de red.

Página 166 de 192



Habilidades de programación.

Habilidades en manejo y análisis de incidentes.

Certificaciones.

• CISSP63 - Dominio de conocimiento tecnología y gerencia en seguridad de la información. Obligatoria.

• CISM64 - Conocimiento en gerencia de seguridad de la información. Obligatoria.

• ABCP o CBCP65 - Conocimiento en planes y gestión de la continuidad de la operación. Opcional.

• CISA66 - Experiencia en auditoría de sistemas. Opcional.

• ISO27001 Lead Auditor - conocimiento en auditoría de sistemas de gestión en seguridad de la información SGSI. Opcional.

8.2.4. OTRAS CARACTERÍSTICAS

Disponibilidad para viajar a soportar operaciones en lugares diferentes a su ciudad base.

• Nivel educativo. Dependiendo del cargo se requerirán carreras técnicas profesionales o a nivel de posgrado.

Experiencia laboral en el ámbito de la seguridad de las TI principalmente.

Disposición a trabajar por turnos.

Es importante que el tipo de contratación se haga a término indefinido, haciendo un seguimiento por cada empleado a través de una evaluación de desempeño, la cual evalué de manera general entre otros los siguientes puntos.

63 www.isc2.org

64

www.isaca.org

65 www.drii.org

66

www.isaca.org

Página 167 de 192


http://www.drii.org/


http://www.isc2.org/


GOBIERNO EN LÍNEA

• Cumplimiento de objetivos.

• Competencias técnicas.

• Competencias Administrativas.

• Eficiencia en el gerenciamiento de las responsabilidades.

• Excelencia de servicio.

• Eficiencia en el liderazgo.

La calificación de estas evaluaciones de desempeño, afectaran individualmente o en grupo, cualquiera que sea el caso, en las retribuciones, en la promoción, en los concursos, y en las capacitaciones a ofrecer.

8.3. CAPACITACIÓN

Dentro del proyecto se deberá destinar un presupuesto dirigido a la capacitación del personal. Esto como consecuencia a la dificultad de encontrar personal, con el total de las habilidades anteriormente descritas y a que constantemente se presentaran avances y mejoras en la practicas informáticas o de soporte, a utilizar en cada una de las responsabilidades.

Si bien es cierto que el personal a contratar, deberá contar con un conocimiento y experiencia previa a la mayoría de las habilidades. No se hace necesario que cumpla con el 100% de estas. Por esto se deberá priorizar para cada uno de los cargos las principales competencia y de las faltantes se suplirán con una posterior capacitación. Es importante que la relaciones con entes como el sector privado, académico y publico, ayuden a formalizar este plan de capacitación.

El plan de capacitación deberá fundamentarse en las habilidades anteriormente detalladas y en el dominio de:

• Área de cobertura y sistemas y operaciones de su área de cobertura.

• Políticas y procedimientos estándares de operación.

• Política sobre revelación de información.

• Política sobre uso aceptable del equipamiento y de la red.

Página 168 de 192

9. ETAPAS PARA LA CONFORMACIÓN DEL CSIRT – COLOMBIA

La constitución del CSIRT en Colombia supone el cumplimiento de ciertas etapas, considerando que iniciar una nueva etapa supone la estabilización y permanente sostenibilidad y continuidad de las etapas anteriores. Para la conformación del proyecto CSIRT en Colombia se consideran las siguientes etapas:

Etapa I – Alistamiento: Se definirán todos los procesos, procedimientos, roles y responsabilidades necesarias para poner en operación el CSIRT- Colombia. De la misma manera, se llevaría a cabo el alistamiento tecnológico, logístico y estratégico para la definición de los alcances visibles e indicadores de gestión del CSIRT.

Etapa II – Capacitación y Entrenamiento Involucra la capacitación y entrenamiento necesarios para iniciar el proceso. Una vez iniciado, esta capacitación podría gestionarse a través de la cooperación nacional e internacional, tanto a nivel bilateral como multilateral. En todo caso, la capacitación o entrenamiento deberá ser permanente a lo largo de la existencia del CSIRT.

Etapa III – Generación de Alertas e Investigación: Se busca un servicio de alertas tempranas e investigación y desarrollo en laboratorio, para comenzar a prestar un servicio informativo a las entidades de tanto públicas como privadas.

Etapa IV - Respuesta a Incidentes y Apoyo en Investigación del Delito: Supone una madurez suficiente en procesos, procedimientos, capacitación, entrenamiento e información de amenazas y riesgos como para poder conformar operativamente el grupo de respuesta a incidentes y apoyar las investigaciones informáticas adelantadas por las autoridades competentes.

Etapa V – Operación, Revisión y Mejoramiento Continuo: Involucra la revisión constante de los procesos, procedimientos, indicadores de gestión y genera la retroalimentación interna para el mejoramiento continuo.

Página 169 de 192

10. PRESUPUESTO PRELIMINAR DE INVERSIÓN Y FUNCIONAMIENTO

A continuación se presenta un presupuesto preliminar de Inversión y Funcionamiento, que deberá ser ajustado de acuerdo con las validaciones que se realicen al modelo con la comunidad.

