Diseno de Un CSIRT Colombiano PDF
Diseno de Un CSIRT Colombiano PDF
Diseno de Un CSIRT Colombiano PDF
Categoría:
Proyecto Diseño de modelo SGSI
Autor (es): para la estrategia de Gobierno en
Línea
Juan C. Alarcón Firmas:
Revisó:
Jairo Pantoja
Aprobó: Juan C. Alarcón
Información Adicional:
Ubicación:
Página 2 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
CONTROL DE CAMBIOS
Página 3 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
TABLA DE CONTENIDO
DERECHOS DE AUTOR...........................................................................................................................................9
AUDIENCIA ........................................................................................................................................................19
INTRODUCCIÓN..................................................................................................................................................20
Página 4 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – SISTEMA DE GESTIÓN DE CALIDAD –
ESTRATEGIA DE GOBIERNO EN LÍNEA
2.1.23. ESTADOS UNIDOS - US-CERT (UNITED STATES - COMPUTER EMERGENCY READINESS TEAM)........................75
2.1.24. ESTONIA – CERT-EE (COMPUTER EMERGENCY RESPONSE TEAM OF ESTONIA)...............................................76
2.1.25. FILIPINAS - PH-CERT (PHILIPPINES COMPUTER EMERGENCY RESPONSE TEAM)..............................................77
2.1.26. FRANCIA-CERTA (CENTRE D'EXPERTISE GOUVERNEMENTAL DE RÉPONSE ET DE TRAITEMENT DES ATTAQUES
INFORMATIQUES) ...........................................................................................................................................................78
2.1.27. HONG KONG - HKCERT (HONG KONG COMPUTER EMERGENCY RESPONSE COORDINATION CENTRE) ..........80
2.1.28. HUNGRÍA - CERT (CERT-HUNGARY)..................................................................................................................81
2.1.29. INDIA - CERT-IN (INDIAN COMPUTER EMERGENCY RESPONSE TEAM) ............................................................83
2.1.30. JAPAN - JPCERT/CC (JP CERT COORDINATION CENTER) ...................................................................................85
2.1.31. MÉXICO – UNAM-CERT (EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD EN CÓMPUTO) ....................87
2.1.32. NUEVA ZELANDIA – CCIP (CENTRE FOR CRITICAL INFRASTRUCTURE PROTECTION) ........................................88
2.1.33. HOLANDA – GOVCERT.NL.................................................................................................................................89
2.1.34. POLONIA - CERT POLSKA (COMPUTER EMERGENCY RESPONSE TEAM POLSKA) .............................................90
2.1.35. QATAR - Q-CERT (QATAR CERT)........................................................................................................................91
2.1.36. REINO UNIDO - GOVCERTUK (CESG´S INCIDENT RESPONSE TEAM) .................................................................92
2.1.37. SINGAPUR – SINGCERT (SINGAPORE CERT)......................................................................................................93
2.1.38. SRI LANKA – SLCERT (SRI LANKA COMPUTER EMERGENCY RESPONSE TEAM).................................................94
2.1.39. TÚNEZ - CERT-TCC (COMPUTER EMERGENCY RESPONSE TEAM - TUNISIAN COORDINATION CENTER) ..........96
2.1.40. VENEZUELA CERT.VE (VENCERT – EQUIPO DE RESPUESTA PARA EMERGENCIAS INFORMÁTICAS) ...............100
2.2. EXPERIENCIAS O ANTECEDENTES EN COLOMBIA.......................................................................................102
2.2.1. CIRTISI – COLOMBIA (CENTRO DE INFORMACIÓN Y RESPUESTA TÉCNICA A INCIDENTES DE SEGURIDAD
INFORMÁTICA DE COLOMBIA) ......................................................................................................................................102
2.2.2. CSIRT COLOMBIA (COL CSIRT) ..........................................................................................................................107
2.2.3. COMITÉ INTERAMERICANO CONTRA EL TERRORISMO DE LA OEA (CICTE) ......................................................108
2.3. EN RESUMEN ..........................................................................................................................................109
2.3.1. CSIRTS PÚBLICOS..............................................................................................................................................109
2.3.2. CSIRTS PRIVADOS .............................................................................................................................................110
2.3.3. CSIRTS INTERNOS .............................................................................................................................................110
2.3.4. CSIRTS DE COORDINACIÓN...............................................................................................................................111
2.3.5. ESQUEMA ASOCIATIVO ENTRE EL SECTOR PÚBLICO Y EL PRIVADO .................................................................111
4. PORTAFOLIO DE SERVICIOS........................................................................................................................118
Página 5 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – SISTEMA DE GESTIÓN DE CALIDAD –
ESTRATEGIA DE GOBIERNO EN LÍNEA
5. PROCESOS Y PROCEDIMIENTOS..................................................................................................................128
7. INDICADORES Y METAS..............................................................................................................................139
8.1. ORGANIGRAMA......................................................................................................................................151
8.1.1. ASESOR JURÍDICO.............................................................................................................................................151
8.1.2. DIRECCIÓN TÉCNICA.........................................................................................................................................151
8.1.3. DIRECCIÓN DE COOPERACIÓN Y SOPORTE.......................................................................................................154
8.1.4. DIRECCIÓN ADMINISTRATIVO Y FINANCIERA ..................................................................................................156
8.2. PROCESO DE SELECCIÓN..........................................................................................................................158
8.2.1. COMPETENCIAS COMUNES..............................................................................................................................158
8.2.2. COMPETENCIAS COMPORTAMENTALES POR NIVEL JERÁRQUICO ..................................................................159
8.2.3. COMPETENCIAS TÉCNICAS...............................................................................................................................159
8.2.4. OTRAS CARACTERÍSTICAS.................................................................................................................................160
8.3. CAPACITACIÓN .......................................................................................................................................161
Página 6 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – SISTEMA DE GESTIÓN DE CALIDAD –
ESTRATEGIA DE GOBIERNO EN LÍNEA
12. ANEXOS...................................................................................................................................................183
Página 7 de 183
LISTA DE ILUSTRACIONES
Ilustración 3: Modelo Detallado del Sistema Administrativo Nacional de Seguridad de la Información .....112
Página 8 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
DERECHOS DE AUTOR
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
• FIRST. http://www.first.org/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
• ENISA. http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf.
Reproduction of material published on this web site is authorized, provided the source is acknowledged, unless it
is stated otherwise. Where prior permission must be obtained for the reproduction or use of material published on
this web site the above mentioned permission shall be cancelled and restrictions shall be imposed through a legal
notice as appropriate published on that specific material.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
• APCERT. http://www.apcert.org/.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
• Terena. http://www.terena.org/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
Página 9 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
The material on this web site is covered by copyright. Apart from any use permitted under the Copyright Act
1968, no part may be reproduced or distributed by any process or means, without the prior written permission of
AusCERT.
AusCERT acknowledges all instances where copyright is held by, or shared with, another organisation. In such
cases, each copyright owner should be contacted regarding reproduction or use of that material.
CC: auscert@auscert.org.au
Subject: RE: RE: (AUSCERT#200869d4a) Re: Permission to use and to make translations about AusCert
To: fernandogaona@hotmail.com
From: auscert@auscert.org.au
Hash: RIPEMD160
Hi Fernando,
We are happy for you to translate the sections of our website that you have highlighted. Additionally we have in
the last week assisted New Zealand via a workshop to aid them in the creation of a National CERT, and we also
provide training for the purpose of creating National CERT teams.
Please do not hesitate to contact us further regarding the possibility of training and further collaboration.
Regards,
Página 10 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
- -- Jonathan Levine –
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
La información presentada en este portal tiene finalidad informativa, especialmente dirigida a los responsables de
seguridad, administradores de redes y sistemas, personal informático y en general cualquier individuo que cumpla
labores al interior de la Administración del Estado. El mal uso de la información entregada puede ser sancionado
en conformidad al estatuto administrativo.
Como el acceso a este portal es público, en los casos en que se detecte uso malicioso de la información, o
intentos de quebrantar la seguridad del sistema, CSIRT Chile se reserva el derecho de ejercer todas las acciones
legales correspondientes contra quien resulte responsable de dichos actos, amparado en la Ley General de
Telecomunicaciones y la Ley de Delito Informático.
Queda estrictamente prohibido utilizar la información presentada en este portal sin el conocimiento y
consentimiento formal por parte de CSIRT Chile, en especial para efectos contrarios a los buscados por este
equipo.
Se solicita autorización.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
Página 11 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
All materials released by Internet Incident Response Support Center are protected under the copyright law and
copyrights of all released materials are owned by the center. Accordingly, it is prohibited to copy or distribute
them partially and entirely.
If you seek for economic profits or benefits equivalent of it, a prior consultation with the center or prior approval
from the center is required. In case those materials are quoted partially or entirely after prior consent or
approval, it shall clearly state that the source of quoted contents belongs to the center.
The hyperlink from other web sites to the main web page of the center is allowed but not to the other web pages
(sub domain). Also, before setting a hyperlink to the main web page of the Center, it should be notified to the
center in advance.
In case data posted at a web site of the Center is used for the purpose of positing at the other Internet sites in a
due manner, the arbitrary change of data except simple error correction is prohibited. The violation of this act is
subject to criminal punishment.
For the purpose of news report, criticism, education and study activities, data posted in the web page can be
quoted as long as they satisfy fair practices within a legal boundary.
However, in this case, the quotation of materials is limited to less than 10% of the whole contents. The violation
of this act is regarded as infringement on copyright.
As long as the data provided by the center is used for individual purpose (not commercial purpose) or within a
boundary of household and equivalent boundary, it can be copied for use. However, even if a specific company,
non-profit organization, intends to copy them for the purpose of internal use only, it is not allowed to copy
materials.
The illegal copy and distribution of materials provided by the center falls under infringement on copyright
property law and the violator is sentenced to imprisonment not exceeding 5 years and a fine not exceeding 50
Mio.won.
For more detailed information, you can contact the Internet Incident Response Support Center
Se solicita autorización.
Información sobre estas páginas pueden ser protegidas por los derechos de autor
Página 12 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
Los textos, diseños, imágenes, bases de datos, logotipos, estructuras, marcas y otros elementos de esCERT-UPC,
incluido todo lo referente a ALTAIR, están protegidos por la normativa de aplicación respecto a la propiedad
intelectual e industrial. esCERT-UPC autoriza a los usuarios a reproducir, copiar, distribuir, transmitir, adaptar o
modificar exclusivamente los contenidos de la web de esCERT-UPC, siempre que se especifique la fuente y/o los
autores.
RedIRIS © 1994-2008
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
Todos los elementos que forman el sitio Web, así como su estructura, diseño y código fuente de la misma, son
titularidad de INTECO y están protegidos por la normativa de propiedad intelectual e industrial.
Se prohíbe la reproducción total o parcial de los contenidos de este sitio Web, así como su modificación y/o
distribución sin citar su origen o solicitar previamente autorización.
INTECO no asumirá ninguna responsabilidad derivada del uso por terceros del contenido del sitio Web y podrá
ejercitar todas las acciones civiles o penales que le correspondan en caso de infracción de estos derechos por
parte del usuario.
Página 13 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
You are permitted to reproduce and distribute documents on this web site in whole or in part, without changing
the text you use, provided that you include the copyright statement or "produced by" statement and use the
document for noncommercial or internal purposes. For commercial use or translations, send your email request to
webmaster@us-cert.gov.
Se solicita autorización.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
• Francia-CERTA. http://www.certa.ssi.gouv.fr/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
Página 14 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
Except where specifically noted, all material on this site is © Crown copyright.
Material featured on this site is subject to Crown copyright protection unless otherwise indicated. The Crown
copyright protected material may be reproduced free of charge in any format or media without requiring specific
permission, provided that the material is reproduced accurately and is not further disseminated in any way, and
on condition that the source of the material and its copyright status are acknowledged.
The permission to reproduce Crown copyright protected material does not extend to any material on this site that
is identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained
from the copyright holders concerned.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
Página 15 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
The material featured on this site is subject to Crown Copyright protection unless otherwise indicated. The Crown
Copyright protected material (other than CPNI logo and website design) may be reproduced free of charge in any
format or medium provided it is reproduced accurately and not used in a misleading context. Where any of the
Crown Copyright items on this site are being republished or copied to others, the source of the material must be
identified and the copyright status acknowledged.
The permission to reproduce Crown protected material does not extend to any material on this site which is
identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained from
the copyright holders concerned.
For further information on Crown copyright policy and licensing arrangements, please refer to the guidance on
OPSI's website at www.opsi.gov.uk/advice/crown-copyright/copyright-guidance/index.htm.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
1. SingCERT Security Alerts (such as advisories and bulletins): Permission is granted to reproduce and distribute
SingCERT security alerts in their entirety, provided the SingCERT PGP signature or the PGP signature of the
original creator of the alerts is included and provided the alert is used for noncommercial purposes with the intent
of increasing the awareness of the Internet community.
2. All materials produced by SingCERT except as noted in Section 1, "SingCERT security alerts": Requests for
permission to reproduce documents or Web pages or to prepare derivative works or external and commercial use
should be addressed to SingCERT through email to cert@singcert.org.sgThis e-mail address is being protected
from spam bots, you need JavaScript enabled to view it.
Se solicita autorización.
Website Material: All material on this website is covered by copyright. No part may be re-produced or distributed
by any process or means. Requests for permission to reproduce documents or Web pages or to prepare derivative
works for external and commercial use should be addressed to Sri Lanka CERT through email to
slcert@slcert.gov.lk.
Security Alerts: Permission is granted to reproduce and distribute Sri Lanka CERT security alerts such as
advisories and bulletins in its entirety, provided the signature of the original creator of the alerts is included and
provided the alert is used for non-commercial purposes.
Se solicita autorización.
Página 16 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
• CIRTISI COLOMBIA.
http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de
%202007%202.pdf
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
• Solicitud de Autorización de uso y traducción presentada a los diferentes organismos que así lo
requieren:
Título:
Solicitud:
In order to design a CSIRT for the program “Gobierno en Línea” (e-government) of Colombia, we want to
identify a documented relation of national and international initiatives and experiences in CSIRTs. Then we
request authorization to translate and to reproduce available information in your web page relating to
precedents, offered services, structure of the CSIRT and area of coverage.
The results will be compiled and presented in a technical paper "Design of a CSIRT for the Program Gobierno
en Linea of Colombia " in the chapter " Documented Relation of National and International Experiences and
Initiatives in CSIRTs ".
Cordial greeting,
Fernando Gaona
Página 17 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Digiware: http://www.digiware.com.co/Digiware/index1.html
Página 18 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
AUDIENCIA
El documento de Diseño de un CSIRT para la Estrategia de Gobierno en Línea de Colombia está dirigido
especialmente para las entidades públicas y privadas, así como la comunidad académica que participen en
la creación del CSIRT Colombiano o demanden sus productos o servicios, así como la comunidad nacional e
internacional relacionada con el tema de la seguridad de la información.
Página 19 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
INTRODUCCIÓN
Con el rápido desarrollo de internet, las diferentes entidades del país son cada vez más dependientes del
uso de redes públicas, volviendo crítica la protección de la estabilidad de las infraestructuras nacionales
que componen esta nueva e-economía emergente y así mismo es urgente.
Los ataques contra las infraestructuras computacionales están aumentando de frecuencia, en sofisticación
y en escala. Esta amenaza cada vez mayor requiere un acercamiento y colaboración con las varias
organizaciones públicas, privadas y la academia, que tomen el papel de liderazgo y coordinación con el
apoyo total del gobierno tanto a nivel central como territorial.
Para tratar esta necesidad urgente, se propone el establecimiento de un grupo CSIRT Colombiano que
tendría un foco operacional en la atención de emergencias de seguridad de la información para las
transacciones en línea del país, con una permanente colaboración nacional e internacional.
• En el primer capítulo se incluye un marco de referencia donde se define lo que es un CSIRT y algunos
beneficios que conlleva.
• En el tercer capítulo se presenta una definición general del CSIRT, el tipo de entidad que se
recomienda constituir, su misión, visión, el portafolio de productos y servicios, y sus objetivos
estratégicos.
• En el cuarto capítulo se propone un potencial portafolio de productos y servicios que hagan auto
sostenible la operación del CSIRT Colombiano.
Página 20 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• En el sexto capítulo se hace una revisión del entorno del mercado que enfrentará el CSIRT.
• En el séptimo capítulo se hace una recomendación de indicadores y metas que, bajo el enfoque de la
metodología del Balanced Scorecard (Cuadro de Mando Integral), permitan su adecuado control y
gestión.
• En el octavo capítulo se incluye una propuesta de estructura organizacional con las competencias
requeridas para cada rol, el modelo de contratación y capacitación del talento humano del CSIRT
Colombiano.
• En el noveno capítulo se sugieren las etapas para la conformación del CSIRT en Colombia.
Página 21 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
1. QUÉ ES UN CSIRT
1.1. DEFINICIÓN
El término CSIRT significa Computer Security Incident Response Team (Equipo de Respuesta a Incidentes
de Seguridad Informática), y ha sido acuñado respondiendo simultáneamente a diferentes abreviaturas
usadas para denotar a nivel mundial este tipo de equipos:
• CSIRT (Computer Security Incident Response Team / Equipo de Respuesta a Incidentes de Seguridad
Informática): Término usado en Europa.
• CERT o CERT/CC (Computer Emergency Response Team / Coordination Center, equipo de respuesta a
emergencias informáticas / Centro de coordinación): Término registrado en los Estados Unidos de
América por el CERT Coordination Center (CERT/CC).
Un CSIRT es un equipo de expertos en seguridad informática que pretenden responder a los incidentes de
seguridad relacionados con la tecnología de la información y a recuperarse después de sufrir uno de estos
incidentes. Para minimizar los riesgos también se ofrecen servicios preventivos y educativos relacionados
con vulnerabilidades de software, hardware o comunicaciones y se informa a la comunidad sobre los
potenciales riesgos que toman ventaja de las deficiencias de la seguridad.
1.2. ANTECEDENTES
Durante la segunda mitad de los años ochenta se vio la red Arpanet salir de la fase de I&D y convertirse en
una realidad práctica bajo el impulso del mundo universitario y desarrollada por el DoD (el Departamento
de Defensa estadounidense). La eficacia y la constante mejora de los distintos servicios, entre los cuales se
cuenta el correo electrónico, rápidamente hicieron que esta red sea indispensable para numerosos sitios.
En noviembre de 1988, un estudiante de la Universidad de Cornell lanzó en esta red un programa que se
propagaba y se replicaba solo. Este programa, conocido con el nombre de “gusano de Internet”,
aprovechaba distintos fallos de seguridad del sistema Unix (el sistema operativo de la mayoría de los
ordenadores conectados en la red). Aunque no fue programado con malas intenciones, este primer virus
informático, se propagó rápidamente obstruyendo al mismo tiempo las máquinas infectadas por múltiples
Página 22 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
copias del gusano. En ese entonces, la red constaba de aproximadamente 60.000 ordenadores. Con sólo el
3 o 4 % de las máquinas contaminadas, la red estuvo totalmente indisponible durante varios días, hasta
que se tomaron medidas cautelares (incluyendo la desconexión de numerosas máquinas de la red).
Para eliminar este “gusano de Internet”, se creó un equipo de análisis ad hoc con expertos del MIT, de
Berkley, Purdue. Se reconstituyó y analizó el código del virus, lo cual permitió, por una parte, identificar y
corregir los fallos del sistema operativo, y por otra parte, desarrollar y difundir mecanismos de
erradicación. Después de este incidente, el director de obras de Arpanet, la DARPA (Defense Advanced
Research Projects Agency), decidió instalar una estructura permanente, el CERT Coordination Center
(CERT/CC) parecido al equipo reunido para resolver el incidente.
Este incidente actuó como una alarma e impulsó la necesidad de cooperación y coordinación multinacional
para enfrentarse este tipo de casos. En este sentido, la DARPA (Defence Advanced Research Projects
Agency / Agencia de Investigación de Proyectos Avanzados de Defensa) creó el primer CSIRT: El CERT
Coordination Center (CERT/CC1), ubicado en la Universidad Carnegie Mellon, en Pittsburgh (Pensilvania,
USA).
Poco después el modelo se adoptó en Europa, y en 1992 el proveedor académico holandés SURFnet puso
en marcha el primer CSIRT de Europa, llamado SURFnet-CERT2. El número de CSIRTs continuó creciendo,
cada uno con su propio propósito, financiación, divulgación y área de influencia. La interacción entre estos
equipos experimentó dificultades debido a las diferencias en lengua, zona horaria y estándares o
convenciones internacionales. Siguieron otros muchos equipos, y en la actualidad existen más de 100
equipos reconocidos alrededor del mundo. Con el tiempo, los CERT ampliaron sus capacidades y pasaron
de ser una fuerza de reacción a prestadores de servicios de seguridad completos que incluyen servicios
preventivos como alertas, avisos de seguridad, formación y servicios de gestión de la seguridad. Pronto el
término “CERT” se consideró insuficiente, y a finales de los años noventa se acuñó el término “CSIRT”. En
la actualidad, ambos términos (CERT y CSIRT) se usan como sinónimos.
Internet comenzó su vertiginoso crecimiento y muchas compañías comenzaron a confiar en Internet sus
transacciones diarias. Así mismo, los CSIRTs continuaron creciendo alrededor del globo, soportando
gobiernos enteros u organizaciones multinacionales.
Desde ese entonces, Internet ha seguido creciendo hasta llegar a ser la red que se conoce actualmente,
con una multiplicación rápida de las máquinas conectadas (varios millones) y de las fuentes de agresión.
1 CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute - Carnegie
Mellon University. Autor: No determinado
Página 23 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Disponer de un equipo dedicado a la seguridad de las TI ayuda a las organizaciones a mitigar y evitar los
incidentes graves y a proteger su patrimonio. Otros posibles beneficios son:
• Disponer de una coordinación centralizada para las cuestiones relacionadas con la seguridad de las TI
dentro de la organización (punto de contacto).
• Reaccionar a los incidentes relacionados con las TI y tratarlos de un modo centralizado y especializado.
• Tener al alcance de la mano los conocimientos técnicos necesarios para apoyar y asistir a los usuarios
que necesitan recuperarse rápidamente de algún incidente de seguridad.
• Fomentar la cooperación en la seguridad de las TI entre los clientes del grupo atendido
(sensibilización).
