Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Diseno de Un CSIRT Colombiano PDF

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 183

DISEÑO DE UN CSIRT DE COLOMBIA PARA LA ESTRATEGIA GOBIERNO EN LÍNEA

ÁREA DE INVESTIGACIÓN Y PLANEACIÓN


© República de Colombia - Derechos Reservados

Bogotá, D.C., Diciembre de 2008


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

FORMATO PRELIMINAR AL DOCUMENTO

MANUAL PARA LA CONSTITUCIÓN DE UN CSIRT COLOMBIANO


Título: SISTEMA DE GESTIÓN DE CALIDAD
PROGRAMA AGENDA DE CONECTIVIDAD
Fecha elaboración
2008-12-04
aaaa-mm-dd:
Corresponde a los entregables No. 12 y 13, primero y segundo avance del
Sumario:
CSIRT.

Palabras Claves: CSIRT, Seguridad de la información, Incidentes

Formato: Lenguaje: Castellano

Dependencia: Dirección de planificación e investigación

Código: Versión: 2 Estado: En elaboración

Categoría:
Proyecto Diseño de modelo SGSI
Autor (es): para la estrategia de Gobierno en
Línea
Juan C. Alarcón Firmas:
Revisó:
Jairo Pantoja
Aprobó: Juan C. Alarcón

Información Adicional:

Ubicación:

Página 2 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

CONTROL DE CAMBIOS

VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN


1 23 10 2008 Fernando Gaona Primera versión del documento
1.1 05 11 2008 Fernando Gaona Revisión interna conjunta equipo de Consultoría Digiware
2 04 12 2008 Fernando Gaona Revisión con el Programa Gobierno en Línea

Página 3 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

TABLA DE CONTENIDO

DERECHOS DE AUTOR...........................................................................................................................................9

AUDIENCIA ........................................................................................................................................................19

INTRODUCCIÓN..................................................................................................................................................20

1. QUÉ ES UN CSIRT .........................................................................................................................................22

1.1. DEFINICIÓN ..............................................................................................................................................22


1.2. ANTECEDENTES.........................................................................................................................................22
1.3. BENEFICIOS DE CONTAR CON UN CSIRT ......................................................................................................24

2. INICIATIVAS Y EXPERIENCIAS NACIONALES E INTERNACIONALES EN CSIRTS...................................................25

2.1. ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL MUNDO ..............................................................25


2.1.1. FIRST - FORUM FOR INCIDENT RESPONSE AND SECURITY TEAMS .....................................................................32
2.1.2. ENISA - EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY............................................................40
2.1.3. APCERT - ASIA PACIFIC COMPUTER EMERGENCY RESPONSE TEAM ..................................................................43
2.1.4. CERT - COORDINATION CENTER DE LA UNIVERSIDAD CARNEGIE MELLON........................................................44
2.1.5. TERENA - TRANS-EUROPEAN RESEARCH AND EDUCATION NETWORKING ASSOCIATION.................................47
2.1.6. ALEMANIA - CERT-BUND (COMPUTER EMERGENCY RESPONSE TEAM FÜR BUNDESBEHÖRDEN).....................49
2.1.7. ARABIA SAUDITA - CERT-SA (COMPUTER EMERGENCY RESPONSE TEAM - SAUDI ARABIA) ..............................50
2.1.8. ARGENTINA - ARCERT (COORDINACIÓN DE EMERGENCIAS EN REDES TELEINFORMÁTICAS)............................51
2.1.9. AUSTRALIA - AUSCERT (AUSTRALIA COMPUTER EMERGENCY RESPONSE TEAM) .............................................54
2.1.10. AUSTRIA - CERT.AT (COMPUTER EMERGENCY RESPONSE TEAM AUSTRIA).....................................................55
2.1.11. BRASIL - CERT.BR (COMPUTER EMERGENCY RESPONSE TEAM BRAZIL)...........................................................56
2.1.12. CANADÁ - PSEPC (PUBLIC SAFETY EMERGENCY PREPAREDNESS CANADA) .....................................................57
2.1.13. CHILE – CSIRT-GOV...........................................................................................................................................58
2.1.14. CHILE - CLCERT (GRUPO CHILENO DE RESPUESTA A INCIDENTES DE SEGURIDAD COMPUTACIONAL) ............59
2.1.15. CHINA - CNCERT/CC (NATIONAL COMPUTER NETWORK EMERGENCY RESPONSE TECHNICAL TEAM)............60
2.1.16. COREA DEL SUR - KRCERT/CC (CERT COORDINATION CENTER KOREA)............................................................64
2.1.17. DINAMARCA – DK.CERT (DANISH COMPUTER EMERGENCY RESPONSE TEAM)...............................................66
2.1.18. EMIRATOS ÁRABES UNIDOS – AECERT (THE UNITED ARAB EMIRATES COMPUTER EMERGENCY RESPONSE
TEAM) 67
2.1.19. ESPAÑA - ESCERT (EQUIPO DE SEGURIDAD PARA LA COORDINACIÓN DE EMERGENCIAS EN REDES
TELEMÁTICAS).................................................................................................................................................................68
2.1.20. ESPAÑA – IRIS-CERT (SERVICIO DE SEGURIDAD DE REDIRIS)............................................................................69
2.1.21. ESPAÑA - CCN-CERT (CRYPTOLOGY NATIONAL CENTER - COMPUTER SECURITY INCIDENT RESPONSE TEAM)71
2.1.22. ESPAÑA - INTECO-CERT (CENTRO DE RESPUESTAS A INCIDENTES EN TI PARA PYMES Y CIUDADANOS)..........73

Página 4 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – SISTEMA DE GESTIÓN DE CALIDAD –
ESTRATEGIA DE GOBIERNO EN LÍNEA

2.1.23. ESTADOS UNIDOS - US-CERT (UNITED STATES - COMPUTER EMERGENCY READINESS TEAM)........................75
2.1.24. ESTONIA – CERT-EE (COMPUTER EMERGENCY RESPONSE TEAM OF ESTONIA)...............................................76
2.1.25. FILIPINAS - PH-CERT (PHILIPPINES COMPUTER EMERGENCY RESPONSE TEAM)..............................................77
2.1.26. FRANCIA-CERTA (CENTRE D'EXPERTISE GOUVERNEMENTAL DE RÉPONSE ET DE TRAITEMENT DES ATTAQUES
INFORMATIQUES) ...........................................................................................................................................................78
2.1.27. HONG KONG - HKCERT (HONG KONG COMPUTER EMERGENCY RESPONSE COORDINATION CENTRE) ..........80
2.1.28. HUNGRÍA - CERT (CERT-HUNGARY)..................................................................................................................81
2.1.29. INDIA - CERT-IN (INDIAN COMPUTER EMERGENCY RESPONSE TEAM) ............................................................83
2.1.30. JAPAN - JPCERT/CC (JP CERT COORDINATION CENTER) ...................................................................................85
2.1.31. MÉXICO – UNAM-CERT (EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD EN CÓMPUTO) ....................87
2.1.32. NUEVA ZELANDIA – CCIP (CENTRE FOR CRITICAL INFRASTRUCTURE PROTECTION) ........................................88
2.1.33. HOLANDA – GOVCERT.NL.................................................................................................................................89
2.1.34. POLONIA - CERT POLSKA (COMPUTER EMERGENCY RESPONSE TEAM POLSKA) .............................................90
2.1.35. QATAR - Q-CERT (QATAR CERT)........................................................................................................................91
2.1.36. REINO UNIDO - GOVCERTUK (CESG´S INCIDENT RESPONSE TEAM) .................................................................92
2.1.37. SINGAPUR – SINGCERT (SINGAPORE CERT)......................................................................................................93
2.1.38. SRI LANKA – SLCERT (SRI LANKA COMPUTER EMERGENCY RESPONSE TEAM).................................................94
2.1.39. TÚNEZ - CERT-TCC (COMPUTER EMERGENCY RESPONSE TEAM - TUNISIAN COORDINATION CENTER) ..........96
2.1.40. VENEZUELA CERT.VE (VENCERT – EQUIPO DE RESPUESTA PARA EMERGENCIAS INFORMÁTICAS) ...............100
2.2. EXPERIENCIAS O ANTECEDENTES EN COLOMBIA.......................................................................................102
2.2.1. CIRTISI – COLOMBIA (CENTRO DE INFORMACIÓN Y RESPUESTA TÉCNICA A INCIDENTES DE SEGURIDAD
INFORMÁTICA DE COLOMBIA) ......................................................................................................................................102
2.2.2. CSIRT COLOMBIA (COL CSIRT) ..........................................................................................................................107
2.2.3. COMITÉ INTERAMERICANO CONTRA EL TERRORISMO DE LA OEA (CICTE) ......................................................108
2.3. EN RESUMEN ..........................................................................................................................................109
2.3.1. CSIRTS PÚBLICOS..............................................................................................................................................109
2.3.2. CSIRTS PRIVADOS .............................................................................................................................................110
2.3.3. CSIRTS INTERNOS .............................................................................................................................................110
2.3.4. CSIRTS DE COORDINACIÓN...............................................................................................................................111
2.3.5. ESQUEMA ASOCIATIVO ENTRE EL SECTOR PÚBLICO Y EL PRIVADO .................................................................111

3. DEFINICIÓN DE LA ORGANIZACIÓN CSIRT PARA COLOMBIA ........................................................................112

3.1. TIPO DE ENTIDAD....................................................................................................................................112


3.2. RELACIÓN CON LAS ENTIDADES ...............................................................................................................115
3.3. MISIÓN...................................................................................................................................................116
3.4. VISIÓN....................................................................................................................................................116
3.5. OBJETIVOS ESTRATÉGICOS ......................................................................................................................116
3.6. OBJETIVOS ESPECÍFICOS ..........................................................................................................................117

4. PORTAFOLIO DE SERVICIOS........................................................................................................................118

4.1. SERVICIOS PREVENTIVOS ........................................................................................................................119


4.2. SERVICIOS REACTIVOS.............................................................................................................................121
4.3. GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ....................................................................................123
4.4. CARACTERÍSTICAS DE LOS SERVICIOS .......................................................................................................125
4.4.1. SERVICIOS PREVENTIVOS .................................................................................................................................126

Página 5 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – SISTEMA DE GESTIÓN DE CALIDAD –
ESTRATEGIA DE GOBIERNO EN LÍNEA

4.4.2. SERVICIOS REACTIVOS......................................................................................................................................126


4.4.3. GESTIÓN DE LA CALIDAD DE LA SEGURIDAD ....................................................................................................127

5. PROCESOS Y PROCEDIMIENTOS..................................................................................................................128

5.1. DELIMITACIÓN SISTÉMICA.......................................................................................................................128


5.2. PROCESOS ..............................................................................................................................................129
5.3. PROCEDIMIENTOS ..................................................................................................................................132

6. ANÁLISIS DEL MERCADO ............................................................................................................................134

6.1. MACRO ENTORNO ..................................................................................................................................135


6.2. INDUSTRIAS Y SECTORES .........................................................................................................................135
6.3. ALIADOS ESTRATÉGICOS Y MERCADOS ....................................................................................................137

7. INDICADORES Y METAS..............................................................................................................................139

7.1. PERSPECTIVA SEGURIDAD DE LA INFORMACIÓN NACIONAL .....................................................................143


7.2. PERSPECTIVA FINANCIERA.......................................................................................................................144
7.3. PERSPECTIVA PROCESOS INTERNOS.........................................................................................................144
7.4. PERSPECTIVA APRENDIZAJE Y CRECIMIENTO............................................................................................145
7.5. RESUMEN DE LOS INDICADORES..............................................................................................................146
7.6. CONSIDERACIONES GENERALES...............................................................................................................148

8. ESTRUCTURA ORGANIZACIONAL ................................................................................................................150

8.1. ORGANIGRAMA......................................................................................................................................151
8.1.1. ASESOR JURÍDICO.............................................................................................................................................151
8.1.2. DIRECCIÓN TÉCNICA.........................................................................................................................................151
8.1.3. DIRECCIÓN DE COOPERACIÓN Y SOPORTE.......................................................................................................154
8.1.4. DIRECCIÓN ADMINISTRATIVO Y FINANCIERA ..................................................................................................156
8.2. PROCESO DE SELECCIÓN..........................................................................................................................158
8.2.1. COMPETENCIAS COMUNES..............................................................................................................................158
8.2.2. COMPETENCIAS COMPORTAMENTALES POR NIVEL JERÁRQUICO ..................................................................159
8.2.3. COMPETENCIAS TÉCNICAS...............................................................................................................................159
8.2.4. OTRAS CARACTERÍSTICAS.................................................................................................................................160
8.3. CAPACITACIÓN .......................................................................................................................................161

9. ETAPAS PARA LA CONFORMACIÓN DEL CSIRT – COLOMBIA ........................................................................162

10. PRESUPUESTO PRELIMINAR DE INVERSIÓN Y FUNCIONAMIENTO..............................................................163

10.1. PRESUPUESTO DE INVERSIÓN ................................................................................................................165


10.2. PRESUPUESTO DE FUNCIONAMIENTO....................................................................................................165

Página 6 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – SISTEMA DE GESTIÓN DE CALIDAD –
ESTRATEGIA DE GOBIERNO EN LÍNEA

11. TERMINOLOGÍA .......................................................................................................................................169

12. ANEXOS...................................................................................................................................................183

Página 7 de 183
LISTA DE ILUSTRACIONES

Ilustración 1: Países con CSIRTs Miembros de FIRST........................................................................... 34

Ilustración 2: Estructura de ENISA ..................................................................................................... 42

Ilustración 3: Modelo Detallado del Sistema Administrativo Nacional de Seguridad de la Información .....112

Ilustración 4: Delimitación Sistemática de la Entidad ..........................................................................128

Ilustración 5: Modelo Tecnológico del CSIRT......................................................................................129

Ilustración 6: Modelo de Segmentación del CSIRT..............................................................................130

Ilustración 7: Despliegue de Procesos ...............................................................................................131

Ilustración 8: Catálogo de Procesos ..................................................................................................132

Ilustración 9: Catálogo de Procedimientos .........................................................................................132

Ilustración 10: de Análisis del Mercado..............................................................................................134

Ilustración 11: Marco Político, Económico, Social y Tecnológico del CSIRT............................................135

Ilustración 12: Análisis de Competitividad de Porter............................................................................136

Ilustración 13: Matriz DOFA..............................................................................................................138

Ilustración 14: Modelo de Gestión.....................................................................................................140

Ilustración 15: Alineación de la Visión y la Estrategia..........................................................................141

Ilustración 16: Mapa Estratégico.......................................................................................................142

Ilustración 17: Perspectivas y Orientadores Estratégicos .....................................................................143

Ilustración 18: Estructura Organizacional Propuesta ...........................................................................151

Página 8 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

DERECHOS DE AUTOR

• SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx:

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• FIRST. http://www.first.org/

Copyright © 1995 - 2006 by FIRST.org, Inc.

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• ENISA. http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf.

Reproduction of material published on this web site is authorized, provided the source is acknowledged, unless it
is stated otherwise. Where prior permission must be obtained for the reproduction or use of material published on
this web site the above mentioned permission shall be cancelled and restrictions shall be imposed through a legal
notice as appropriate published on that specific material.

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• APCERT. http://www.apcert.org/.

Copyright(C) 2008 APCERT. All rights reserved

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Terena. http://www.terena.org/

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Alemania - CERT-Bund. http://www.bsi.bund.de/certbund/

© Federal Office for Information Security (BSI). All rights reserved

Página 9 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Arabia Saudita - CERT-SA. http://www.cert.gov.sa/

Copyright © 2006 - 2007 | Disclaimer. All Rights Reserved

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Argentina – ArCERT. http://www.arcert.gov.ar/

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Australia – AusCERT. http://www.auscert.org.au/

The material on this web site is covered by copyright. Apart from any use permitted under the Copyright Act
1968, no part may be reproduced or distributed by any process or means, without the prior written permission of
AusCERT.