Rubro Unidades Frecuencia Anual

CostoUnitario /Mensual

Total

Presupuesto de Inversión

E studios y Diseños 1 1 40.000.000 40.000.000

P lataforma TecnológicaHardware 1 1 20.000.000 20.000.000Software 1 1 20.000.000 20.000.000Servicios de seguridad 1 1 25.000.000 25.000.000Mantenimiento y reparaciones 1 1 15.000.000 15.000.000Desarrollo Web 1 1 50.000.000 50.000.000Tecnologías de seguridad de la red y de la información

1 1 75.000.000 75.000.000

Gestión de equipos de seguridad (hasta 20 elementos)

1 1 20.000.000 20.000.000

Monitoreo de equipos de seguridad (hasta 20 elementos)

1 1 5.000.000 5.000.000

Correlación de equipos de seguridad (hasta 20 elementos)

1 1 20.000.000 20.000.000

Protección a los sistemas 1 1 50.000.000 50.000.000T otal Plataforma Tecnológica 300.000.000

M uebles 1 1 20.000.000 20.000.000

S eguros de equipos e Infraestructura 1 1 10.000.000 10.000.000

Tot al Presupuesto de Inversión 370.000.000

Pre supuesto de Funcionamiento

C osto de Personal - SalariosDirector General 1 14 9.600.000 134.400.000Directores 3 14 7.200.000 302.400.000

Página 170 de 192



Total

Jefes Grupo 6 14 6.000.000 504.000.000Profesionales Certificados en seguridad 3 14 4.800.000 201.600.000Equipo base 10 14 2.400.000 336.000.000

Administrativo 1 14 1.200.000 16.800.000

Total Costo de Personal - Salarios 1.495.200.000

Entrenamiento y Capacitación 1 1 30.000.000 30.000.000

OperaciónLogística para Conferencias y talleres 1 6 20.000.000 120.000.000Costos de representación 1 1 20.000.000 20.000.000Suscripciones a medios especializados 1 1 2.000.000 2.000.000Traducciones 1 1 5.000.000 5.000.000Elaboración de Talleres 1 1 20.000.000 20.000.000Publicaciones y materiales informativos 1 1 20.000.000 20.000.000Viáticos 2 12 2.000.000 48.000.000

T otal Costo de Operación 235.000.000

In

fraestructuraAlquiler del Establecimiento 1 12 5.000.000 60.000.000Servicios Públicos 1 12 1.900.000 22.800.000Mantenimiento 1 12 3.000.000 36.000.000

T otal Costo Infraestructura 118.800.000

C osto VariableAuditorías de la seguridad 1 25 14.666.667 366.666.667Configuración y mantenimiento de la seguridad 1 13 1.600.000 20.800.000Análisis de riesgos 1 12 32.000.000 384.000.000Planificación de la continuidad de la operación y recuperación tras un desastre

1 3 66.666.667 200.000.000

Recopilación de pruebas forenses 1 10 1.600.000 16.000.000Respuesta a incidentes in situ 1 21 800.000 16.800.000Evaluación de productos 1 3 4.000.000 12.000.000

T otal Presupuesto Variable 1.016.266.667

Tot al Presupuesto Costo de Funcionamiento Año 1 2.895.266.667

Pre supuesto de Ventas

P

resupuesto de Ventas de Servicios para miembros y o miembrosGraduación Nivel 2 1 0 4.000.000 0Graduación Nivel 3 1 50 8.000.000 400.000.000Auditorías de la seguridad 1 25 36.666.667 916.666.667

Página 171 de 192



Total

Configuración y mantenimiento de la seguridad 1 13 4.000.000 52.000.000Análisis de riesgos 1 12 80.000.000 960.000.000Planificación de la continuidad de la operación y recuperación tras un desastre

1 3 166.666.667 500.000.000

Presupuesto de Ventas de Servicios para no miembrosRecopilación de pruebas forenses 1 10 4.000.000 40.000.000Respuesta a incidentes in situ 1 21 2.000.000 42.000.000Evaluación de productos 1 3 10.000.000 30.000.000

Total Presupuesto de Ventas Año 1 2.940.666.667

A continuación se describen algunos de los criterios utilizados para la estimación preliminar del presupuesto de Inversión y Funcionamiento para el montaje del CSIRT en Colombia.

10.1. PRESUPUESTO DE INVERSIÓN

El Presupuesto de Inversión comprende todo el cuadro de adquisición de maquina y equipo que permitan asegurar el proceso productivo y ampliar la cobertura del mercado. Los principales componentes considerados para el Presupuesto de Inversión son:

Estudios y Diseños: Los costos de Estudios y Diseños incluyen las evaluaciones de riesgos y vulnerabilidades de seguridad de la información tanto nacionales como internacionales, que permitan prevenir la acción de los incidentes y crear una línea base para el desarrollo de los servicios y el monitoreo de la seguridad nacional de la información en las entidades atendidas por la Estrategia de Gobierno en Línea.

Plataforma Tecnológica: incluye el hardware y software requerido para garantizar la operación y la seguridad de la información propia del CSIRT así como la necesaria para la prestación de los servicios ofrecidos.

Infraestructura: Incluye la planta física requerida para la operación del CSIRT.

10.2. PRESUPUESTO DE FUNCIONAMIENTO

El presupuesto de funcionamiento incluye las actividades para el período siguiente al cual se elabora (en el caso de este documento será el ejercicio 2009). Son estimados que en forma directa tienen que ver con la razón principal de la entidad. Los principales componentes del Presupuesto de Funcionamiento son:

Costos de Personal - Salarios: Se considera la estructura organizacional considerada de manera preliminar en el presente documento, con salarios acordes el mercado laboral y los perfiles requeridos.