Página 24 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
En la actualidad existen múltiples organizaciones que usan el nombre CERT - Computer Emergency
Response Team (Equipo de Respuesta a Emergencias de Computación) o CSIRT (término genérico de
significado equivalente).
A continuación se presentan algunas de estas experiencias como primer paso fundamental para la
definición de una propuesta de creación del CSIRT Colombiano (ú.a = 30/09/2008).
Nombre del
Resumen Enlace Fuente
Documento
CSIRT – Handbook Teoría General en http://www.cert.org/ CSIRT - Handbook.pdf
temas de CSIRT
CSIRT FAQ Teoría General en http://www.cert.org/ CSIRT FAQ.doc
temas de CSIRT
Incident Management Teoría General en http://www.cert.org/ 07tr008 - Incident
Capability Metrics temas de CSIRT Management Capability
Metrics Version 0.1.pdf
Incident Management Teoría General en http://www.cert.org/ 08tr007 - Incident
Mission Diagnostic temas de CSIRT Management Mission
Method Diagnostic Method,
Version 1.0.pdf
State of the Practice Teoría General en http://www.cert.org/ State of the Practice of
of Computer Security temas de CSIRT Computer Security
Incident Response Incident Response
Teams Teams.pdf
The Real Secrets of Teoría General en http://www.cert.org/ The Real Secrets of
Incident Management temas de CSIRT Incident
Management.pdf
The Real Secrets of Teoría General en http://www.cert.org/ The Real Secrets of
Incident Management temas de CSIRT Incident
Management.MP3
Incident Response Teoría General en http://www.rediris.es/cert/links/ Incident_Response_SHig
SHight temas de CSIRT csirt.es.html ht.pdf
Improving CSIRT Teoría General en http://www.tesink.org/thesis.pd Thesis.pdf
Communication temas de CSIRT f
Página 25 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Nombre del
Resumen Enlace Fuente
Documento
Through Standardized
and Secured
Information Exchange
Limits to Teoría General en https://www.cert.org/archive/p Limits-to-CSIRT-
Effectiveness in temas de CSIRT df/Limits-to-CSIRT- Effectiveness.pdf
Computer Security Effectiveness.pdf
Incident Response
Teams
eCSIRT.net Teoría General en http://www.ecsirt.net/cec/servi wp2-common-
Deliverable Common temas de CSIRT ce/documents/wp2-common- language.pdf
Language language.pdf
Specification &
Guideline to
Application of the
Common Language
part (i)
eCSIRT.net Teoría General en http://www.ecsirt.net/cec/servi wp2-and-3-guideline.pdf
Deliverable1 Guideline temas de CSIRT ce/documents/wp2-and-3-
to Application of the guideline.pdf
Common Language
part (ii)
Seguridad Informática Teoría General en http://www.arcert.gov.ar/ncurs Seg-adm-6p.pdf
para Administradores temas de CSIRT os/material/Seg-adm-6p.pdf
de Redes y Servidores
Seguridad Informática Teoría General en http://www.arcert.gov.ar/curso Seguridad%20para%20A
para temas de CSIRT s/seguridad_adm/Seguridad%2 dministradores.pdf
Administradores de 0para%20Administradores.pdf
Redes
y Servidores
Helping prevent Teoría General en http://www.telenor.com/telektr Page_029-037.pdf
information security temas de CSIRT onikk/volumes/pdf/1.2005/Page
risks in the transition _029-037.pdf
to integrated
operations
State of the Practice Teoría General en http://www.rediris.es/cert/links/ 03tr001 - State of the
of Computer Security temas de CSIRT csirt.es.html Practice of Computer
Incident Response Security Incident
Teams (CSIRTs) Response Teams.pdf
Expectations for Teoría General en http://www.ietf.org/rfc/rfc2350. Expectations for
Computer Security temas de CSIRT txt Computer Security
Incident Response Incident Response.doc
Site Security Teoría General en http://www.ietf.org/rfc/rfc2196. Site Security
Handbook temas de CSIRT txt Handbook.doc
Página 26 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Nombre del
Resumen Enlace Fuente
Documento
Why do I need a Teoría General en http://www.terena.org/activities jaroszewski-assistance-
CSIRT? temas de CSIRT /tf-csirt/meeting9/jaroszewski- csirt.pdf
assistance-csirt.pdf
Description of the Teoría General en http://www.enisa.europa.eu/cer Description of the
different kinds of temas de CSIRT t_guide/pages/05_01_04.htm different kinds of CSIRT
CSIRT environments environments.docs
Página 27 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Nombre del
Resumen Enlace Fuente
Documento
CERT-SA (Computer Mundo
Emergency Response
Team - Saudi Arabia)
Argentina - ArCERT Experiencias en el http://www.arcert.gov.ar/ Página Web
(Computer Mundo
Emergency Response
Team of the
Argentine Public)
Australia - AusCERT Experiencias en el http://www.auscert.org.au/ Página Web
(Australia Computer Mundo
Emergency Response
Team)
Austria - CERT.at Experiencias en el www.cert.at Página Web
(Computer Mundo
Emergency Response
Team Austria)
Brasil - CERT.br Experiencias en el http://www.cert.br Página Web
(Computer Mundo
Emergency Response
Team Brazil)
Canadá - PSEPC Experiencias en el http://www.psepc- Página Web
(Public Safety Mundo sppcc.gc.ca/prg/em/ccirc/index-
Emergency en.asp
Preparedness
Canada)
Chile – CSIRT-GOV Experiencias en el http://www.csirt.gov.cl/ Página Web
Mundo
Chile - CLCERT Experiencias en el http://www.clcert.cl Página Web
Mundo
China - CNCERT/CC Experiencias en el http://www.cert.org.cn/english Página Web
(National Computer Mundo _web/
Network Emergency
Response Technical
Team)
Corea del Sur - Experiencias en el http://www.krcert.or.kr/ Página Web
KrCERT/CC (CERT Mundo
Coordination Center
Korea)
Dinamarca – DK.CERT Experiencias en el https://www.cert.dk/ Página Web
(Danish Computer Mundo
Emergency Response
Team)
Emiratos Árabes Experiencias en el http://www.aecert.ae/ Página Web
Unidos – aeCERT Mundo
(The United Arab
Emirates Computer
Página 28 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Nombre del
Resumen Enlace Fuente
Documento
Emergency Response
Team)
España - ESCERT Experiencias en el http://escert.upc.edu/index.php Página Web
(Equipo de Seguridad Mundo /web/es/index.html
para la Coordinación
de Emergencias en
Redes Telemáticas)
España – IRIS-CERT Experiencias en el http://www.rediris.es/cert/ Página Web
(Universidades) Mundo
España - CCN-CERT Experiencias en el https://www.ccn-cert.cni.es/ Página Web
(Cryptology National Mundo
Center - Computer
Security Incident
Response Team)
España - INTECO- Experiencias en el http://www.inteco.es/rssRead/S Página Web
CERT (Centro de Mundo eguridad/INTECOCERT
Respuestas a
Incidentes en TI para
PYMES y Ciudadanos)
Estados Unidos - US- Experiencias en el http://www.us-cert.gov Página Web
CERT (United States - Mundo
Computer Emergency
Readiness Team)
Estonia – CERT-EE Experiencias en el http://www.ria.ee/?id=28201 Página Web
Mundo
Filipinas - PH-CERT Experiencias en el http://www.phcert.org/ Página Web
(Philippines Computer Mundo
Emergency Response
Team)
Francia-CERTA Experiencias en el http://www.certa.ssi.gouv.fr/ Página Web
(Centre d'Expertise Mundo
Gouvernemental de
Réponse et de
Traitement des
Attaques
informatiques)
Hong Kong - HKCERT Experiencias en el http://www.hkcert.org/ Página Web
(Hong Kong Mundo
Computer Emergency
Response
Coordination Centre)
Hungría - CERT- Experiencias en el http://www.cert-hungary.hu/ Página Web
Hungria Mundo
India - CERT-In Experiencias en el http://www.cert-in.org.in/ Página Web
Mundo
Japan - JPCERT/CC Experiencias en el http://www.jpcert.or.jp/ Página Web
Página 29 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Nombre del
Resumen Enlace Fuente
Documento
(JP CERT Mundo
Coordination Center)
México – UNAM-CERT Experiencias en el http://www.cert.org.mx/index.h Página Web
Mundo tml
Nueva Zelandia – Experiencias en el http://www.ccip.govt.nz/ Página Web
CCIP (Centre for Mundo
Critical Infrastructure
Protection)
Holanda - Experiencias en el http://www.govcert.nl/ Página Web
GOVCERT.NL Mundo
Polonia - CERT Polska Experiencias en el http://www.cert.pl/ Página Web
(Computer Mundo
Emergency Response
Team Polska)
Qatar - Q-CERT Experiencias en el http://www.qcert.org Página Web
(Qatar CERT) Mundo
Reino Unido - Experiencias en el www.govcertuk.gov.uk Página Web
GovCertUK Mundo
Experiencias en el www.cpni.gov.uk Página Web
Mundo
Singapur – SingCERT Experiencias en el http://www.singcert.org.sg/ Página Web
(Singapore CERT) Mundo
Sri Lanka – SLCERT Experiencias en el http://www.cert.lk/ Página Web
Mundo
Túnez - CERT-TCC Experiencias en el http://www.ansi.tn/en/about_c Página Web
(Computer Mundo ert-tcc.htm
Emergency Response
Team - Tunisian
Coordination Center)
Venezuela CERT.ve Experiencias en el http://www.cert.gov.ve/ Página Web
(VenCERT - Centro de Mundo
Respuestas ante
Incidentes
Telemáticos del
Sector Público)
EXPERIENCIAS o Experiencias en el http://www.udistrital.edu.co/co Página Web
antecedentes EN Mundo munidad/grupos/arquisoft/colcsi
COLOMBIA rt/?q=colcsirt
Comité Experiencias en el http://www.cicte.oas.org/Rev/E ENISA -
Interamericano Mundo S/Events/Cyber_Events/CSIRT work_programme_2006.
Contra el Terrorismo %20training%20course_Colom pdf
de la OEA (CICTE) bia.asp
CSIRT COLOMBIA Experiencias en http://www.udistrital.edu.co/co CSIRT COLOMBIA.doc
Colombia munidad/grupos/arquisoft/colcsi
rt/?q=colcsirt
Developing an Aspectos Financieros http://www.securityfocus.com/i Developing an Effective
Página 30 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Nombre del
Resumen Enlace Fuente
Documento
Effective Incident de un CSIRT nfocus/1592 Incident Cost Analysis
Cost Analysis Mechanism.doc
Mechanism
Incident Cost Analysis Aspectos Financieros http://www.cic.uiuc.edu/groups ICAMPReport1.pdf
and Modeling Project de un CSIRT /ITSecurityWorkingGroup/archiv
e/Report/ICAMPReport1.pdf
Incident Cost Analysis Aspectos Financieros http://www.cic.uiuc.edu/groups ICAMPReport2.pdf
and Modeling Project de un CSIRT /ITSecurityWorkingGroup/archiv
I-CAMP II e/Report/ICAMPReport2.pdf
Defining Incident Procesos de un http://www.cert.org/ 04tr015 - Defining
Management CSIRT Incident Management
Processes for CSIRTs Processes for CSIRTs.pdf
Benchmarking CSIRT Procesos de un http://www.hig.no/index.php/c Kjærem - Benchmarking
work CSIRT ontent/download/3302/70468/fi CSIRT work
Processes le/Kj%C3%A6rem%20- processes.pdf
%20Benchmarking%20CSIRT%
20work%20processes.pdf
How to Design a Procesos de un http://www.securityfocus.com/i How to Design a Useful
Useful Incident CSIRT nfocus/1467 Incident Response
Response Policy Policy.doc
Effectiveness of Productos y Servicios http://www.first.org/conference kossakowski-klaus-
Proactive CSIRT de un CSIRT /2006/papers/kossakowski- papers.pdf
Services klaus-papers.pdf
Recommended Productos y Servicios http://www.ietf.org/rfc/rfc3013. Recommended Internet
Internet Service de un CSIRT txt Service Provider Security
Provider Security Services and
Services and Procedures.doc
Procedures
CSIRT Services List Productos y Servicios http://www.cert.org/ CSIRT-services-list.pdf
de un CSIRT
ENISA - Possible Productos y Servicios http://www.enisa.europa.eu/cer ENISA - Possible services
services that a CSIRT de un CSIRT t_guide/pages/05_02.htm that a CSIRT can
can deliver deliver.doc
Organizational Models Estructura de un http://www.rediris.es/cert/links/ 03hb001 - Organizational
for Computer Security CSIRT csirt.es.html Models for Computer
Incident Response Security Incident
Teams (CSIRTs) Response Teams
(CSIRTs)
Organizational Models Estructura de un http://www.sei.cmu.edu/public Organizational Models
for Computer Security CSIRT ations/documents/03.reports/03 for Computer Security
Incident Response hb001/03hb001chap07.html Incident Response
Teams Teams.doc
Staffing Your Estructura de un http://www.cert.org/ Staffing Your Computer
Computer Security CSIRT Security Incident
Incident Response Response Team.doc
Team
Página 31 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Nombre del
Resumen Enlace Fuente
Documento
CERT-FI First 12 Modelo de Negocio http://www.terena.org/activities huopio-certfi.pdf
months de un CSIRT /tf-csirt/meeting8/huopio-
certfi.pdf
A step-by-step Modelo de Negocio http://www.enisa.europa.eu/do enisa_csirt_setting_up_g
approach de un CSIRT c/pdf/deliverables/enisa_csirt_s uide.pdf
on how to set up a etting_up_guide.pdf
CSIRT
Steps for Creating Modelo de Negocio http://www.cert.org/archive/pd NationalCSIRTs.pdf
National CSIRTs de un CSIRT f/NationalCSIRTs.pdf
Action List for Modelo de Negocio http://www.cert.org/ Action List for
Developing a CSIRT de un CSIRT Developing a CSIRT.pdf
ENISA - Cómo crear Modelo de Negocio http://www.enisa.europa.eu/cer CSIRT_setting_up_guide
un CSIRT paso a paso de un CSIRT t_guide/downloads/CSIRT_setti _ENISA-ES.pdf
ng_up_guide_ENISA-ES.pdf
2.1.1.1. Antecedentes
El Foro de Equipos de Seguridad para Respuesta a Incidentes - FIRST es la primera organización global
reconocida en respuesta a incidentes, tanto de manera reactiva como proactiva.
FIRST fue formado en 1990 en respuesta al problema del gusano de internet que atacó en 1988. Desde
entonces, ha continuado creciendo y desarrollándose en respuesta a las necesidades que cambiaban de los
equipos de la respuesta y de la seguridad del incidente.
FIRST reúne una variedad de equipos de respuesta de incidentes de seguridad informática para entidades
gubernamentales, comerciales y académicas. FIRST busca fomentar la cooperación y coordinación en la
prevención de incidentes, estimular la reacción rápida a los incidentes y promover el compartir información
entre los miembros y la comunidad.
3Tomado de: http://www.first.org/. U.A: 2008/09/26. Publicado por: FIRST.ORG, Inc. Autor: No determinado.
Página 32 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Clases
• Conferencia Anual
• Publicaciones y webservices
2.1.1.3. Estructura
FIRST funciona bajo de un marco operacional, que contiene los principios que gobiernan y las reglas de
funcionamiento de alto nivel para la organización. Sin embargo, FIRST no ejercita ninguna autoridad sobre
la organización y la operación de los equipos individuales miembros.
Secretaría: La secretaría sirve como punto administrativo para FIRST y proporciona un contacto general.
Equipos Miembros: Los equipos de la respuesta del incidente que participan en FIRST representan las
organizaciones que asisten a la comunidad de la tecnología de información o a entidades gubernamentales
que trabajan en la prevención y manipulación de incidentes de seguridad informática.
Enlaces: Individuos o representantes de organizaciones con excepción de los equipos CSIRT que tienen un
interés legítimo en y lo valoran a FIRST.
Comités: El Comité de Dirección de FIRST establece los comités temporales ad hoc requeridos para
alcanzar mejor las metas.
Página 33 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
FIRST está una confederación internacional de los equipos de respuesta a incidente informáticos que de
manera cooperativa manejan incidentes de la seguridad y promueven programas de la prevención del
incidente, anima y promueve el desarrollo de productos, políticas y servicios de la seguridad, desarrolla y
promulga las mejores prácticas de la seguridad y promueve la creación y expansión de los equipos de
incidente alrededor del mundo.
Página 34 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Página 35 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Página 36 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Página 37 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Página 38 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Página 39 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.2.1. Antecedentes
El 10 de marzo de 2004 se creó una Agencia Europea de Seguridad de las Redes y de la Información
(ENISA)5. Su objetivo era garantizar un nivel elevado y efectivo de seguridad de las redes y de la
información en la Comunidad Europea y desarrollar una cultura de la seguridad de las redes y la
información en beneficio de los ciudadanos, los consumidores, las empresas y las organizaciones del sector
público de la Unión Europea, contribuyendo así al funcionamiento armonioso del mercado interior. Desde
hace varios años, diferentes grupos europeos dedicados a la seguridad, como los CERT/CSIRT, los equipos
de detección y respuesta a abusos y los WARP, colaboran para que Internet sea más seguro.
La ENISA desea apoyar el esfuerzo realizado por estos grupos aportando información acerca de las
medidas que garantizan un nivel adecuado de calidad de los servicios. Además, la Agencia desea potenciar
su capacidad de asesorar a los Estados miembros de la UE y los órganos comunitarios en cuestiones
relacionadas con la cobertura de grupos específicos de usuarios de las TI con servicios de seguridad
adecuados. Por lo tanto, basándose en los resultados del grupo de trabajo ad-hoc de cooperación y apoyo
a los CERT, creado en 2005, este nuevo grupo de trabajo se encargará de asuntos relativos a la prestación
de servicios de seguridad adecuados (servicios de los CERT) a grupos de usuarios específicos.
Para asegurar el cumplimiento de sus objetivos según lo precisado en su regulación, las tareas de la
agencia se enfocan en:
5 Reglamento (CE) nº 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la
Agencia Europea de Seguridad de las Redes y de la Información. Una “agencia europea” es un órgano creado por la
UE para realizar una tarea técnica, científica o de gestión muy concreta perteneciente al ámbito comunitario de la UE.
Página 40 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Gestión de la Calidad de
Servicios Reactivos Servicios Proactivos Manejo de Instancias
la Seguridad
• Alertas y • Comunicados • Análisis de • Análisis de riesgos
advertencias • Observatorio de instancias • Continuidad del
• Tratamiento de tecnología • Respuesta a las negocio y
incidentes • Evaluaciones o instancias recuperación tras un
• Análisis de auditorías de la • Coordinación de la desastre
incidentes seguridad respuesta a las • Consultoría de
• Apoyo a la • Configuración y instancias seguridad
respuesta a mantenimiento de • Sensibilización
incidentes la seguridad • Educación /
• Coordinación de la • Desarrollo de Formación
respuesta a herramientas de • Evaluación o
incidentes seguridad certificación de
• Respuesta a • Servicios de productos
incidentes in situ detección de
• Tratamiento de la intrusos
vulnerabilidad • Difusión de
• Análisis de la información
vulnerabilidad relacionada con la
• Respuesta a la seguridad
vulnerabilidad
• Coordinación de la
respuesta a la
vulnerabilidad
Página 41 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.2.3. Estructura
ENISA cubre la Comunidad Económica Europea y sus países miembros son: Austria, Bélgica, Bulgaria, Chipre,
República Checa, Dinamarca, Estonia, Finlandia, Francia, Alemania, Grecia, Hungría, Irlanda, Italia, Latvia, Lituania,
Luxemburgo, Malta, Países Bajos, Polonia, Portugal, Rumania, Eslovaquia, Eslovenia, España, Suecia, Reino Unido,
Noruega, Islandia, Liechtenstein.
Página 42 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.3.1. Antecedentes
APCERT ha sido constituida con la misión de mantener una red de contactos de expertos en seguridad
informática en la región Pacífica de Asia, para mejorar el conocimiento y la capacidad de la región en lo
referente a incidentes de la seguridad de la computadora.
• Asistir a otros CERTs y CSIRTS en la región para conducir respuestas eficiente y eficaz a emergencia
computacionales.
2.1.3.3. Estructura
6Tomado de: http://www.apcert.org/. U.A: 2008/09/26. Publicado por: APCERT. Autor: No determinado.
Página 43 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Miembros Generales
2.1.4.1. Antecedentes
El equipo del CERT CSIRT ayuda a organizaciones para desarrollar, para funcionar, y para mejorar
capacidades de la gerencia del incidente. Las organizaciones pueden aprovecharse de los productos, del
entrenamiento, de los informes, y de los talleres para la comunidad global del Internet.
El centro de coordinación del CERT (CERT/CC), es uno de los grupos con mayor reconocimiento en el
campo de los CERTs. Aunque fue establecido como equipo de respuesta a incidente, el CERT/CC se ha
desarrollado más allá, centrándose en identificar las amenazas potenciales, de notificar a los
7 CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute - Carnegie
Mellon University. Autor: No determinado.
Página 44 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
administradores de sistemas y al personal técnico acerca de dichas amenazas y de coordinar con los
proveedores y los equipos CERT en todo el mundo para tratar las amenazas.
• Análisis de vulnerabilidades, esperando identificar y atenuar los impactos antes de que se conviertan en
una amenaza significativa de la seguridad. Una vez que se identifica una vulnerabilidad, se trabaja con
los proveedores apropiados de la tecnología para resolver la acción.
• Examinan, catalogan y hacen ingeniera inversa sobre códigos malévolos. Estas actividades ayudan a
entender mejor cómo el código trabaja y permiten que se identifiquen las tendencias y los patrones
que pueden revelar vulnerabilidades explotables u otras amenazas potenciales.
• Avisos de prevención
• Alertas
Página 45 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Análisis de vulnerabilidad
• Análisis de hardware
2.1.4.3. Estructura
El Carnegie Mellon CyLab es una iniciativa universitaria, multidisciplinaria que implica más de 200
facultades, estudiantes, y personal en Carnegie Mellon que han construido el liderazgo en tecnología de
información de Carnegie Mellon. Los trabajos de CyLab se centran en la coordinación del CERT (CERT/CC),
el conducir un centro reconocido internacionalmente de seguridad de Internet. A través de su conexión al
CERT/CC, CyLab también trabaja de cerca con US-CERT - una sociedad entre el departamento de la
división nacional de la seguridad de la Ciberseguridad del gobierno (NCSD) y del sector privado,
protegiendo la infraestructura nacional de la información en Estados Unidos.