AusCERT acknowledges all instances where copyright is held by, or shared with, another organisation. In such
cases, each copyright owner should be contacted regarding reproduction or use of that material.

Se solicita autorización. Respuesta:

Date: Wed, 1 Oct 2008 03:43:58 +0000

CC: auscert@auscert.org.au

Subject: RE: RE: (AUSCERT#200869d4a) Re: Permission to use and to make translations about AusCert

To: fernandogaona@hotmail.com

From: auscert@auscert.org.au

-----BEGIN PGP SIGNED MESSAGE-----

Hash: RIPEMD160

Hi Fernando,

We are happy for you to translate the sections of our website that you have highlighted. Additionally we have in
the last week assisted New Zealand via a workshop to aid them in the creation of a National CERT, and we also
provide training for the purpose of creating National CERT teams.

Please do not hesitate to contact us further regarding the possibility of training and further collaboration.

Regards,

Página 10 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

- -- Jonathan Levine –

Computer Security Analyst | Hotline: +61 7 3365 4417

AusCERT, Australia's National CERT | Fax: +61 7 3365 7031

The University of Queensland | WWW: www.auscert.org.au

QLD 4072 Australia | Email: auscert@auscert.org.au

• Austria - CERT.at. www.cert.at

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Brasil - CERT.br. http://www.cert.br

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Canadá – PSEPC. http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Chile – CSIRT-GOV. http://www.csirt.gov.cl/

La información presentada en este portal tiene finalidad informativa, especialmente dirigida a los responsables de
seguridad, administradores de redes y sistemas, personal informático y en general cualquier individuo que cumpla
labores al interior de la Administración del Estado. El mal uso de la información entregada puede ser sancionado
en conformidad al estatuto administrativo.

Como el acceso a este portal es público, en los casos en que se detecte uso malicioso de la información, o
intentos de quebrantar la seguridad del sistema, CSIRT Chile se reserva el derecho de ejercer todas las acciones
legales correspondientes contra quien resulte responsable de dichos actos, amparado en la Ley General de
Telecomunicaciones y la Ley de Delito Informático.

Queda estrictamente prohibido utilizar la información presentada en este portal sin el conocimiento y
consentimiento formal por parte de CSIRT Chile, en especial para efectos contrarios a los buscados por este
equipo.

Se solicita autorización.

• Chile – CLCERT. http://www.clcert.cl

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

Página 11 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• China - CNCERT/CC. http://www.cert.org.cn/english_web/.

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Corea del Sur - KrCERT/CC. http://www.krcert.or.kr/

COPYRIGHT KRCERT.OR.KR. ALL RIGHTS RESERVED.

All materials released by Internet Incident Response Support Center are protected under the copyright law and
copyrights of all released materials are owned by the center. Accordingly, it is prohibited to copy or distribute
them partially and entirely.

If you seek for economic profits or benefits equivalent of it, a prior consultation with the center or prior approval
from the center is required. In case those materials are quoted partially or entirely after prior consent or
approval, it shall clearly state that the source of quoted contents belongs to the center.

The hyperlink from other web sites to the main web page of the center is allowed but not to the other web pages
(sub domain). Also, before setting a hyperlink to the main web page of the Center, it should be notified to the
center in advance.

In case data posted at a web site of the Center is used for the purpose of positing at the other Internet sites in a
due manner, the arbitrary change of data except simple error correction is prohibited. The violation of this act is
subject to criminal punishment.

For the purpose of news report, criticism, education and study activities, data posted in the web page can be
quoted as long as they satisfy fair practices within a legal boundary.

However, in this case, the quotation of materials is limited to less than 10% of the whole contents. The violation
of this act is regarded as infringement on copyright.

As long as the data provided by the center is used for individual purpose (not commercial purpose) or within a
boundary of household and equivalent boundary, it can be copied for use. However, even if a specific company,
non-profit organization, intends to copy them for the purpose of internal use only, it is not allowed to copy
materials.

The illegal copy and distribution of materials provided by the center falls under infringement on copyright
property law and the violator is sentenced to imprisonment not exceeding 5 years and a fine not exceeding 50
Mio.won.

For more detailed information, you can contact the Internet Incident Response Support Center

(Tel: 118 / cert@certcc.or.kr, cert@krcert.or.kr).

Se solicita autorización.

• Dinamarca – DK.CERT. https://www.cert.dk/

Información sobre estas páginas pueden ser protegidas por los derechos de autor

Página 12 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Emiratos Árabes Unidos – aeCERT. http://www.aecert.ae/

© 2007-2008 aeCERT. All rights reserved

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• España – ESCERT. http://escert.upc.edu/index.php/web/es/index.html

Los textos, diseños, imágenes, bases de datos, logotipos, estructuras, marcas y otros elementos de esCERT-UPC,
incluido todo lo referente a ALTAIR, están protegidos por la normativa de aplicación respecto a la propiedad
intelectual e industrial. esCERT-UPC autoriza a los usuarios a reproducir, copiar, distribuir, transmitir, adaptar o
modificar exclusivamente los contenidos de la web de esCERT-UPC, siempre que se especifique la fuente y/o los
autores.

• España – IRIS-CERT. http://www.rediris.es/cert/

RedIRIS © 1994-2008

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• España - CCN-CERT. https://www.ccn-cert.cni.es/

© 2008 Centro Criptológico Nacional - C/Argentona s/n 28023 MADRID

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• España - INTECO-CERT. http://www.inteco.es/rssRead/Seguridad/INTECOCERT

Todos los elementos que forman el sitio Web, así como su estructura, diseño y código fuente de la misma, son
titularidad de INTECO y están protegidos por la normativa de propiedad intelectual e industrial.

Se prohíbe la reproducción total o parcial de los contenidos de este sitio Web, así como su modificación y/o
distribución sin citar su origen o solicitar previamente autorización.

INTECO no asumirá ninguna responsabilidad derivada del uso por terceros del contenido del sitio Web y podrá
ejercitar todas las acciones civiles o penales que le correspondan en caso de infracción de estos derechos por
parte del usuario.

• Estados Unidos - US-CERT. http://www.us-cert.gov

Página 13 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

You are permitted to reproduce and distribute documents on this web site in whole or in part, without changing
the text you use, provided that you include the copyright statement or "produced by" statement and use the
document for noncommercial or internal purposes. For commercial use or translations, send your email request to
webmaster@us-cert.gov.

Se solicita autorización.

• Estonia – CERT-EE. http://www.ria.ee/?id=28201

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Filipinas - PH-CERT. http://www.phcert.org/

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Francia-CERTA. http://www.certa.ssi.gouv.fr/

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Hong Kong – HKCERT. http://www.hkcert.org/

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Hungría – CERT. http://www.cert-hungary.hu/

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• India - CERT-In. http://www.cert-in.org.in/

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Japan - JPCERT/CC. http://www.jpcert.or.jp/

Copyright © 1996-2008 JPCERT/CC All Rights Reserved

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• México – UNAM-CERT. http://www.cert.org.mx/index.html

Página 14 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Copyright® Todos los derechos reservados, cert.org.mx. DSC/UNAM-CERT DGSCA

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Nueva Zelandia – CCIP. http://www.ccip.govt.nz/

Except where specifically noted, all material on this site is © Crown copyright.

Material featured on this site is subject to Crown copyright protection unless otherwise indicated. The Crown
copyright protected material may be reproduced free of charge in any format or media without requiring specific
permission, provided that the material is reproduced accurately and is not further disseminated in any way, and
on condition that the source of the material and its copyright status are acknowledged.

The permission to reproduce Crown copyright protected material does not extend to any material on this site that
is identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained
from the copyright holders concerned.

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Holanda - GOVCERT.NL. http://www.govcert.nl/

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Polonia - CERT Polska. http://www.cert.pl/

Copyright © 2004 NASK

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Qatar - Q-CERT. http://www.qcert.orgv

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Reino Unido – GovCertUK. www.govcertuk.gov.uk

Crown Copyright 2008

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Reino Unido – GovCertUK. www.govcertuk.gov.uk

Página 15 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

The material featured on this site is subject to Crown Copyright protection unless otherwise indicated. The Crown
Copyright protected material (other than CPNI logo and website design) may be reproduced free of charge in any
format or medium provided it is reproduced accurately and not used in a misleading context. Where any of the
Crown Copyright items on this site are being republished or copied to others, the source of the material must be
identified and the copyright status acknowledged.

The permission to reproduce Crown protected material does not extend to any material on this site which is
identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained from
the copyright holders concerned.

For further information on Crown copyright policy and licensing arrangements, please refer to the guidance on
OPSI's website at www.opsi.gov.uk/advice/crown-copyright/copyright-guidance/index.htm.

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Singapur – SingCERT. http://www.singcert.org.sg/

1. SingCERT Security Alerts (such as advisories and bulletins): Permission is granted to reproduce and distribute
SingCERT security alerts in their entirety, provided the SingCERT PGP signature or the PGP signature of the
original creator of the alerts is included and provided the alert is used for noncommercial purposes with the intent
of increasing the awareness of the Internet community.

2. All materials produced by SingCERT except as noted in Section 1, "SingCERT security alerts": Requests for
permission to reproduce documents or Web pages or to prepare derivative works or external and commercial use
should be addressed to SingCERT through email to cert@singcert.org.sgThis e-mail address is being protected
from spam bots, you need JavaScript enabled to view it.

Se solicita autorización.

• Sri Lanka – SLCERT. http://www.cert.lk/

Copyright Reserved. Sri Lanka CERT.

Website Material: All material on this website is covered by copyright. No part may be re-produced or distributed
by any process or means. Requests for permission to reproduce documents or Web pages or to prepare derivative
works for external and commercial use should be addressed to Sri Lanka CERT through email to
slcert@slcert.gov.lk.

Security Alerts: Permission is granted to reproduce and distribute Sri Lanka CERT security alerts such as
advisories and bulletins in its entirety, provided the signature of the original creator of the alerts is included and
provided the alert is used for non-commercial purposes.

Se solicita autorización.

• Túnez - CERT-TCC. http://www.ansi.tn/en/about_cert-tcc.htm

Copyright © 2006 ANSI

Página 16 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Venezuela CERT.ve. http://www.cert.gov.ve/

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• CIRTISI COLOMBIA.

http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de
%202007%202.pdf

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• CSIRT Colombia. http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.

• Solicitud de Autorización de uso y traducción presentada a los diferentes organismos que así lo
requieren:

Título:

Permission to use and to make translations about CSIRT

Solicitud:

In order to design a CSIRT for the program “Gobierno en Línea” (e-government) of Colombia, we want to
identify a documented relation of national and international initiatives and experiences in CSIRTs. Then we
request authorization to translate and to reproduce available information in your web page relating to
precedents, offered services, structure of the CSIRT and area of coverage.

The results will be compiled and presented in a technical paper "Design of a CSIRT for the Program Gobierno
en Linea of Colombia " in the chapter " Documented Relation of National and International Experiences and
Initiatives in CSIRTs ".

Cordial greeting,

Fernando Gaona

Organizations Team Leader

Project "Model of the Computer Security Management for e-Government"

Página 17 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Telephone (+57 3164720780)

Program "Agenda de Conectividad": http://www.agenda.gov.co/

Digiware: http://www.digiware.com.co/Digiware/index1.html

Página 18 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

AUDIENCIA

El documento de Diseño de un CSIRT para la Estrategia de Gobierno en Línea de Colombia está dirigido
especialmente para las entidades públicas y privadas, así como la comunidad académica que participen en
la creación del CSIRT Colombiano o demanden sus productos o servicios, así como la comunidad nacional e
internacional relacionada con el tema de la seguridad de la información.

Página 19 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

INTRODUCCIÓN

Con el rápido desarrollo de internet, las diferentes entidades del país son cada vez más dependientes del
uso de redes públicas, volviendo crítica la protección de la estabilidad de las infraestructuras nacionales
que componen esta nueva e-economía emergente y así mismo es urgente.

Los ataques contra las infraestructuras computacionales están aumentando de frecuencia, en sofisticación
y en escala. Esta amenaza cada vez mayor requiere un acercamiento y colaboración con las varias
organizaciones públicas, privadas y la academia, que tomen el papel de liderazgo y coordinación con el
apoyo total del gobierno tanto a nivel central como territorial.

Para tratar esta necesidad urgente, se propone el establecimiento de un grupo CSIRT Colombiano que
tendría un foco operacional en la atención de emergencias de seguridad de la información para las
transacciones en línea del país, con una permanente colaboración nacional e internacional.

CÓMO UTILIZAR ESTE DOCUMENTO

El presente documento describe el modelo propuesto para la creación de un Equipo de Respuesta a


Incidentes de Seguridad de la Información - CSIRT Colombiano (por las siglas en inglés de Computer
Security Incident Response Teams) considerando los siguientes aspectos:

• En el primer capítulo se incluye un marco de referencia donde se define lo que es un CSIRT y algunos
beneficios que conlleva.

• En el segundo capítulo se hace una relación de algunas iniciativas y experiencias nacionales e


internacionales en CSIRTs consideradas para el desarrollo de este documento.

• En el tercer capítulo se presenta una definición general del CSIRT, el tipo de entidad que se
recomienda constituir, su misión, visión, el portafolio de productos y servicios, y sus objetivos
estratégicos.

• En el cuarto capítulo se propone un potencial portafolio de productos y servicios que hagan auto
sostenible la operación del CSIRT Colombiano.

Página 20 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• En el quinto capítulo se incluyen los procesos y procedimientos que sostengan la operación de la


entidad, haciendo una articulación del modelo de seguridad con la NTC-GP 1000, MECI e ISO 9000. Su
caracterización se presenta en el documento anexo.

• En el sexto capítulo se hace una revisión del entorno del mercado que enfrentará el CSIRT.

• En el séptimo capítulo se hace una recomendación de indicadores y metas que, bajo el enfoque de la
metodología del Balanced Scorecard (Cuadro de Mando Integral), permitan su adecuado control y
gestión.

• En el octavo capítulo se incluye una propuesta de estructura organizacional con las competencias
requeridas para cada rol, el modelo de contratación y capacitación del talento humano del CSIRT
Colombiano.

• En el noveno capítulo se sugieren las etapas para la conformación del CSIRT en Colombia.

• En el décimo capítulo se elabora una propuesta de presupuesto de inversión y funcionamiento del


CSIRT, teniendo en cuenta que sea auto sostenible en el mediano y largo plazo.

Página 21 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

1. QUÉ ES UN CSIRT

1.1. DEFINICIÓN

El término CSIRT significa Computer Security Incident Response Team (Equipo de Respuesta a Incidentes
de Seguridad Informática), y ha sido acuñado respondiendo simultáneamente a diferentes abreviaturas
usadas para denotar a nivel mundial este tipo de equipos:

• CSIRT (Computer Security Incident Response Team / Equipo de Respuesta a Incidentes de Seguridad
Informática): Término usado en Europa.

• CERT o CERT/CC (Computer Emergency Response Team / Coordination Center, equipo de respuesta a
emergencias informáticas / Centro de coordinación): Término registrado en los Estados Unidos de
América por el CERT Coordination Center (CERT/CC).

• IRT (Incident Response Team / Equipo de respuesta a incidentes).

• CIRT (Computer Incident Response Team / Equipo de respuesta a incidentes informáticos).

• SERT (Security Emergency Response Team / Equipo de respuesta a emergencias de seguridad).

Un CSIRT es un equipo de expertos en seguridad informática que pretenden responder a los incidentes de
seguridad relacionados con la tecnología de la información y a recuperarse después de sufrir uno de estos
incidentes. Para minimizar los riesgos también se ofrecen servicios preventivos y educativos relacionados
con vulnerabilidades de software, hardware o comunicaciones y se informa a la comunidad sobre los
potenciales riesgos que toman ventaja de las deficiencias de la seguridad.