Página 172 de 192

Costos de Reclutamiento: Asume la contratación de un tercero para el proceso de búsqueda y reclutamiento del personal del CSIRT.

Entrenamiento: Costos asociados con la preparación técnica del personal para un mejor desempeño en la operación.

Operación: Costos estimados asociados a la operación diaria del CSIRT en la prestación de los servicios ofrecidos: Atención de incidentes y la sensibilización de la comunidad, entre otros.

Costos de Infraestructura, considerando el posible alquiler del espacio físico para la operación, los servicios públicos y le mantenimiento de la planta y equipos.

Costo Variable adicional: Es el costo variable que depende de volumen de ventas. A este costo se descuenta el costo de personal de planta disponible permanentemente para e desarrollo de proyectos.

Presupuesto de ventas: Se estima con base en tarifas y comportamientos esperados del mercado y considerando que la operación del CSIRT en Colombia comience en mayo de 2009.

Página 173 de 192



Detalle Presupuesto - Año 1

Presupuesto de Ventas:

Ventas Rango dePreciosdependiendodel tamañode laentidad yalcance delservicio

PrecioUnitarioPonderado

May Jun Jul Ago Sep Oct Nov Dic Total

Graduación Nivel 2

Unidades 0

8.000.000 4.000.000 0 0 0 0 0 0 0 0 0

Graduación Nivel 3

Unidades 2 3 5 6 6 8 11 9 50

15.000.000 8.000.000 16.000.000 24.000.000 40.000.000 48.000.000 48.000.000 64.000.000 88.000.000 72.000.000 400.000.000

Presupuesto de Ventas de Servicios para miembros y no miembros

Auditorías de la seguridad

Unidades 1 2 2 2 4 4 4 6 25

5.000.000 -100.000.000

36.666.667 36.666.667 73.333.333 73.333.333 73.333.333 146.666.667 146.666.667 146.666.667 220.000.000 916.666.667

Configuración y mantenimiento de la seguridad

Unidades 1 1 1 2 2 2 2 2 13

1.000.000 -10.000.000

4.000.000 4.000.000 4.000.000 4.000.000 8.000.000 8.000.000 8.000.000 8.000.000 8.000.000 52.000.000

Análisis de riesgos

Unidades 1 1 1 1 2 2 2 2 12

20.000.000 -200.000.000

80.000.000 80.000.000 80.000.000 80.000.000 80.000.000 160.000.000 160.000.000 160.000.000 160.000.000 960.000.000

Planificación de la continuidad de la operación y recuperación tras un desastre

Unidades 1 1 1 3

50.000.000 -400.000.000

166.666.667 0 0 166.666.667 0 166.666.667 0 166.666.667 0 500.000.000

Página 174 de 192


GOBIERNO EN LÍNEA

Presupuesto de Ventas de Servicios para no miembros

Recopilación depruebasforenses

Unidades 1 1 1 1 1 1 2 2 10

1.000.000 -10.000.000

4.000.000 4.000.000 4.000.000 4.000.000 4.000.000 4.000.000 4.000.000 8.000.000 8.000.000 40.000.000

Respuesta a incidentes in situ

Unidades 1 2 3 4 5 6 21

2.000.000 2.000.000 0 0 2.000.000 4.000.000 6.000.000 8.000.000 10.000.000 12.000.000 42.000.000

Evaluación de productos

Unidades 1 1 1 3

10.000.000 10.000.000 0 0 0 0 0 10.000.000 10.000.000 10.000.000 30.000.000

Presupuesto de Costo Variable de Servicios para miembros y no miembros

Auditorías de la seguridad

Unidades 1 2 2 2 4 4 4 6 25

14.666.667 14.666.667 29.333.333 29.333.333 29.333.333 58.666.667 58.666.667 58.666.667 88.000.000 366.666.667

Configuración y mantenimiento de la seguridad

Unidades 1 1 1 2 2 2 2 2 13

1.600.000 1.600.000 1.600.000 1.600.000 3.200.000 3.200.000 3.200.000 3.200.000 3.200.000 20.800.000

Análisis de riesgos

Unidades 1 1 1 1 2 2 2 2 12

32.000.000 32.000.000 32.000.000 32.000.000 32.000.000 64.000.000 64.000.000 64.000.000 64.000.000 384.000.000

Planificación de la continuidad de la operación y recuperación tras un desastre

Unidades 0 0 1 0 1 0 1 0 3

66.666.667 0 0 66.666.667 0 66.666.667 0 66.666.667 0 200.000.000

Presupuesto de Costos Variables en servicios para

Página 175 de 192


GOBIERNO EN LÍNEA

miembros

Recopilación depruebasforenses

Unidades 1 1 1 1 1 1 2 2 10

1.000.000 -10.000.000

1.600.000 1.600.000 1.600.000 1.600.000 1.600.000 1.600.000 1.600.000 3.200.000 3.200.000 16.000.000

Respuesta a incidentes in situ

Unidades 1 2 3 4 5 6 21

2.000.000 800.000 0 0 800.000 1.600.000 2.400.000 3.200.000 4.000.000 4.800.000 16.800.000