Página 46 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.5.1. Antecedentes
• Empalmar el soporte europeo para evaluar, probar, integrar y promover nuevas tecnologías del
establecimiento de una red de conocimiento.
Junto con FIRST, TERENA organiza regularmente talleres de entrenamiento para los miembros de los
Equipos de Respuesta al incidente de Seguridad Computacional (CSIRTs), con base en materiales
desarrollados originalmente por el proyecto TRANSITS que funcionó entre 2002 y 2005.
TRANSITS era originalmente un proyecto financiado por la Comunidad Económica Europea para promover
el establecimiento de los equipos de la respuesta del incidente de la seguridad de la computadora (CSIRTs)
tratando el problema de la escasez del personal experto en CSIRTs. Esta meta ha sido tratada
proporcionando cursos de especialización al personal de CSIRTs en temas organizacionales, operacionales,
técnicos, de mercado y temas legales implicados en el establecimiento de un CSIRT.
Desde que el proyecto TRANSITS terminó en septiembre de 2005, TERENA y FIRST unieron sus fuerzas
para organizar talleres a través de Europa, con la ayuda de ayuda financiera de varias organizaciones. Los
talleres más recientes han sido co-organizados y patrocinados por ENISA.
8 Tomado de: http://www.terena.org/. U.A: 2008/09/26. Publicado por: Terena. Autor: No determinado.
Página 47 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.5.3. Estructura
• Secretaría
Página 48 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.6.1. Antecedentes
La Oficina Federal para la Seguridad en la Tecnología de Información (Bundesamt für Sicherheit in der
Informationstechnik - BSI) es la central de servicios de seguridad del gobierno y por ende, asume la
responsabilidad de la seguridad de la sociedad, convirtiéndose en la columna básica de la seguridad interna
en Alemania.
Mantiene contacto con los usuarios (administraciones públicas, gobierno y los municipios, así como las
empresas y los usuarios privados) y fabricantes de tecnología de información.
En Septiembre de 2001 se creo el contexto de la reorganización del BSI CERT-BUND (Equipo de Respuesta
a Emergencias Computacionales para las autoridades federales). Los ataques de virus computacionales
repetidos a las redes y sistemas, creo la necesidad de contar con un lugar central para la solución de los
problemas de la seguridad informática, enfocados en prevenir los agujeros de seguridad en los sistemas
informáticos del gobierno, con reacción siete días la semana.
• Generar y publicar recomendaciones preventivas para evitar las acciones que generen daños.
• Investigar riesgos de seguridad con el uso de la tecnología de información así como desarrollar las
medidas de seguridad.
9 Tomado de: http://www.bsi.bund.de/certbund/. U.A: 2008/09/26. Publicado por: Bundesamt für Sicherheit in der
Informationstechnik (BSI). Autor: No determinado.
Página 49 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Alemania
2.1.7.1. Antecedentes
• Coordinar a nivel nacional los esfuerzos para promover las mejores prácticas de la seguridad y crear
confianza entre la comunidad del ciberespacio.
10
Tomado de: http://www.cert.gov.sa/. U.A: 2008/09/26. Publicado por:CERT-SA. Autor: No determinado.
Página 50 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Servicios Proactivos
• Aviso: Genera alarmas de seguridad de la información que incluye pero no se limitado a la intrusión,
advertencias de vulnerabilidad y asesorías en la seguridad a través del portal.
• Servicios reactivos
• Ayuda de la respuesta del incidente: Asiste en la recuperación de incidentes vía teléfono, email, fax, o
documentación. Puede implicar asistencia técnica en la interpretación de los datos y orienta en
estrategias de mitigación y recuperación.
• Análisis del incidente: Examina la información disponible y evidencia de soporte relacionados con un
incidente, con el fin de identificar el alcance del incidente, el grado del daño causado por el incidente,
la naturaleza del incidente y las estrategias de respuesta.
Arabia Saudita
2.1.8.1. Antecedentes
Página 51 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
esfuerzos para el manejo de los incidentes de seguridad que afecten los recursos informáticos de la
Administración Pública Nacional, es decir cualquier ataque o intento de penetración a través de sus redes
de información.
Adicionalmente difunde información con el fin de neutralizar dichos incidentes, en forma preventiva o
correctiva, y capacita al personal técnico afectado a las redes de los organismos del Sector Público
Nacional. ArCERT comenzó a funcionar en mayo de 1999 en el ámbito de la Subsecretaría de la Gestión
Pública, siendo sus principales funciones:
• Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administración Pública Nacional y
facilitar el intercambio de información para afrontarlos.
• Promover la coordinación entre los organismos de la Administración Pública Nacional para prevenir,
detectar, manejar y recuperar incidentes de seguridad.
• Actuar como repositorio de toda la información sobre incidentes de seguridad, herramientas y técnicas
de defensa
ArCERT cumple funciones de naturaleza eminentemente técnica. No pretende investigar el origen de los
ataques ni quienes son sus responsables. Corresponde al responsable de cada organismo efectuar las
denuncias para iniciar el proceso de investigación
Servicios: Todos los servicios que el ArCERT brinda a los Usuarios son gratuitos y no implican erogación
alguna para el Organismo representado.
Página 52 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Productos
• SIMOS - Sistema de Monitoreo de Seguridad: Permite detectar las vulnerabilidades conocidas de los
servidores, que brinden servicio a través de Internet, de los organismos de la Administración Pública
• FW-APN - Firewall de libre disponibilidad para la Administración Pública Nacional: Solución basada en
software de libre disponibilidad, eficiente, robusta y de bajos requerimientos que cubre las necesidades
de Firewall en la mayoría de las redes de la Administración Pública Nacional. Funciona directamente
desde CD-ROM.
• DNSar - Sistema de Análisis de Servidores y Dominios DNS: DNSar es un software desarrollado por
ArCERT para analizar los servidores y dominios DNS en busca de posibles errores de configuración y
funcionamiento.
• CAL - Coordinación y Análisis de Logs (En desarrollo): CAL es un conjunto de software, de fácil
instalación, que los organismos pueden instalar en una máquina dedicada para la detección de alertas
de seguridad en su red. Además, estas alertas son reenviadas a ArCERT para una visión macro de
estado de seguridad de la administración pública.
2.1.8.3. Estructura
ArCERT está sustentado por un grupo de especialistas, que hoy conforman el equipo de seguridad en
redes, dedicado a investigar sobre incidentes, hacking, herramientas de protección y detección, etc., con
conocimientos y experiencia entre otras, en las siguientes áreas: tecnologías informáticas, Firewalls,
seguridad en Internet é Intranet, detección y erradicación de intrusos, políticas y procedimientos de
seguridad, administración de riesgos, etc.
Página 53 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Argentina
2.1.9.1. Antecedentes
AusCERT supervisa y evalúa amenazas globales de la red de ordenadores y las vulnerabilidades. AusCERT
publica boletines de seguridad, incluyendo estrategias recomendadas de prevención y mitigación.
AusCERT ofrece servicios de administración de incidentes que puede ser una manera eficaz de parar un
ataque en curso de la computadora o proporcionar la asesoría práctica en la respuesta y recuperación de
un ataque.
Las organizaciones del miembro de AusCERT gozan de un número de servicios no disponibles al público en
general. Estos servicios incluyen:
• Acceso a Foros.
• Servicios de gerencia del incidente: incluyen la coordinación del incidente y la dirección del incidente.
12
Tomado de: http://www.auscert.org.au/. U.A: 2008/09/26. Publicado por: AusCERT, The University of Queensland,
Brisbane QLD 4072, Australia. Autor: No determinado.
Página 54 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Los miembros de AusCERT reciben boletines de la seguridad vía email. Los no miembros pueden
suscribir al servicio de alerta libre nacional.
• AusCERT investiga el ambiente de la seguridad del Internet para el gobierno y la industria dentro de
Australia. Estructura
AusCERT es una organización independiente, sin ánimo de lucro, con base en la Universidad de
Queensland, como parte del área de Servicios de Tecnología de la Información.
AusCERT cubre sus gastos con una variedad de fuentes incluyendo suscripciones de miembros y el
entrenamiento y educación en seguridad informática.
Es miembro activo del Foro FIRST y del Equipo de Respuesta a Emergencia Informática de Asia Pacífico
(APCERT), AusCERT tiene acceso a la información sobre amenazas y vulnerabilidades de la red de
ordenadores que surgen de manera regional y global.
2.1.10.1. Antecedentes
CERT.at es el CERT austríaco nacional que comenzó como un ensayo en marzo de 2008. Como el CERT
nacional, CERT.at es el punto de contacto primario para la seguridad informática en el contexto nacional.
CERT.at coordina otro CERT que funciona en el área de la infraestructura crítica o de la infraestructura de
la comunicación. En el caso de ataques en línea significativos contra la infraestructura austríaca, CERT.at
coordina la respuesta de los operadores y de los equipos locales de la seguridad.
• Respuesta al incidente: CERT.at asiste al equipo de seguridad en el manejo de los aspectos técnicos y
de organización de incidentes. Particularmente, proporciona ayuda o asesoría con respecto a los
aspectos siguientes de la administración del incidente:
13
Tomado de: www.cert.at. U.A: 2008/09/26. Publicado por: Computer Emergency Response Team Austria. Autor: No
determinado.
Página 55 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Coordinación del incidente: Investiga el incidente y toma las medidas apropiadas. Facilita el contacto
con otros participantes que puedan ayudar a resolver el incidente.
• Actividades Proactivas:
Austria
2.1.11.1. Antecedentes
El CERT.br es el equipo de respuesta a los incidentes de seguridad para el Internet brasileño, responsable
de recibir, analizar y responder a dichos incidentes.
Más allá del proceso de respuesta a los incidentes en sí mismo, el CERT.br también actúa sobre los
problemas de la seguridad, la correlación entre los acontecimientos en el Internet brasileño y de ayuda al
establecimiento de nuevos CSIRTs en el Brasil.
• Ser un único punto para las notificaciones de los incidentes de seguridad, para proveer la coordinación
y la ayuda necesaria en el proceso de respuesta a los incidentes, contactando las piezas implicadas
cuando sea necesario.
14Tomado de: http://www.cert.br. U.A: 2008/09/26. Publicado por: Comitê Gestor da Internet no Brasil (CGI.br). Autor:
No determinado.
Página 56 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Establecer un trabaje colaborativo con otras entidades, como el gobierno, los proveedores de acceso y
servicios y de Internet.
Brasil
2.1.12.1. Antecedentes
El centro es una parte del Centro de Operaciones del Gobierno y un componente importante en la
preparación de la seguridad nacional para atender emergencias en los peligros que acechan al gobierno.
• Divulgación de incidentes
Página 57 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
CCIRC le proporciona los servicios a los profesionales y los encargados de la infraestructura crítica y de
otras industrias relacionadas. Estos servicios se hacen sin cargo alguno:
Canadá
2.1.13.1. Antecedentes
Tiene como propósito contribuir a asegurar el ciberespacio del Gobierno de Chile, en conformidad con lo
señalado en el artículo 17 de la Agenda Digital. Su misión es constituirse como referente en materias de
seguridad informática para todos los servicios que forman parte de la administración del Estado.
CSIRT Chile es dirigido por la jefatura de la División Informática del Ministerio del Interior.
16Tomado de: http://www.csirt.gov.cl/. U.A: 2008/09/26. Publicado por: Ministerio del Interior, Palacio de la Moneda,
Santiago de Chile. Autor: No determinado.
Página 58 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
El equipo de trabajo CSIRT Chile ofrece a los sistemas y redes gubernamentales los siguientes servicios:
• Asesoría en la implementación del decreto supremo 83/2004 del Ministerio Secretaría General de la
Presidencia.
2.1.13.3. Estructura
El CSIRT Chile es una unidad dependiente de la División de Informática del Ministerio del Interior.
Chile
2.1.14.1. Antecedentes
El Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional – CLCERT, tiene como misión
monitorear y analizar los problemas de seguridad de los sistemas computacionales en Chile, y reducir la
cantidad de incidentes de seguridad perpetrados desde y hacia éstos.
Para ello, CLCERT se constituye como un punto nacional de encuentro, contacto y coordinación entre
instituciones y personas relacionadas del medio local.
17Tomado de: http://www.clcert.cl. U.A: 2008/09/26. Publicado por: FCFM Ingeniería, Universidad de Chile. Autor: No
determinado.
Página 59 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Divulgar y poner a disposición de la comunidad información que permita prevenir y resolver estos
incidentes de seguridad
• Educar a la comunidad en general sobre temas de seguridad, promoviendo las políticas que permiten
su implementación.
• CLCERT promueve el uso de Internet, los sistemas computacionales abiertos, y las tecnologías de la
información, haciendo sus usos más seguros y que por lo tanto gocen de la confianza de la comunidad
que los utiliza.
2.1.14.3. Estructura
El origen del CLCERT (fines de 2001) está estrechamente ligado al del Laboratorio de Criptografía Aplicada
y Seguridad (CASLab). Surge como una forma en que el CASLab se vincula con el medio local.
El CLCERT y el CASLab conforman una misma unidad y comparten financiamiento, pero los ámbitos de
acción son distintos. El CASLab prioriza las actividades de investigación, formación de capital humano
altamente especializado y tiene por ámbitos de acción el medio académico principalmente internacional. El
CLCERT prioriza actividades de formación profesional, extensión, transferencia tecnológica y tiene por
principal ámbito de acción el medio local.
Chile
2.1.15.1. Antecedentes
18
Tomado de: http://www.cert.org.cn/english_web/. U.A: 2008/09/26. Publicado por: CNCERT/CC. Autor: No
determinado.
Página 60 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
CNCERT/CC fue fundado en octubre de 2000 y se hizo miembro de FIRST en agosto de 2002. CNCERT/CC
formó parte activa en el establecimiento de APCERT como miembro del comité de dirección de APCERT. Así
CNCERT/CC está parado para una nueva plataforma para una cooperación internacional mejor y un interfaz
prestigioso de la respuesta del incidente de la seguridad de la red de China.
Proporciona servicios de seguridad de la red de ordenadores y brinda orientación para el manejo de los
incidentes de seguridad para las redes públicas nacionales, los sistemas nacionales importantes y las
principales organizaciones, incluyendo la detección, predicción, respuesta y prevención. Recopila, verifica,
acumula y publica la información relacionada con la seguridad del Internet. Es también responsable del
intercambio de la información y la coordinación de acciones con organizaciones de la seguridad
internacional.
Página 61 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.15.3. Estructura
El CNCERT/CC hace parte del Sistema de la Red Pública Nacional de Respuesta a Emergencias de
Seguridad China:
Página 62 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
China
Página 63 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.16.1. Antecedentes
Para hacer frente a los ataques informáticos, prevenir los casos de infracción de seguridad informática y
reducir al mínimo los posibles daños en Corea, el Centro de Seguridad del Internet de Corea ha dedicado
su energía a definir las medidas y metodología eficaces para dar respuesta técnica a los ataques, para la
protección de la red de comunicaciones, de la infraestructura de la red y para el refuerzo del sistema de la
predicción y de alarmas.
Desde julio de 1996 se establece el equipo coreano de respuestas a la emergencia computacional llamado
CERTCC-KR.
En febrero de 1998 se establece como el primer miembro coreano en el FIRST (foro de Equipos de la
Respuesta y de la Seguridad del Incidente).
En diciembre de 2003 se establece el KISC (Korea Internet Security Center), con su centro de operaciones
KrCERT/CC's.
2.1.16.3. Estructura
• Análisis en virus.
19
Tomado de: http://www.krcert.or.kr/. U.A: 2008/09/26. Publicado por: Korea Internet Security Center. Autor: No
determinado.
Página 64 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Supervisión del trafico de ISPs y los Web site más importantes nacionales o internacionales.
Página 65 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.17.1. Antecedentes
DK CERT es un miembro del Foro de los Equipos de Respuesta y Seguridad del Incidente (FIRST).
• DK CERT analiza notificaciones de las personas que se han expuesto a los incidentes de seguridad,
propone soluciones a los problemas y advierte a otros que pudieron ser blancos potenciales para
incidentes similares.
• DK CERT coordina la información entre las partes implicadas y otras organizaciones, tales como
equipos extranjeros de respuesta y la policía.
• DK CERT tiene un papel consultivo y no tiene ninguna autoridad para ordenar realizar tareas.
• DK CERT puede actuar como intermediario de la información entre diversas partes que desean
mantener el anonimato
• DK CERT proporciona asesoría con respecto a riesgos potenciales de seguridad y ofrece la ayuda por
ejemplo, para identificar el método de ataque. Además da instrucción en cómo los sistemas pueden ser
restaurados y como se pueden remediar los daños posibles.
20Tomado de: https://www.cert.dk/. U.A: 2008/09/26. Publicado por: DK.CERT - Danish Computer Emergency Response
Team. Autor: No determinado.
Página 66 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.17.3. Estructura
DK CERT fue establecido en 1991 por el Centro para la Educación y la Investigación Danes UNI-C, bajo el
Ministerio Danés de la Educación, por uno de los primeros casos del hacker en Dinamarca. DK CERT
coordina aproximadamente 10.000 incidentes de seguridad por año.
Dinamarca
2.1.18. EMIRATOS ÁRABES UNIDOS – AECERT21 (THE UNITED ARAB EMIRATES COMPUTER
EMERGENCY RESPONSE TEAM)
2.1.18.1. Antecedentes
Su misión es sostener una infraestructura vigilante de las ciber amenazas de la seguridad y construir una
cultura de la seguridad del ciberespacio en los Emiratos Árabes Unidos.
• Proporcionar a punto central confiable de contacto para el manejo de incidentes de la seguridad del
ciberespacio en los Emiratos Árabes Unidos.
• Establecer un centro nacional para divulgar la información sobre las amenazas, vulnerabilidades e
incidentes de la seguridad del ciberespacio.
21
Tomado de: http://www.aecert.ae/. U.A: 2008/09/26. Publicado por: aeCERT. Autor: No determinado.
Página 67 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.18.3. Estructura
Ha sido establecido por la Autoridad Reguladora de Telecomunicaciones (TRA) de los Emiratos Árabes
Unidos como un cuerpo consultivo que debe recomendar buenas prácticas, políticas, procedimientos y
tecnologías, sin embargo sin ejercer ninguna autoridad sobre su adopción ni responsabilidad sobre la
administración de los riesgos de la ciberseguridad.
2.1.19.1. Antecedentes
A principios de la década de los noventa surge en Europa una iniciativa dispuesta a crear Equipos de
Respuestas a Incidentes de Seguridad en Ordenadores. Gracias al apoyo del programa técnico TERENA se
empiezan a crear CSIRT europeos, es entonces cuando aparece, concretamente a finales de 1994, esCERT-
UPC (Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas - Universidad
Politécnica de Cataluña) como primer centro español dedicado a asesorar, prevenir y resolver incidencias
de seguridad en entornos telemáticos.
esCERT - UPC ayuda y asesora en temas de seguridad informática y gestión de incidentes en redes
telemáticas.
• Divulgar y poner a disposición de la comunidad información que permita prevenir y resolver incidentes
de seguridad.
22Tomado de: http://escert.upc.edu/index.php/web/es/index.html. U.A: 2008/09/26. Publicado por: Equipo de Seguridad para la
Coordinación de Emergencias en Redes Telemáticas. Autor: No determinado.
Página 68 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
De esta forma esCERT pretende mejorar la seguridad de los sistemas informáticos y a su vez aumentar el
nivel de confianza de las empresas y de los usuarios en las redes telemáticas.
Para llevar a cabo sus objetivos esCERT-UPC ofrece a la comunidad una serie de servicios que van desde la
respuesta a incidentes a la definición de una política de seguridad para las empresas, pasando por la
formación.
• Respuesta a Incidentes
• Formación
2.1.19.3. Estructura
esCERT es miembro de TF-CSIRT (Task Force-Collaboration of Incident Response Teams) y junto con otros
equipos de seguridad como los de las compañías Telia o British Telecom.
Forma parte de EPCI (European Private CERT Initiative) una agrupación de CERTs europeos privados.
Dentro de EPCI se encuentran compañías como BT, Alcacel o Siemens.
esCERT en el ámbito mundial participa en el FIRST, principal foro de coordinación de los diferentes CERTs
de todo el mundo.
España
2.1.20.1. Antecedentes
El servicio de seguridad de RedIRIS (IRIS-CERT) tiene como finalidad la detección de problemas que
afecten a la seguridad de las redes de centros de RedIRIS, así como la actuación coordinada con dichos
centros para poner solución a estos problemas. También se realiza una labor preventiva, avisando con
tiempo de problemas potenciales, ofreciendo asesoramiento a los centros, organizando actividades de
acuerdo con los mismos, y ofreciendo servicios complementarios.
23Tomado de: http://www.rediris.es/cert/. U.A: 2008/09/26. Publicado por: IRIS - CERT. Autor: No determinado.
Página 69 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
IRIS-CERT es miembro del FIRST desde el 11 de Febrero de 1997. Además ha sido contribuidor al piloto
EuroCERT desde el 25 de Marzo de 1997 hasta la finalización del mismo en Septiembre de 1999.
Actualmente participa activamente en el Task Force auspiciado por TERENA, TF-CSIRT, para promover la
cooperación entre CSIRTs en Europa.
• Instituciones afiliadas a RedIRIS: Incluye universidades y otros centros de investigación. Estos usuarios
tienen derecho a todos los servicios (por definición) y pueden participar en la coordinación de los
mismos.
• Otros servicios de seguridad nacionales e internacionales: IRIS-CERT actúa como punto de contacto y
de coordinación de incidentes para otros servicios de seguridad. El ámbito de coordinación es toda
España. El ámbito de representación es todo el mundo. IRIS-CERT es miembro de FIRST, fue
contribuyente del proyecto EuroCERT y actualmente participa en el Task Force de TERENA TF-CSIRT,
para promover la cooperación entre CSIRTs en Europa. IRIS-CERT también puede actuar de enlace con
las fuerzas de seguridad del Estado (Policía y Guardia Civil), aunque no tomará acción judicial en
nombre de terceros, y limitará su participación en tales procesos a la asesoría técnica.
• Proveedores y usuarios de Internet en España: El servicio ofrecido a éstos, fuera de las instituciones de
RedIRIS, se limita a lo siguiente:
• Uso de los recursos públicos de IRIS-CERT (Servidor web, FTP, listas de correo).