1.2. ANTECEDENTES

Durante la segunda mitad de los años ochenta se vio la red Arpanet salir de la fase de I&D y convertirse en
una realidad práctica bajo el impulso del mundo universitario y desarrollada por el DoD (el Departamento
de Defensa estadounidense). La eficacia y la constante mejora de los distintos servicios, entre los cuales se
cuenta el correo electrónico, rápidamente hicieron que esta red sea indispensable para numerosos sitios.

En noviembre de 1988, un estudiante de la Universidad de Cornell lanzó en esta red un programa que se
propagaba y se replicaba solo. Este programa, conocido con el nombre de “gusano de Internet”,
aprovechaba distintos fallos de seguridad del sistema Unix (el sistema operativo de la mayoría de los
ordenadores conectados en la red). Aunque no fue programado con malas intenciones, este primer virus
informático, se propagó rápidamente obstruyendo al mismo tiempo las máquinas infectadas por múltiples

Página 22 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

copias del gusano. En ese entonces, la red constaba de aproximadamente 60.000 ordenadores. Con sólo el
3 o 4 % de las máquinas contaminadas, la red estuvo totalmente indisponible durante varios días, hasta
que se tomaron medidas cautelares (incluyendo la desconexión de numerosas máquinas de la red).

Para eliminar este “gusano de Internet”, se creó un equipo de análisis ad hoc con expertos del MIT, de
Berkley, Purdue. Se reconstituyó y analizó el código del virus, lo cual permitió, por una parte, identificar y
corregir los fallos del sistema operativo, y por otra parte, desarrollar y difundir mecanismos de
erradicación. Después de este incidente, el director de obras de Arpanet, la DARPA (Defense Advanced
Research Projects Agency), decidió instalar una estructura permanente, el CERT Coordination Center
(CERT/CC) parecido al equipo reunido para resolver el incidente.

Este incidente actuó como una alarma e impulsó la necesidad de cooperación y coordinación multinacional
para enfrentarse este tipo de casos. En este sentido, la DARPA (Defence Advanced Research Projects
Agency / Agencia de Investigación de Proyectos Avanzados de Defensa) creó el primer CSIRT: El CERT
Coordination Center (CERT/CC1), ubicado en la Universidad Carnegie Mellon, en Pittsburgh (Pensilvania,
USA).

Poco después el modelo se adoptó en Europa, y en 1992 el proveedor académico holandés SURFnet puso
en marcha el primer CSIRT de Europa, llamado SURFnet-CERT2. El número de CSIRTs continuó creciendo,
cada uno con su propio propósito, financiación, divulgación y área de influencia. La interacción entre estos
equipos experimentó dificultades debido a las diferencias en lengua, zona horaria y estándares o
convenciones internacionales. Siguieron otros muchos equipos, y en la actualidad existen más de 100
equipos reconocidos alrededor del mundo. Con el tiempo, los CERT ampliaron sus capacidades y pasaron
de ser una fuerza de reacción a prestadores de servicios de seguridad completos que incluyen servicios
preventivos como alertas, avisos de seguridad, formación y servicios de gestión de la seguridad. Pronto el
término “CERT” se consideró insuficiente, y a finales de los años noventa se acuñó el término “CSIRT”. En
la actualidad, ambos términos (CERT y CSIRT) se usan como sinónimos.

Internet comenzó su vertiginoso crecimiento y muchas compañías comenzaron a confiar en Internet sus
transacciones diarias. Así mismo, los CSIRTs continuaron creciendo alrededor del globo, soportando
gobiernos enteros u organizaciones multinacionales.

Desde ese entonces, Internet ha seguido creciendo hasta llegar a ser la red que se conoce actualmente,
con una multiplicación rápida de las máquinas conectadas (varios millones) y de las fuentes de agresión.

1 CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute - Carnegie
Mellon University. Autor: No determinado

2 SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx. U.A: 2008/09/26. Publicado por: SURFnet


network. Autor: No determinado

Página 23 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

1.3. BENEFICIOS DE CONTAR CON UN CSIRT

Disponer de un equipo dedicado a la seguridad de las TI ayuda a las organizaciones a mitigar y evitar los
incidentes graves y a proteger su patrimonio. Otros posibles beneficios son:

• Disponer de una coordinación centralizada para las cuestiones relacionadas con la seguridad de las TI
dentro de la organización (punto de contacto).

• Reaccionar a los incidentes relacionados con las TI y tratarlos de un modo centralizado y especializado.

• Tener al alcance de la mano los conocimientos técnicos necesarios para apoyar y asistir a los usuarios
que necesitan recuperarse rápidamente de algún incidente de seguridad.

• Tratar las cuestiones jurídicas y proteger las pruebas en caso de pleito.

• Realizar un seguimiento de los progresos conseguidos en el ámbito de la seguridad.

• Fomentar la cooperación en la seguridad de las TI entre los clientes del grupo atendido
(sensibilización).

Página 24 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2. INICIATIVAS Y EXPERIENCIAS NACIONALES E INTERNACIONALES


EN CSIRTs

2.1. ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL MUNDO

En la actualidad existen múltiples organizaciones que usan el nombre CERT - Computer Emergency
Response Team (Equipo de Respuesta a Emergencias de Computación) o CSIRT (término genérico de
significado equivalente).

A continuación se presentan algunas de estas experiencias como primer paso fundamental para la
definición de una propuesta de creación del CSIRT Colombiano (ú.a = 30/09/2008).

Nombre del
Resumen Enlace Fuente
Documento
CSIRT – Handbook Teoría General en http://www.cert.org/ CSIRT - Handbook.pdf
temas de CSIRT
CSIRT FAQ Teoría General en http://www.cert.org/ CSIRT FAQ.doc
temas de CSIRT
Incident Management Teoría General en http://www.cert.org/ 07tr008 - Incident
Capability Metrics temas de CSIRT Management Capability
Metrics Version 0.1.pdf
Incident Management Teoría General en http://www.cert.org/ 08tr007 - Incident
Mission Diagnostic temas de CSIRT Management Mission
Method Diagnostic Method,
Version 1.0.pdf
State of the Practice Teoría General en http://www.cert.org/ State of the Practice of
of Computer Security temas de CSIRT Computer Security
Incident Response Incident Response
Teams Teams.pdf
The Real Secrets of Teoría General en http://www.cert.org/ The Real Secrets of
Incident Management temas de CSIRT Incident
Management.pdf
The Real Secrets of Teoría General en http://www.cert.org/ The Real Secrets of
Incident Management temas de CSIRT Incident
Management.MP3
Incident Response Teoría General en http://www.rediris.es/cert/links/ Incident_Response_SHig
SHight temas de CSIRT csirt.es.html ht.pdf
Improving CSIRT Teoría General en http://www.tesink.org/thesis.pd Thesis.pdf
Communication temas de CSIRT f

Página 25 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Nombre del
Resumen Enlace Fuente
Documento
Through Standardized
and Secured
Information Exchange
Limits to Teoría General en https://www.cert.org/archive/p Limits-to-CSIRT-
Effectiveness in temas de CSIRT df/Limits-to-CSIRT- Effectiveness.pdf
Computer Security Effectiveness.pdf
Incident Response
Teams
eCSIRT.net Teoría General en http://www.ecsirt.net/cec/servi wp2-common-
Deliverable Common temas de CSIRT ce/documents/wp2-common- language.pdf
Language language.pdf
Specification &
Guideline to
Application of the
Common Language
part (i)
eCSIRT.net Teoría General en http://www.ecsirt.net/cec/servi wp2-and-3-guideline.pdf
Deliverable1 Guideline temas de CSIRT ce/documents/wp2-and-3-
to Application of the guideline.pdf
Common Language
part (ii)
Seguridad Informática Teoría General en http://www.arcert.gov.ar/ncurs Seg-adm-6p.pdf
para Administradores temas de CSIRT os/material/Seg-adm-6p.pdf
de Redes y Servidores
Seguridad Informática Teoría General en http://www.arcert.gov.ar/curso Seguridad%20para%20A
para temas de CSIRT s/seguridad_adm/Seguridad%2 dministradores.pdf
Administradores de 0para%20Administradores.pdf
Redes
y Servidores
Helping prevent Teoría General en http://www.telenor.com/telektr Page_029-037.pdf
information security temas de CSIRT onikk/volumes/pdf/1.2005/Page
risks in the transition _029-037.pdf
to integrated
operations
State of the Practice Teoría General en http://www.rediris.es/cert/links/ 03tr001 - State of the
of Computer Security temas de CSIRT csirt.es.html Practice of Computer
Incident Response Security Incident
Teams (CSIRTs) Response Teams.pdf
Expectations for Teoría General en http://www.ietf.org/rfc/rfc2350. Expectations for
Computer Security temas de CSIRT txt Computer Security
Incident Response Incident Response.doc
Site Security Teoría General en http://www.ietf.org/rfc/rfc2196. Site Security
Handbook temas de CSIRT txt Handbook.doc

Guidelines for Teoría General en http://www.ietf.org/rfc/rfc3227. Guidelines for Evidence


Evidence Collection temas de CSIRT txt Collection and
and Archiving Archiving.doc

Página 26 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Nombre del
Resumen Enlace Fuente
Documento
Why do I need a Teoría General en http://www.terena.org/activities jaroszewski-assistance-
CSIRT? temas de CSIRT /tf-csirt/meeting9/jaroszewski- csirt.pdf
assistance-csirt.pdf
Description of the Teoría General en http://www.enisa.europa.eu/cer Description of the
different kinds of temas de CSIRT t_guide/pages/05_01_04.htm different kinds of CSIRT
CSIRT environments environments.docs

Informe del relator Antecedentes de los http://scm.oas.org/pdfs/2007/C CICTE00188E.pdf


del séptimo período CSIRT ICTE00188E.pdf
ordinario de sesiones
del Comité
Interamericano
Contra el Terrorismo
Adopción de una Antecedentes de los http://dgpt.sct.gob.mx/fileadmi doc._472-04.doc
estrategia CSIRT n/ccp1/redes/doc._472-04.doc
interamericana
integral para combatir
las amenazas a la
seguridad cibernética:
Un enfoque
multidimensional y
multidisciplinario para
la creación de una
cultura de seguridad
cibernética
Puesta en marcha del Antecedentes de los http://jiap.org.uy/jiap/JIAP2007 Antel.pdf
CSIRT y Gestión de CSIRT /Presentaciones%20Jiap%2020
Seguridad de la 07/ANTEL.pdf
Información de
ANTEL
FIRST - Forum for Experiencias en el http://www.first.org/ Página Web
Incident Response Mundo
and Security Teams
ENISA - European Experiencias en el http://www.enisa.europa.eu/cer Página Web
Network and Mundo t_guide/downloads/CSIRT_setti
Information Security ng_up_guide_ENISA-ES.pdf
Agency
APCERT (Asia Pacific Experiencias en el http://www.apcert.org/ Página Web
Computer Emergency Mundo
Response Team)
CERT Coordination Experiencias en el http://www.cert.org/ Página Web
Center de la Mundo
Universidad Carnegie
Mellon
Alemania - CERT- Experiencias en el http://www.bsi.bund.de/certbu Página Web
Bund Mundo nd/
Arabia Saudita - Experiencias en el http://www.cert.gov.sa/ Página Web

Página 27 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Nombre del
Resumen Enlace Fuente
Documento
CERT-SA (Computer Mundo
Emergency Response
Team - Saudi Arabia)
Argentina - ArCERT Experiencias en el http://www.arcert.gov.ar/ Página Web
(Computer Mundo
Emergency Response
Team of the
Argentine Public)
Australia - AusCERT Experiencias en el http://www.auscert.org.au/ Página Web
(Australia Computer Mundo
Emergency Response
Team)
Austria - CERT.at Experiencias en el www.cert.at Página Web
(Computer Mundo
Emergency Response
Team Austria)
Brasil - CERT.br Experiencias en el http://www.cert.br Página Web
(Computer Mundo
Emergency Response
Team Brazil)
Canadá - PSEPC Experiencias en el http://www.psepc- Página Web
(Public Safety Mundo sppcc.gc.ca/prg/em/ccirc/index-
Emergency en.asp
Preparedness
Canada)
Chile – CSIRT-GOV Experiencias en el http://www.csirt.gov.cl/ Página Web
Mundo
Chile - CLCERT Experiencias en el http://www.clcert.cl Página Web
Mundo
China - CNCERT/CC Experiencias en el http://www.cert.org.cn/english Página Web
(National Computer Mundo _web/
Network Emergency
Response Technical
Team)
Corea del Sur - Experiencias en el http://www.krcert.or.kr/ Página Web
KrCERT/CC (CERT Mundo
Coordination Center
Korea)
Dinamarca – DK.CERT Experiencias en el https://www.cert.dk/ Página Web
(Danish Computer Mundo
Emergency Response
Team)
Emiratos Árabes Experiencias en el http://www.aecert.ae/ Página Web
Unidos – aeCERT Mundo
(The United Arab
Emirates Computer

Página 28 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Nombre del
Resumen Enlace Fuente
Documento
Emergency Response
Team)
España - ESCERT Experiencias en el http://escert.upc.edu/index.php Página Web
(Equipo de Seguridad Mundo /web/es/index.html
para la Coordinación
de Emergencias en
Redes Telemáticas)
España – IRIS-CERT Experiencias en el http://www.rediris.es/cert/ Página Web
(Universidades) Mundo
España - CCN-CERT Experiencias en el https://www.ccn-cert.cni.es/ Página Web
(Cryptology National Mundo
Center - Computer
Security Incident
Response Team)
España - INTECO- Experiencias en el http://www.inteco.es/rssRead/S Página Web
CERT (Centro de Mundo eguridad/INTECOCERT
Respuestas a
Incidentes en TI para
PYMES y Ciudadanos)
Estados Unidos - US- Experiencias en el http://www.us-cert.gov Página Web
CERT (United States - Mundo
Computer Emergency
Readiness Team)
Estonia – CERT-EE Experiencias en el http://www.ria.ee/?id=28201 Página Web
Mundo
Filipinas - PH-CERT Experiencias en el http://www.phcert.org/ Página Web
(Philippines Computer Mundo
Emergency Response
Team)
Francia-CERTA Experiencias en el http://www.certa.ssi.gouv.fr/ Página Web
(Centre d'Expertise Mundo
Gouvernemental de
Réponse et de
Traitement des
Attaques
informatiques)
Hong Kong - HKCERT Experiencias en el http://www.hkcert.org/ Página Web
(Hong Kong Mundo
Computer Emergency
Response
Coordination Centre)
Hungría - CERT- Experiencias en el http://www.cert-hungary.hu/ Página Web
Hungria Mundo
India - CERT-In Experiencias en el http://www.cert-in.org.in/ Página Web
Mundo
Japan - JPCERT/CC Experiencias en el http://www.jpcert.or.jp/ Página Web