Evaluación de productos

Unidades 1 1 1 3

10.000.000 4.000.000 0 0 0 0 0 4.000.000 4.000.000 4.000.000 12.000.000

Recursos Humanos de la Entidad Año 1

Conceptos Bruto Retención SeguridadSocial cargotrabajador

Líquido Seguridad Social a cargo Empresa

Importe Seguridad Social Empresa

Total Coste Empresa

Director General 112.000.000 10% 8,375% 91.420.000 20% 22.400.000 134.400.000

Director 1 84.000.000 10% 8,375% 68.565.000 20% 16.800.000 100.800.000

Director 2 84.000.000 10% 8,375% 68.565.000 20% 16.800.000 100.800.000

Director 3 84.000.000 10% 8,375% 68.565.000 20% 16.800.000 100.800.000

Jefe de Grupo 1 70.000.000 10% 8,375% 57.137.500 20% 14.000.000 84.000.000

Jefe de Grupo 2 70.000.000 10% 8,375% 57.137.500 20% 14.000.000 84.000.000

Jefe de Grupo 3 70.000.000 10% 8,375% 57.137.500 20% 14.000.000 84.000.000

Jefe de Grupo 4 70.000.000 10% 8,375% 57.137.500 20% 14.000.000 84.000.000

Jefe de Grupo 5 70.000.000 10% 8,375% 57.137.500 20% 14.000.000 84.000.000

Jefe de Grupo 6 70.000.000 10% 8,375% 57.137.500 20% 14.000.000 84.000.000

Profesional Certificado 1 56.000.000 10% 8,375% 45.710.000 20% 11.200.000 67.200.000



Profesional 1 28.000.000 10% 8,375% 22.855.000 20% 5.600.000 33.600.000

Profesional 2 28.000.000 10% 8,375% 22.855.000 20% 5.600.000 33.600.000

Profesional 3 28.000.000 10% 8,375% 22.855.000 20% 5.600.000 33.600.000

Profesional 4 28.000.000 10% 8,375% 22.855.000 20% 5.600.000 33.600.000

Profesional 5 28.000.000 10% 8,375% 22.855.000 20% 5.600.000 33.600.000

Página 176 de 192


GOBIERNO EN LÍNEA

Profesional 6 28.000.000 10% 8,375% 22.855.000 20% 5.600.000 33.600.000

Profesional 7 28.000.000 10% 8,375% 22.855.000 20% 5.600.000 33.600.000

Profesional 8 28.000.000 10% 8,375% 22.855.000 20% 5.600.000 33.600.000

Profesional 9 28.000.000 10% 8,375% 22.855.000 20% 5.600.000 33.600.000

Profesional 10 28.000.000 10% 8,375% 22.855.000 20% 5.600.000 33.600.000

Secretaria 14.000.000 10% 8,375% 11.427.500 20% 2.800.000 16.800.000

Totales 1.246.000.000 141.400.000 118.422.500 1.017.047.500 249.200.000 1.495.200.000

Página 177 de 192

11. TERMINOLOGÍA

A

Acción correctiva: (Inglés: Corrective action). Medida de tipo reactivo orientada a eliminar la causa de una no-conformidad asociada a la implementación y operación del SGSI con el fin de prevenir su repetición.

Acción preventiva: (Inglés: Preventive action). Medida de tipo pro-activo orientada a prevenir potenciales no-conformidades asociadas a la implementación y operación del SGSI.

Accreditation body: Véase: Entidad de acreditación.

Aceptación del Riesgo: (Inglés: Risk acceptance). Según [ISO/IEC Guía 73:2002]: Decisión de aceptar un riesgo.

Activo: (Inglés: Asset). En relación con la seguridad de la información, se refiere a cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Según [ISO/IEC 13335-1:2004]: Cualquier cosa que tiene valor para la organización.

Alcance: (Inglés: Scope). Ámbito de la organización que queda sometido al SGSI. Debe incluir la identificación clara de las dependencias, interfaces y límites con el entorno, sobre todo si sólo incluye una parte de la organización.

Alerta: (Inglés: Alert). Una notificación formal de que se ha producido un incidente relacionado con la seguridad de la información que puede evolucionar hasta convertirse en desastre.

Amenaza: (Inglés: Threat). Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización.

Análisis de riesgos: (Inglés: Risk analysis). Según [ISO/IEC Guía 73:2002]: Uso sistemático de la información para identificar fuentes y estimar el riesgo.

Análisis de riesgos cualitativo: (Inglés: Qualitative risk analysis). Análisis de riesgos en el que se usa una escala de puntuaciones para situar la gravedad del impacto.

Página 178 de 192

Análisis de riesgos cuantitativo: (Inglés: Quantitative risk analysis). Análisis de riesgos en función de las pérdidas financieras que causaría el impacto.

Asset: Véase: Activo.

Assets inventory: Véase: Inventario de activos.

Audit: Véase: Auditoría.

Auditor: (Inglés: Auditor). Persona encargada de verificar, de manera independiente, la calidad e integridad del trabajo que se ha realizado en un área particular.

Auditor de primera parte: (Inglés: First party auditor). Auditor interno que audita la organización en nombre de ella misma. En general, se hace como mantenimiento del sistema de gestión y como preparación a la auditoría de certificación.

Auditor de segunda parte: (Inglés: Second party auditor). Auditor de cliente, es decir, que audita una organización en nombre de un cliente de la misma. Por ejemplo, una empresa que audita a su proveedor de outsourcing.

Auditor de tercera parte: (Inglés: Third party auditor). Auditor independiente, es decir, que audita una organización como tercera parte independiente. Normalmente, porque la organización tiene la intención de lograr la certificación.