• Atención de incidentes de seguridad. El servicio de atención de incidentes se ofrece a todos por igual,
según los criterios y prioridades establecidos aquí.
IRIS-CERT ofrece una serie de servicios principalmente orientados a las instituciones afiliadas a RedIRIS.
Algunos de estos servicios se ofrecen, así mismo, a la comunidad de Internet.
• Comunidad RedIRIS
• Auditoría en línea
• Comunidad de Internet
• Gestión de incidentes.
Página 70 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
EL servicio no tiene costo para quien tenga derecho a usar el servicio. No se presta servicio a nadie más. El
Plan Nacional de I+D financia una red para los investigadores, y un servicio de seguridad que garantice la
integridad de la misma. La coordinación de incidentes ajenos a RedIRIS es una tarea adicional, necesaria
para llevar a cabo ese servicio.
2.1.20.3. Estructura
IRIS-CERT funciona bajo el auspicio y con la autoridad delegada del director de RedIRIS.
El IRIS-CERT espera trabajar cooperativo con los administradores y los usuarios de sistema en las
instituciones conectadas RedIRIS, evitando relaciones autoritarias.
España
2.1.21.1. Antecedentes
Este servicio se creo a principios de 2007 como CERT gubernamental español y está presente en los
principales foros internacionales en los que se comparte objetivos, ideas e información sobre la seguridad
de forma global.
Su principal objetivo es contribuir a la mejora del nivel de seguridad de los sistemas de información de las
tres administraciones públicas existentes en España (general, autonómica y local).
Su misión es convertirse en el centro de alerta nacional que coopere y ayude a todas las administraciones
públicas a responder de forma rápida y eficiente a los incidentes de seguridad que pudieran surgir y
afrontar de forma activa las nuevas amenazas a las que hoy en día están expuestas.
24
Tomado de: https://www.ccn-cert.cni.es/. U.A: 2008/09/26. Publicado por: Centro Criptológico Nacional. Ministerio
de Defensa de España. Autor: No determinado.
Página 71 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Para contribuir a esta mejora del nivel de seguridad, el CCN-CERT ofrece sus servicios a todos los
responsables de Tecnologías de la Información de las diferentes administraciones públicas a través de
cuatro grandes líneas de actuación:
• Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los
miembros de las administraciones públicas. En este sentido, las citadas Series CCN-STIC elaboradas por
el CCN ofrecen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los
Sistemas TIC en la Administración.
El CCN-CERT ofrece información, formación y herramientas para que las distintas administraciones puedan
desarrollar sus propios CERTs, permitiendo a este equipo actuar de catalizador y coordinador de CERTs
gubernamentales.
2.1.21.3. Estructura
España
Página 72 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.22.1. Antecedentes
El centro de respuesta surge como iniciativa pública con los siguientes objetivos:
• Actuar como enlace entre las necesidades de PYMEs y ciudadanos y las soluciones que ofertan las
empresas del sector de la seguridad de las tecnologías de la información.
Para llevar a cabo la misión de concienciación, formación, prevención y reacción en materia de seguridad
en tecnologías de la información, INTECO-CERT ofrece un catálogo de servicios a los usuarios:
Página 73 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Foros de Seguridad.
• Cooperación y coordinación con otras entidades de referencia en el sector, tanto a nivel nacional como
internacional.
INTECO-CERT como servicio público e intermediario INTECO-CERT tiene vocación de servicio público sin
ánimo de lucro. El Centro surge con la vocación de servir de apoyo preventivo y reactivo en materia de
seguridad en tecnologías de la información y la comunicación a una tipología de usuarios, la Pequeña y
Mediana Empresa (PYME) y ciudadanos, que no disponen de la formación, sensibilización y recursos
suficientes en dicho campo.
El Centro de Respuesta quiere, en este contexto, erigirse como un puente entre las necesidades de la
demanda (PYMEs y ciudadanos) y las soluciones de la oferta (entidades del sector de la seguridad de las
tecnologías de la información).
España
Página 74 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.23.1. Antecedentes
Establecido en 2003 para proteger la infraestructura del Internet de la nación, US-CERT coordina la
defensa contra y respuestas a los ataques del ciberespacio a través de la nación.
US-CERT es responsable de
• US-CERT obra recíprocamente con las agencias federales, industria, la comunidad de investigación, el
estado y los gobiernos locales, y otros para divulgar la información de la seguridad del ciberespacio
entre el público.
2.1.23.3. Estructura
Estados Unidos
26
Tomado de: http://www.us-cert.gov. U.A: 2008/09/26. Publicado por: Department of Homeland Security - USA.
Autor: No determinado.
Página 75 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.24.1. Antecedentes
Los incidentes de la seguridad se atienden acorde con una prioridad definida según su severidad y alcance
potenciales considerando el número de usuarios afectados, el tipo de un incidente, la blanco del ataque,
así como el origen del ataquey los recursos requeridos para manejar el incidente. Los incidentes prioritarios
incluyen, por ejemplo: ataques que pueden comprometer la vida de la gente, ataques en la infraestructura
del Internet (servidores de nombres, nodos de red importantes y ataques automáticos en grande en los
servidores de la red), etc.
• Orientación en el incidente
Estonia
27Tomado de: http://www.ria.ee/?id=28201. U.A: 2008/09/26. Publicado por: Department for Handling Information Security
Incidents - Estonia. Autor: No determinado.
Página 76 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.25.1. Antecedentes
• Proporciona información sobre la futura tecnología que puede plantear amenazas de la seguridad.
• Genera alarmas sobre medidas a tomar contra amenazas existentes o próximas de la seguridad.
Filipinas
28
Tomado de: http://www.phcert.org/. U.A: 2008/09/26. Publicado por: Philippines Computer Emergency Response
Team. Autor: No determinado.
Página 77 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.26.1. Antecedentes
El Primer Ministro anunció la creación del CERTA, tras la decisión del Comité Interministerial para la
Sociedad de la Información (CISI), en enero de 1999 e inaugurado en febrero de 2000, con el fin de
reforzar la protección de las redes del Estado contra los ataques. A fin de reforzar y coordinar la lucha
contra las intrusiones en los sistemas informáticos de las administraciones del Estado, el Gobierno decide la
creación de una estructura de alerta y de asistencia en la Internet encargada de la misión de vigilar y
responder a los ataques informáticos.
Para alcanzar estos dos objetivos, deben llevarse a cabo en paralelo las tres misiones siguientes:
• Administrar la resolución de un incidente (si es necesario en relación con la red mundial de los CERT).
El CERTA es miembro del FIRST desde el 12 de setiembre de 2000 y participa en la actividad TF-CSIRT
(Computer Security Incident Response Team) que es la coordinación de los CERT europeos.
En la actualidad existen varios CERT en Francia. Esta es la lista de los equipos miembros del FIRST o de la
TF-CSIRT:
• El Cert-IST es el CERT dedicado al sector de la Industria, de los Servicios y del Terciario (IST). Fue
creado a finales del año 1998 por cuatro socios: ALCATEL, el CNES, ELF y France Telecom.
29Tomado de: http://www.certa.ssi.gouv.fr/. U.A: 2008/09/26. Publicado por: Premier Ministre / Secrétariat Général de la
Défense Nationale / Direction centrale de la sécurité des systèmes d'information. Autor: No determinado.
Página 78 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• El CERT-RENATER es el CERT dedicado a la comunidad de los miembros del GIP RENATER (Red
Nacional de telecomunicaciones para la tecnología, la Enseñanza y la Investigación).
• Centralización de las solicitudes de asistencia tras los incidentes de seguridad (ataques) en las redes y
sistemas de informaciones: recepción de las solicitudes, análisis de los síntomas y eventual correlación
de los incidentes.
• Tratamiento de las alertas y reacción a los ataques informáticos: análisis técnico, intercambio de
informaciones con otros CERT, contribución a estudios técnicos específicos.
• Prevención por difusión de informaciones sobre las precauciones que tomar para minimizar los riesgos
de incidente o, por lo menos, sus consecuencias.
• Coordinación eventual con las demás entidades (fuera del campo de acción): centros de competencia
en redes, operadores y proveedores de acceso a Internet, CERT nacionales e internacionales.
2.1.26.3. Estructura
Dicha estructura depende de la Secretaría General de la Defensa Nacional y trabajará en red con los
servicios encargados de la seguridad de la información en todas las administraciones del Estado.
Participará en la red mundial de los CERT (Computer Emergency Response Team).
Francia
Página 79 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.27.1. Antecedentes
• Respuesta a Incidentes: HKCERT proporciona respuesta durante 24 horas al día, 7 días a la semana.
Acepta incidentes por teléfono, fax y e-mail. HKCERT asiste y coordina las acciones de recuperación
para los incidentes.
• Alarma de la Seguridad: HKCERT supervisa de cerca la información sobre temas relacionadas con la
seguridad tales como últimos virus, debilidades de la seguridad y divulga la información al público.
• Publicación: HKCERT publica pautas, listas de comprobación, alarmas y artículos relacionados con la
seguridad. Estos documentos incluyen la información sobre vulnerabilidades de la seguridad,
estrategias de defensa y detección temprana de ataques probables. HKCERT también publica un boletín
de noticias mensual que proporciona la información más reciente en seguridad computacional y de la
red.
Hong Kong
30Tomado de: http://www.hkcert.org/. U.A: 2008/09/26. Publicado por: HKCERT. Autor: No determinado.
Página 80 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.28.1. Antecedentes
CERT-Hungría fue fundada en 2004 en la fundación de Theodore Puskas con la ayuda del Ministerio de la
Informática y de las Comunicaciones.
Los servicios públicos de la organización se ofrecen al gobierno, a los municipios, y a los negocios
húngaros, con la atención especial a la protección de los sistemas informáticos del gobierno húngaro.
CERT-Hungría es lista abordar problemas de la seguridad 24 horas al día 365 días al año. Proporciona
alarmas sobre amenazas nuevamente que emergen. Es responsable de manejar compromisos de la
seguridad en los sistemas informáticos del gobierno húngaro. Proporciona la dirección para reducir
boquetes de la seguridad, y aumenta conocimiento social sobre la información y seguridad de la
computadora a través de varios foros.
• Alarmas y advertencias: Este servicio implica que CERT-Hungría divulgue la información que describe
los ataques de intrusos, vulnerabilidades de la seguridad, alarmas de intrusión, virus informáticos,
bromas, proporcionando una línea de conducta recomendada a corto plazo para ocuparse del
problema. La alarma, la advertencia o la asesoría se envían como reacción a un problema existente
para notificar los componentes de la actividad y para proporcionar la orientación para proteger los
sistemas o recuperar cualquier sistema que fuera afectado.
• Avisos: Los avisos incluyen, pero no se limitan a las alarmas de la intrusión, las advertencias de la
vulnerabilidad y las recomendaciones de seguridad. Los avisos permiten proteger sistemas y redes
contra problemas encontrados antes de que puedan explotar.
• Difusión de la información relacionada con la Seguridad: Este servicio provee una recopilación de
información útil para mejorar la seguridad. Tal información puede incluir:
31Tomado de: http://www.cert-hungary.hu/. U.A: 2008/09/26. Publicado por: CERT Hungary. Autor: No determinado.
Página 81 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Ajustes de proveedores
• Acción a tomar para proteger los sistemas y las redes afectadas o amenazadas por el intrusos
• Educación y entrenamiento: Con seminarios, los talleres, los cursos y clases particulares, CERT-Hungría
educa sobre soluciones de seguridad computacional. Los temas pueden ser:
Página 82 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Incidente y pautas
• Otra información necesaria para proteger, detectar, divulgar y responder a los incidentes de la
seguridad computacional.
Hungría
2.1.29.1. Antecedentes
El propósito del CERT-In es convertirse en la agencia de confianza de la comunidad india para responder a
los incidentes de la seguridad de computacional. CERT-In asiste a los miembros de la comunidad india para
ejecutar medidas proactivas para reducir los riesgos de los incidentes de la seguridad informática.
• Servicios Reactivos
• Comparte la información y las lecciones aprendidas con el CERT/CC, otros CERTs y las organizaciones.
32Tomado de: http://www.cert-in.org.in/. U.A: 2008/09/26. Publicado por: Department of Information Technology. Ministry
of Communications & Information Technology, Government of India. Autor: No determinado.
Página 83 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Procedimientos de recuperación
• Análisis de artefactos
• Servicios Proactivos
• Perfilar atacantes.
• Funciones
• Divulgación
• Análisis
• Respuesta
• Envío de recomendaciones para la recuperación y la contención del daño causada por los incidentes.
Página 84 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Ayuda a los administradores de sistemas a tomar la acción de seguimiento para prevenir la repetición
de incidentes similares
2.1.29.3. Estructura
CERT-In funciona bajo auspicios y con la autoridad delegada del Departamento de Tecnología de
Información, del Ministerio de Comunicaciones y Tecnología de Información, del gobierno de la India.
CERT-In trabaja cooperativamente con los oficiales de información y los administradores de sistema de
varias redes sectoriales y de gobierno.
India
2.1.30.1. Antecedentes
JPCERT/CC es el primer CSIRT establecido en Japón. Se coordina con los proveedores de servicios de red,
vendedores de productos de seguridad, agencias estatales, así como las asociaciones gremiales de la
industria. En la región Pacífica de Asia, JPCERT/CC ayudó a formar APCERT (Equipo de Respuesta a
Emergencias Computacionales de Asia Pacífico) y ejerce la función de secretaría para APCERT. Es miembro
del Foro de Equipos de Respuesta y Seguridad del Incidente (FIRST).
33
Tomado de: http://www.jpcert.or.jp/. U.A: 2008/09/26. Publicado por: JPCERT/CC. Autor: No determinado.
Página 85 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Incidente Respuesta y análisis: JPCERT/CC proporciona ayuda técnica para divulgar problemas de la
seguridad de la siguiente manera:
• Con base en información proporcionada por los sitios afectados, JPCERT/CC determina los daños.
• Adicionalmente genera un informe semanal y trimestral sobre respuestas y análisis de incidentes y otra
información relevante a la seguridad computacional.
• Coordinación con otros CSIRTs: Siendo el primer CSIRT formado en Japón, mantiene relaciones
cercanas establecidas con mucho CSIRTs no sólo en la Asia y la región pacífica, sino también en otras
regiones. La coordinación y la colaboración con esos CSIRTs es crucial para el uso seguro de la
tecnología del Internet en todo el mundo.
• Coordinación de Proveedores: Con el fin de evitar, reduce al mínimo o recupera del daño con eficacia y
eficiencia, la coordinación con los proveedores que pudieron afectar la seguridad del Internet es
importante. JPCERT/CC comparte la información con los proveedores locales y distribuyen la
información de la vulnerabilidad de manera oportuna.
Página 86 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Japón
2.1.31.1. Antecedentes
• Análisis de Riesgos.
• Test de Penetración.
• Análisis Forense.
• Auditorias de Seguridad.
34Tomado de: http://www.cert.org.mx/index.html. U.A: 2008/09/26. Publicado por: UNAM-CERT. Autor: Jefe del
Departamento de Seguridad en Cómputo: Juan Carlos Guel. Líder del Proyecto: Alejandro Núñez Sandoval.
Página 87 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Tecnologías de Seguridad.
• Desarrollo de Soluciones.
• Asesorías.
2.1.31.3. Estructura
México
2.1.32.1. Antecedentes
El Centro para la Protección de la infraestructura Crítica (CCIP) es la agencia de estatal dedicada al trabajo
con las organizaciones, la industria y el gobierno relacionados con la infraestructura crítica de Nueva
Zelandia, para mejorar la protección y la seguridad computacional de amenazas.
• Investigar y analizar los incidentes del ciberespacio que ocurren contra la Infraestructura Crítica
Nacional.
• Trabajar con las agencias de protección de la Infraestructura Crítica Nacional tanto de manera local
como internacionalmente para mejorar el conocimiento de la seguridad del ciberespacio en Nueva
Zelandia.
35
Tomado de: http://www.ccip.govt.nz/. U.A: 2008/09/26. Publicado por: Centre for Critical Infrastructure Protection.
Autor: No determinado.
Página 88 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.32.3. Estructura
El Centro para la Protección de la Infraestructura Crítica (CCIP) es una unidad de negocio dentro de la
oficina de Seguridad de Comunicaciones del Gobierno (GCSB).
Nueva Zelandia
2.1.33.1. Antecedentes
• Coordinación: Actúa como punto central de la emergencia de incidentes relacionados con la seguridad,
tales como virus informáticos y detección de vulnerabilidades.
• Ayuda en caso de incidentes: Ofrece ayuda haciendo frente a todas las clases de incidentes,
extendiéndose al correo Spam, a los ataques de la red de la escala grande, con un soporte 7*24.
36
Tomado de: http://www.govcert.nl/. U.A: 2008/09/26. Publicado por: GOV-CERT.NL. Autor: No determinado.
Página 89 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Holanda
2.1.34.1. Antecedentes
El CERT Polska es el nombre oficial del equipo desde el enero de 2001. Era conocido antes como CERT
Nask. Desde el febrero de 1997 el CERT Polska ha sido un miembro del Foro Mundial de Equipos de
Respuesta y Seguridad del Incidente - FIRST. El CERT Nask fue establecido en marzo de 1996 según la
disposición del director de Nask (Red Académica y de Investigación en Polonia).
Sus objetivos son constituir un único punto confiable de atención a incidentes y prevención en Polonia para
los clientes de la comunidad Nask y otras redes en Polonia, responder por los incidentes de seguridad,
proveer información referente a la seguridad y advertencias de los ataques en cooperación con otros
equipos de respuesta a incidentes por todo el mundo
• El CERT Polska registra las peticiones, alertas y proporcionará datos e informes estadísticos de
incidentes.
• El CERT Polska brinda información actual sobre problemas de seguridad y su solución (vía web y lista
de suscripción).
2.1.34.3. Estructura
Polonia
37
Tomado de: http://www.cert.pl/. U.A: 2008/09/26. Publicado por: CERT Polska. Autor: No determinado.
Página 90 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.35.1. Antecedentes
Como Equipo Nacional de Respuesta a Incidente de Seguridad Computacional de Qatar, Q-CERT coordinará
el sistema de actividades de la ciber - seguridad necesarias para mejorar la protección de infraestructuras
críticas en la nación y en la región.
Para alcanzar esta meta, Q-CERT trabajará con las agencias y la industria estatal para formar una
estrategia de la gerencia de riesgo para la seguridad del ciberespacio que incluye los siguientes frentes:
• Disuasión
• Protección
• Respuesta
• Reconstitución y recuperación
• Investigación y desarrollo
Q-CERT cubre todas las organizaciones autorizadas para utilizar el dominio del código de país.qa, así como
la población en general de Qatar que utiliza el Internet. Incluye al gobierno de Qatar, a los negocios e
instituciones educativas que utilizan el Internet para sus operaciones. Los socios estratégicos incluyen la
industria petrolera del aceite, la industria de servicios financieros, la industria de las telecomunicaciones, y
los ministerios del estado de Qatar. Q-CERT trabajará con los institutos educativos en Qatar para aumentar
conocimiento de la seguridad de la información y para mejorar prácticas de seguridad de la información.
• Talleres, seminarios, y cursos diseñados para aumentar el conocimiento acerca de la seguridad del
ciberespacio.
• Provee un Web site para brindar información sobre las amenazas que emergen, nuevas
vulnerabilidades y otros temas de seguridad.
38
Tomado de: http://www.qcert.org. U.A: 2008/09/26. Publicado por: Supreme Council of Information &
Comunication Technology. Autor: No determinado.
Página 91 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.35.3. Estructura
Q-CERT es un organismo nacional patrocinado del Consejo Supremo para la Tecnología de Información y
de Comunicaciones (ictQATAR) del estado de Qatar en asocio con el programa CERT que es parte de
Instituto de Ingeniería de Software de la Universidad Carnegie - Mellon en Pittsburgh, Estados Unidos.
2.1.36.1. Antecedentes
GovCertUK nace en febrero de 2007, como la autoridad técnica nacional para el aseguramiento de la
información y proporciona la función de CERT al gobierno británico. Asiste a organizaciones del sector
público en la respuesta a los incidentes de seguridad computacional y proporciona asesoría para reducir la
exposición a la amenaza.
Este papel incluye disponer de una capacidad de respuesta a emergencias de las organizaciones del sector
público que pueden requerir la ayuda técnica y la asesoría durante períodos de ataque electrónico o de
otros incidentes de la seguridad de la red.
El equipo GovCertUK presta ayuda técnica y asesoría al Centro para la Protección de la Infraestructura
Nacional (Centre for the Protection of National Infrastructure – CPNI40), que proporcionará un papel similar
39
Tomado de: www.govcertuk.gov.uk. U.A: 2008/09/26. Publicado por: CESG GovCertUK Incident Response Team.
Autor: No determinado.
Página 92 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
de ayuda a la infraestructura nacional crítica, a las organizaciones del sector público y privado, protegiendo
la seguridad nacional ayudando así a reducir la vulnerabilidad de la infraestructura nacional al terrorismo y
a otras amenazas.
• Promueven las mejores prácticas entre los operadores de la infraestructura nacional, compartiendo la
información.
2.1.37.1. Antecedentes
40
Tomado de: www.cpni.gov.uk. U.A: 2008/09/26. Publicado por: Centre for the Protection of National Infrastructure
– CPNI. Autor: No determinado.
41
Tomado de: http://www.singcert.org.sg/. U.A: 2008/09/26. Publicado por: Singapur – SingCERT. Autor: No
determinado.
Página 93 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Colabora con los proveedores y otros CERTs para encontrar soluciones a los incidentes de la seguridad
2.1.37.3. Estructura
SingCERT fue establecido inicialmente en octubre de 1997 como programa de la autoridad del desarrollo
de Infocomm de Singapur, en colaboración con el Centro para la Investigación del Internet de la
Universidad Nacional de Singapur.
Singapur
2.1.38. SRI LANKA – SLCERT42 (SRI LANKA COMPUTER EMERGENCY RESPONSE TEAM)
2.1.38.1. Antecedentes
Un CERT nacional actúa como punto focal para la seguridad de Ciberespacio para una nación. Es la única
fuente confiable para asesorar sobre las amenazas y las vulnerabilidades más recientes que afectan los
sistemas informáticos y las redes y para asistir al gobierno en responder y recuperarse de Ataques
computacionales.