Página 29 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Nombre del
Resumen Enlace Fuente
Documento
(JP CERT Mundo
Coordination Center)
México – UNAM-CERT Experiencias en el http://www.cert.org.mx/index.h Página Web
Mundo tml
Nueva Zelandia – Experiencias en el http://www.ccip.govt.nz/ Página Web
CCIP (Centre for Mundo
Critical Infrastructure
Protection)
Holanda - Experiencias en el http://www.govcert.nl/ Página Web
GOVCERT.NL Mundo
Polonia - CERT Polska Experiencias en el http://www.cert.pl/ Página Web
(Computer Mundo
Emergency Response
Team Polska)
Qatar - Q-CERT Experiencias en el http://www.qcert.org Página Web
(Qatar CERT) Mundo
Reino Unido - Experiencias en el www.govcertuk.gov.uk Página Web
GovCertUK Mundo
Experiencias en el www.cpni.gov.uk Página Web
Mundo
Singapur – SingCERT Experiencias en el http://www.singcert.org.sg/ Página Web
(Singapore CERT) Mundo
Sri Lanka – SLCERT Experiencias en el http://www.cert.lk/ Página Web
Mundo
Túnez - CERT-TCC Experiencias en el http://www.ansi.tn/en/about_c Página Web
(Computer Mundo ert-tcc.htm
Emergency Response
Team - Tunisian
Coordination Center)
Venezuela CERT.ve Experiencias en el http://www.cert.gov.ve/ Página Web
(VenCERT - Centro de Mundo
Respuestas ante
Incidentes
Telemáticos del
Sector Público)
EXPERIENCIAS o Experiencias en el http://www.udistrital.edu.co/co Página Web
antecedentes EN Mundo munidad/grupos/arquisoft/colcsi
COLOMBIA rt/?q=colcsirt
Comité Experiencias en el http://www.cicte.oas.org/Rev/E ENISA -
Interamericano Mundo S/Events/Cyber_Events/CSIRT work_programme_2006.
Contra el Terrorismo %20training%20course_Colom pdf
de la OEA (CICTE) bia.asp
CSIRT COLOMBIA Experiencias en http://www.udistrital.edu.co/co CSIRT COLOMBIA.doc
Colombia munidad/grupos/arquisoft/colcsi
rt/?q=colcsirt
Developing an Aspectos Financieros http://www.securityfocus.com/i Developing an Effective

Página 30 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Nombre del
Resumen Enlace Fuente
Documento
Effective Incident de un CSIRT nfocus/1592 Incident Cost Analysis
Cost Analysis Mechanism.doc
Mechanism
Incident Cost Analysis Aspectos Financieros http://www.cic.uiuc.edu/groups ICAMPReport1.pdf
and Modeling Project de un CSIRT /ITSecurityWorkingGroup/archiv
e/Report/ICAMPReport1.pdf
Incident Cost Analysis Aspectos Financieros http://www.cic.uiuc.edu/groups ICAMPReport2.pdf
and Modeling Project de un CSIRT /ITSecurityWorkingGroup/archiv
I-CAMP II e/Report/ICAMPReport2.pdf
Defining Incident Procesos de un http://www.cert.org/ 04tr015 - Defining
Management CSIRT Incident Management
Processes for CSIRTs Processes for CSIRTs.pdf
Benchmarking CSIRT Procesos de un http://www.hig.no/index.php/c Kjærem - Benchmarking
work CSIRT ontent/download/3302/70468/fi CSIRT work
Processes le/Kj%C3%A6rem%20- processes.pdf
%20Benchmarking%20CSIRT%
20work%20processes.pdf
How to Design a Procesos de un http://www.securityfocus.com/i How to Design a Useful
Useful Incident CSIRT nfocus/1467 Incident Response
Response Policy Policy.doc
Effectiveness of Productos y Servicios http://www.first.org/conference kossakowski-klaus-
Proactive CSIRT de un CSIRT /2006/papers/kossakowski- papers.pdf
Services klaus-papers.pdf
Recommended Productos y Servicios http://www.ietf.org/rfc/rfc3013. Recommended Internet
Internet Service de un CSIRT txt Service Provider Security
Provider Security Services and
Services and Procedures.doc
Procedures
CSIRT Services List Productos y Servicios http://www.cert.org/ CSIRT-services-list.pdf
de un CSIRT
ENISA - Possible Productos y Servicios http://www.enisa.europa.eu/cer ENISA - Possible services
services that a CSIRT de un CSIRT t_guide/pages/05_02.htm that a CSIRT can
can deliver deliver.doc
Organizational Models Estructura de un http://www.rediris.es/cert/links/ 03hb001 - Organizational
for Computer Security CSIRT csirt.es.html Models for Computer
Incident Response Security Incident
Teams (CSIRTs) Response Teams
(CSIRTs)
Organizational Models Estructura de un http://www.sei.cmu.edu/public Organizational Models
for Computer Security CSIRT ations/documents/03.reports/03 for Computer Security
Incident Response hb001/03hb001chap07.html Incident Response
Teams Teams.doc
Staffing Your Estructura de un http://www.cert.org/ Staffing Your Computer
Computer Security CSIRT Security Incident
Incident Response Response Team.doc
Team

Página 31 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Nombre del
Resumen Enlace Fuente
Documento
CERT-FI First 12 Modelo de Negocio http://www.terena.org/activities huopio-certfi.pdf
months de un CSIRT /tf-csirt/meeting8/huopio-
certfi.pdf
A step-by-step Modelo de Negocio http://www.enisa.europa.eu/do enisa_csirt_setting_up_g
approach de un CSIRT c/pdf/deliverables/enisa_csirt_s uide.pdf
on how to set up a etting_up_guide.pdf
CSIRT
Steps for Creating Modelo de Negocio http://www.cert.org/archive/pd NationalCSIRTs.pdf
National CSIRTs de un CSIRT f/NationalCSIRTs.pdf
Action List for Modelo de Negocio http://www.cert.org/ Action List for
Developing a CSIRT de un CSIRT Developing a CSIRT.pdf
ENISA - Cómo crear Modelo de Negocio http://www.enisa.europa.eu/cer CSIRT_setting_up_guide
un CSIRT paso a paso de un CSIRT t_guide/downloads/CSIRT_setti _ENISA-ES.pdf
ng_up_guide_ENISA-ES.pdf

2.1.1. FIRST - FORUM FOR INCIDENT RESPONSE AND SECURITY TEAMS3

2.1.1.1. Antecedentes

El Foro de Equipos de Seguridad para Respuesta a Incidentes - FIRST es la primera organización global
reconocida en respuesta a incidentes, tanto de manera reactiva como proactiva.

FIRST fue formado en 1990 en respuesta al problema del gusano de internet que atacó en 1988. Desde
entonces, ha continuado creciendo y desarrollándose en respuesta a las necesidades que cambiaban de los
equipos de la respuesta y de la seguridad del incidente.

2.1.1.2. Servicios Ofrecidos

FIRST reúne una variedad de equipos de respuesta de incidentes de seguridad informática para entidades
gubernamentales, comerciales y académicas. FIRST busca fomentar la cooperación y coordinación en la
prevención de incidentes, estimular la reacción rápida a los incidentes y promover el compartir información
entre los miembros y la comunidad.

FIRST proporciona adicionalmente servicios de valor agregado tales como:

• Acceso a documentos actualizados de mejores prácticas.

• Foros técnicos para expertos en seguridad informática.

3Tomado de: http://www.first.org/. U.A: 2008/09/26. Publicado por: FIRST.ORG, Inc. Autor: No determinado.

Página 32 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Clases

• Conferencia Anual

• Publicaciones y webservices

• Grupos de interés especial

2.1.1.3. Estructura

FIRST funciona bajo de un marco operacional, que contiene los principios que gobiernan y las reglas de
funcionamiento de alto nivel para la organización. Sin embargo, FIRST no ejercita ninguna autoridad sobre
la organización y la operación de los equipos individuales miembros.

Comité de Dirección: El Comité de Dirección es un grupo de individuos responsables de la política de


funcionamiento general, de procedimientos y de materias relacionadas que afectan a FISRT en su
totalidad.

Nombre Entidad Vigencia


Derrick Scholl (Chair) Sun Microsystems, USA 2008-2010
Ken van Wyk (Vice-Chair) KRvW Associates, LLC, USA 2007-2009
Chris Gibson (Treasurer) Citigroup, USA/UK 2008-2010
Peter Allor IBM ISS, USA 2008-2010
Yurie Ito JPCERT/CC, Japan 2007-2009
Scott McIntyre KPN-CERT, NL 2008-2010
Francisco Jesus Monserrat Coll RedIRIS, Spain 2007-2009
Tom Mullen British Telecom, UK 2007-2009
Steve Adegbite Microsoft, USA 2008-2010
Arnold Yoon KrCERT/CC, Korea 2007-2009

Junta Directiva: La Junta Directiva es un grupo de individuos responsables de la política de funcionamiento


general, de procedimientos, y de materias relacionadas que afectan la organización FIRST en su totalidad.

Secretaría: La secretaría sirve como punto administrativo para FIRST y proporciona un contacto general.

Equipos Miembros: Los equipos de la respuesta del incidente que participan en FIRST representan las
organizaciones que asisten a la comunidad de la tecnología de información o a entidades gubernamentales
que trabajan en la prevención y manipulación de incidentes de seguridad informática.

Enlaces: Individuos o representantes de organizaciones con excepción de los equipos CSIRT que tienen un
interés legítimo en y lo valoran a FIRST.

Comités: El Comité de Dirección de FIRST establece los comités temporales ad hoc requeridos para
alcanzar mejor las metas.

Página 33 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.1.4. Área de Influencia

FIRST está una confederación internacional de los equipos de respuesta a incidente informáticos que de
manera cooperativa manejan incidentes de la seguridad y promueven programas de la prevención del
incidente, anima y promueve el desarrollo de productos, políticas y servicios de la seguridad, desarrolla y
promulga las mejores prácticas de la seguridad y promueve la creación y expansión de los equipos de
incidente alrededor del mundo.

Los miembros de FIRST desarrollan y comparten información técnica, herramientas, metodologías,


procesos y mejores prácticas y utilizan su conocimiento, habilidades y experiencia combinados para
promover un ambiente electrónico global más seguro. FIRST tiene actualmente más de 180 miembros,
extienda por África, las Américas, Asia, Europa y Oceanía. Los siguientes son los equipos CSIRT
distribuidos alrededor del mundo, donde Colombia aún no hace parte:

Ilustración 1: Países con CSIRTs Miembros de FIRST

CSIRT Nombre Oficial del CSIRT


AAB GCIRT ABN AMRO Global CIRT
ACERT Army Emergency Response Team
ACOnet-CERT ACOnet-CERT
AFCERT Air Force CERT
ARCcert The American Red Cross Computer Emergency Response Team
ASEC AhnLab Security E-response Center
AT&T AT&T
AboveSecCERT Above Security Computer Emergency Response Team
Apple Apple Computer

Página 34 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

CSIRT Nombre Oficial del CSIRT


Computer Emergency Response Team of the Argentine Public
ArCERT
Administration
AusCERT Australian Computer Emergency Response Team
Avaya-GCERT Avaya Global Computer Emergency Response Team
BCERT Boeing CERT
BELNET CERT BELNET CERT
BFK BFK edv consulting
BIRT BrandProtect IRT
BMO ISIRT BMO InfoSec Incident Response Team
BP DSAC BP Digital Security Alert Centre
BTCERTCC British Telecommunications CERT Co-ordination Centre
BadgIRT University of Wisconsin-Madison
Bell IPCR Bell Canada Information Protection Centre (IPC) Response
Bunker The Bunker Security Team
CAIS/RNP Brazilian Academic and Research Network CSIRT
CARNet CERT CARNet CERT
CC-SEC Cablecom Security Team
CCIRC Canadian Cyber Incident Response Centre
CCN-CERT (Spanish Governmental National Cryptology Center -
CCN-CERT
Computer Security Incident Response Team)
CERT POLSKA Computer Emergency Response Team Polska
CERT TCC TDBFG Computer Security Incident Response Team
CERT-Bund CERT-Bund
CERT-FI CERT-FI
CERT-Hungary Hungarian governmental Computer Emergency Response Team
CERT-IT CERT Italiano
CERT-In Indian Computer Emergency Response Team
CERT-Renater CERT-Renater
CERT-TCC Computer Emergency Response Team Tunisian Coordination Center
CERT-VW CERT-VW
CERT.at CERT.at
CERT.br Computer Emergency Response Team Brazil
CERT/CC CERT Coordination Center
CERTA CERT-Administration
CERTBw Computer Emergency Response Team Bundeswehr
CFC Cyber Force Center
CGI CIRT CGI Computer Incident Response Team
CIAC US Department of Energy's Computer Incident Advisory Capability
CLCERT Chilean Computer Emergency Response Team
China Mobile Computer Network Emergency Response Technical Team
CMCERT/CC
/Coordination Center

Página 35 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

CSIRT Nombre Oficial del CSIRT


National Computer Network Emergency Response Technical Team /
CNCERT/CC
Coordination Center of China
ANTEL's Computer and Telecommunications Security Incident
CSIRT ANTEL
Response Centre
CSIRT Banco Real Real Bank Brazil Security Incident Response Team
CSIRT.DK Danish Computer Security Incident Repsonse Team
CSIRTUK CSIRTUK
Cert-IST CERT France Industries, Services & Tertiaire
Cisco PSIRT Cisco Systems Product Security Incident Response Team
Cisco Systems Cisco Systems CSIRT
Citi CIRT Citi CIRT
ComCERT Commerzbank CERT
CyberCIRT Cyberklix Computer Incident Response Team
DANTE Delivery of Advanced Network Technology to Europe Limited
DCSIRT Diageo CSIRT
DFN-CERT DFN-CERT
DIRT DePaul Incident Response Team
DK-CERT Danish Computer Emergency Repsonse Team
E-CERT Energis Computer Emergency Response Team
EDS EDS
EMC EMCs Product Security Response Center
ESACERT ESA Computer and Communications Emergency Response Team
ETISALAT-CERT ETISALAT Computer Emergency Response
EWA-Canada/CanCERT EWA-Canada / Canadian Computer Emergency Response Team
EYCIRT Ernst & Young Computer Incident Response Team
Ericsson PSIRT Ericsson Product Security Incident Response Team
FSC-CERT CERT of Fujitsu-Siemens Computers
FSLabs F-Secure Security Labs
Funet CERT Funet CERT
GD-AIS General Dynamics – AIS
GIST Google Information Security Team
GNS-Cert GNS-Cert
GOVCERT.NL GOVCERT.NL
GTCERT Georgia Institute of Technology CERT
Goldman Sachs Goldman, Sachs and Company
GovCertUK CESGs Government Computer Emergency Response Team
HIRT Hitachi Incident Response Team
HKCERT Hong Kong Computer Emergency Response Team Coordination Centre
HP SSRT HP Software Security Response Team
IBM IBM
IIJ-SECT IIJ Group Security Coordination Team

Página 36 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

CSIRT Nombre Oficial del CSIRT


ILAN-CERT Israeli Academic CERT
ILGOV-CERT Israel governmental computer emergency response team
ING Global CIRT ING Global CIRT
IP+ CERT IP-Plus CERT
IPA-CERT IPA-CERT
IRIS-CERT IRIS-CERT
IRS (Internal Revenue Service) Computer Security Incident Response
IRS CSIRC
Team
Infosec-CERT Infosec Computer Emergency Response Team
Intel FIRST Team Intel FIRST Team
JANET CSIRT JANET CSIRT
JPCERT/CC JPCERT Coordination Center
JPMC CIRT JPMorgan Chase Computer Incident Response Team
JSOC Japan Security Operation Center
Juniper SIRT Juniper Networks Security Incident Response team
KFCERT Korea Financial Computer Emergency Response Team
KKCSIRT Kakaku.com Security Incident Response Team
KMD IAC KMD Internet Alarm Center
KN-CERT Korea National Computer Emergency Response Team
KPN-CERT Computer Emergency Response Team of KPN
KrCERT/CC KrCERT/CC
LITNET CERT LITNET CERT
MCERT Motorola Cyber Emergency Response Team
MCI MCI, Inc.
MCIRT Metavante Computer Incident Response Team
MFCIRT McAfee Computer Incident Response Team
MIT Network Security Massachusetts Institute of Technology Network Security Team
MLCIRT Merrill Lynch Computer Security Incident Response Team
MODCERT MOD Computer Emergency Response Team
MSCERT Microsoft Product Support Services Security Team
MyCERT Malaysian Computer Emergency Response Team
NAB ITSAR National Australia Bank - IT Security Assessments and Response
NASIRC NASA Incident Response Center
NCIRC CC NATO Computer Incident Response Capability - Coordination Center
NCSA-IRST National Center for Supercomputing Applications IRST
NCSIRT NRI SecureTechnologies Computer Security Incident Response Team
NGFIRST Northrop Grumman Corporation FIRST
NIHIRT NIH Incident Response Team
NISC National Information Security Center
NIST NIST IT Security
NN FIRST Team Nortel FIRST Team