Auditor jefe: (Inglés: Lead auditor). Auditor responsable de asegurar la conducción y realización eficiente y efectiva de la auditoría, dentro del alcance y del plan de auditoría aprobado por el cliente.

Auditoría: (Inglés: Audit). Proceso planificado y sistemático en el cual un auditor obtiene evidencias objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una organización.

Autenticación: (Inglés: Authentication). Proceso que tiene por objetivo asegurar la identificación de una persona o sistema.

Authentication: Véase: Autenticación.

Availability: Véase: Disponibilidad.

B

BS7799: Estándar británico de seguridad de la información, publicado por primera vez en 1995. En 1998, fue publicada la segunda parte. La parte primera es un conjunto de buenas prácticas para la gestión de la seguridad de la información -no es certificable- y la parte segunda especifica el sistema de gestión de

Página 179 de 192

seguridad de la información -es certificable-. La parte primera es el origen de ISO 17799 e ISO 27002 y la parte segunda de ISO 27001. Como tal estándar, ha sido derogado ya, por la aparición de estos últimos.

BSI: British Standards Institution. Comparable al AENOR español, es la Organización que ha publicado la serie de normas BS 7799, además de otros varios miles de normas de muy diferentes ámbitos.

Business Continuity Plan: Véase: Plan de continuidad de la operación.

C

CERT (Computer Emergency Response Team): Equipo de Respuesta a Emergencias Computacionales (Marca registrada por la Universidad Carnegie - Melon).

Certification body: Véase: Entidad de certificación.

CIA: Acrónimo inglés de confidencialidad, integridad y disponibilidad, los parámetros básicos de la seguridad de la información.

CID: Acrónimo español de confidencialidad, integridad y disponibilidad, los parámetros básicos de la seguridad de la información.

CCEB: Criterio Común para la Seguridad de Tecnología de Información.

Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los objetivos de la auditoría, sirve de evidencia del plan de auditoría, asegura su continuidad y profundidad y reduce los prejuicios del auditor y su carga de trabajo. Este tipo de listas también se pueden utilizar durante la implantación del SGSI para facilitar su desarrollo.

Clear desk policy: Véase: Política de escritorio despejado.

CobiT: Control Objectives for Information and related Technology. Publicados y mantenidos por ISACA. Su misión es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnología de Información rectores, actualizados, internacional y generalmente aceptados para ser empleados por gerentes de entidades y auditores.

Código malicioso (Malicious Code, Malware): Cubre virus, gusanos, y Troyanos electrónicos. Se pueden distribuir a través de varios métodos incluyendo el email, Web site, shareware / freeware y de otros medios tales como material promocional.

Compromiso de la Dirección: (Inglés: Management commitment). Alineamiento firme de la Dirección de la organización con el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI.

Página 180 de 192

Confidencialidad: (Inglés: Confidenciality). Acceso a la información por parte únicamente de quienes estén autorizados. Según [ISO/IEC 13335-1:2004]:" característica/propiedad por la que la información no está disponible o revelada a individuos, entidades, o procesos no autorizados.

Confidenciality: Véase: Confidencialidad.

Contramedida: (Inglés: Countermeasure). Véase: Control.

Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. (Nota: Control es también utilizado como sinónimo de salvaguarda o contramedida.

Control correctivo: (Inglés: Corrective control). Control que corrige un riesgo, error, omisión o acto deliberado antes de que produzca pérdidas. Supone que la amenaza ya se ha materializado pero que se corrige.

Control detectivo: (Inglés: Detective control). Control que detecta la aparición de un riesgo, error, omisión o acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige.

Control disuasorio: (Inglés: Deterrent control). Control que reduce la posibilidad de materialización de una amenaza, p.ej., por medio de avisos disuasorios.

Control preventivo: (Inglés: Preventive control). Control que evita que se produzca un riesgo, error, omisión o acto deliberado. Impide que una amenaza llegue siquiera a materializarse.

Control selection: Véase: Selección de controles.

Corrective action: Véase: Acción correctiva.

Corrective control: Véase: Control correctivo.

COSO: Committee of Sponsoring Organizations of the Treadway Commission. Comité de Organizaciones Patrocinadoras de la Comisión Treadway. Se centra en el control interno, especialmente el financiero. En Colombia este estándar fue utilizado para realizar el estándar de control interno MECI.

Countermeasure: Contramedida. Véase: Control.

CSIRT (Computer Security Incident Response Team): Equipo de Respuesta a Incidentes de Seguridad Computacional

D

Declaración de aplicabilidad: (Inglés: Statement of Applicability, SOA). Documento que enumera los controles aplicados por el SGSI de la organización -tras el resultado de los procesos de evaluación y

Página 181 de 192

tratamiento de riesgos- además de la justificación tanto de su selección como de la exclusión de controles incluidos en el anexo A de la norma.

Denial of service: Véase: Negación de Servicios.

Desastre: (Inglés: Disaster). Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios habituales de una organización durante el tiempo suficiente como para verse la misma afectada de manera significativa.

Detective control: Véase: Control detectivo.

Deterrent control: Véase: Control disuasorio.

Directiva: (Inglés: Guideline). Según [ISO/IEC 13335-1:2004]: una descripción que clarifica qué debería ser hecho y cómo, con el propósito de alcanzar los objetivos establecidos en las políticas.