42
Tomado de: http://www.cert.lk/. U.A: 2008/09/26. Publicado por: Sri Lanka – SLCERT. Autor: No determinado.
Página 94 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Servicios de Respuesta: Son los servicios que son activados por los acontecimientos que son capaces
de causar efectos nocivos sobre los sistemas de información. Los ejemplos son ataques de Spam, virus
y acontecimientos inusuales de intrusos.
• Dirección en incidentes: Este servicio implica responder a una petición o a una notificación asociada a
la detección de un acontecimiento inusual, que puede afectar el funcionamiento, la disponibilidad o la
estabilidad de los servicios o sistemas informáticos.
• SLCERT realizará pasos para identificar el incidente y para clasificar la severidad del incidente,
asesorando en cómo contener el incidente y suprimir la causa. Una vez los sistemas se recuperan
completamente, SLCERT genera un informe de incidente detallando su naturaleza, medidas tomadas
para recuperarse de incidente y medidas preventivas recomendadas para el futuro.
• Alarmas: Este servicio se utiliza para divulgar la información en relación con virus informáticos, bromas
y vulnerabilidades de la seguridad, y en lo posible, para proporcionar recomendaciones a corto plazo
para ocuparse de las consecuencias de tales ataques.
• Talleres: Estos servicios son dirigido para aumentar el conocimiento acerca de la seguridad de la
información. Se orientan a los profesionales más técnicos, que realizan tareas diarias relacionadas con
la seguridad de la información.
• Base de Conocimiento: La base de conocimiento es un servicio pasivo ofrecido por SLCERT a los
interesados con documentos, artículos, noticias, etc., publicado en el Web site de SLCERT y los medios.
Se busca proporcionar una gama de recursos del conocimiento que permitan a cualquier persona
encontrar información útil para ayudar a aumentar su comprensión de la seguridad de la información.
• Servicios de la Consulta: Estos servicios se orientan a proveer medios de toma de decisiones con
respecto a la seguridad de la información, y para tomar las medidas necesarias para consolidar las
defensas.
• Soporte Técnico: Este servicio de revisión y análisis está dirigido a la infraestructura y procedimientos
de la seguridad adoptados dentro de las organizaciones, de acuerdo con la experiencia en seguridad de
la información del SLCERT y de ciertos parámetros predefinidos. El resultado final es un identificación
Página 95 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
detallada de las debilidades de la infraestructura, las mejoras que deben llevarse a cabo y cómo tales
las mejoras deben ser puestas en ejecución.
• Soporte Consultivo para Política Nacional: Éste es un servicio realizado por SLCERT como obligación
con la nación. Como autoridad primaria en seguridad de la información en Sri Lanka, SLCERT es
responsable de generar y de hacer cumplir estándares de seguridad de la información a nivel nacional.
Sri Lanka
2.1.39.1. Antecedentes
A partir de 2002 se establece el núcleo de un CSIRT en Túnez, que condujo en 2004 al lanzamiento oficial
del CERT-TCC (Computer Emergency Response Team - Centro Tunecino de Coordinación), un CSIRT
público gestionado por la Agencia Nacional para la Seguridad Computacional.
• Proporcionar un soporte confiable7*24, con un solo punto de contacto para las emergencias, para
ayudar a manejar incidentes de la seguridad y para asegurar la protección del Ciberespacio nacional y
la continuidad de servicios críticos nacionales a pesar de ataques.
• Proporcionar el entrenamiento y la certificación de alto nivel para los aprendices y los profesionales.
• Informar sobre las mejores prácticas y sobre aspectos de organización de la seguridad, con un foco
especial en la gerencia de la intervención y de riesgo.
43Tomado de: http://www.ansi.tn/en/about_cert-tcc.htm. U.A: 2008/09/26. Publicado por: National Agency for Computer
Security - Tunez. Autor: No determinado.
Página 96 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Poner en ejecución los mecanismos que permitan alertar y dar respuesta a organizaciones y a
instituciones, para desarrollar sus propias capacidades de la gerencia del incidente
• Facilitar la comunicación entre el profesional y los expertos que trabajan en estructuras de seguridad y
estimular la cooperación entre y a través de los negocios públicos y privados de las agencias estatal y
de las organizaciones académicas.
• Publicaciones: Como material del conocimiento, se desarrollan y distribuyen folletos y guías que
explican a los usuarios de una manera simple y clara las amenazas y cómo proteger sus sistemas.
También distribuyen libremente los CDs con las herramientas de seguridad y de control parental, libres
para el uso doméstico, pero también los patches.
• Juventud y padres: Referente a conocimiento de la juventud y de los padres, preparan material del
conocimiento. Un manual “Pasaporte de la seguridad para la familia” incluyendo concursos, historietas
y juego pedagógico, que explican a los niños de una manera divertida, los riesgos (pedofilia, virus,
etc…) y las reglas básicas de protección.
• Información y actividades de alertas: Una de las principales tareas es detectar y analizar amenazas y
transmitir esa información a los administradores de sistema y a la comunidad de usuarios. CERT-TCC
divulga regularmente información y alarmas sobre vulnerabilidades críticas y actividades malévolas a
través de sus listas de distribución y con su web site. Analiza las vulnerabilidades potenciales,
recogiendo la información, trabajando con otros CSIRTs y proveedores de software para conseguir las
soluciones a estos problemas.
Página 97 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
los multiplicadores que estarán en cargo de reproducir esos cursos en una escala mayor. Los primeros
asuntos identificados son los siguientes:
• CERT-TCC trabaja con profesionales e instituciones académicas para desarrollar planes de estudios en
seguridad de la información y se tiene el proyecto para lanzar un centro de entrenamiento regional en
seguridad en sociedad con el sector privado.
Página 98 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
universidad. CERT-TCC comenzó el desarrollo del material y de los programas del conocimiento para las
escuelas secundarias.
• Dirección y ayuda del incidente: Según la ley relacionado con la seguridad computacional, las
corporaciones privadas y públicas deben informar al CERT-TCC sobre cualquier incidente, que pueda
tener impacto en otros sistemas de información nacionales, con la garantía de confidencialidad ala que
están obligados los empleados del CERT-TCC y los interventores de la seguridad, bajo sanciones
penales. Las organizaciones tanto privadas como públicas deben confiar en el CERT-TCC por lo cual se
obligan a guardar confidencial sobre sus identidades y la información sensible proporcionada. También
deben ser neutrales, que permita trabajar con las entidades y las entidades sin predisposición.
• Se establecieron teléfonos 7*24 que permiten a los profesionales y a los ciudadanos divulgar y llamar
para solicitar ayuda en caso de incidentes de la seguridad computacional y también para solicitar la
información y/o la ayuda en cualquier tema relacionado a la seguridad.
• En las actividades de dirección de la vulnerabilidad y del incidente se asigna una prioridad más alta a
los ataques y a las vulnerabilidades que afectan directamente el ciberespacio nacional. En este sentido
se comenzó a desarrollar un sistema llamado “Saher” que permite determinar y predecir amenazas
grandes y potenciales a las infraestructuras de telecomunicación sensibles y al Ciberespacio local,
basado en código abierto que permite supervisar la seguridad del Ciberespacio nacional en tiempo real
para la detección temprana de ataques masivos. El primer prototipo fue desplegado en noviembre de
2005.
• Para asegurar una respuesta rápida y correcta en caso de ataques grandes contra el Ciberespacio, se
ha desarrollado un plan global de la reacción basado en el establecimiento de células de crisis
coordinadas a nivel de varios agentes del Ciberespacio nacional ( ISPs, IDCs, proveedores de acceso,
redes corporativas grandes) con CERT-TCC actuando como coordinador entre ellos.
2.1.39.3. Estructura
• Equipo Amen: A cargo del análisis del incidente y coordinación y respuesta en sitio y en caso de
emergencia nacional.
Página 99 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Equipo Saherel: A cargo de la detección del incidente y del artefacto, que desarrolla y maneja un
sistema de supervisión para el ciberespacio nacional, basado en soluciones de código abierto. Está
también a cargo de dar asistencia técnica y ayuda para el despliegue de las soluciones de código
abierto.
Túnez
2.1.40.1. Antecedentes
Además centralizará los reportes sobre incidentes de seguridad ocurridos en la Administración Pública y
facilitará el intercambio de información para afrontarlos, provee documentación y asesoría sobre la
seguridad informática.
Sus objetivos son combinar esfuerzos con la comunidad internet nacional e internacional para facilitar y
proporcionar respuesta a los problemas de seguridad informática que afecten o puedan afectar a los
sistemas centrales, así como elevar la conciencia colectiva sobre temas de seguridad informática y llevar a
cabo tareas de investigación que tengan como finalidad mejorar la seguridad de los sistemas existentes.
Coordinar las acciones de monitoreo, detección temprana y respuesta ante incidentes de seguridad de
informática entre los órganos del Poder Público, así como el tratamiento formal de estos incidentes y su
escalamiento ante las instancias correspondientes.
44
Tomado de: http://www.cert.gov.ve/. U.A: 2008/09/26. Publicado por: Venezuela CERT.ve. Autor: No determinado.
• Valoración de los riesgos de cada uno de los Entes Gubernamentales. Con ello se identifican las
amenazas a los activos, se evalúa la vulnerabilidad y la probabilidad de su ocurrencia y se estima su
posible impacto.
• Determinación de requisitos legales, estatutarios y regulatorios que deberían satisfacer los entes de la
Administración Pública, sus usuarios, contratistas y proveedores de servicios.
• Establecimiento de los principios, objetivos y requisitos que forman parte del tratamiento de la
información que el Gobierno Nacional ha desarrollado para apoyar sus operaciones.
Para ello el VenCERT (Centro de Respuestas ante incidentes telemáticos del Sector Público) implementará
un conjunto de políticas, prácticas, y procedimientos y los controles que garanticen el cumplimiento de los
objetivos específicos de seguridad. Asimismo, orientará y asesorará en la definición de estructuras
organizativas, funciones de software y necesidades de formación.
El VenCERT deberá igualmente constituirse en eje central de un sistema de investigación científica aplicada
a la seguridad telemática, convirtiéndose en demandante principal de sus productos y proveedor
permanente de nuevos temas de investigación.
• Promover la coordinación entre los organismos de la Administración Pública para prevenir, detectar,
manejar y recuperar incidentes de seguridad.
• Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administración Pública y facilitar
el intercambio de información para afrontarlos.
• Crear listas de correo con el fin de mantener informados a los directores de informática sobre las
noticias más recientes en materia de seguridad.
2.1.40.2.1. Estructura
2.2.1.1. Antecedentes
Según esta propuesta, CIRTISI Colombia buscaría propender por la prevención, detección y reacción frente
a incidentes de seguridad informática que amenacen y/o desestabilicen la normal operación de entidades
gubernamentales e incluso la seguridad nacional, mediante apoyo tecnológico, entrenamiento y generación
de una cultura global de manejo de la información.
• Brindar apoyo a las entidades gubernamentales para la prevención y rápida detección, identificación,
manejo y recuperación frente a amenazas a la seguridad informática.
• Interactuar con los entes de policía judicial generando un espacio de consulta frente a las amenazas de
seguridad e investigaciones informáticas.
• Proporcionar información especializada y conocimiento a las autoridades de policía judicial durante los
procesos investigativos relacionados con la seguridad informática.
• Consolidar el capitulo HTCIA (High Technology Crime Investigation Association) Colombia y adelantar
las actividades necesarias para su permanencia y crecimiento
• Proporcionar alertas tempranas frente a amenazas informáticas que puedan desestabilizar la tecnología
y la seguridad nacional.
45
Documento: CIRTISI COLOMBIA, Tomado de
http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de%202007%202.pdf. U.A:
2008/09/26. Publicado por: Gobierno en Línea. Autor: No determinado.
• Brindar una adecuada respuesta a incidentes de seguridad informática, con un enfoque metodológico
que propenda por la eficiencia de las investigaciones realizadas.
• Establecer canales de comunicación nacionales expeditos de manera que sea posible ofrecer una
atención a incidentes en forma efectiva.
• Promover la coordinación nacional con otras entidades pertinentes del orden regional
• Establecer contactos con equipos de similar naturaleza o propósito y con organizaciones que agrupen
estos equipos, tanto a nivel nacional como internacional.
El CIRTISI - Colombia propone desarrollar sus actividades dentro de los siguientes ejes estratégicos:
• Actividad Operacional: Obtener diagnósticos reales sobre las diferentes amenazas informáticas que se
generan a partir de una cobertura de servicios y sectores definida y, de la permanente capacitación y
optimización tecnológica.
La conformación del CIRTISI involucraría cinco áreas o divisiones con liderazgo propio de manera que se
puedan cubrir diversos aspectos de la seguridad informática nacional.
• División de Infraestructura y Asesoría: Esta división será la encargada de todo el planeamiento logístico
y estratégico necesario para la conformación y puesta en operación del CIRTISI - Colombia, apoyando
directamente a la dirección general y junta directiva que se designe.
frente a amenazas potenciales. En conjunto con la investigación y desarrollo son el corazón del CIRTISI
en la medida que se convierte en el punto de detección de amenazas globales. Adicionalmente, esta
división está encargada de mantener una base estadística de amenazas a la seguridad de la
información.
• Ministerio de Comunicaciones
El CIRTISI Colombia tendría un alcance nacional que abarca el sector Gobierno y brindaría apoyo a las
entidades gubernamentales para la prevención y rápida detección, identificación, manejo y recuperación
frente a amenazas a la seguridad informática.
También brindaría apoyo técnico y proporcionaría información especializada a los cuerpos de policía judicial
y de control en aspectos relacionados con la seguridad informática. En estos casos, manteniendo reserva
en la información reportada a los organismos y teniendo en cuenta las responsabilidades y controles que el
manejo de este tipo de información requiere.
El CIRTISI establecería canales de interlocución con usuarios del sector privado y la academia con el
propósito de ampliar la información en materia de tendencias e investigación. En este sentido, hará
seguimiento a los principales dispositivos, aplicaciones y herramientas (hardware, software), a fin de
conocer las vulnerabilidades de los sistemas operativos, alertar y obrar en consecuencia. Adicionalmente,
mantendrá una base de datos de incidentes de seguridad, la cual servirá para consulta, seguimiento, y
permitirá llevar un registro histórico de los mismos.
El CIRTISI brindaría capacitación especializada a las áreas técnicas de las diferentes entidades nacionales.
Teniendo en cuenta que la cooperación e intercambio de información entre equipos de esta naturaleza está
basada en la confianza, el CIRTISI - Colombia estaría llamado a constituirse en el punto focal confiable
para organismos similares en el ámbito internacional. El CIRTISI entraría en contacto con otros Equipos de
Seguridad existentes en el mundo, y con las organizaciones que los agrupan, y establecería canales
comunicación permanente para facilitar el intercambio de información técnica, experiencias, metodologías,
procesos, buenas prácticas y otros servicios que ofrecen dichas organizaciones.
2.2.2.1. Antecedentes
Su objetivo es ofrecer un servicio de soporte a las entidades estatales y de educación superior, para la
prevención, detección y corrección de los incidentes de seguridad informáticos, con los siguientes objetivos
específicos.
• Desarrollar una Base de Datos que contenga la información concerniente a los diferentes incidentes de
seguridad informáticos existentes y las preguntas más frecuentemente contestadas (FAQ's).
• Utilizar la clasificación taxonómica de los incidentes y ataques con código malicioso propuesta en el
proyecto de maestría en Teleinformática titulado "ANÁLISIS DE INCIDENTES RECIENTES DE
SEGURIDAD EN INTERNET 1995 a 2003" para ofrecer una respuesta oportuna, eficaz y eficiente a los
distintos reportes y alertas que se reciban diariamente en el centro de respuesta.
• Establecer detalladamente los servicios que prestará el centro de respuesta con respecto a los
incidentes de seguridad informáticos.
• Integrar la base de datos del Centro de Respuesta a incidentes y ataques con código malicioso, al
portal WEB del COL-CSIRT que está siendo desarrollado por el grupo de investigación ARQUISOFT de
la Universidad Distrital Francisco José de Caldas.
Prestará el servicio de manejo de incidentes de seguridad informáticos, a través del análisis de incidentes,
respuesta a los incidentes en lí-nea, soporte a la respuesta del incidente y la coordinación de la respuesta
del incidente.
2.2.2.3. Estructura
El grupo está compuesto por una coordinación, docentes asistentes, estudiantes coordinadores y
estudiantes investigadores.
Colombia
En junio de 2004 se llevó a cabo un taller para practicantes en materia de seguridad cibernética del CICTE
sobre la estrategia integral de seguridad cibernética de la OEA47, y sirvió como marco para establecer una
Red Interamericana CSIRT de vigilancia y alerta.
Su objetivo era crear una red hemisférica de puntos nacionales de contacto entre equipos de respuesta a
incidentes de seguridad en computadoras (Computer Security Incident Response Teams: CSIRT) con
responsabilidad nacional (CSIRT nacionales), en los Estados Miembros de la OEA, con el mandato y la
capacidad de responder debida y rápidamente a las crisis, incidentes y peligros relacionados con la
seguridad cibernética.
Estos equipos podrían comenzar simplemente como puntos de contacto oficiales en cada uno de los
Estados y estarían a cargo de recibir información sobre seguridad cibernética. En el futuro se convertirían
en un CSIRT.
Reviste importancia creciente la colaboración mundial y la capacidad de respuesta en tiempo real entre los
equipos. Dicha colaboración debe permitir lo siguiente:
• El suministro de información sobre medidas para mitigar y remediar los ataques y amenazas
En mayo de 2008 se llevó a cabo en la ciudad de Bogotá una capacitación en “Fundamentos para creación
y manejo de un CSIRT” organizada por la Secretaría del CICTE en coordinación con la Cancillería y la
Policía Nacional de Colombia (DIJIN), con la participación de representantes de Bolivia, Chile, Ecuador,
Paraguay, Perú, República Dominicana, y Colombia, con responsabilidades técnicas y/o políticas relativas al
desarrollo de su infraestructura nacional de seguridad cibernética, incluida la creación y desarrollo de
Computer Security Incident Response Teams (CSIRT).
2.3. EN RESUMEN
A modo de resumen de la revisión documental acerca de las iniciativas y experiencias de CSIRT nacionales
e internacionales y en concordancia con los comentarios recibidos de la firma Suárez Beltrán & Asociados
por medio del Programa Gobierno en Línea, se identifica una tipificación de los CSIRT acorde con sus
estructuras, objetivos y funciones.
El carácter público de los CSIRT suelen ser los responsables por la seguridad de la información para las
entidades gubernamentales, enfocándose en servir como punto único y de coordinación para el manejo de
incidentes de la información relacionados con las infraestructuras críticas nacionales. Así mismo, son
responsables por la definición de estándares y buenas prácticas e impulsan la formación y difusión del
conocimiento en temas de seguridad de la información. Se identifican dos tipos de estructuras: Unidades
públicas independientes o unidades de negocio dependientes de entidades existentes.
• Unidades públicas independientes: Tiene su área de influencia limitada al país y a las entidades
públicas, pero cuentan con plena autoridad para impulsar medidas y tomar acciones preventivas a lo
largo de los sectores económicos y administrativos. Dentro de los beneficios de contar con un CSIRT
dentro de la estructura del gobierno se pueden considerar el permitir identificar un punto único de
contacto central, así como la capacidad de tener un equipo capaz de instrumentar y conducir una
rápida respuesta para contener un incidente de seguridad de la información que pueda poner en riesgo
la infraestructura crítica nacional.
• Unidades de negocio dependientes de entidades existentes. Estas dependencias suelen estar asociadas
a las áreas de inteligencia, sector de las comunicaciones, la ciencia y tecnología, directamente
vinculadas a gabinetes de gobierno o a las entidades policiales o militares. Suelen tener autoridad
compartida con otras instancias para el manejo del incidente informático.
• Organismos consultivos sin ánimo de lucro: Despliegan gran parte de sus servicios y actividades a favor
de sus miembros inscritos, quienes pagan una suma por la afiliación para el mantenimiento de la
estructura del CSIRT. Tiene un papel consultivo y no tiene ninguna autoridad para ordenar o realizar
tareas por parte de sus miembros o el área de influencia. Son fuentes generalizadas de buenas
prácticas, documentos técnicas compartidos con la comunidad y creación de estándares de mercado.
De igual forma, promueven foros para la creación y difusión de conocimiento técnico.
• Organismo con ánimo de lucro: Identificados como proveedores, el mercado ofrece los servicios de los
CSIRT a través de varias alternativas:
o Centros de Análisis, que se concentran en la agrupación y análisis de datos desde varias fuentes
para determinar las tendencias y patrones en la actividad de incidentes.
o Proveedores de Respuesta a Incidentes, que ofrecen servicios de manejo de incidentes para otras
organizaciones.
No tienen ningún tipo de autoridad para la mitigación o tratamiento en los incidentes informáticos.
• Iniciativas Académicas: Bajo este esquema universitario, se generan equipos con énfasis en la
investigación y el análisis de la seguridad informática. Se elaboran publicaciones, foros y talleres,
cursos de capacitación y boletines periódicos.
Estos equipos sólo responden a las necesidades de las organizaciones privadas a las que pertenecen,
imparte instrucciones, políticas y reglas de aplicación. Su principal actividad es la gestión de incidentes en
sus propias entidades.
Esta alianza se organiza con el fin de proteger la infraestructura de internet del país, ante ataques que
pongan en juego su seguridad de la información, beneficiándose del patrocinio económico del sector
privado.
Iniciando el proceso de definición y diseño de un CSIRT48 en Colombia, es muy importante tener en cuenta
la naturaleza del programa Gobierno en Línea en el cual se enmarca este proyecto.
El CSIRT entra a apoyar el modelo de Seguridad de la Información definido para el programa Gobierno en
Línea, facilitando la rápida y efectiva acción para el manejo estratégico de incidentes de seguridad de la
información, e interactuando con el Grupo Técnico de Apoyo que tiene entre sus responsabilidades los
estudios técnicos y el soporte técnico - jurídico para la preparación de los documentos, políticas, objetivos
de control y controles recomendados que son avalados por la Comisión. Asesora a las entidades en su
implementación, certifica su cumplimiento y proporciona apoyo técnico y jurídico para la operatividad del
modelo.