Página 37 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

CSIRT Nombre Oficial del CSIRT


NORDUnet NORDUnet
NTT Computer Security Incident Response and Readiness Coordination
NTT-CERT
Team
NU-CERT Northwestern University
NUSCERT NUS Computer Emergency Response Team
Nokia-NIRT Nokia Incident Response Team
NorCERT Norwegian Computer Emergency Response Team
ORACERT Oracle Global Security Team
OS-CIRT Open Systems AG Computer Incident Response Team
OSU-IRT The Ohio State University Incident Response Team
OxCERT Oxford University IT Security Team
PRE-CERT PRE-CERT
PSU Pennsylvania State University
Pentest Pentest Security Team
Q-CERT Qatar CERT
Q-CIRT QinetiQ Computer Incident Response Team
RBC FG CSIRT RBC Financial Group CSIRT
RBSG Royal Bank of Scotland, Investigation and Threat Management
RM CSIRT ROYAL MAIL CSIRT CC
RU-CERT Computer Security Incident Response Team RU-CERT
RUS-CERT Stabsstelle DV-Sicherheit der Universitaet Stuttgart
Ricoh PSIRT Ricoh Product Security Incident Response Team
S-CERT CERT of the German Savings Banks Organization
SAFCERT Singapore Armed Forces Computer Emergency Response Team
Science Applications International Corporation - Incident Response
SAIC-IRT
Team
SAP CERT SAP AG CERT
SBCSIRT Softbank Telecommunications Security Incident Response Team
SGI Silicon Graphics, Inc.
SI-CERT Slovenian CERT
SIRCC Security Incident Response Control Center
SITIC Swedish IT Incident Centre
SKY-CERT Skype Computer Emergency Response Team
SLCERT Sri Lanka Computer Emergency Response Team
SUNet-CERT SUNet-CERT
SURFcert SURFcert
SWAT A.P.Moller-Maersk Group IT-Security SWAT
SWITCH-CERT Swiss Education and Research Network CERT
SWRX CERT SecureWorks Computer Emergency Response Team
Secunia Research Secunia Research
Siemens-CERT Siemens-CERT

Página 38 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

CSIRT Nombre Oficial del CSIRT


SingCERT Singapore CERT
Sprint Sprint
Stanford Stanford University Information Security Services
Sun Sun Microsystems, Inc.
SymCERT Symantec Computer Emergency Response Team
TERIS Telefonica del Peru Computer Security Incidents Response Team
TESIRT TELMEX Security Incident Response Team
TS-CERT TeliaSoneraCERT CC
TS/ICSA FIRST TruSecure Corporation
TWCERT/CC Taiwan Computer Emergency Response Team/Coordination Center
TWNCERT Taiwan National Computer Emergency Response Team
Team Cymru Team Cymru
Telekom-CERT Telekom-CERT
ThaiCERT Thai Computer Emergency Response Team
UB-First UB-First
UCERT Unisys CERT
UGaCIRT The University of Georgia Computer Incident Response Team
UM-CERT University of Michigan CERT
UNAM-CERT UNAM-CERT
UNINETT CERT UNINETT CERT
US-CERT United States Computer Emergency Readiness Center
Uchicago Network Security The University of Chicago Network Security Center
VISA-CIRT VISA-CIRT
VeriSign VeriSign
YIRD Yahoo Incident Response Division
dCERT debis Computer Emergency Response Team
dbCERT Deutsche Bank Computer Emergency Response Team
e-Cop e-Cop Pte Ltd
e-LC CSIRT e-LaCaixa CSIRT
esCERT-UPC CERT for the Technical University of Catalunya
secu-CERT SECUNET CERT

Página 39 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.2. ENISA - EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY4

2.1.2.1. Antecedentes

El 10 de marzo de 2004 se creó una Agencia Europea de Seguridad de las Redes y de la Información
(ENISA)5. Su objetivo era garantizar un nivel elevado y efectivo de seguridad de las redes y de la
información en la Comunidad Europea y desarrollar una cultura de la seguridad de las redes y la
información en beneficio de los ciudadanos, los consumidores, las empresas y las organizaciones del sector
público de la Unión Europea, contribuyendo así al funcionamiento armonioso del mercado interior. Desde
hace varios años, diferentes grupos europeos dedicados a la seguridad, como los CERT/CSIRT, los equipos
de detección y respuesta a abusos y los WARP, colaboran para que Internet sea más seguro.

La ENISA desea apoyar el esfuerzo realizado por estos grupos aportando información acerca de las
medidas que garantizan un nivel adecuado de calidad de los servicios. Además, la Agencia desea potenciar
su capacidad de asesorar a los Estados miembros de la UE y los órganos comunitarios en cuestiones
relacionadas con la cobertura de grupos específicos de usuarios de las TI con servicios de seguridad
adecuados. Por lo tanto, basándose en los resultados del grupo de trabajo ad-hoc de cooperación y apoyo
a los CERT, creado en 2005, este nuevo grupo de trabajo se encargará de asuntos relativos a la prestación
de servicios de seguridad adecuados (servicios de los CERT) a grupos de usuarios específicos.

2.1.2.2. Servicios Ofrecidos

Para asegurar el cumplimiento de sus objetivos según lo precisado en su regulación, las tareas de la
agencia se enfocan en:

• Asesorar y asistir a los Estados miembro en temas de seguridad de la información y a la industria en


problemas de seguridad relacionados con sus productos de hardware y de software.

• Recopilar y analizar datos sobre incidentes de la seguridad en Europa y riesgos emergentes.

• Promover métodos de gestión de riesgo de la seguridad de la información.

Los principales servicios que promueven son:

4Tomado de: http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf. U.A: 2008/09/26. Publicado


por: ENISA. Autor: No determinado.

5 Reglamento (CE) nº 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la
Agencia Europea de Seguridad de las Redes y de la Información. Una “agencia europea” es un órgano creado por la
UE para realizar una tarea técnica, científica o de gestión muy concreta perteneciente al ámbito comunitario de la UE.

Página 40 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Gestión de la Calidad de
Servicios Reactivos Servicios Proactivos Manejo de Instancias
la Seguridad
• Alertas y • Comunicados • Análisis de • Análisis de riesgos
advertencias • Observatorio de instancias • Continuidad del
• Tratamiento de tecnología • Respuesta a las negocio y
incidentes • Evaluaciones o instancias recuperación tras un
• Análisis de auditorías de la • Coordinación de la desastre
incidentes seguridad respuesta a las • Consultoría de
• Apoyo a la • Configuración y instancias seguridad
respuesta a mantenimiento de • Sensibilización
incidentes la seguridad • Educación /
• Coordinación de la • Desarrollo de Formación
respuesta a herramientas de • Evaluación o
incidentes seguridad certificación de
• Respuesta a • Servicios de productos
incidentes in situ detección de
• Tratamiento de la intrusos
vulnerabilidad • Difusión de
• Análisis de la información
vulnerabilidad relacionada con la
• Respuesta a la seguridad
vulnerabilidad
• Coordinación de la
respuesta a la
vulnerabilidad

Página 41 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.2.3. Estructura

Ilustración 2: Estructura de ENISA

2.1.2.4. Área de Influencia

ENISA cubre la Comunidad Económica Europea y sus países miembros son: Austria, Bélgica, Bulgaria, Chipre,
República Checa, Dinamarca, Estonia, Finlandia, Francia, Alemania, Grecia, Hungría, Irlanda, Italia, Latvia, Lituania,
Luxemburgo, Malta, Países Bajos, Polonia, Portugal, Rumania, Eslovaquia, Eslovenia, España, Suecia, Reino Unido,
Noruega, Islandia, Liechtenstein.

Página 42 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.3. APCERT6 - ASIA PACIFIC COMPUTER EMERGENCY RESPONSE TEAM

2.1.3.1. Antecedentes

APCERT ha sido constituida con la misión de mantener una red de contactos de expertos en seguridad
informática en la región Pacífica de Asia, para mejorar el conocimiento y la capacidad de la región en lo
referente a incidentes de la seguridad de la computadora.

2.1.3.2. Servicios Ofrecidos

• Impulsar la cooperación regional e internacional de Asia pacífica en seguridad de la información.

• Tomar medidas comunes para atender incidentes de seguridad de la red.

• Facilitar compartir información e intercambio de tecnología, relacionada con seguridad de la


información, virus informáticos y código malévolo, entre sus miembros.

• Promover la investigación y colaboración en temas del interés en sus miembros.

• Asistir a otros CERTs y CSIRTS en la región para conducir respuestas eficiente y eficaz a emergencia
computacionales.

• Generar recomendaciones de ayudar en cuestiones legales relacionadas con la respuesta a incidentes


de seguridad y de emergencias informáticas en la región.

2.1.3.3. Estructura

Miembros de pleno derecho

Equipo Nombre oficial del equipo Economía


AusCERT Australian Computer Emergency Response Team Australia
BKIS Bach Khoa Internetwork Security Center Vietnam
CCERT CERNET Computer Emergency Response Team República Popular de China
CERT-En Indian Computer Emergency Response Team India
National Computer network Emergency Response
CNCERT/ CC República Popular de China
technical Team / Coordination Center of China
Hong Kong Computer Emergency Response Team
HKCERT Hong Kong, China
Coordination Centre
ID-CERT Indonesia Computer Emergency Response Team Indonesia
JPCERT /CC Japan Computer Emergency Response Team / Japón

6Tomado de: http://www.apcert.org/. U.A: 2008/09/26. Publicado por: APCERT. Autor: No determinado.

Página 43 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Equipo Nombre oficial del equipo Economía


Coordination Center
KrCERT/CC Korea Internet Security Center Corea
MyCERT Malaysian Computer Emergency Response Team Malasia
PHCERT Philippine Computer Emergency Response Team Filipino
SingCERT Singapore Computer Emergency Response Team Singapur
ThaiCERT Thai Computer Emergency Response Team Tailandia
Taiwan Computer Emergency Response Team /
TWCERT /CC Taipei china
Coordination Center
TWNCERT Taiwan National Computer Emergency Response Team Taipei china

Miembros Generales

Equipo Nombre oficial del equipo Economía


BP DSIRT BP Digital Security Incident Response Team Singapur
BruCERT Brunei Computer Emergency Response Team Negara Brunei Darussalam
Government Computer Security and Incident Response
GCSIRT Filipinas
Team
National University of Singapore Computer Emergency
NUSCERT Singapur
Response Team
SLCERT Sri Lanka Computer Emergency Response Team Sri Lanka
VNCERT Vietnam Computer Emergency Response Team Vietnam

2.1.3.4. Área de Influencia

La región de Asia Pacífico

2.1.4. CERT - COORDINATION CENTER DE LA UNIVERSIDAD CARNEGIE MELLON7

2.1.4.1. Antecedentes

El equipo del CERT CSIRT ayuda a organizaciones para desarrollar, para funcionar, y para mejorar
capacidades de la gerencia del incidente. Las organizaciones pueden aprovecharse de los productos, del
entrenamiento, de los informes, y de los talleres para la comunidad global del Internet.

El centro de coordinación del CERT (CERT/CC), es uno de los grupos con mayor reconocimiento en el
campo de los CERTs. Aunque fue establecido como equipo de respuesta a incidente, el CERT/CC se ha
desarrollado más allá, centrándose en identificar las amenazas potenciales, de notificar a los

7 CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute - Carnegie
Mellon University. Autor: No determinado.

Página 44 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

administradores de sistemas y al personal técnico acerca de dichas amenazas y de coordinar con los
proveedores y los equipos CERT en todo el mundo para tratar las amenazas.

2.1.4.2. Servicios Ofrecidos

Las áreas en las cuales puede ayudar son:

• Análisis de vulnerabilidades, esperando identificar y atenuar los impactos antes de que se conviertan en
una amenaza significativa de la seguridad. Una vez que se identifica una vulnerabilidad, se trabaja con
los proveedores apropiados de la tecnología para resolver la acción.

• Además de identificar vulnerabilidades, previenen la introducción de nuevas amenazas, estableciendo


prácticas que los proveedores pueden utilizar mejorar la seguridad y la calidad de su software.

• Promueven el desarrollo de una capacidad global de la respuesta, ayudando a organizaciones y a


países a establecer los Equipos de Respuesta a Incidente de la Seguridad Informática (CSIRTs) y
trabajan con los equipos existentes para coordinar la comunicación y la respuesta durante
acontecimientos importantes de seguridad.

• Examinan, catalogan y hacen ingeniera inversa sobre códigos malévolos. Estas actividades ayudan a
entender mejor cómo el código trabaja y permiten que se identifiquen las tendencias y los patrones
que pueden revelar vulnerabilidades explotables u otras amenazas potenciales.

• Promueven el intercambio de información referente a los servicios de seguridad:

• Avisos de prevención

• Actualizaciones de las actividades de seguridad

• Análisis y entrenamiento en incidentes

• Alertas

• Investigación en tendencias, amenazas y riesgos

• Generan intercambios Técnicos

• Consultoría, entrenamiento y desarrollo de habilidades técnicas.

• Intercambios técnicos de personal o afiliados residentes

• Herramienta de desarrollo y ayuda

Página 45 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Análisis de vulnerabilidad

• Análisis de hardware

• Red de supervisión y análisis

• Evalúan la madurez y capacidad del CSIRT

• Interactúan para el patrocinio de FIRST y presentación a otras organizaciones y socios estratégicos

• Hacen análisis de la infraestructura crítica

2.1.4.3. Estructura

El Carnegie Mellon CyLab es una iniciativa universitaria, multidisciplinaria que implica más de 200
facultades, estudiantes, y personal en Carnegie Mellon que han construido el liderazgo en tecnología de
información de Carnegie Mellon. Los trabajos de CyLab se centran en la coordinación del CERT (CERT/CC),
el conducir un centro reconocido internacionalmente de seguridad de Internet. A través de su conexión al
CERT/CC, CyLab también trabaja de cerca con US-CERT - una sociedad entre el departamento de la
división nacional de la seguridad de la Ciberseguridad del gobierno (NCSD) y del sector privado,
protegiendo la infraestructura nacional de la información en Estados Unidos.

2.1.4.4. Área de Influencia

Ilustración 3: CERT apoyados por el Centro de Coordinación de la Universidad Carnegie Mellon

Página 46 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.5. TERENA8 - TRANS-EUROPEAN RESEARCH AND EDUCATION NETWORKING ASSOCIATION

2.1.5.1. Antecedentes

La Asociación Trans Europea de Redes de Investigación y Educación – TERENA (Trans-European Research


and Education Networking Association) ofrece un foro de colaboración, innovación y compartir
conocimiento para fomentar el desarrollo de la tecnología, de la infraestructura y de los servicios del
Internet que se utilizan por la comunidad de Investigación y educación.

Los objetivos de TERENA se orientan a promover y participar en el desarrollo de información de alta


calidad y de una infraestructura de telecomunicaciones internacionales en beneficio de la investigación y de
la educación.

2.1.5.2. Servicios Ofrecidos

Las principales actividades de TERENA son:

• Proveer un ambiente de fomento de nuevas iniciativas en la investigación en la comunidad europea


para el establecimiento de una red de conocimiento.

• Empalmar el soporte europeo para evaluar, probar, integrar y promover nuevas tecnologías del
establecimiento de una red de conocimiento.

• Organizar conferencias, talleres y seminarios para el intercambio de la información en Comunidad


europea para el establecimiento de una red de investigación y buscar transferencia del conocimiento a
organizaciones menos avanzadas.

Junto con FIRST, TERENA organiza regularmente talleres de entrenamiento para los miembros de los
Equipos de Respuesta al incidente de Seguridad Computacional (CSIRTs), con base en materiales
desarrollados originalmente por el proyecto TRANSITS que funcionó entre 2002 y 2005.