Disaster: Véase: Desastre.

Disponibilidad: (Inglés: Availability). Acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. Según [ISO/IEC 13335-1:2004]: característica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada.

E

Entidad de acreditación: (Inglés: Accreditation body). Un organismo oficial que acredita a las entidades certificadoras como aptas para certificar según diversas normas. Suele haber una por país. Son ejemplos de entidades de acreditación: ENAC (España), UKAS (Reino Unido), EMA (México), OAA (Argentina)...

Entidad de certificación: (Inglés: Certification body). Una empresa u organismo acreditado por una entidad de acreditación para auditar y certificar según diversas normas (ISO 27000, ISO 9000, ISO 14000, etc.) a entidades usuarias de sistemas de gestión.

ESF: Foro europeo de seguridad, en el que cooperan más de 70 multinacionales fundamentalmente europeas con el objeto de llevar a cabo investigaciones relativas a los problema comunes de seguridad y control en TI.

Evaluación de riesgos: (Inglés: Risk evaluation). Según [ISO/IEC Guía 73:2002]: proceso de comparar el riesgo estimado contra un criterio de riesgo dado con el objeto de determinar la importancia del riesgo.

Evento: (Inglés: information security event). Según [ISO/IEC TR 18044:2004]: Suceso identificado en un sistema, servicio o estado de la red que indica una posible brecha en la política de seguridad de la información o fallo de las salvaguardias, o una situación anterior desconocida que podría ser relevante para la seguridad.

Página 182 de 192

Evidencia objetiva: (Inglés: Objective evidence). Información, registro o declaración de hechos, cualitativa o cuantitativa, verificable y basada en observación, medida o test, sobre aspectos relacionados con la confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e implementación de un elemento del sistema de seguridad de la información.

F

Fase 1 de la auditoría: Fase en la que, fundamentalmente a través de la revisión de documentación, se analiza en SGSI en el contexto de la política de seguridad de la organización, sus objetivos, el alcance, la evaluación de riesgos, la declaración de aplicabilidad y los documentos principales, estableciendo un marco para planificar la fase 2.

Fase 2 de la auditoría: Fase en la que se comprueba que la organización se ajusta a sus propias políticas, objetivos y procedimientos, que el SGSI cumple con los requisitos de ISO 27001 y que está siendo efectivo.

FIRST (Forum of Incident Response and Security Teams): Foro global de Equipos de Respuesta a Incidentes y Seguridad.

First party auditor: Véase: Auditor de primera parte.

G

Gestión de claves: (Inglés: Key management). Controles referidos a la gestión de claves criptográficas.

Gestión de riesgos: (Inglés: Risk management). Proceso de identificación, control y minimización o eliminación, a un coste aceptable, de los riesgos que afecten a la información de la organización. Incluye la valoración de riesgos y el tratamiento de riesgos. Según [ISO/IEC Guía 73:2002]: actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.

Guideline: Véase: Directiva.

H

Hacking: Es el término que cubre cualquier tentativa de tener acceso desautorizado a un sistema informático.

Humphreys, Ted: Experto en seguridad de la información y gestión del riesgo, considerado "padre" de las normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002.

I

I4: Instituto Internacional para la Integridad de la Información, asociación similar a la ESF, con metas análogas y con sede principal en los EE.UU. Es manejado por el Instituto de Investigación de Standford.

Página 183 de 192


GOBIERNO EN LÍNEA

IBAG: Grupo asesor de empresas de Infosec, representantes de la industria que asesoran al Comité de Infosec. Este comité está integrado por funcionarios de los gobiernos de la Comunidad Europea y brinda su asesoramiento a la Comisión Europea en asuntos relativos a la seguridad de TI.

IEC: International Electrotechnical Commission. Organización internacional que publica estándares relacionados con todo tipo de tecnologías eléctricas y electrónicas.

IIA: Instituto de Auditores Internos.

Impacto: (Inglés: Impact). El coste para la empresa de un incidente -de la escala que sea-, que puede o no ser medido en términos estrictamente financieros -p.ej., pérdida de reputación, implicaciones legales, etc.

Impact: Véase: Impacto.

• Incidente: Según [ISO/IEC TR 18044:2004]: Evento único o serie de eventos de seguridad de lainformación inesperados o no deseados que poseen una probabilidad significativa de comprometer lasoperaciones y amenazar la seguridad de la información. Algunos ejemplos comunes son:

Spam: Envío de correo masivo no solicitado.

• Tomar el control de la computadora del alguien diferente usando un virus informático, un error delsoftware, un Troyano, etc.

Negación del servicio de la computadora o de la red.

Infracción de copyright: música, películas, programas de computadora, etc.

Phishing: Generalmente enviando correos electrónicos que intentan inducir a brindar datos importantes.

• Pharming: Redirigir tráfico de la red de un servidor a otra red controlada para descubrir códigos deacceso o información confidencial.

Information processing facilities: Véase: Servicios de tratamiento de información.

Information Systems Management System: Véase: SGSI.

Information security: Véase: Seguridad de la información.

INFOSEC: Comité asesor en asuntos relativos a la seguridad de TI de la Comisión Europea.

Página 184 de 192

Integridad: (Inglés: Integrity). Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. Según [ISO/IEC 13335-1:2004]: propiedad/característica de salvaguardar la exactitud y completitud de los activos.

Integrity: Véase: Integridad.