48 CSIRT: Computer Security Incident Response Team (Equipo de Respuesta a Incidentes de Seguridad
Computacional)
Si bien es cierto que en el marco de este proyecto, el CSIRT que se constituya se orientará a los aspectos
de seguridad de la información para la Estrategia de Gobierno en Línea, con el ánimo de hacerlo auto
sostenible en el tiempo, es necesario considerar un amplio portafolio de servicios orientados tanto al sector
público como privado, para lo cual se han considerado 3 alternativas de tipo de entidad, cada una con
ventajas y desventajas respectivamente:
Ventajas Consideradas:
Desventajas Consideradas:
La seguridad de la información nacional es un punto crítico del Estado y se convierte en soporte básico
para la seguridad nacional, siendo la seguridad nacional y la seguridad de su infraestructura crítica una
responsabilidad del mismo Estado, que no puede dejarse en manos de particulares. Por esta razón, se
recomienda el establecimiento de una Asociación de carácter público sin ánimo de lucro, adscrita al
Ministerio de Comunicaciones, que favorezca los intereses de seguridad nacional sobre intereses
particulares y que garantice la transparente e igualitaria gestión de sus servicios. La composición de esta
sociedad puede establecerse con la participación del Ministerio de Comunicaciones (50%), los entes
policivos (DAS, Policía, Fiscalía con el 25%) y la academia (25%), representada por el Instituto Colombiano
para el Desarrollo de la Ciencia y la Tecnología, ‘Francisco José de Caldas’, COLCIENCIAS (ahora
constituido como Departamento Administrativo).
Algunas de las ventajas de contar con un CSIRT como entidad pública son:
• Contar con un grupo de personal especializado, certificado y entrenado en aspectos técnicos a los
cuales muchas entidades públicas no tendrían acceso de manera individual.
• Establecer canales y acuerdos de intercambio de información de manera oficial con otros CSIRT de
carácter gubernamental, policivo y privado así como con organizaciones que agrupan equipos de
seguridad de la información a nivel internacional (por ejemplo, el FIRST y la Red Interamericana de
Respuesta a Incidentes de Seguridad Cibernética de la Organización de Estados Americanos).
El CSIRT entra a apoyar el Modelo de Seguridad de la Información definido para la Estrategia de Gobierno
en Línea y como tal, su relación con las entidades corresponderá a la definida en el Sistema Administrativo
Nacional de Seguridad de la Información (ver documento “Modelo Seguridad - SANSI –SGSI.doc”, numeral
3 –Estructura Institucional). Así mismo, en el capítulo de definición de los Procesos y Procedimientos, en el
numeral 5, se detallará la relación con las diferentes entidades.
3.3. MISIÓN
El CSIRT es el órgano técnico que lidera y coordina los procesos de aseguramiento de la información en el
ámbito Colombiano, para prevenir, detectar, proteger y reaccionar frente a amenazas, vulnerabilidades e
incidentes de seguridad de la información, a usuarios en entidades públicas y privadas, mediante apoyo
tecnológico, entrenamiento y generación de una cultura e higiene para el manejo adecuado de la
seguridad de la información.
3.4. VISIÓN
El CSIRT se consolidará como referente a nivel regional en temas de prevención, detección, coordinación y
respuesta a incidentes de seguridad de la información buscando el mejoramiento continuo y coordinando el
trabajo de grupos de apoyo nacionales e internacionales.
Por defecto, todos los usuarios de información en Colombia, tanto personas jurídicas como naturales,
entidades públicas o privadas, podrán ser apoyados por el CSIRT.
4. PORTAFOLIO DE SERVICIOS
Para el CSIRT, la adecuada selección de servicios se convierte en una decisión relevante para su definición,
fortalecimiento, sostenimiento y continuidad. A continuación, se presenta una recopilación de los
principales tipos de servicios que podría llegar a ofrecer el CSIRT partiendo de la experiencia de otros
CSIRT a nivel mundial. De manera general, los posibles servicios se agrupan así:
Gestión de la Seguridad de la
Servicios Preventivos Servicios Reactivos
información
Comunicados Tratamiento de incidentes Consultoría de seguridad
Análisis de riesgos Análisis de incidentes Publicaciones
Observatorio de tecnología Recopilación de pruebas Sensibilización
Planificación de la forenses Prensa
continuidad del negocio y Seguimiento o rastreo Educación / Formación
recuperación tras un Coordinación de la respuesta a Formación Comunitaria
desastre incidentes Evaluación y graduación de
Evaluaciones de la Apoyo a la respuesta a Entidades
seguridad incidentes Evaluación y graduación de
Auditorías de la seguridad Coordinación del Manejo de Establecimientos.
Alertas y advertencias evidencias Alquiler de Software
Configuración y Respuesta a incidentes in situ Alquiler equipos forenses
mantenimiento de la Centro de interacción
seguridad multimedia.
Desarrollo de Estandarización pliegos de
herramientas de seguridad seguridad informática para el
Difusión de información sector gobierno.
relacionada con la
seguridad
Es importante anotar que a pesar que todos los servicios ofrecidos serán responsabilidad y experticia del
CSIRT, su labor principal será la de coordinación de todas las acciones y entidades involucradas en el
manejo de incidentes de la información a nivel nacional y el desarrollo de estas actividades será objeto de
tercerización, buscando el beneficio de las mejores experiencias y conocimientos a nivel nacional e
internacional. En este sentido, ejercerá las funciones de coordinador de otros CSIRT nacionales o
internacionales, las entidades públicas y privadas involucradas en los incidentes de seguridad de la
información, los proveedores de servicios relacionados con la seguridad de la información, los proveedores
de hardware y software y la academia. En particular con los entes policivos, su responsabilidad llegará
hasta la entrega de los casos y sus insumos correspondientes para su posterior judicialización. A
continuación, se detalla cada uno de los servicios que puede brindar con el apoyo de las entidades
coordinadas.
Aquellos servicios que proveen asistencia y atención para ayudar a preparar, proteger y asegurar un
componente de sistema en anticipación a futuros ataques, problemas o eventos. Llevar a cabo este tipo de
servicios reducirá directamente el número de incidentes en el futuro.
• Comunicados: Este servicio busca informar de manera proactiva a sus clientes, nuevas vulnerabilidades
o herramientas de intrusión recientemente detectadas. Estos comunicados tales como: alertas de
intrusos, advertencias de vulnerabilidad y avisos sobre seguridad, permiten proteger sistemas y redes
de nuevos problemas antes de que éstos se presenten.
• Análisis de riesgos: Este servicio busca diagnosticar y evaluar los posibles riesgos sobre los activos
críticos relacionados con la información, para mejorar así o determinar las estrategias de protección y
respuesta.
• Observatorio de la tecnología: Busca que a través del análisis al entorno de su injerencia, el CSIRT
observe y haga seguimiento a nuevos desarrollos técnicos, actividades de intrusos y tendencias en
identificación de futuras amenazas. Lo cual podrá incluir las disposiciones jurídicas y legislativas, las
amenazas sociales o políticas y las nuevas tecnologías. Todo lo anterior se deberá desarrollar mediante
diferentes actividades tales como: lectura de listas de correo de seguridad, sitios web de seguridad y
noticias y artículos periodísticos de carácter científico, tecnológico, político y público, con lo cual se
logrará una buena retroalimentación en información relacionada con la seguridad de los sistemas y las
redes de los clientes. Adicionalmente y con el objeto de obtener y validar la información e
interpretación exacta, se deberán buscar alianzas o conexiones con otros CSIRT o partes consideradas
autoridades en este ámbito. El producto de este servicio podrá materializarse a través de comunicados,
directrices o unas recomendaciones centradas en las cuestiones de seguridad a medio o largo plazo.
• Revisión de las infraestructuras: Con el fin de asegurar las políticas de mejores prácticas y las
configuraciones estándar de la organización o de la industria, se revisan manualmente todos los
dispositivos informáticos que intervengan o prevengan un incidente informático, entre los que se
destacan de manera general el hardware, software, enrutadores, cortafuegos, servidores, etc.
• Revisión de las mejores prácticas: Con el objeto de determinar si las prácticas de seguridad se adaptan
a la política establecidas y definida por la organización u otras normas establecidas, se realizaran
entrevistas con los empleados y con los administradores del sistema y de la red.
• Escaneo: Uso de detectores de vulnerabilidades o de virus para averiguar qué sistemas y redes son
vulnerables.
• Pruebas de penetración: Con esta evaluación o auditoria se busca comprobar la seguridad de un sitio a
través de un ataque deliberado a sus sistemas y redes.
• Auditorías de la seguridad: Las auditorías de seguridad pueden ser técnicas, que se centran en los
riesgos existentes en los sistemas de información de la organización y en la calidad técnica de las
medidas de protección introducidas, y no técnicas o procedimentales, que estudian el cumplimiento
efectivo de la Política de Seguridad de la organización y de sus procedimientos.
• Alertas y advertencias: Servicio que difunde información, por medio de la cual se describe el ataque de
un intruso, vulnerabilidades de seguridad, alertas de intrusos, virus informáticos o hoaxes49, etc. Este a
su vez recomienda, acciones a corto plazo para la atención o solución a problemas consecuentes.
• Desarrollo de herramientas de seguridad: Este servicio ofrece desarrollar herramientas específicas para
necesidades particulares o generales de sus clientes o propias del CSIRT. Como por ejemplo, desarrollo
de actualizaciones correctivas de seguridad para el software utilizado por el grupo de clientes o la
distribución de software protegido que se pueda utilizar para reconstruir ordenadores comprometidos.
Así mismo se podrá desarrollar herramientas o secuencias de comandos que amplíen la funcionalidad
de las herramientas de seguridad existentes, tales como un nuevo plug-in para una vulnerabilidad o
escáner de red, secuencias de comandos que faciliten el uso de la tecnología de encripción o
mecanismos de distribución automática de actualizaciones correctivas.
• Difusión de información relacionada con la seguridad: Servicio que proporciona de manera fácil y
completa, información útil para mejorar la seguridad. Dicha información puede incluir:
Esta información podrá proceder de fuentes externas tales como otros CSIRT, proveedores, y
expertos en seguridad.
Aquellos servicios que se provocan o se desencadenan por un evento o requerimiento. Este tipo de
servicios, son un componente clave para un trabajo de atención de incidentes.
o Reconstrucción de sistemas.
• Análisis de Incidentes: Este servicio busca definir el alcance del daño e incidentes causados, su
naturaleza, así como también la estrategia definitiva o temporal de respuesta. Este análisis es un
examen general de la información disponible y de las pruebas o instancias relacionadas con un
incidente o evento. Existen muchos niveles de análisis de incidentes y numerosos subservicios, que
dependen del servicio mismo, objetivos y procesos del CSIRT. A continuación se detallan dos
subservicios.
o Seguimiento o rastreo: Busca rastrear los orígenes de un intruso o identificar sistemas a los que
éste haya tenido acceso. Con este servicio además de incluir la identificación del intruso, se
podrá en los sistemas afectados y redes relacionadas, incluir el seguimiento al acceso del
intruso.
• Coordinación de la respuesta a incidentes: Servicio que busca coordinar tareas de respuesta entre las
partes implicadas en el incidente. Dentro de estos se incluye, la víctima del ataque, los sitios
relacionados con el ataque y cualquier otro sitio necesario de asistencia para el análisis del ataque. Este
se hace extensivo inclusive, aquellas áreas de soporte (IT) de la víctima, tales como proveedores de
servicio de internet, administradores de sistema y la red, así como también a otros CSIRT. La
recolección de información sobre contactos, la notificación a los sitios de su implicación potencial (como
víctimas o como orígenes de un ataque), la recolección de datos estadísticos sobre el número de sitios
implicados y tareas dirigidas a facilitar el intercambio y el análisis de la información, así como el reporte
del incidente a departamentos internos o externos, serán entre otras las tareas de coordinación que
pueden abarcar este servicio. Este no incluye una respuesta a los incidentes directa e in situ.
• Apoyo respuesta a incidentes: Servicio proporcionado a través de orientación remota, para que el
personal in situ realice por si mismo las tareas de recuperación. La función del CSIRT será la de
orientar y ayudar al grupo víctima del ataque, a recuperarse del incidente, pero lo hará por medios
telefónicos, correo electrónico fax o documentación. Dentro del servicio se podrá incluir, entre otros, la
interpretación de los datos recogidos, la entrega de información sobre contactos o la orientación en
cuanto a estrategias de mitigación y recuperación.
• Coordinación del Manejo de evidencias: Con fines policivos, se coordina la labor de recopilación y
manejo de evidencias en casos de incidentes de la información, con el fin de garantizar el debido
proceso en el manejo de evidencias digitales (Servicios Forenses).
Página 122 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
• Respuesta a incidentes in situ: Asistencia directa, que busca ayudar a los clientes del grupo atendido a
recuperarse de un incidente. El CSIRT se encargara de analizar físicamente los sistemas afectados,
repararlos y recuperarlos, en especial en aquellos casos que no exista un equipo local respondiendo al
incidente. Para sospecha de incidente, el servicio incluye todas las actividades necesarias para su
corrección o mitigación.
Son servicios establecidos y muy conocidos, diseñados para mejorar la seguridad general de una
organización. Estos servicios están diseñados para tener en cuenta los comentarios recibidos y las lecciones
aprendidas basándose en los conocimientos adquiridos al responder a incidentes, vulnerabilidades y
ataques. Lo anterior hace que se oferten productos que permitan a terceros ayudar a mejorar toda la
seguridad de una organización, identificar riesgos, amenazas y debilidades del sistema. Son servicios
generalmente no técnicos pero preventivos en naturaleza, contribuyendo indirectamente a la reducción en
el número de incidentes.
• Consultoría sobre seguridad: Este servicio busca asesorar y orientar, a los grupos de clientes atendidos
en las mejores prácticas de seguridad. Por lo cual el CSIRT participará en las recomendaciones o
identificación de requisitos de compra, instalación o protección de nuevos sistemas, aplicaciones de
software, dispositivos de red entre otros. Así mismo se ofrece asistencia y orientación en la definición
de políticas de seguridad.
• Publicaciones: Se busca elaborar y distribuir folletos que expliquen de manera simple, las diferentes
amenazas, acciones preventivas y correctivas para el tratamiento de riesgos informáticos. Estas
publicaciones podrán tener adjuntos Discos Compactos de libre uso doméstico de herramientas de
seguridad y de control parental50.
• Sensibilización: Buscando que los grupos de clientes atendidos y/o potenciales, desarrollen sus labores
cotidianas de manera más segura, así como también de mejorar el grado de entendimiento de las
temáticas relacionadas con seguridad, se ofrece un servicio que intenta reducir el número de ataques
con éxito y aumentar la probabilidad de que se detecten y comuniquen ataques. Lo anterior, por medio
de la sensibilización de incidentes de seguridad de la información a través de artículos y desarrollando
pósteres, boletines, sitios web u otros recursos informativos que explican las mejores prácticas en
seguridad y consejos sobre las precauciones que conviene tomar. Durante este proceso de
sensibilización también se incluye reuniones o seminarios de actualización.
• Prensa: Participar en emisiones periódicas en los principales medios nacionales, creando así un
posicionamiento del CSIRT.
• Educación / Formación: Este servicio busca capacitar tanto a primer respondiente en las entidades,
como a los grupos de clientes atendidos y/o potenciales, entre otros temas en la comunicación de
50 Programas (software) que tienen la capacidad de bloquear, restringir o filtrar el acceso a determinada
información ofensiva para los niños o personas susceptibles.
• Graduación y certificación: El CSIRT valorará el grado al cual las entidades se nivelen dentro del Modelo
de Seguridad de la Información para la Estrategia de Gobierno en Línea: RSI Grado 1, Grado 2 y Grado
3, siendo el RSI Grado 1 el más básico y el RSI Grado 3 el más avanzado. Lo anterior, se realizará
inicialmente en las entidades a través de una auto-evaluación de diferentes criterios (ver documento
“Modelo Seguridad - SANSI –SGSI.doc”, capítulo 6.11), para el cual, el CSIRT generará un registro del
grado que será otorgado a las entidades y establecimientos como sello de operación y facilitará a los
usuarios identificar que establecimientos son seguros para realizar sus trámites electrónicos.
De la misma forma, el SANSI a través del CSIRT podrá facultar a terceros para que actúen como
empresas certificadoras basándose en sus competencias, conocimiento, características técnicas, de
infraestructura y know how en torno a la seguridad de la información, para que certifiquen de manera
directa, a las entidades públicas y privadas que cumplan con el Modelo de Seguridad de la Información
para la Estrategia de Gobierno en Línea. Lo anterior se realizará a través de una marca de certificación
para el Modelo de Seguridad, la cual será validada nacionalmente como un sello de seguridad en la
información a las empresas premiadas, esto actuará como un incentivo para fomentar la participación
de las entidades en el Modelo de Seguridad y la ventaja competitiva entre entidades. A continuación,
se detallan los tipos de certificación otorgadas por los terceros facultados:
La certificación provee un sello que puede ser usado tanto en la página web de la
Entidad como en las firmas de sus empleados.
• Alquiler de Software: Este servicio permite que el CSIRT, tenga la posibilidad de cobrar el uso de sus
licencias de software de seguridad de la información (por internet), a través del pago de una cuota
periódica. Entre las ventajas para el cliente, están entre otras dedicar el dinero que destinaría a las
licencias y al proyecto, a su actividad principal, ahorro de costos, reducir el riesgo de obsolescencia del
software, libertad de continuidad en caso de que el software no cumpla con las expectativas, etc.
• Centro de interacción multimedia: Línea de atención a nivel de seguridad, que tendrá como función,
facilitar la comunicación entre el CSIRT y los clientes a través de cualquier medio interactivo (Ej,
internet, chat, teléfono, SMS, etc), permitiendo que estos últimos contacten o sean contactados para
solución de problemas e inquietudes de seguridad de la información. Este servicio será fuente de
información que podrá materializarse en estadísticas y diseño de nuevos servicios.
• Estandarización de pliegos de seguridad de la información del sector gobierno: Con el objeto de apoyar
la contratación pública, y dar un acompañamiento a las interventorías de seguridad de la información,
el CSIRT con su experiencia normalizara parámetros que permitan a las entidades del Gobierno, de
acuerdo con sus necesidades de seguridad de la información, realizar contrataciones públicas con
estándares mínimos exigibles para cada caso.
Todos los servicios propuestos serán responsabilidad del CSIRT, sin embargo algunos de ellos tendrán la
posibilidad de ser ofrecidos por firmas externas (terceros) que tengan la competencia necesaria, para
soportar las actividades del CSIRT. Todas las compañías públicas y privadas que usen servicios del CSIRT,
deberán estar matriculados por medio de una membrecía periódica pagada, la cual le otorga el uso de
algunos de esos servicios que se incluyen en el valor de la membrecía. Existen otros servicios que se
excluyen de esta membrecía y deberán ser pagados de manera independiente, así como algunos servicios
que se ofrecen gratuitamente. A continuación se resumen los servicios de acuerdo con lo anterior.
Del total de servicios ofrecidos, solo el 32% serán ejecutados directamente por el CSIRT, el 68% restante
serán responsabilidad de este mismo, pero ejecutados por Terceros. Así mismo el 94% de los servicios
ofrecido, traerá para este ente técnico retribuciones de tipo económico.
5. PROCESOS Y PROCEDIMIENTOS
Para entender una organización en términos de procesos es fundamental delimitar con precisión los bordes
de la institución creada o a crear, identificando los procesos y los diferentes actores o agentes que definen
el quehacer de la entidad. En la gráfica siguiente se muestra dicha delimitación, partiendo del nemónico
TASCOI que permite precisar seis elementos necesarios para esta tarea: Transformación (Misión de la
entidad), Actores (Quienes participan directamente en la transformación que adelanta la entidad),
Suministradores (Proveedores), Clientes (Beneficiarios o usuarios), Organizadores (Quien dirige y orienta el
curso de la entidad) e Intervinientes (Aunque no hacen parte de la entidad regulan su propósito). Espejo et
al., 1996).
5.2. PROCESOS
Con este capítulo se pretende evitar la fragmentación funcional y promover la integración de actividades en
una estructura organizacional por procesos, que permita identificar las relaciones de estos (interacción) y
su secuencia lógica para maximizar el valor a ofertar al usuario final del producto institucional, para el
efecto se ha partido de identificar un modelo tecnológico de procesos y un modelo de segmentación por
servicios, después de esto se cruzan los dos modelos y se despliegan los procesos para al final caracterizar
los mismos.
El Modelo de Segmentación permite un acercamiento de manera general a los servicios que puede prestar
la nueva institución, de tal forma que pueda ir previendo la estructura funcional, los cargos y competencias
requeridas para operar.
En seguida se cruzan los dos modelos y esto permite establecer de qué manera se despliegan los procesos
en la entidad, base para poder iniciar el proceso de caracterización, es decir, de identificación de los rasgos
diferenciadores de cada proceso:
Con esta información se define el catálogo final de procesos y se inicia la caracterización de los mismos,
disponible en el documento ANEXO A – CARACTERIZACIÓN DE PROCESOS Y PROCEDIMIENTOS.
5.3. PROCEDIMIENTOS
Los procedimientos no son otra cosa que la forma especificada de llevar a cabo los procesos, en otras
palabras, el como se adelanta de manera operativa la tarea. Así las cosas y basados en el esquema del
numeral anterior, se ha definido el siguiente catalogo de procedimientos:
En este análisis se busca identificar las influencias externas generadas por tres diferentes niveles del
entorno empresarial, que afectan directa o indirectamente al CSIRT. Todo el análisis en su conjunto
permitirá a los directivos de esta nueva Entidad, entender que factores pueden influir en el éxito o fracasos
de las estrategias a implementar.
El análisis propuesto, resulta efectivo en la medida que se haga una periódica retroalimentación a cada uno
de los niveles, ya que el entorno empresarial tiene como características, su amplia diversidad, complejidad
y alto velocidad de cambio. A continuación se describe brevemente cada uno de los tres niveles y su
metodología de análisis.
Detalla los factores generales del entorno que afectan en mayor o menor medida al CSIRT. El marco PEST
permite identificar como pueden afectar a la organización las tendencias políticas, económicas, sociales,
tecnológicas.
Dentro de este abanico de factores externos, se resalta el tema regulatorio, las tendencias informacionales
a nivel mundial y el compromiso del Gobierno por garantizar la seguridad nacional y allí la seguridad de la
seguridad de la información en Colombia.
Grupo de empresas que prestan similares o iguales servicios, que son sustitutos cercanos a los ofertados
por el nuevo CSIRT. El modelos de las cinco fuerzas de Porter resulta útil para comprender los cambios de
la dinámica competitiva dentro y fuera del sector de seguridad de TIC. A continuación se detalla su
análisis.