TRANSITS era originalmente un proyecto financiado por la Comunidad Económica Europea para promover
el establecimiento de los equipos de la respuesta del incidente de la seguridad de la computadora (CSIRTs)
tratando el problema de la escasez del personal experto en CSIRTs. Esta meta ha sido tratada
proporcionando cursos de especialización al personal de CSIRTs en temas organizacionales, operacionales,
técnicos, de mercado y temas legales implicados en el establecimiento de un CSIRT.

Desde que el proyecto TRANSITS terminó en septiembre de 2005, TERENA y FIRST unieron sus fuerzas
para organizar talleres a través de Europa, con la ayuda de ayuda financiera de varias organizaciones. Los
talleres más recientes han sido co-organizados y patrocinados por ENISA.

8 Tomado de: http://www.terena.org/. U.A: 2008/09/26. Publicado por: Terena. Autor: No determinado.

Página 47 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.5.3. Estructura

La estructura de TERENA incluye:

• Asamblea General de TERENA

• Asamblea General Representantes

• Comité ejecutivo Técnico de TERENA

• Comité Técnico de TERENA

• Consejo Consultivo Técnico

• Secretaría

2.1.5.4. Área de Influencia

ACOnet, Austria FCCN, Portugal MREN, Montenegro SURFnet, The


Netherlands
AMRES - University of FUNET, Finland PCSS, Poland SWITCH, Switzerland
Belgrade, Serbia
ARNES, Slovenia GARR, Italy RedIRIS, Spain UIIP NASB, Belarus
BELNET, Belgium GRNET, Greece RENATER, France ULAKBIM, Turkey

BREN, Bulgaria HEAnet, Ireland RESTENA, Luxembourg UNI-C, Denmark


CARNet, Croatia HUNGARNET, Hungary RHnet, Iceland UNINETT, Norway
CESNET, Czech Republic IUCC, Israel RoEduNet, Romania Malta, University of
Malta
CYNET, Cyprus JANET(UK), United SANET, Slovakia
Kingdom
DFN, Germany LITNET, Lithuania SigmaNet, Latvia
EENet, Estonia MARNET, FYR of SUNET, Sweden
Macedonia

Página 48 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.6. ALEMANIA - CERT-BUND9 (COMPUTER EMERGENCY RESPONSE TEAM FÜR


BUNDESBEHÖRDEN)

2.1.6.1. Antecedentes

La Oficina Federal para la Seguridad en la Tecnología de Información (Bundesamt für Sicherheit in der
Informationstechnik - BSI) es la central de servicios de seguridad del gobierno y por ende, asume la
responsabilidad de la seguridad de la sociedad, convirtiéndose en la columna básica de la seguridad interna
en Alemania.

Mantiene contacto con los usuarios (administraciones públicas, gobierno y los municipios, así como las
empresas y los usuarios privados) y fabricantes de tecnología de información.

En Septiembre de 2001 se creo el contexto de la reorganización del BSI CERT-BUND (Equipo de Respuesta
a Emergencias Computacionales para las autoridades federales). Los ataques de virus computacionales
repetidos a las redes y sistemas, creo la necesidad de contar con un lugar central para la solución de los
problemas de la seguridad informática, enfocados en prevenir los agujeros de seguridad en los sistemas
informáticos del gobierno, con reacción siete días la semana.

2.1.6.2. Servicios Ofrecidos

Entre las tareas del CERT están:

• Generar y publicar recomendaciones preventivas para evitar las acciones que generen daños.

• Identificar puntos débiles del hardware y software.

• Sugerir medidas de recuperación de los agujeros de seguridad,

• Advertir situaciones especiales de amenaza relacionadas con la tecnología de información.

• Recomendar medidas reactivas para delimitar daños.

• Investigar riesgos de seguridad con el uso de la tecnología de información así como desarrollar las
medidas de seguridad.

• Desarrollar criterios de prueba.

• Evaluar la seguridad en sistemas información.

9 Tomado de: http://www.bsi.bund.de/certbund/. U.A: 2008/09/26. Publicado por: Bundesamt für Sicherheit in der
Informationstechnik (BSI). Autor: No determinado.

Página 49 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Ayudar de las autoridades gubernamentales en temas relacionados con la seguridad en la tecnología de


información.

2.1.6.3. Área de Influencia

Alemania

2.1.7. ARABIA SAUDITA - CERT-SA10 (COMPUTER EMERGENCY RESPONSE TEAM - SAUDI


ARABIA)

2.1.7.1. Antecedentes

El Equipo de Respuesta a Emergencia Computacionales (CERT-SA) es un organismo sin ánimo de lucro


establecido para desempeñar un papel importante en la creación de conocimiento, la administración, la
detección, la prevención, la coordinación y la respuesta a los incidentes de seguridad de la información a
nivel nacional en Arabia Saudita.

Su misión se establece en torno a los siguientes objetivos orientados a Arabia Saudita:

• Incrementar el nivel de conocimiento acerca de la seguridad de la información.

• Coordinar a nivel nacional los esfuerzos para promover las mejores prácticas de la seguridad y crear
confianza entre la comunidad del ciberespacio.

• Ayudar a manejar ataques e incidentes de la seguridad de la información.

• Ser la referencia en seguridad de la información para la comunidad de Ciberespacio.

• Construir talento y capacidad humana en el campo de la seguridad de la información.

• Proporcionar un ambiente de confianza para las e-transacciones.

• Fomentar la confianza, cooperación y colaboración entre los componentes y la ciber-comunidad de


Arabia Saudita.

2.1.7.2. Servicios Ofrecidos

• Gerencia de la calidad de la seguridad

10
Tomado de: http://www.cert.gov.sa/. U.A: 2008/09/26. Publicado por:CERT-SA. Autor: No determinado.

Página 50 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Construcción de conocimiento: Proporciona conocimiento y dirección en temas de seguridad de la


información para una mejor adecuación a las prácticas aceptadas en seguridad informática, vía portal,
campaña y seminarios.

• Educación / Entrenamiento: Provee educación en seguridad de la información con el entrenamiento


interno ajustado para requisitos particulares y en colaboración con instituciones de entrenamiento.

• Servicios Proactivos

• Aviso: Genera alarmas de seguridad de la información que incluye pero no se limitado a la intrusión,
advertencias de vulnerabilidad y asesorías en la seguridad a través del portal.

• Difunde información relacionada con la seguridad.

• Servicios reactivos

• Alarmas y advertencia: Difunde información que describe intrusos, vulnerabilidades de la seguridad,


alarmas de intrusión, virus informáticos, bromas y establece la línea de conducta relevante para
enfrentar problemas específicos.

• Ayuda de la respuesta del incidente: Asiste en la recuperación de incidentes vía teléfono, email, fax, o
documentación. Puede implicar asistencia técnica en la interpretación de los datos y orienta en
estrategias de mitigación y recuperación.

• Análisis del incidente: Examina la información disponible y evidencia de soporte relacionados con un
incidente, con el fin de identificar el alcance del incidente, el grado del daño causado por el incidente,
la naturaleza del incidente y las estrategias de respuesta.

2.1.7.3. Área de Influencia

Arabia Saudita

2.1.8. ARGENTINA - ARCERT11 (COORDINACIÓN DE EMERGENCIAS EN REDES


TELEINFORMÁTICAS)

2.1.8.1. Antecedentes

En el año 1999, la Secretaría de la Función Pública de la Jefatura de Gabinete de Ministros de Argentina


dispuso la creación de ArCERT, unidad de respuesta ante incidentes en redes que centraliza y coordina los

11 Tomado de: http://www.arcert.gov.ar/. U.A: 2008/09/26. Publicado por:Subsecretaría de Tecnología de Gestión,


Secretaría de la Gestión Pública, Argentina. Autor: No determinado.

Página 51 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

esfuerzos para el manejo de los incidentes de seguridad que afecten los recursos informáticos de la
Administración Pública Nacional, es decir cualquier ataque o intento de penetración a través de sus redes
de información.

Adicionalmente difunde información con el fin de neutralizar dichos incidentes, en forma preventiva o
correctiva, y capacita al personal técnico afectado a las redes de los organismos del Sector Público
Nacional. ArCERT comenzó a funcionar en mayo de 1999 en el ámbito de la Subsecretaría de la Gestión
Pública, siendo sus principales funciones:

• Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administración Pública Nacional y
facilitar el intercambio de información para afrontarlos.

• Proveer un servicio especializado de asesoramiento en seguridad de redes.

• Promover la coordinación entre los organismos de la Administración Pública Nacional para prevenir,
detectar, manejar y recuperar incidentes de seguridad.

• Actuar como repositorio de toda la información sobre incidentes de seguridad, herramientas y técnicas
de defensa

ArCERT cumple funciones de naturaleza eminentemente técnica. No pretende investigar el origen de los
ataques ni quienes son sus responsables. Corresponde al responsable de cada organismo efectuar las
denuncias para iniciar el proceso de investigación

2.1.8.2. Servicios Ofrecidos

Servicios: Todos los servicios que el ArCERT brinda a los Usuarios son gratuitos y no implican erogación
alguna para el Organismo representado.

• Acceso al Sitio Privado de ArCERT

• Análisis y seguimiento de los incidentes de seguridad reportados

• Difusión de información sobre las principales fallas de seguridad en productos

• Recomendación de material de lectura

• Asesorías sobre seguridad informática

• Acceder a la utilización del Producto SiMoS (Sistema de Monitoreo de Seguridad)

• Acceso a la Base de Conocimiento de Seguridad del ArCERT

Página 52 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Acceso a las Herramientas de Seguridad seleccionadas por el ArCERT

Servicios por Pedidos de Asistencia Específicos

• Instalación y configuración de Firewall de libre disponibilidad

• Instalación y configuración de IDS de libre disponibilidad

• Análisis de la topología de red

• Análisis perimetrales y visibilidad de la red

• Búsqueda de vulnerabilidades en los servidores de red

• Recomendaciones para robustecer los Sistemas Operativos y las Aplicaciones

Productos

• SIMOS - Sistema de Monitoreo de Seguridad: Permite detectar las vulnerabilidades conocidas de los
servidores, que brinden servicio a través de Internet, de los organismos de la Administración Pública

• FW-APN - Firewall de libre disponibilidad para la Administración Pública Nacional: Solución basada en
software de libre disponibilidad, eficiente, robusta y de bajos requerimientos que cubre las necesidades
de Firewall en la mayoría de las redes de la Administración Pública Nacional. Funciona directamente
desde CD-ROM.

• DNSar - Sistema de Análisis de Servidores y Dominios DNS: DNSar es un software desarrollado por
ArCERT para analizar los servidores y dominios DNS en busca de posibles errores de configuración y
funcionamiento.

• CAL - Coordinación y Análisis de Logs (En desarrollo): CAL es un conjunto de software, de fácil
instalación, que los organismos pueden instalar en una máquina dedicada para la detección de alertas
de seguridad en su red. Además, estas alertas son reenviadas a ArCERT para una visión macro de
estado de seguridad de la administración pública.

2.1.8.3. Estructura

ArCERT está sustentado por un grupo de especialistas, que hoy conforman el equipo de seguridad en
redes, dedicado a investigar sobre incidentes, hacking, herramientas de protección y detección, etc., con
conocimientos y experiencia entre otras, en las siguientes áreas: tecnologías informáticas, Firewalls,
seguridad en Internet é Intranet, detección y erradicación de intrusos, políticas y procedimientos de
seguridad, administración de riesgos, etc.

Página 53 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Funciona en la Oficina Nacional de Tecnologías de Información de la Subsecretaría de Tecnologías de


Gestión de la Secretaría de Gabinete y Gestión Pública de la Jefatura de Gabinete de Ministros de
Argentina.

2.1.8.4. Área de Influencia

Argentina

2.1.9. AUSTRALIA - AUSCERT12 (AUSTRALIA COMPUTER EMERGENCY RESPONSE TEAM)

2.1.9.1. Antecedentes

AusCERT es el Equipo de Respuesta a Emergencias Computacionales nacional para Australia y proporciona


asesoría en temas de seguridad de la información de la computadora, a la comunidad australiana y a sus
miembros, como punto único de contacto para ocuparse de dichos incidentes de seguridad que afectan o
que implican redes australianas.

AusCERT supervisa y evalúa amenazas globales de la red de ordenadores y las vulnerabilidades. AusCERT
publica boletines de seguridad, incluyendo estrategias recomendadas de prevención y mitigación.

AusCERT ofrece servicios de administración de incidentes que puede ser una manera eficaz de parar un
ataque en curso de la computadora o proporcionar la asesoría práctica en la respuesta y recuperación de
un ataque.

2.1.9.2. Servicios Ofrecidos

Las organizaciones del miembro de AusCERT gozan de un número de servicios no disponibles al público en
general. Estos servicios incluyen:

• Servicio de la detección temprana.

• Acceso vía Web site a contenidos exclusivos.

• Entrega vía email de boletines de seguridad.

• Acceso a Foros.

• Servicios de gerencia del incidente: incluyen la coordinación del incidente y la dirección del incidente.

12
Tomado de: http://www.auscert.org.au/. U.A: 2008/09/26. Publicado por: AusCERT, The University of Queensland,
Brisbane QLD 4072, Australia. Autor: No determinado.

Página 54 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Supervisión, evaluación y asesoría acerca de la vulnerabilidad y amenazas.

• Los miembros de AusCERT reciben boletines de la seguridad vía email. Los no miembros pueden
suscribir al servicio de alerta libre nacional.

• AusCERT investiga el ambiente de la seguridad del Internet para el gobierno y la industria dentro de
Australia. Estructura

AusCERT es una organización independiente, sin ánimo de lucro, con base en la Universidad de
Queensland, como parte del área de Servicios de Tecnología de la Información.

AusCERT cubre sus gastos con una variedad de fuentes incluyendo suscripciones de miembros y el
entrenamiento y educación en seguridad informática.

Es miembro activo del Foro FIRST y del Equipo de Respuesta a Emergencia Informática de Asia Pacífico
(APCERT), AusCERT tiene acceso a la información sobre amenazas y vulnerabilidades de la red de
ordenadores que surgen de manera regional y global.

2.1.9.3. Área de Influencia

Australia y Asia en la región pacífica

2.1.10. AUSTRIA - CERT.AT13 (COMPUTER EMERGENCY RESPONSE TEAM AUSTRIA)

2.1.10.1. Antecedentes

CERT.at es el CERT austríaco nacional que comenzó como un ensayo en marzo de 2008. Como el CERT
nacional, CERT.at es el punto de contacto primario para la seguridad informática en el contexto nacional.
CERT.at coordina otro CERT que funciona en el área de la infraestructura crítica o de la infraestructura de
la comunicación. En el caso de ataques en línea significativos contra la infraestructura austríaca, CERT.at
coordina la respuesta de los operadores y de los equipos locales de la seguridad.

2.1.10.2. Servicios Ofrecidos

• Respuesta al incidente: CERT.at asiste al equipo de seguridad en el manejo de los aspectos técnicos y
de organización de incidentes. Particularmente, proporciona ayuda o asesoría con respecto a los
aspectos siguientes de la administración del incidente:

• Determina si un incidente es auténtico y define la prioridad requerida.

13
Tomado de: www.cert.at. U.A: 2008/09/26. Publicado por: Computer Emergency Response Team Austria. Autor: No
determinado.

Página 55 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Coordinación del incidente: Investiga el incidente y toma las medidas apropiadas. Facilita el contacto
con otros participantes que puedan ayudar a resolver el incidente.

• Resolución del incidente. Recomienda las acciones apropiadas.

• Actividades Proactivas:

• Recopila información de contacto de los equipos locales de seguridad.

• Publica avisos referentes a amenazas serias de la seguridad.

• Informa acerca de tendencias en tecnología y distribuyen conocimiento relevante.

• Ofrece foros para construir la comunidad e intercambiar información.