Inventario de activos: (Inglés: Assets inventory). Lista de todos aquellos recursos (físicos, de información, software, documentos, servicios, personas, reputación de la organización, etc.) dentro del alcance del SGSI, que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos.

IRCA: International Register of Certified Auditors. Acredita a los auditores de diversas normas, entre ellas ISO 27001.

ISACA: Information Systems Audit and Control Association. Publica CobiT y emite diversas acreditaciones en el ámbito de la seguridad de la información.

ISACF: Fundación de Auditoría y Control de Sistemas de Información.

ISC2: Information Systems Security Certification Consortium, Inc. Organización sin ánimo de lucro que emite diversas acreditaciones en el ámbito de la seguridad de la información.

ISMS: Information Systems Management System. Véase: SGSI.

ISO: Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una agrupación de organizaciones nacionales de normalización cuyo objetivo es establecer, promocionar y gestionar estándares.

ISO 17799: Código de buenas prácticas en gestión de la seguridad de la información adoptado por ISO transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio de nomenclatura el 1 de Julio de 2007.

ISO 19011: “Guidelines for quality and/or environmental management systems auditing”. Guía de utilidad para el desarrollo de las funciones de auditor interno para un SGSI.

ISO 27001: Estándar para sistemas de gestión de la seguridad de la información adoptado por ISO transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicación en 2005.

ISO 27002: Código de buenas prácticas en gestión de la seguridad de la información (transcripción de ISO 17799). No es certificable. Cambio de oficial de nomenclatura de ISO 17799:2005 a ISO 27002:2005 el 1 de Julio de 2007.

ISO 9000: Normas de gestión y garantía de calidad definidas por la ISO.

Página 185 de 192

ISO/IEC TR 13335-3: “Information technology. Guidelines for the management of IT Security.Techniques for the management of IT Security.” Guía de utilidad en la aplicación de metodologías de evaluación del riesgo.

ISO/IEC TR 18044: „Information technology. Security techniques. Information security incident management“ Guía de utilidad para la gestión de incidentes de seguridad de la información.

ISSA: Information Systems Security Association.

ISSAP: Information Systems Security Architecture Professional. Una acreditación de ISC2.

ISSEP: Information Systems Security Engineering Professional. Una acreditación de ISC2.

ISSMP: Information Systems Security Management Professional. Una acreditación de ISC2.

ITIL: IT Infrastructure Library. Un marco de gestión de los servicios de tecnologías de la información.

ITSEC: Criterios de evaluación de la seguridad de la tecnología de información. Se trata de criterios unificados adoptados por Francia, Alemania, Holanda y el Reino Unido. También cuentan con el respaldo de la Comisión Europea (véase también TCSEC, el equivalente de EEUU).

J

JTC1: Joint Technical Committee. Comité técnico conjunto de ISO e IEC específico para las TI.

K

Key management: Véase: Gestión de claves.

L

Lead auditor: Véase: Auditor jefe.

M

Major nonconformity: Véase: No conformidad grave.

Malware: Véase: Código malicioso.

Management commitment: Véase: Compromiso de la Dirección.

N

Página 186 de 192

NBS: Oficina Nacional de Normas de los EE.UU.

Negación del Servicio (Denial of Service – DoS): Los ataques de negación del servicio se diseñan generalmente para obstruir sistemas informáticos de red con una inundación de tráfico en la red. Esta inundación del tráfico tiene a menudo el efecto de negar el acceso al sistema informático para los usuarios legítimos. El tráfico indeseado se genera a menudo usando los sistemas informáticos inocentes conocidos como zombis, que se ha infectado previamente con código malévolo.

NIST: (ex NBS) Instituto Nacional de Normas y Tecnología, con sede en Washington, D.C.

No conformidad: (Inglés: Nonconformity). Situación aislada que, basada en evidencias objetivas, demuestra el incumplimiento de algún aspecto de un requerimiento de control que permita dudar de la adecuación de las medidas para preservar la confidencialidad, integridad o disponibilidad de información sensible, o representa un riesgo menor.

No conformidad grave: (Inglés: Major nonconformity). Ausencia o fallo de uno o varios requerimientos de la ISO 27001 que, basada en evidencias objetivas, permita dudar seriamente de la adecuación de las medidas para preservar la confidencialidad, integridad o disponibilidad de información sensible, o representa un riesgo inaceptable.

Nonconformity: Véase: No conformidad.

O

Objective evidence: Véase: Evidencia objetiva.

Objetivo: (Inglés: Objetive). Declaración del resultado o fin que se desea lograr mediante la implementación de procedimientos de control en una actividad de TI determinada.

OCDE: Organización de Cooperación y Desarrollo Económico. Tiene publicadas unas guías para la seguridad de la información.

P

PDCA: Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las actividades de planificar (establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el SGSI).

Plan de continuidad del negocio: (Inglés: Bussines Continuity Plan). Plan orientado a permitir la continuación de las principales funciones en el caso de un evento imprevisto que las ponga en peligro.

Plan de tratamiento de riesgos: (Inglés: Risk treatment plan). Documento de gestión que define las acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la información inaceptables e implantar los controles necesarios para proteger la misma.

Página 187 de 192

Política de seguridad: (Inglés: Security policy). Documento que establece el compromiso de la Dirección y el enfoque de la organización en la gestión de la seguridad de la información. Según [ISO/IEC 27002:2005]: intención y dirección general expresada formalmente por la Dirección.