Por su naturaleza es una industria con bastante competencia, en la cual se ofertan varios tipos de servicios
y productos focalizados en la seguridad de la información, los usuarios tienen un buen poder de
negociación, ya que además de tener acceso a información, poseen una variedad de posibilidades que les
permiten hacer procesos de selección variados y ajustados a cada unas de sus realidades informáticas. Por
lo cual no existe una dependencia a los proveedores de estos servicios o productos, sino más bien infinidad
de los mismos, los cuales podrán ser sustituidos en su gran mayoría.
Es importante resaltar que existen barreras de entradas, para empresas que busquen incurrir en negocios
de seguridad TIC’s, tales como los grandes capitales de inversión en el desarrollo y oferta de servicios y
productos, así como también una insipiente regulación en términos de seguridad de la información los
cuales se espera se concreten en el mediano plazo. No se evidencia en el país, casos generales a nivel
nacional (solo algunos casos, especialmente en universidades), en la que tanto empresas públicas como
privadas presenten una oferta variada de servicios integrados, dirigidos a cubrir servicios de seguridad de
la información, a nivel departamental o nacional.
Dentro de este sector existen varias organizaciones con distintas características, participando del mercado
sobre bases diferentes. El principal objetivo será el de identificar este tipo de proveedores directos e
indirectos, con el fin de crear alianzas estratégicas que permitan el cumplimiento de los objetivos
misionales del nuevo CSIRT.
Los conceptos analizados en los tres anteriores niveles ayudan a comprender los factores
macroeconómicos, de la industria y el mercado del CSIRT. Sin embargo, lo verdaderamente importante son
las implicaciones que se derivan de esta comprensión general para las decisiones y elecciones estratégicas.
Por lo cual se hace necesario comprender a detalle cómo puede influir este conjunto de factores sobre el
éxito o fracaso estratégico. Para lo anterior se realiza un análisis DOFA.
De los diferentes análisis hechos, se puede concluir de manera general, que la competencia de servicios y
productos que cubren necesidades de seguridad de la información es alta, así mismo se observa que no
hay una masa crítica de competidores directos, que integren un conjunto de servicios es pos de la
seguridad de la información. Lo anterior y para el caso particular del nuevo CSIRT, será más una
oportunidad para poder ofertar la mejor y mayor variedad de servicios en este campo, para lo cual se
vislumbran posibles oportunidades de demanda y crecimiento económico dentro del país, así como en la
región.
7. INDICADORES Y METAS
La propuesta planteada a través de este documento no podrá quedarse solo en planes, sino que deberá
ser implementada y sus resultados deberán evaluarse y medirse. Por lo cual será responsabilidad de este
nuevo CSIRT, la implementación y control estratégico de su accionar.
• Traducir la estrategia en términos operativos: Definir los mapas estratégicos, los objetivos, indicadores
y metas,
Este conjunto de elementos ayudará como instrumento de planificación, información y control simultaneo
de las diversas partes de esta organización, al mismo tiempo que:
• Mantendrá las métricas financieras tradicionales e introducirá nuevos componentes como guía para los
nuevos elementos de gestión empresarial,
• Traducirá las directrices del nuevo CSIRT en un conjunto equilibrado de indicadores de desempeño,
Esta herramienta tiene un conjunto de componentes que es importante conocer y definir. El Cuadro de
Mando propuesto se divide en cuatro perspectivas, que representan de manera general las áreas más
relevantes del nuevo CSIRT. Es importante tener en cuenta en el diseño detallado se definirá de manera
táctica y operativa a través de toda la gestión de la entidad.
• Perspectiva Seguridad de la información Nacional: Esta perspectiva es la razón de ser del CSIRT,
buscando minimizar el impacto de fallos informáticos con base en la prevención y protección frente a
amenazas, vulnerabilidades e incidentes computacionales a usuarios de la tecnología de información,
logrando una permanente incorporación y retención de clientes, con base en su satisfacción,
garantizándoles el soporte efectivo y eficiente.
• Perspectiva Interna: Lograr un excelente desempeño ante el cliente que se deriva de procesos,
decisiones y acciones basadas en las mejores prácticas mundiales en seguridad de la información. Así
como también crear e inculcar una cultura propia para el eficiente y efectivo desarrollo de las
actividades de esta nueva organización.
Estas cuatro perspectivas deberán interrelacionarse, por medio de algunos orientadores estratégicos, tales
como: posicionamiento, calidad, servicio al cliente, motivación y cultura. Y serán la base y propósito de la
gestión gerencial del CSIRT. A continuación se detallan a nivel estratégico, los principales objetivos por
cada una de las perspectivas, con su respectivo indicador y meta, así como su interacción con los
orientadores estratégicos, a través del esquema de un mapa estratégico.
• Cobertura del CSIRT en entidades a nivel nacional: Con este indicador se pretende medir el apoyo
brindado en seguridad de la información al mayor número de entidades a nivel nacional, de manera
periódica no menor a 1 año. Se separa en entidades públicas y en entidades privadas.
• Cobertura del CSIRT en departamentos a nivel nacional: Este indicador busca definir porcentualmente
el número de departamentos al que se espera llegar con el alcance del CSIRT, de manera periódica no
menor a 1 año.
• Porcentaje de de incidencia de seguridad declaradas con impacto negativo. Este indicador busca definir
porcentualmente para los diferentes grupos de clientes, de manera periódica no mayor a 3 meses, el
total de incidencias ocurridas a nivel nacional, las cuales se discriminen por incidencias ocurridas,
incidencias prevenidas y incidencias de impacto. Entre las incidencias a definir se podrá incluir: la
denegación de servicios, troyanos, recepción de correo no deseado, virus informático, software espía o
• Posicionamiento (Top of Mind): Este indicador busca entender la dinámica de la marca CSIRT en
Colombia, se recomienda hacerse de manera periódica no menor a un año. Con este indicador la
compañía podrá darse cuenta a través del mercado objetivo, si existe o se tiene un bajo o alto grado
de recordación de la marca CSIRT. Este índice es una relación entre el numero de menciones de marca
sobre el total de entrevistados.
• Gasto versus Punto de Equilibrio: El nuevo CSIRT deberá verificar en el volumen de venta que, luego
de deducidos los costos variables, queda un excedente suficiente para cubrir los costos fijos. Este
punto umbral de rentabilidad será el punto en el que el CSIRT ingresa a una zona de ganancias,
mientras que por debajo, no cubrirá sus costos. Por esta razón el CSIRT debe operar a un nivel
superior al punto de equilibrio para poder reponer sus equipos, distribuir sus dividendos y tomar
providencias para su expansión. Este indicador se recomienda sea teniendo en cuenta sólo para un
periodo de tiempo definido por la propia organización (no mayor a un año), este después deberá ser
remplazado por uno que mida y exija beneficios monetarios ascendentes. Este indicador busca medir la
auto sostenibilidad financiera y de crecimiento del CSIRT para que pueda ofrecer servicios sostenibles a
los diferentes mercados objetivos. Se deberá observar en este una tendencia de crecimiento y
diversificación sana y sostenida de la oferta de servicios, con una muy buena calidad de cartera y
adecuados niveles de eficiencia y rentabilidad. Así mismo este, busca medir como mínimo en un
periodo inferior a 6 meses. Se medirá como mínimo, con base en el cubrimiento de los costos fijos del
negocio (punto de equilibrio), teniendo en cuenta el margen bruto de rentabilidad.
• Promedio de la Evaluación de 360 grados: La Evaluación de 360 grados o evaluación integral es una
herramienta que permite medir el desempeño de los funcionarios y sus competencias, y de esta forma
diseñar programas de desarrollo para individuales y colectivos. La evaluación de 360 grados pretende
dar a los empleados una perspectiva de su desempeño desde el punto de vista de sus jefes, sus
compañeros, subordinados, clientes internos, etc. El propósito de aplicar esta evaluación es brindar al
funcionario la retroalimentación necesaria para mejorar su desempeño, su comportamiento o ambos y
dar a la dirección la información necesaria para tomar decisiones oportunas. Se recomienda aplicarse
semestralmente.
• Certificaciones obtenidas: Este indicador busca garantizar la calidad de los procesos del CSIRT. El
término se refiere a una serie de normas universales basadas inicialmente en la norma NTGCP 1000 y
la norma ISO 27000. Una certificación indica a los clientes que el CSIRT ha implementado un sistema
para garantizar que cualquier producto o servicio que ofrezca cumplirá constantemente con las normas
internacionales de calidad.
• La principal función de la gestión del conocimiento es que el CSIRT no deba pasar dos veces por un
mismo proceso para resolver de nuevo el mismo problema, sino que ya disponga de mecanismos para
abordarlo utilizando información guardada sobre situaciones previas. Este indicador busca transformar
el conocimiento tácito en conocimiento explícito, se recomienda se logre alcanzar este objetivo en no
menos a seis meses. Para este fin pueden emplearse nuevas herramientas, como las bases de datos o
las intranets, u otras más clásicas (revistas, manuales y bibliotecas), que en su conjunto forman la
denominada "memoria organizacional" que permite organizar el conocimiento explicitado. Existen
diferentes técnicas para representar y gestionar el conocimiento, codificado desde áreas diferentes: La
inteligencia artificial, los sistemas de gestión de bases de datos, como text mining, la ingeniería del
software, y otras técnicas empleadas desde la perspectiva del estudio de los sistemas de información.
Esta tendencia se denomina “orientación al conocimiento”, y es la que el CSIRT deberá tener como
objetivo en el desarrollo al propósito de crear un sistema de gestión documental.
o Mejorar la calidad de los productos o servicios desarrollados por la propia entidad y reducir los
errores en el proceso productivo (Número de errores en el proceso productivo).
• Porcentaje de funcionarios directivos y técnicos certificados en CISSP o CISM: El Talento Humano será
el elemento de mayor participación dentro del nuevo CSIRT, siendo ésta la base para crear valor
agregado intangible que le permita sobresalir en un mercado competitivo y exigente. Debido a lo
anterior será importante el proceso de selección de cada uno de los empleados, en el que se deberán
contemplar las aptitudes, conocimiento y habilidades técnicas / gerenciales definidas a través de este
documento. El objetivo será el de cumplir con el mayor numero de requerimientos establecidos para
cada cargo y del mismo modo desarrollarlos o capacitarlos en el total de los mismos.
METAS
OBJETIVOS
PERSPECTIVA INDICADOR UNIVERSO
ESTRATÉGICOS
Año 1 Año 2
Porcentaje de Total de
incidencia de incidentes
30% 10%
seguridad declaradas reportados al
con impacto negativo CSIRT
54 www.isc2.org
55 www.isaca.org
56 www.drii.org
57 www.isaca.org
METAS
OBJETIVOS
PERSPECTIVA INDICADOR UNIVERSO
ESTRATÉGICOS
Año 1 Año 2
Total de
Consolidar la Posicionamiento (Top
>80% >80% Encuestas
marca CSIRT of Mind)
realizadas
Colombia, con
base en la
Total de
credibilidad de los Índice de Satisfacción
>65% >75% Encuestas
usuarios. de Usuarios
realizadas
Ser una entidad Gasto versus Punto de Gastos <= Gastos <=
FINANCIERA Total gastos
auto sostenible. Equilibrio (P.E.) P.E. P.E.
Evaluaciones
Promedio de la
360 grados al
Evaluación de 360 80% 85%
total de
grados
funcionarios
Lograr la cultura y
PROCESOS
excelencia
INTERNOS Total de
operacional.
NTGCP certificaciones
Certificaciones NTGCP
1000, ISO de calidad
obtenidas 1000
27000 aplicables al
CSIRT
Total de
Tiempo promedio de
4 horas 1 horas incidentes
atención de incidentes
atendidos
Total de errores
3 errores 1 error por
registrados y
Número de errores en por cada 10 cada 10
total de
el proceso productivo incidencias incidencias
incidentes
atendidas atendidas
atendidos
Gestionar el
conocimiento.
Total de
Número de
APRENDIZAJE Y investigaciones
Investigaciones 3 10
CRECIMIENTO publicadas por
publicadas al año
el CSIRT
Total de
Número de patentes patentes
1 3
registradas al año registradas por
el CSIRT
Porcentaje de Total de
Tener el mejor funcionarios directivos funcionarios
> 60% > 80%
Talento Humano. y técnicos certificados directivos y
en CISSP o CISM técnicos
Una vez descrita la formulación a nivel estratégico del posible sistema integrado de medición, a través del
Cuadro de Mando Integral, finalmente es importante tener en cuenta para el diseño e implementación, los
siguientes puntos:
• El marco previo de referencia al proceso de planeación estratégica, antes de la ejecución de los planes
y control de la gestión, será la formulación del concepto estratégico, formulación del plan estratégico
basado en la estrategia y la formulación de los planes tácticos y operacionales.
• Definir los procesos que transformaran los activos intangibles a resultados financieros y del cliente,
• Definir los activos intangibles que deben ser alineados e integrados para facilitar la creación de valor,
• Los componentes del Sistema Integrado de Medición son el direccionamiento estratégico y las
perspectivas,
• La ejecución a este modelo debe ser el elemento central de la cultura de una organización,
Con todo lo anterior se propone y plantea que a partir de los diferentes lineamientos dados en este
documento, se diseñe e implemente esta iniciativa estratégica, la cual permitirá al nuevo CSIRT monitorear
y evaluar su desempeño de una manera integral frente a sus objetivos estratégicos.
8. ESTRUCTURA ORGANIZACIONAL
De acuerdo con el Software Engineering Institute en su documento “Organizational Models for Computer
58
Security Incident Response Teams (CSIRTs)” , existen criterios definidos para tres tipos de estructuras
organizacionales para un CSIRT, con lo cual se procederá a determinar cuales de estas, se ajustan a la
realidad de la estrategia de Gobierno en Línea.
• Equipos de Seguridad
• CSIRT Coordinado
• CSIRT Interno
8.1. ORGANIGRAMA
A continuación se describen cada uno de los principales objetivos de las direcciones que conforman el
CSIRT, y sus principales responsabilidades generales.
La Asesoría Jurídica tiene por objetivo asesorar a la Dirección General, en todo lo relacionado con temas
legales de competencia del CSIRT, relacionados tanto a nivel administrativo y comercial como a nivel de la
consultoría, prestación de servicios y temas forenses de seguridad de la información.
Grupo que busca proveer a las empresas facultadas o tercerizadas por el CSIRT (en la prestación de los
diferentes servicios), la coordinación, asistencia y atención, para ayudar a preparar, proteger y asegurar
componentes de sistemas de clientes objetivos, en anticipación a futuros ataques, problemas o eventos
derivados de la seguridad de la información.
• Crear una base de conocimiento que permita el análisis y evaluación de la seguridad de la información.
• Promover y velar para que métodos probados internacionalmente, para el control de las emergencias
hechas por terceros, se apliquen eficiente y eficazmente.
• Definir y fomentar equipos de trabajo que puedan utilizar las técnicas elementales de acción ante
emergencias.
• Definir técnicas o herramientas que permitan rastrear los orígenes de un incidente o identificar
sistemas a los se haya tenido acceso no autorizado.
• Definir y fomentar la integración de equipos de trabajo técnico, con roles perfectamente definidos ante
una emergencia.
• Asistir en la recuperación tras desastres relacionados con los ataques y las amenazas a la seguridad de
información de las Entidades, mediante la coordinación de los diferentes recursos.
• Mediante actividades de coordinación, velar por la eficiente y eficaz detección, tratamiento, análisis y
respuesta de incidentes de seguridad de la información, hechas por las empresas facultadas por el
CSIRT en esta materia.
Este grupo tiene como fin coordinar y dar soporte a las empresas tercerizadas por el CSIRT, para que
consoliden y apliquen los conocimientos y habilidades requeridas, para administrar, controlar y auditar los
sistemas informáticos.
• Recopilar las estadísticas, métricas e indicadores que permitan medir el desempeño y evidenciar el
mejoramiento del modelo de seguridad en las Entidades.
• Centralizar la información enviada por los diferentes terceros contratados por el CSIRT.
• Asesorar a las Entidades públicas y privadas en materia de seguridad de la información, así como
apoyar a la elaboración, seguimiento y evaluación de políticas en este ámbito.
• Difundir información relacionada con la seguridad de la información a todos los actores relacionados.
• Desarrollar herramientas específicas para necesidades particulares o generales de sus clientes o propias
del CSIRT.
• Mantener contacto permanente con los distintos sectores de la industria para la identificación de
necesidades tecnológicas y de seguridad de la información.
• Recomendar o identificar para las Entidades objetivo, requisitos de compra, instalación o protección de
nuevos sistemas de seguridad, aplicaciones de software, dispositivos de seguridad, entre otros. Así
mismo, ofrecer asistencia y orientación en la implementación de las políticas de seguridad del modelo.
El Grupo de Capacitación tiene como principal objeto, ayudar a sensibilizar, dar a conocer y preparar al
mercado objetivo, en los beneficios y amenazas que se derivan de la seguridad de la información,
desarrollar la capacidad de estos para alcanzar objetivos de desarrollo informático y a promover el uso de
herramientas y procedimientos que prevengan posibles incidentes de seguridad de la información.
• Promover campañas de capacitación periódicas para el sector público y privado, en temas relacionados
con la seguridad de la información, coordinando los diferentes cursos, charlas y/o conferencias.
• Mantener la articulación con los entes policivos para la atención de los incidentes de seguridad de la
información.
• Buscar convenios con terceros, para soportar, ejecutar y/o fortaleces los diferentes programas de
capacitación, en los que se incluya de manera integrada, la academia, el sector público y privado.
• Dar lineamientos generales, a los responsables directos de los programas de capacitación, en las
diferentes áreas de seguridad de la información.
Grupo que tiene como objetivo, gestionar y proyectar de manera integral los sistemas de comunicación e
información del CSIRT, liderar cambios, establecer programas de cultura e identidad corporativa,
diagnosticar y planear estratégicamente y de manera armónica la comunicación según los diferentes
públicos y entornos.
• Gestionar la comunicación entre el CSIRT y público clave para construir, administrar y mantener su
imagen positiva.
• Construir la identidad, la cultura y la reputación del CSIRT, como un camino que facilitará la
construcción de vínculos con los involucrados (Stakeholders), mediante el desarrollo de programas de
identidad corporativa.
• Posicionar la nueva marca CSIRT en el mercado nacional y regional, por medio de rutinas de campañas
de publicidad.
• Diseñar métodos y mecanismos que permitan conocer el grado de aceptación de los programas y
proyectos desarrollados por el CSIRT.
• Sensibilizar a los grupos objetivo en el conocimiento y uso de los temas relacionados con la seguridad
de información.
• Coordinar la emisión de boletines, revistas y toda clase de documentos relacionados con la acción del
CSIRT.
• Difundir estudios e informes publicados por otras entidades y organismos nacionales e internacionales,
así como de información sobre la actualidad en materia de la seguridad y confianza de la Información.
• Propender por las buenas relaciones y comunicaciones, con la prensa local, seccional, nacional e
internacional.
• Crear alianzas de largo plazo con el sector académico, privado, proveedores de tecnología, etc, las
cuales permitan entre otros crear, gestionar y trasmitir el conocimiento del CSIRT.
Este grupo tiene como principal objeto administrar los recursos financieros, tecnológicos (IT), legales y
humanos del CSIRT.
8.1.4.1. Financieros
• Coordinar con la Gerencia de Recursos Humanos las tareas contables, administrativas y financieras
requeridas para la administración del personal de la Institución.
8.1.4.2. Tecnologicos
• Diseñar, implementar y mantener sistemas de monitoreo y respaldo para la infraestructura de redes del
CSIRT.
8.1.4.3. Legales
• Emitir consultas y opiniones acerca de asuntos que influyan de manera directa en el patrimonio y
responsabilidad de la empresa y sus socios dentro de su operación comercial.
8.1.4.4. Humanos
• Establecer y normalizar el perfil y el rol de cada uno de los puestos de trabajo dentro del CSIRT.
• Planear las diferentes capacitaciones internas para promover y desarrollar las competencias y
habilidades técnico/gerenciales para todo el personal del CSIRT.
Las competencias laborales generales se establecerán de acuerdo con el Decreto número 2539 de 2005, en
el cual se detallan para los empleos públicos de los distintos niveles jerárquicos de las entidades, las
competencias requeridas. Estas deberán tenerse en cuenta a la hora de realizar los procesos de selección
de los diferentes vacantes creadas para el CSIRT. A continuación se enumeran dichas competencias:
• Orientación a resultados
• Transparencia
Nivel Directivo
• Liderazgo
• Planeación
• Toma de decisiones
• Relaciones Interpersonales
• Colaboración
Cuando se tengan personal a cargo, se deberá incluir; liderazgo de grupos de trabajo y toma de decisiones
Estas deberán evaluarse con mayor exigencia dependiendo de las responsabilidades propias del cargo.
• Conocimiento de los equipos de infraestructura de redes (enrutador, switches, DNS, proxy, correo,
etc.).
• Habilidades de programación.
• Certificaciones.
• Nivel educativo. Dependiendo del cargo se requerirán carreras técnicas profesionales o a nivel de
posgrado.
Es importante que el tipo de contratación se haga a término indefinido, haciendo un seguimiento por cada
empleado a través de una evaluación de desempeño, la cual evalué de manera general entre otros los
siguientes puntos.
• Cumplimiento de objetivos.
59 www.isc2.org
60 www.isaca.org
61 www.drii.org
62 www.isaca.org
• Competencias técnicas.
• Competencias Administrativas.
• Excelencia de servicio.
• Eficiencia en el liderazgo.
8.3. CAPACITACIÓN
Dentro del proyecto se deberá destinar un presupuesto dirigido a la capacitación del personal. Esto como
consecuencia a la dificultad de encontrar personal, con el total de las habilidades anteriormente descritas y
a que constantemente se presentaran avances y mejoras en la practicas informáticas o de soporte, a
utilizar en cada una de las responsabilidades.
Si bien es cierto que el personal a contratar, deberá contar con un conocimiento y experiencia previa a la
mayoría de las habilidades. No se hace necesario que cumpla con el 100% de estas. Por esto se deberá
priorizar para cada uno de los cargos las principales competencia y de las faltantes se suplirán con una
posterior capacitación. Es importante que la relaciones con entes como el sector privado, académico y
publico, ayuden a formalizar este plan de capacitación.