2.1.10.3. Área de Influencia

Austria

2.1.11. BRASIL - CERT.BR14 (COMPUTER EMERGENCY RESPONSE TEAM BRAZIL)

2.1.11.1. Antecedentes

El CERT.br es el equipo de respuesta a los incidentes de seguridad para el Internet brasileño, responsable
de recibir, analizar y responder a dichos incidentes.

Más allá del proceso de respuesta a los incidentes en sí mismo, el CERT.br también actúa sobre los
problemas de la seguridad, la correlación entre los acontecimientos en el Internet brasileño y de ayuda al
establecimiento de nuevos CSIRTs en el Brasil.

2.1.11.2. Servicios Ofrecidos

Los servicios dados para el CERT.br incluyen:

• Ser un único punto para las notificaciones de los incidentes de seguridad, para proveer la coordinación
y la ayuda necesaria en el proceso de respuesta a los incidentes, contactando las piezas implicadas
cuando sea necesario.

14Tomado de: http://www.cert.br. U.A: 2008/09/26. Publicado por: Comitê Gestor da Internet no Brasil (CGI.br). Autor:
No determinado.

Página 56 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Establecer un trabaje colaborativo con otras entidades, como el gobierno, los proveedores de acceso y
servicios y de Internet.

• Dar apoyo al proceso de recuperación y al análisis de sistemas.

• Entrenar en la respuesta a los incidentes de seguridad, especialmente a los miembros de CSIRTs y de


las instituciones que están creando sus propios grupos.

2.1.11.3. Área de Influencia

Brasil

2.1.12. CANADÁ - PSEPC15 (PUBLIC SAFETY EMERGENCY PREPAREDNESS CANADA)

2.1.12.1. Antecedentes

El Centro Canadiense de Respuesta a Ciberincidentes (CCIRC) es responsable de supervisar amenazas y de


coordinar la respuesta nacional a cualquier incidente de la seguridad del ciberespacio. Su foco es la
protección de la infraestructura crítica nacional contra incidentes.

El centro es una parte del Centro de Operaciones del Gobierno y un componente importante en la
preparación de la seguridad nacional para atender emergencias en los peligros que acechan al gobierno.

Las iniciativas actuales incluyen:

• Coordinación de la respuesta del incidente a través de jurisdicciones.

• Fomentar el compartir la información entre las organizaciones y las jurisdicciones

• Generar las advertencias en torno a la seguridad.

• Divulgación de incidentes

• Desarrolla estándares operacionales de seguridad de la tecnología de información y documentación


técnica en temas tales como supervisión del sistema y software malévolo.

15 Tomado de: http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp. U.A: 2008/09/26. Publicado por: Gobierno de Canadá.


Autor: No determinado.

Página 57 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Servicios de inteligencia canadienses de la seguridad: Investiga y analiza amenazas del ciberespacio a


la seguridad nacional. También proporciona asesoría en la seguridad e inteligencia, incluyendo
amenazas y la información de riesgos.

• Establecimiento de la seguridad de comunicaciones: Proporciona asesoría y dirección en la protección


del gobierno acerca de la información electrónica de Canadá y de las infraestructuras de la información.
También ofrece ayuda técnica y operacional a las agencias federales en la aplicación de la Ley de
Seguridad.

2.1.12.2. Servicios Ofrecidos

CCIRC le proporciona los servicios a los profesionales y los encargados de la infraestructura crítica y de
otras industrias relacionadas. Estos servicios se hacen sin cargo alguno:

• Coordinación 7*24 y ayuda a la respuesta del incidente.

• Supervisión 7*24 y análisis del ambiente de la amenaza del ciberespacio.

• Asesoría técnica 7*24 relacionada con seguridad de la tecnología de información

• Construcción de la capacidad nacional (estándares, mejores prácticas, conocimiento, educación)

2.1.12.3. Área de Influencia

Canadá

2.1.13. CHILE – CSIRT-GOV16

2.1.13.1. Antecedentes

Tiene como propósito contribuir a asegurar el ciberespacio del Gobierno de Chile, en conformidad con lo
señalado en el artículo 17 de la Agenda Digital. Su misión es constituirse como referente en materias de
seguridad informática para todos los servicios que forman parte de la administración del Estado.

CSIRT Chile es dirigido por la jefatura de la División Informática del Ministerio del Interior.

16Tomado de: http://www.csirt.gov.cl/. U.A: 2008/09/26. Publicado por: Ministerio del Interior, Palacio de la Moneda,
Santiago de Chile. Autor: No determinado.

Página 58 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.13.2. Servicios Ofrecidos

El equipo de trabajo CSIRT Chile ofrece a los sistemas y redes gubernamentales los siguientes servicios:

• Monitoreo de actividades y detección de anomalías.

• Apoyo forense en respuesta a incidentes computacionales.

• Asesoría en la generación e implementación de políticas y sistemas de seguridad.

• Boletines de alertas adecuadamente traducidos y adaptados a las necesidades nacionales.

• Asesoría en la implementación del decreto supremo 83/2004 del Ministerio Secretaría General de la
Presidencia.

2.1.13.3. Estructura

El CSIRT Chile es una unidad dependiente de la División de Informática del Ministerio del Interior.

2.1.13.4. Área de Influencia

Chile

2.1.14. CHILE - CLCERT17 (GRUPO CHILENO DE RESPUESTA A INCIDENTES DE SEGURIDAD


COMPUTACIONAL)

2.1.14.1. Antecedentes

El Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional – CLCERT, tiene como misión
monitorear y analizar los problemas de seguridad de los sistemas computacionales en Chile, y reducir la
cantidad de incidentes de seguridad perpetrados desde y hacia éstos.

Desde comienzos de 2004, el CLCERT se auto-financia a través de su área de capacitación, asesorías en la


generación de políticas públicas concernientes a seguridad de sistemas informáticos y proyectos de
colaboración con el sector productivo.

Para ello, CLCERT se constituye como un punto nacional de encuentro, contacto y coordinación entre
instituciones y personas relacionadas del medio local.

17Tomado de: http://www.clcert.cl. U.A: 2008/09/26. Publicado por: FCFM Ingeniería, Universidad de Chile. Autor: No
determinado.

Página 59 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.14.2. Servicios Ofrecidos

El CLCERT tiene como principales objetivos:

• Entregar en forma oportuna y sistemática información sobre vulnerabilidades de seguridad y amenazas

• Divulgar y poner a disposición de la comunidad información que permita prevenir y resolver estos
incidentes de seguridad

• Educar a la comunidad en general sobre temas de seguridad, promoviendo las políticas que permiten
su implementación.

• CLCERT promueve el uso de Internet, los sistemas computacionales abiertos, y las tecnologías de la
información, haciendo sus usos más seguros y que por lo tanto gocen de la confianza de la comunidad
que los utiliza.

2.1.14.3. Estructura

El origen del CLCERT (fines de 2001) está estrechamente ligado al del Laboratorio de Criptografía Aplicada
y Seguridad (CASLab). Surge como una forma en que el CASLab se vincula con el medio local.

El CLCERT y el CASLab conforman una misma unidad y comparten financiamiento, pero los ámbitos de
acción son distintos. El CASLab prioriza las actividades de investigación, formación de capital humano
altamente especializado y tiene por ámbitos de acción el medio académico principalmente internacional. El
CLCERT prioriza actividades de formación profesional, extensión, transferencia tecnológica y tiene por
principal ámbito de acción el medio local.

2.1.14.4. Área de Influencia

Chile

2.1.15. CHINA - CNCERT/CC18 (NATIONAL COMPUTER NETWORK EMERGENCY RESPONSE


TECHNICAL TEAM)

2.1.15.1. Antecedentes

El Equipo Técnico Nacional de Respuesta a Emergencias de Redes Computacionales / Centro de


Coordinación de China CNCERT/CC (National Computer Network Emergency Response Technical Team /
Coordination Center of China) es una organización funcional que opera en la Oficina de Coordinación de
Respuesta a Emergencia de Internet del Ministerio de la Industria de Información de China y que es

18
Tomado de: http://www.cert.org.cn/english_web/. U.A: 2008/09/26. Publicado por: CNCERT/CC. Autor: No
determinado.

Página 60 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

responsable de la coordinación de actividades entre todos los equipos de Respuesta a Emergencias


Computacionales de China relacionadas con incidentes en las redes públicas nacionales.

CNCERT/CC fue fundado en octubre de 2000 y se hizo miembro de FIRST en agosto de 2002. CNCERT/CC
formó parte activa en el establecimiento de APCERT como miembro del comité de dirección de APCERT. Así
CNCERT/CC está parado para una nueva plataforma para una cooperación internacional mejor y un interfaz
prestigioso de la respuesta del incidente de la seguridad de la red de China.

2.1.15.2. Servicios Ofrecidos

Proporciona servicios de seguridad de la red de ordenadores y brinda orientación para el manejo de los
incidentes de seguridad para las redes públicas nacionales, los sistemas nacionales importantes y las
principales organizaciones, incluyendo la detección, predicción, respuesta y prevención. Recopila, verifica,
acumula y publica la información relacionada con la seguridad del Internet. Es también responsable del
intercambio de la información y la coordinación de acciones con organizaciones de la seguridad
internacional.

• Recopila información oportuna sobre acontecimientos de seguridad.

• Supervisión de Incidentes: Detecte los problemas y acontecimientos severos de la seguridad a tiempo,


y entrega prevenciones y apoyo a las organizaciones relacionadas.

• Dirección del Incidente.

• Análisis de datos de los incidentes de seguridad.

• Recopila y mantiene la información básica pertinente, incluyendo vulnerabilidades, correcciones,


herramientas y las últimas tecnologías de seguridad.

• Investigación sobre las tecnologías de seguridad.

• Entrenamiento en seguridad: Proporciona los cursos en respuesta de la emergencia, las tecnologías


requeridas, la orientación y la construcción del CERT.

• Ofrece servicios de consultoría técnica en el manejo de incidentes de seguridad.

• Promueve el intercambio internacional, organizando CERTs locales para orientar la cooperación y el


intercambio internacionales.

Página 61 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.15.3. Estructura

Ilustración 4: Estructura CNCERT/CC

El CNCERT/CC hace parte del Sistema de la Red Pública Nacional de Respuesta a Emergencias de
Seguridad China:

Página 62 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Ilustración 5: Sistema de la Red Pública Nacional de Respuesta a Emergencias de Seguridad China

2.1.15.4. Área de Influencia

China

Página 63 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.16. COREA DEL SUR - KRCERT/CC19 (CERT COORDINATION CENTER KOREA)

2.1.16.1. Antecedentes

Para hacer frente a los ataques informáticos, prevenir los casos de infracción de seguridad informática y
reducir al mínimo los posibles daños en Corea, el Centro de Seguridad del Internet de Corea ha dedicado
su energía a definir las medidas y metodología eficaces para dar respuesta técnica a los ataques, para la
protección de la red de comunicaciones, de la infraestructura de la red y para el refuerzo del sistema de la
predicción y de alarmas.

Desde julio de 1996 se establece el equipo coreano de respuestas a la emergencia computacional llamado
CERTCC-KR.

En junio de 1997 se establece la Organización de Respuesta al Incidente en el Asia Pacífico

En febrero de 1998 se establece como el primer miembro coreano en el FIRST (foro de Equipos de la
Respuesta y de la Seguridad del Incidente).

En diciembre de 2003 se establece el KISC (Korea Internet Security Center), con su centro de operaciones
KrCERT/CC's.

2.1.16.2. Servicios Ofrecidos

• Administración del Centro de Respuesta y Asistencia a Incidentes

• Análisis de incidentes y tecnología de soporte

• Establecimiento del sistema de coordinación para respuesta a incidentes de internet.

2.1.16.3. Estructura

• Equipo de Análisis de Incidentes:

• Investigación sobre nuevas vulnerabilidades de la red y tendencias de nuevos virus.

• Verificación y análisis en vulnerabilidades de la red

• Análisis en virus.

19
Tomado de: http://www.krcert.or.kr/. U.A: 2008/09/26. Publicado por: Korea Internet Security Center. Autor: No
determinado.

Página 64 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Recopilación de muestras de virus.

• Establecimiento y gerencia de la base de datos de vulnerabilidades.

• Equipo de Monitoreo de la Red:

• Supervisión del trafico de ISPs y los Web site más importantes nacionales o internacionales.

• Respuesta temprana a los incidentes, pronóstico y mensajes de alerta al público.

• Atención de respuestas y direccionamiento de incidentes que ocurren de manera local o internacional.

• Publicación de reportes mensuales con estadística y análisis del virus

• Equipo de Respuesta a Hacking:

• Investigación sobre técnicas y tendencias de hacking.

• Análisis de casos de hacking en redes piloto.

• Establecimiento y gerencia de investigaciones de incidentes y del sistema del análisis.

• Desarrollo y distribución de tecnologías para enfrentar ocurrencias de hacking.

• Respuesta de la emergencia contra incidentes y ayuda tecnológica

• Equipo de Coordinación de Respuestas:

• Muestras incrementales para recopilar y compartir información.

• Cooperación con FIRST para el CERT.

• Operación de la oficina administrativa para APCERT y CONCERT.

• Recepción de correos electrónicos de incidentes y manipulación de ellos.

• Activación del CERT nacional y establecimiento del sistema cooperativo.

• Participación en la estandarización con respecto a incidentes del Internet.

Página 65 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.16.4. Área de Influencia

Corea del Sur

2.1.17. DINAMARCA – DK.CERT20 (DANISH COMPUTER EMERGENCY RESPONSE TEAM)

2.1.17.1. Antecedentes

DK CERT es el equipo danés de Respuestas a Emergencias Computacionales y es de los pioneros alrededor


del mundo, cuando a inicios de los años noventa FIRST tomó la iniciativa de establecer la cooperación
internacional basada en el concepto original de CERT en los E.E.U.U. Como parte del trabajo cooperativo
internacional DK CERT supervisa la seguridad en Dinamarca.

El objetivo de DK CERT es recopilar información y conocimientos técnicos vía la cooperación en FIRST


permitiendo a DK CERT publicar alarmas y otra información relacionada con riesgos potenciales de la
seguridad. Así mismo recibe información sobre incidentes de seguridad y coordina esfuerzos en el campo.

DK CERT es un miembro del Foro de los Equipos de Respuesta y Seguridad del Incidente (FIRST).

2.1.17.2. Servicios Ofrecidos

• Consulta con respecto a incidentes de la seguridad

• DK CERT analiza notificaciones de las personas que se han expuesto a los incidentes de seguridad,
propone soluciones a los problemas y advierte a otros que pudieron ser blancos potenciales para
incidentes similares.

• DK CERT coordina la información entre las partes implicadas y otras organizaciones, tales como
equipos extranjeros de respuesta y la policía.

• DK CERT tiene un papel consultivo y no tiene ninguna autoridad para ordenar realizar tareas.

• DK CERT puede actuar como intermediario de la información entre diversas partes que desean
mantener el anonimato

• DK CERT proporciona asesoría con respecto a riesgos potenciales de seguridad y ofrece la ayuda por
ejemplo, para identificar el método de ataque. Además da instrucción en cómo los sistemas pueden ser
restaurados y como se pueden remediar los daños posibles.

20Tomado de: https://www.cert.dk/. U.A: 2008/09/26. Publicado por: DK.CERT - Danish Computer Emergency Response
Team. Autor: No determinado.

Página 66 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.17.3. Estructura

DK CERT fue establecido en 1991 por el Centro para la Educación y la Investigación Danes UNI-C, bajo el
Ministerio Danés de la Educación, por uno de los primeros casos del hacker en Dinamarca. DK CERT
coordina aproximadamente 10.000 incidentes de seguridad por año.

2.1.17.4. Área de Influencia

Dinamarca

2.1.18. EMIRATOS ÁRABES UNIDOS – AECERT21 (THE UNITED ARAB EMIRATES COMPUTER
EMERGENCY RESPONSE TEAM)

2.1.18.1. Antecedentes

El Equipo de Respuesta a Emergencias Computacionales (aeCERT) es el centro de coordinación de la


seguridad del ciberespacio en los Emiratos Árabes Unidos. Ha sido establecido por la Autoridad Reguladora
de Telecomunicaciones (TRA) como iniciativa para facilitar la detección, la prevención y la respuesta de los
incidentes de la seguridad del ciberespacio en Internet.