Política de escritorio despejado: (Inglés: Clear desk policy). La política de la empresa que indica a los empleados que deben dejar su escritorio libre de cualquier tipo de informaciones susceptibles de mal uso al finalizar el día.

Preventive action: Véase: Acción preventiva.

Preventive control: Véase: Control preventivo.

Q

Qualitative risk analysis: Véase: Análisis de riesgos cualitativo.

Quantitative risk analysis: Véase: Análisis de riesgos cuantitativo.

R

Residual Risk: Véase: Riesgo Residual.

Riesgo: (Inglés: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la probabilidad de un evento y sus consecuencias.

Riesgo Residual: (Inglés: Residual Risk). Según [ISO/IEC Guía 73:2002] El riesgo que permanece tras el tratamiento del riesgo.

Risk: Véase: Riesgo.

Risk acceptance: Véase: Aceptación del riesgo.

Risk analysis: Véase: Análisis de riesgos.

Risk assessment: Véase: Valoración de riesgos.

Risk evaluation: Véase: Evaluación de riesgos.

Risk management: Véase: Gestión de riesgos.

Risk treatment: Véase: Tratamiento de riesgos.

Página 188 de 192

Risk treatment plan: Véase: Plan de tratamiento de riesgos.

S

Safeguard: Salvaguardia. Véase: Control.

Salvaguardia: (Inglés: Safeguard). Véase: Control.

Sarbanes-Oxley: Ley de Reforma de la Contabilidad de Compañías Públicas y Protección de los Inversores aplicada en EEUU desde 2002. Crea un consejo de supervisión independiente para supervisar a los auditores de compañías públicas y le permite a este consejo establecer normas de contabilidad así como investigar y disciplinar a los contables. También obliga a los responsables de las entidades a garantizar la seguridad de la información financiera.

Scope: Véase: Alcance.

Second party auditor: Véase: Auditor de segunda parte.

Security Policy: Véase: Política de seguridad.

Segregación de tareas: (Inglés: Segregation of duties). Reparto de tareas sensibles entre distintos empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por negligencia.

Segregation of duties: Véase: Segregación de tareas.

Seguridad de la información: Según [ISO/IEC 27002:2005]: Preservación de la confidencialidad, integridad y disponibilidad de la información, además otras propiedades como autenticidad, responsabilidad, no repudio y fiabilidad pueden ser también consideradas.

Selección de controles: Proceso de elección de los controles que aseguren la reducción de los riesgos a un nivel aceptable.

SGSI: (Inglés: ISMS). Sistema de Gestión de la Seguridad de la Información. Según [ISO/IEC 27001:2005]: la parte de un sistema global de gestión que, basado en el análisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la seguridad de la información. (Nota: el sistema de gestión incluye una estructura de organización, políticas, planificación de actividades, responsabilidades, procedimientos, procesos y recursos.)

Servicios de tratamiento de información: (Inglés: Information processing facilities). Según [ISO/IEC 27002:2005]: cualquier sistema, servicio o infraestructura de tratamiento de información o ubicaciones físicas utilizados para su alojamiento.

Página 189 de 192

Sistema de Gestión de la Seguridad de la Información: (Inglés: Information Systems Management System). Ver SGSI.

SOA: Statement of Applicability. Véase: Declaración de aplicabilidad.

SSCP: Systems Security Certified Practitioner. Una acreditación de ISC2.

Statement of Applicability: Véase: Declaración de aplicabilidad.

T

TCSEC: Criterios de evaluación de la seguridad de los sistemas de computación, conocidos también con el nombre de Orange Book (Libro naranja), definidos originalmente por el Ministerio de Defensa de los EE.UU. Véase también ITSEC, el equivalente europeo.

TERENA (Trans-European Research and Education Networking Association): Una organización europea que soporta la Internet y las actividades y servicios sobre la infraestructura con la comunidad académica.

TF-CSIRT: Foro internacional para la cooperación en CSIRT a nivel Europeo. Consiste en 2 grupos, uno cerrado accessible solo para equipos acreditados y uno abierto acesible a cualquier persona interesada en CSIRT. TF-CSIRT es una de las actividades de la organización internacional TERENA.

Third party auditor: Véase: Auditor de tercera parte.

Threat: Véase: Amenaza.

TickIT: Guía para la Construcción y Certificación del Sistema de Administración de Calidad del Software.

Tratamiento de riesgos: (Inglés: Risk treatment). Según [ISO/IEC Guía 73:2002]: Proceso de selección e implementación de medidas para modificar el riesgo.

V

Valoración de riesgos: (Inglés: Risk assessment). Según [ISO/IEC Guía 73:2002]: Proceso completo de análisis y evaluación de riesgos.

Vulnerabilidad: (Inglés: Vulnerability). Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.

Vulnerability: Véase: Vulnerabilidad.

W

Página 190 de 192


GOBIERNO EN LÍNEA

WG1, WG2, WG3, WG4, WG5: WorkGroup 1, 2, 3, 4, 5. Grupos de trabajo del subcomité SC27 de JTC1 (Joint Technical Committee) de ISO e IEC. Estos grupos de trabajo se encargan del desarrollo de los estándares relacionados con técnicas de seguridad de la información.

Página 191 de 192

12. ANEXO A – CARACTERIZACIÓN DE PROCESOS Y PROCEDIMIENTOS

Página 192 de 192