La constitución del CSIRT en Colombia supone el cumplimiento de ciertas etapas, considerando que iniciar
una nueva etapa supone la estabilización y permanente sostenibilidad y continuidad de las etapas
anteriores. Para la conformación del proyecto CSIRT en Colombia se consideran las siguientes etapas:
• Etapa IV - Respuesta a Incidentes y Apoyo en Investigación del Delito: Supone una madurez suficiente
en procesos, procedimientos, capacitación, entrenamiento e información de amenazas y riesgos como
para poder conformar operativamente el grupo de respuesta a incidentes y apoyar las investigaciones
informáticas adelantadas por las autoridades competentes.
Costo
Frecuencia
Rubro Unidades Unitario / Total
Anual
Mensual
Presupuesto de Inversión
Plataforma Tecnológica
Hardware 1 1 20.000.000 20.000.000
Software 1 1 20.000.000 20.000.000
Servicios de seguridad 1 1 25.000.000 25.000.000
Mantenimiento y reparaciones 1 1 15.000.000 15.000.000
Desarrollo Web 1 1 50.000.000 50.000.000
Tecnologías de seguridad de la red y de la
1 1 75.000.000 75.000.000
información
Gestión de equipos de seguridad (hasta 20
1 1 20.000.000 20.000.000
elementos)
Monitoreo de equipos de seguridad (hasta 20
1 1 5.000.000 5.000.000
elementos)
Correlación de equipos de seguridad (hasta 20
1 1 20.000.000 20.000.000
elementos)
Protección a los sistemas 1 1 50.000.000 50.000.000
Total Plataforma Tecnológica 300.000.000
Presupuesto de Funcionamiento
Costo
Frecuencia
Rubro Unidades Unitario / Total
Anual
Mensual
Jefes Grupo 6 14 6.000.000 504.000.000
Profesionales Certificados en seguridad 3 14 4.800.000 201.600.000
Equipo base 10 14 2.400.000 336.000.000
Administrativo 1 14 1.200.000 16.800.000
Total Costo de Personal - Salarios 1.495.200.000
Operación
Logística para Conferencias y talleres 1 6 20.000.000 120.000.000
Costos de representación 1 1 20.000.000 20.000.000
Suscripciones a medios especializados 1 1 2.000.000 2.000.000
Traducciones 1 1 5.000.000 5.000.000
Elaboración de Talleres 1 1 20.000.000 20.000.000
Publicaciones y materiales informativos 1 1 20.000.000 20.000.000
Viáticos 2 12 2.000.000 48.000.000
Total Costo de Operación 235.000.000
Infraestructura
Alquiler del Establecimiento 1 12 5.000.000 60.000.000
Servicios Públicos 1 12 1.900.000 22.800.000
Mantenimiento 1 12 3.000.000 36.000.000
Total Costo Infraestructura 118.800.000
Costo Variable
Auditorías de la seguridad 1 25 14.666.667 366.666.667
Configuración y mantenimiento de la seguridad 1 13 1.600.000 20.800.000
Análisis de riesgos 1 12 32.000.000 384.000.000
Planificación de la continuidad del negocio y
1 3 66.666.667 200.000.000
recuperación tras un desastre
Recopilación de pruebas forenses 1 10 1.600.000 16.000.000
Respuesta a incidentes in situ 1 21 800.000 16.800.000
Evaluación de productos 1 3 4.000.000 12.000.000
Total Presupuesto Variable 1.016.266.667
Presupuesto de Ventas
Costo
Frecuencia
Rubro Unidades Unitario / Total
Anual
Mensual
Configuración y mantenimiento de la seguridad 1 13 4.000.000 52.000.000
Análisis de riesgos 1 12 80.000.000 960.000.000
Planificación de la continuidad del negocio y
1 3 166.666.667 500.000.000
recuperación tras un desastre
Presupuesto de Ventas de Servicios para no miembros
Recopilación de pruebas forenses 1 10 4.000.000 40.000.000
Respuesta a incidentes in situ 1 21 2.000.000 42.000.000
Evaluación de productos 1 3 10.000.000 30.000.000
A continuación se describen algunos de los criterios utilizados para la estimación preliminar del
presupuesto de Inversión y Funcionamiento para el montaje del CSIRT en Colombia.
El Presupuesto de Inversión comprende todo el cuadro de adquisición de maquina y equipo que permitan
asegurar el proceso productivo y ampliar la cobertura del mercado. Los principales componentes
considerados para el Presupuesto de Inversión son:
• Estudios y Diseños: Los costos de Estudios y Diseños incluyen las evaluaciones de riesgos y
vulnerabilidades de seguridad de la información tanto nacionales como internacionales, que permitan
prevenir la acción de los incidentes y crear una línea base para el desarrollo de los servicios y el
monitoreo de la seguridad nacional de la información en las entidades atendidas por la Estrategia de
Gobierno en Línea.
El presupuesto de funcionamiento incluye las actividades para el período siguiente al cual se elabora (en el
caso de este documento será el ejercicio 2009). Son estimados que en forma directa tienen que ver con la
razón principal de la entidad. Los principales componentes del Presupuesto de Funcionamiento son:
• Entrenamiento: Costos asociados con la preparación técnica del personal para un mejor desempeño en
la operación.
• Operación: Costos estimados asociados a la operación diaria del CSIRT en la prestación de los servicios
ofrecidos: Atención de incidentes y la sensibilización de la comunidad, entre otros.
• Costos de Infraestructura, considerando el posible alquiler del espacio físico para la operación, los
servicios públicos y le mantenimiento de la planta y equipos.
• Costo Variable adicional: Es el costo variable que depende de volumen de ventas. A este costo se
descuenta el costo de personal de planta disponible permanentemente para e desarrollo de proyectos.
• Presupuesto de ventas: Se estima con base en tarifas y comportamientos esperados del mercado y
considerando que la operación del CSIRT en Colombia comience en mayo de 2009.
Presupuesto de Ventas:
Rango de
Precios
dependiendo Precio
Ventas del tamaño Unitario May Jun Jul Ago Sep Oct Nov Dic Totales
de la entidad Ponderado
y alcance del
servicio
Graduación Nivel 2 Unidades 0
8 4 0 0 0 0 0 0 0 0 0
Graduación Nivel 3 Unidades 2 3 5 6 6 8 11 9 50
15 8 16 24 40 48 48 64 88 72 400
Auditorías de la
Unidades 1 2 2 2 4 4 4 6 25
seguridad
"5 - 100 37 37 73 73 73 147 147 147 220 917
Configuración y
mantenimiento de Unidades 1 1 1 2 2 2 2 2 13
la seguridad
1 - 10 4 4 4 4 8 8 8 8 8 52
Análisis de riesgos Unidades 1 1 1 1 2 2 2 2 12
20 - 200 80 80 80 80 80 160 160 160 160 960
Planificación de la
continuidad del
negocio y Unidades 1 1 1 3
recuperación tras
un desastre
50 - 400 167 0 0 167 0 167 0 167 0 500
Recopilación de
Unidades 1 1 1 1 1 1 2 2 10
pruebas forenses
1 - 10 4 4 4 4 4 4 4 8 8 40
Respuesta a
Unidades 1 2 3 4 5 6 21
incidentes in situ
2 2 0 0 2 4 6 8 10 12 42
Evaluación de
Unidades 1 1 1 3
productos
10 10 0 0 0 0 0 10 10 10 30
11. TERMINOLOGÍA
Acción correctiva: (Inglés: Corrective action). Medida de tipo reactivo orientada a eliminar la causa de una
no-conformidad asociada a la implementación y operación del SGSI con el fin de prevenir su repetición.
Acción preventiva: (Inglés: Preventive action). Medida de tipo pro-activo orientada a prevenir potenciales
no-conformidades asociadas a la implementación y operación del SGSI.
Aceptación del Riesgo: (Inglés: Risk acceptance). Según [ISO/IEC Guía 73:2002]: Decisión de aceptar un
riesgo.
Activo: (Inglés: Asset). En relación con la seguridad de la información, se refiere a cualquier información o
sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Según [ISO/IEC
13335-1:2004]: Cualquier cosa que tiene valor para la organización.
Alcance: (Inglés: Scope). Ámbito de la organización que queda sometido al SGSI. Debe incluir la
identificación clara de las dependencias, interfaces y límites con el entorno, sobre todo si sólo incluye una
parte de la organización.
Alerta: (Inglés: Alert). Una notificación formal de que se ha producido un incidente relacionado con la
seguridad de la información que puede evolucionar hasta convertirse en desastre.
Amenaza: (Inglés: Threat). Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el
cual puede causar el daño a un sistema o la organización.
Análisis de riesgos: (Inglés: Risk analysis). Según [ISO/IEC Guía 73:2002]: Uso sistemático de la
información para identificar fuentes y estimar el riesgo.
Análisis de riesgos cualitativo: (Inglés: Qualitative risk analysis). Análisis de riesgos en el que se usa una
escala de puntuaciones para situar la gravedad del impacto.
Análisis de riesgos cuantitativo: (Inglés: Quantitative risk analysis). Análisis de riesgos en función de las
pérdidas financieras que causaría el impacto.
Auditor de primera parte: (Inglés: First party auditor). Auditor interno que audita la organización en
nombre de ella misma. En general, se hace como mantenimiento del sistema de gestión y como
preparación a la auditoría de certificación.
Auditor de segunda parte: (Inglés: Second party auditor). Auditor de cliente, es decir, que audita una
organización en nombre de un cliente de la misma. Por ejemplo, una empresa que audita a su proveedor
de outsourcing.
Auditor de tercera parte: (Inglés: Third party auditor). Auditor independiente, es decir, que audita una
organización como tercera parte independiente. Normalmente, porque la organización tiene la intención de
lograr la certificación.
Auditor jefe: (Inglés: Lead auditor). Auditor responsable de asegurar la conducción y realización eficiente y
efectiva de la auditoría, dentro del alcance y del plan de auditoría aprobado por el cliente.
Auditoría: (Inglés: Audit). Proceso planificado y sistemático en el cual un auditor obtiene evidencias
objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una
organización.
Autenticación: (Inglés: Authentication). Proceso que tiene por objetivo asegurar la identificación de una
persona o sistema.
BS7799: Estándar británico de seguridad de la información, publicado por primera vez en 1995. En 1998,
fue publicada la segunda parte. La parte primera es un conjunto de buenas prácticas para la gestión de la
seguridad de la información -no es certificable- y la parte segunda especifica el sistema de gestión de
seguridad de la información -es certificable-. La parte primera es el origen de ISO 17799 e ISO 27002 y la
parte segunda de ISO 27001. Como tal estándar, ha sido derogado ya, por la aparición de estos últimos.
BSI: British Standards Institution. Comparable al AENOR español, es la Organización que ha publicado la
serie de normas BS 7799, además de otros varios miles de normas de muy diferentes ámbitos.
Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los
objetivos de la auditoría, sirve de evidencia del plan de auditoría, asegura su continuidad y profundidad y
reduce los prejuicios del auditor y su carga de trabajo. Este tipo de listas también se pueden utilizar
durante la implantación del SGSI para facilitar su desarrollo.
CobiT: Control Objectives for Information and related Technology. Publicados y mantenidos por ISACA. Su
misión es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnología de
Información rectores, actualizados, internacional y generalmente aceptados para ser empleados por
gerentes de empresas y auditores.
Código malicioso (Malicious Code, Malware): Cubre virus, gusanos, y Troyanos electrónicos. Se pueden
distribuir a través de varios métodos incluyendo el email, Web site, shareware / freeware y de otros
medios tales como material promocional.
Confidencialidad: (Inglés: Confidenciality). Acceso a la información por parte únicamente de quienes estén
autorizados. Según [ISO/IEC 13335-1:2004]:" característica/propiedad por la que la información no está
disponible o revelada a individuos, entidades, o procesos no autorizados.
Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para
mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. (Nota: Control
es también utilizado como sinónimo de salvaguarda o contramedida.
Control correctivo: (Inglés: Corrective control). Control que corrige un riesgo, error, omisión o acto
deliberado antes de que produzca pérdidas. Supone que la amenaza ya se ha materializado pero que se
corrige.
Control detectivo: (Inglés: Detective control). Control que detecta la aparición de un riesgo, error, omisión
o acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige.
Control disuasorio: (Inglés: Deterrent control). Control que reduce la posibilidad de materialización de una
amenaza, p.ej., por medio de avisos disuasorios.
Control preventivo: (Inglés: Preventive control). Control que evita que se produzca un riesgo, error,
omisión o acto deliberado. Impide que una amenaza llegue siquiera a materializarse.
CSIRT (Computer Security Incident Response Team): Equipo de Respuesta a Incidentes de Seguridad
Computacional
Declaración de aplicabilidad: (Inglés: Statement of Applicability, SOA). Documento que enumera los
controles aplicados por el SGSI de la organización -tras el resultado de los procesos de evaluación y
Desastre: (Inglés: Disaster). Cualquier evento accidental, natural o malintencionado que interrumpe las
operaciones o servicios habituales de una organización durante el tiempo suficiente como para verse la
misma afectada de manera significativa.
Directiva: (Inglés: Guideline). Según [ISO/IEC 13335-1:2004]: una descripción que clarifica qué debería ser
hecho y cómo, con el propósito de alcanzar los objetivos establecidos en las políticas.
Disponibilidad: (Inglés: Availability). Acceso a la información y los sistemas de tratamiento de la misma por
parte de los usuarios autorizados cuando lo requieran. Según [ISO/IEC 13335-1:2004]: característica o
propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada.
Entidad de acreditación: (Inglés: Accreditation body). Un organismo oficial que acredita a las entidades
certificadoras como aptas para certificar según diversas normas. Suele haber una por país. Son ejemplos
de entidades de acreditación: ENAC (España), UKAS (Reino Unido), EMA (México), OAA (Argentina)...
Entidad de certificación: (Inglés: Certification body). Una empresa u organismo acreditado por una entidad
de acreditación para auditar y certificar según diversas normas (ISO 27000, ISO 9000, ISO 14000, etc.) a
empresas usuarias de sistemas de gestión.
Evaluación de riesgos: (Inglés: Risk evaluation). Según [ISO/IEC Guía 73:2002]: proceso de comparar el
riesgo estimado contra un criterio de riesgo dado con el objeto de determinar la importancia del riesgo.
Evento: (Inglés: information security event). Según [ISO/IEC TR 18044:2004]: Suceso identificado en un
sistema, servicio o estado de la red que indica una posible brecha en la política de seguridad de la
información o fallo de las salvaguardias, o una situación anterior desconocida que podría ser relevante para
la seguridad.
Evidencia objetiva: (Inglés: Objective evidence). Información, registro o declaración de hechos, cualitativa
o cuantitativa, verificable y basada en observación, medida o test, sobre aspectos relacionados con la
confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e implementación
de un elemento del sistema de seguridad de la información.
Fase 2 de la auditoría: Fase en la que se comprueba que la organización se ajusta a sus propias políticas,
objetivos y procedimientos, que el SGSI cumple con los requisitos de ISO 27001 y que está siendo efectivo.
FIRST (Forum of Incident Response and Security Teams): Foro global de Equipos de Respuesta a
Incidentes y Seguridad.
Gestión de claves: (Inglés: Key management). Controles referidos a la gestión de claves criptográficas.
Hacking: Es el término que cubre cualquier tentativa de tener acceso desautorizado a un sistema
informático.
Humphreys, Ted: Experto en seguridad de la información y gestión del riesgo, considerado "padre" de las
normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002.
I4: Instituto Internacional para la Integridad de la Información, asociación similar a la ESF, con metas
análogas y con sede principal en los EE.UU. Es manejado por el Instituto de Investigación de Standford.
IBAG: Grupo asesor de empresas de Infosec, representantes de la industria que asesoran al Comité de
Infosec. Este comité está integrado por funcionarios de los gobiernos de la Comunidad Europea y brinda su
asesoramiento a la Comisión Europea en asuntos relativos a la seguridad de TI.
Impacto: (Inglés: Impact). El coste para la empresa de un incidente -de la escala que sea-, que puede o
no ser medido en términos estrictamente financieros -p.ej., pérdida de reputación, implicaciones legales,
etc.
• Tomar el control de la computadora del alguien diferente usando un virus informático, un error del
software, un Troyano, etc.
• Phishing: Generalmente enviando correos electrónicos que intentan inducir a brindar datos
importantes.
• Pharming: Redirigir tráfico de la red de un servidor a otra red controlada para descubrir códigos de
acceso o información confidencial.
Inventario de activos: (Inglés: Assets inventory). Lista de todos aquellos recursos (físicos, de información,
software, documentos, servicios, personas, reputación de la organización, etc.) dentro del alcance del
SGSI, que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos.
IRCA: International Register of Certified Auditors. Acredita a los auditores de diversas normas, entre ellas
ISO 27001.
ISACA: Information Systems Audit and Control Association. Publica CobiT y emite diversas acreditaciones
en el ámbito de la seguridad de la información.
ISC2: Information Systems Security Certification Consortium, Inc. Organización sin ánimo de lucro que
emite diversas acreditaciones en el ámbito de la seguridad de la información.
ISO: Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una agrupación de
organizaciones nacionales de normalización cuyo objetivo es establecer, promocionar y gestionar
estándares.
ISO 17799: Código de buenas prácticas en gestión de la seguridad de la información adoptado por ISO
transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio de nomenclatura el
1 de Julio de 2007.
ISO 19011: “Guidelines for quality and/or environmental management systems auditing”. Guía de utilidad
para el desarrollo de las funciones de auditor interno para un SGSI.
ISO 27001: Estándar para sistemas de gestión de la seguridad de la información adoptado por ISO
transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicación en 2005.
ISO 27002: Código de buenas prácticas en gestión de la seguridad de la información (transcripción de ISO
17799). No es certificable. Cambio de oficial de nomenclatura de ISO 17799:2005 a ISO 27002:2005 el 1
de Julio de 2007.
JTC1: Joint Technical Committee. Comité técnico conjunto de ISO e IEC específico para las TI.
Negación del Servicio (Denial of Service – DoS): Los ataques de negación del servicio se diseñan
generalmente para obstruir sistemas informáticos de red con una inundación de tráfico en la red. Esta
inundación del tráfico tiene a menudo el efecto de negar el acceso al sistema informático para los usuarios
legítimos. El tráfico indeseado se genera a menudo usando los sistemas informáticos inocentes conocidos
como zombis, que se ha infectado previamente con código malévolo.
NIST: (ex NBS) Instituto Nacional de Normas y Tecnología, con sede en Washington, D.C.
No conformidad grave: (Inglés: Major nonconformity). Ausencia o fallo de uno o varios requerimientos de
la ISO 27001 que, basada en evidencias objetivas, permita dudar seriamente de la adecuación de las
medidas para preservar la confidencialidad, integridad o disponibilidad de información sensible, o
representa un riesgo inaceptable.
Objetivo: (Inglés: Objetive). Declaración del resultado o fin que se desea lograr mediante la
implementación de procedimientos de control en una actividad de TI determinada.
OCDE: Organización de Cooperación y Desarrollo Económico. Tiene publicadas unas guías para la
seguridad de la información.
PDCA: Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las actividades de planificar
(establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y
actuar (mantener y mejorar el SGSI).
Plan de continuidad del negocio: (Inglés: Bussines Continuity Plan). Plan orientado a permitir la
continuación de las principales funciones del negocio en el caso de un evento imprevisto que las ponga en
peligro.
Plan de tratamiento de riesgos: (Inglés: Risk treatment plan). Documento de gestión que define las
acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la información inaceptables
e implantar los controles necesarios para proteger la misma.
Política de seguridad: (Inglés: Security policy). Documento que establece el compromiso de la Dirección y
el enfoque de la organización en la gestión de la seguridad de la información. Según [ISO/IEC
27002:2005]: intención y dirección general expresada formalmente por la Dirección.
Política de escritorio despejado: (Inglés: Clear desk policy). La política de la empresa que indica a los
empleados que deben dejar su escritorio libre de cualquier tipo de informaciones susceptibles de mal uso al
finalizar el día.
Riesgo: (Inglés: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para
causar una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la
probabilidad de un evento y sus consecuencias.
Riesgo Residual: (Inglés: Residual Risk). Según [ISO/IEC Guía 73:2002] El riesgo que permanece tras el
tratamiento del riesgo.
Segregación de tareas: (Inglés: Segregation of duties). Reparto de tareas sensibles entre distintos
empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por
negligencia.
Selección de controles: Proceso de elección de los controles que aseguren la reducción de los riesgos a un
nivel aceptable.
SGSI: (Inglés: ISMS). Sistema de Gestión de la Seguridad de la Información. Según [ISO/IEC 27001:2005]:
la parte de un sistema global de gestión que, basado en el análisis de riesgos, establece, implementa,
opera, monitoriza, revisa, mantiene y mejora la seguridad de la información. (Nota: el sistema de gestión
incluye una estructura de organización, políticas, planificación de actividades, responsabilidades,
procedimientos, procesos y recursos.)
TCSEC: Criterios de evaluación de la seguridad de los sistemas de computación, conocidos también con el
nombre de Orange Book (Libro naranja), definidos originalmente por el Ministerio de Defensa de los
EE.UU. Véase también ITSEC, el equivalente europeo.
TERENA (Trans-European Research and Education Networking Association): Una organización europea que
soporta la Internet y las actividades y servicios sobre la infraestructura con la comunidad académica.
TF-CSIRT: Foro internacional para la cooperación en CSIRT a nivel Europeo. Consiste en 2 grupos, uno
cerrado accessible solo para equipos acreditados y uno abierto acesible a cualquier persona interesada en
CSIRT. TF-CSIRT es una de las actividades de la organización internacional TERENA.
TickIT: Guía para la Construcción y Certificación del Sistema de Administración de Calidad del Software.
Tratamiento de riesgos: (Inglés: Risk treatment). Según [ISO/IEC Guía 73:2002]: Proceso de selección e
implementación de medidas para modificar el riesgo.
Valoración de riesgos: (Inglés: Risk assessment). Según [ISO/IEC Guía 73:2002]: Proceso completo de
análisis y evaluación de riesgos.
WG1, WG2, WG3, WG4, WG5: WorkGroup 1, 2, 3, 4, 5. Grupos de trabajo del subcomité SC27 de JTC1
(Joint Technical Committee) de ISO e IEC. Estos grupos de trabajo se encargan del desarrollo de los
estándares relacionados con técnicas de seguridad de la información.
12. ANEXOS