Su misión es sostener una infraestructura vigilante de las ciber amenazas de la seguridad y construir una
cultura de la seguridad del ciberespacio en los Emiratos Árabes Unidos.

2.1.18.2. Servicios Ofrecidos

• Ayudar en la creación de nuevas leyes para la seguridad del ciberespacio.

• Recopilar conocimiento de la seguridad de la información de los Emiratos Árabes Unidos.

• Construir experiencia nacional en seguridad de la información, administración del incidente y la


computación forense.

• Proporcionar a punto central confiable de contacto para el manejo de incidentes de la seguridad del
ciberespacio en los Emiratos Árabes Unidos.

• Establecer un centro nacional para divulgar la información sobre las amenazas, vulnerabilidades e
incidentes de la seguridad del ciberespacio.

• Fomentar el establecimiento de nuevos CSIRTs.

21
Tomado de: http://www.aecert.ae/. U.A: 2008/09/26. Publicado por: aeCERT. Autor: No determinado.

Página 67 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Coordinar las operaciones entre CSIRTs doméstico, internacionales y organizaciones relacionadas.

2.1.18.3. Estructura

Ha sido establecido por la Autoridad Reguladora de Telecomunicaciones (TRA) de los Emiratos Árabes
Unidos como un cuerpo consultivo que debe recomendar buenas prácticas, políticas, procedimientos y
tecnologías, sin embargo sin ejercer ninguna autoridad sobre su adopción ni responsabilidad sobre la
administración de los riesgos de la ciberseguridad.

2.1.18.4. Área de Influencia

Emiratos Árabes Unidos

2.1.19. ESPAÑA - ESCERT22 (EQUIPO DE SEGURIDAD PARA LA COORDINACIÓN DE


EMERGENCIAS EN REDES TELEMÁTICAS)

2.1.19.1. Antecedentes

A principios de la década de los noventa surge en Europa una iniciativa dispuesta a crear Equipos de
Respuestas a Incidentes de Seguridad en Ordenadores. Gracias al apoyo del programa técnico TERENA se
empiezan a crear CSIRT europeos, es entonces cuando aparece, concretamente a finales de 1994, esCERT-
UPC (Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas - Universidad
Politécnica de Cataluña) como primer centro español dedicado a asesorar, prevenir y resolver incidencias
de seguridad en entornos telemáticos.

esCERT - UPC ayuda y asesora en temas de seguridad informática y gestión de incidentes en redes
telemáticas.

Los principales objetivos son:

• Informar sobre vulnerabilidades de seguridad y amenazas.

• Divulgar y poner a disposición de la comunidad información que permita prevenir y resolver incidentes
de seguridad.

• Realizar investigaciones relacionadas con la seguridad informática.

• Educar a la comunidad en general sobre temas de seguridad.

22Tomado de: http://escert.upc.edu/index.php/web/es/index.html. U.A: 2008/09/26. Publicado por: Equipo de Seguridad para la
Coordinación de Emergencias en Redes Telemáticas. Autor: No determinado.

Página 68 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

De esta forma esCERT pretende mejorar la seguridad de los sistemas informáticos y a su vez aumentar el
nivel de confianza de las empresas y de los usuarios en las redes telemáticas.

2.1.19.2. Servicios Ofrecidos

Para llevar a cabo sus objetivos esCERT-UPC ofrece a la comunidad una serie de servicios que van desde la
respuesta a incidentes a la definición de una política de seguridad para las empresas, pasando por la
formación.

• Respuesta a Incidentes

• Altair (Servicio de Avisos de Vulnerabilidades)

• Formación

2.1.19.3. Estructura

esCERT es miembro de TF-CSIRT (Task Force-Collaboration of Incident Response Teams) y junto con otros
equipos de seguridad como los de las compañías Telia o British Telecom.

Forma parte de EPCI (European Private CERT Initiative) una agrupación de CERTs europeos privados.
Dentro de EPCI se encuentran compañías como BT, Alcacel o Siemens.

esCERT en el ámbito mundial participa en el FIRST, principal foro de coordinación de los diferentes CERTs
de todo el mundo.

2.1.19.4. Área de Influencia

España

2.1.20. ESPAÑA – IRIS-CERT23 (SERVICIO DE SEGURIDAD DE REDIRIS)

2.1.20.1. Antecedentes

El servicio de seguridad de RedIRIS (IRIS-CERT) tiene como finalidad la detección de problemas que
afecten a la seguridad de las redes de centros de RedIRIS, así como la actuación coordinada con dichos
centros para poner solución a estos problemas. También se realiza una labor preventiva, avisando con
tiempo de problemas potenciales, ofreciendo asesoramiento a los centros, organizando actividades de
acuerdo con los mismos, y ofreciendo servicios complementarios.

23Tomado de: http://www.rediris.es/cert/. U.A: 2008/09/26. Publicado por: IRIS - CERT. Autor: No determinado.

Página 69 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

IRIS-CERT es miembro del FIRST desde el 11 de Febrero de 1997. Además ha sido contribuidor al piloto
EuroCERT desde el 25 de Marzo de 1997 hasta la finalización del mismo en Septiembre de 1999.
Actualmente participa activamente en el Task Force auspiciado por TERENA, TF-CSIRT, para promover la
cooperación entre CSIRTs en Europa.

Los usuarios del servicio de seguridad son de tres tipos:

• Instituciones afiliadas a RedIRIS: Incluye universidades y otros centros de investigación. Estos usuarios
tienen derecho a todos los servicios (por definición) y pueden participar en la coordinación de los
mismos.

• Otros servicios de seguridad nacionales e internacionales: IRIS-CERT actúa como punto de contacto y
de coordinación de incidentes para otros servicios de seguridad. El ámbito de coordinación es toda
España. El ámbito de representación es todo el mundo. IRIS-CERT es miembro de FIRST, fue
contribuyente del proyecto EuroCERT y actualmente participa en el Task Force de TERENA TF-CSIRT,
para promover la cooperación entre CSIRTs en Europa. IRIS-CERT también puede actuar de enlace con
las fuerzas de seguridad del Estado (Policía y Guardia Civil), aunque no tomará acción judicial en
nombre de terceros, y limitará su participación en tales procesos a la asesoría técnica.

• Proveedores y usuarios de Internet en España: El servicio ofrecido a éstos, fuera de las instituciones de
RedIRIS, se limita a lo siguiente:

• Uso de los recursos públicos de IRIS-CERT (Servidor web, FTP, listas de correo).

• Atención de incidentes de seguridad. El servicio de atención de incidentes se ofrece a todos por igual,
según los criterios y prioridades establecidos aquí.

2.1.20.2. Servicios Ofrecidos

IRIS-CERT ofrece una serie de servicios principalmente orientados a las instituciones afiliadas a RedIRIS.
Algunos de estos servicios se ofrecen, así mismo, a la comunidad de Internet.

• Comunidad RedIRIS

• Asesoramiento instituciones afiliadas

• Auditoría en línea

• Comunidad de Internet

• Gestión de incidentes.

• Listas de Seguridad de RedIRIS

Página 70 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Otros Servicios de Seguridad (Servicios no específicos de IRIS-CERT)

• Infraestructura de Clave Pública para la comunidad RedIRIS (RedIRIS-PKI)

• Servidor de claves públicas PGP

• Red de Sensores AntiVirus de la Comunidad Académica (RESACA)

EL servicio no tiene costo para quien tenga derecho a usar el servicio. No se presta servicio a nadie más. El
Plan Nacional de I+D financia una red para los investigadores, y un servicio de seguridad que garantice la
integridad de la misma. La coordinación de incidentes ajenos a RedIRIS es una tarea adicional, necesaria
para llevar a cabo ese servicio.

2.1.20.3. Estructura

IRIS-CERT funciona bajo el auspicio y con la autoridad delegada del director de RedIRIS.

El IRIS-CERT espera trabajar cooperativo con los administradores y los usuarios de sistema en las
instituciones conectadas RedIRIS, evitando relaciones autoritarias.

2.1.20.4. Área de Influencia

España

2.1.21. ESPAÑA - CCN-CERT24 (CRYPTOLOGY NATIONAL CENTER - COMPUTER SECURITY


INCIDENT RESPONSE TEAM)

2.1.21.1. Antecedentes

Este servicio se creo a principios de 2007 como CERT gubernamental español y está presente en los
principales foros internacionales en los que se comparte objetivos, ideas e información sobre la seguridad
de forma global.

Su principal objetivo es contribuir a la mejora del nivel de seguridad de los sistemas de información de las
tres administraciones públicas existentes en España (general, autonómica y local).

Su misión es convertirse en el centro de alerta nacional que coopere y ayude a todas las administraciones
públicas a responder de forma rápida y eficiente a los incidentes de seguridad que pudieran surgir y
afrontar de forma activa las nuevas amenazas a las que hoy en día están expuestas.

24
Tomado de: https://www.ccn-cert.cni.es/. U.A: 2008/09/26. Publicado por: Centro Criptológico Nacional. Ministerio
de Defensa de España. Autor: No determinado.

Página 71 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.21.2. Servicios Ofrecidos

Para contribuir a esta mejora del nivel de seguridad, el CCN-CERT ofrece sus servicios a todos los
responsables de Tecnologías de la Información de las diferentes administraciones públicas a través de
cuatro grandes líneas de actuación:

• Soporte y coordinación para la resolución de incidentes que sufra la Administración General,


Autonómica o Local. El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actúa
rápidamente ante cualquier ataque recibido en los sistemas de información de las administraciones
públicas.

• Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los
miembros de las administraciones públicas. En este sentido, las citadas Series CCN-STIC elaboradas por
el CCN ofrecen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los
Sistemas TIC en la Administración.

• Formación a través de los cursos STIC, destinados a formar al personal de la Administración


especialista en el campo de la seguridad de las TIC e impartidos a lo largo de todo el año. Su principal
objetivo, aparte de actualizar el conocimiento del propio equipo que forma el CCN-CERT, es el de
permitir la sensibilización y mejora de las capacidades del personal para la detección y gestión de
incidentes.

• Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de


información, recopiladas de diversas fuentes de reconocido prestigio (incluidas las propias)

El CCN-CERT ofrece información, formación y herramientas para que las distintas administraciones puedan
desarrollar sus propios CERTs, permitiendo a este equipo actuar de catalizador y coordinador de CERTs
gubernamentales.

2.1.21.3. Estructura

El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro


Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI).

2.1.21.4. Área de Influencia

España

Página 72 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.22. ESPAÑA - INTECO-CERT25 (CENTRO DE RESPUESTAS A INCIDENTES EN TI PARA PYMES


Y CIUDADANOS)

2.1.22.1. Antecedentes

El Centro de Respuesta a Incidentes en Tecnologías de la Información para PYMEs y Ciudadanos sirve de


apoyo al desarrollo del tejido industrial nacional y ofrece los servicios clásicos de un Centro de Respuesta a
Incidentes, dando soluciones reactivas a incidentes informáticos, servicios de prevención frente a posibles
amenazas y servicios de información, concienciación y formación en materia de seguridad a la PYME y
ciudadanos españoles. Para todo el proceso de definición y creación de INTECO-CERT se han seguido las
directrices propuestas por ENISA (European Network and Information Security Agency, Agencia Europea
de Seguridad de las Redes y de la Información).

El centro de respuesta surge como iniciativa pública con los siguientes objetivos:

• Proporcionar información clara y concisa acerca de la tecnología, su utilización y la seguridad que


mejore su comprensión.

• Concienciar a las PYMEs y ciudadanos de la importancia de contemplar y abordar adecuadamente todos


los aspectos relacionados con la seguridad informática y de las redes de comunicación.

• Proporcionar guías de buenas prácticas, recomendaciones y precauciones a tener en cuenta para


mejorar la seguridad.

• Proporcionar mecanismos y servicios de divulgación, formación, prevención y reacción ante incidencias


en materia de seguridad de la información.

• Actuar como enlace entre las necesidades de PYMEs y ciudadanos y las soluciones que ofertan las
empresas del sector de la seguridad de las tecnologías de la información.

2.1.22.2. Servicios Ofrecidos

Para llevar a cabo la misión de concienciación, formación, prevención y reacción en materia de seguridad
en tecnologías de la información, INTECO-CERT ofrece un catálogo de servicios a los usuarios:

• Servicios de información sobre Actualidad de la Seguridad:

• Suscripción a boletines, alertas y avisos de seguridad.

25Tomado de: http://www.inteco.es/rssRead/Seguridad/INTECOCERT. U.A: 2008/09/26. Publicado por: Instituto Nacional de


Tecnologías de la comunicación S.A.. Autor: No determinado.

Página 73 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Actualidad, noticias y eventos de relevancia.

• Avisos sobre nuevos virus, vulnerabilidades y fraude. Estadísticas.

• Servicios de Formación en seguridad y en la legislacón vigente para Pyme y ciudadanos,


proporcionando guías, manuales, cursos online y otros recursos a los usuarios.

• Servicios de Protección y prevención: catálogo de útiles gratuitos y actualizaciones de software.

• Servicios de Respuesta y Soporte:

• Gestión y soporte a incidentes de seguridad.

• Gestión de malware y análisis en laboratorio del INTECO-CERT.

• Lucha contra el fraude.

• Asesoría Legal en materia de seguridad en las tecnologías de la información.

• Foros de Seguridad.

• Cooperación y coordinación con otras entidades de referencia en el sector, tanto a nivel nacional como
internacional.

INTECO-CERT como servicio público e intermediario INTECO-CERT tiene vocación de servicio público sin
ánimo de lucro. El Centro surge con la vocación de servir de apoyo preventivo y reactivo en materia de
seguridad en tecnologías de la información y la comunicación a una tipología de usuarios, la Pequeña y
Mediana Empresa (PYME) y ciudadanos, que no disponen de la formación, sensibilización y recursos
suficientes en dicho campo.

INTECO-CERT no vende soluciones tecnológicas o de consultoría. Si en su labor de apoyo a PYME y


ciudadanos, entiende que debe aconsejar alguno de ellos, facilita un directorio de entidades que prestan
esos servicios, para que el usuario elija según su criterio.

El Centro de Respuesta quiere, en este contexto, erigirse como un puente entre las necesidades de la
demanda (PYMEs y ciudadanos) y las soluciones de la oferta (entidades del sector de la seguridad de las
tecnologías de la información).

2.1.22.3. Área de Influencia

España

Página 74 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.23. ESTADOS UNIDOS - US-CERT26 (UNITED STATES - COMPUTER EMERGENCY READINESS


TEAM)

2.1.23.1. Antecedentes

Establecido en 2003 para proteger la infraestructura del Internet de la nación, US-CERT coordina la
defensa contra y respuestas a los ataques del ciberespacio a través de la nación.

US-CERT es cargado con la protección de la infraestructura del Internet coordinando la defensa y la


respuesta a los ataques del ciberespacio.

2.1.23.2. Servicios Ofrecidos

US-CERT es responsable de

• Analizar y reducir amenazas y vulnerabilidades del ciberespacio.

• Divulgar información y advertencias de amenaza del ciberespacio.

• Coordinar la respuesta a incidente.

• US-CERT obra recíprocamente con las agencias federales, industria, la comunidad de investigación, el
estado y los gobiernos locales, y otros para divulgar la información de la seguridad del ciberespacio
entre el público.

2.1.23.3. Estructura

El equipo de la Preparación para Emergencias Computacionales de Estados Unidos (US-CERT) es una


sociedad entre Departamento de la seguridad de la patria y los sectores públicos y privados

2.1.23.4. Área de Influencia

Estados Unidos

26
Tomado de: http://www.us-cert.gov. U.A: 2008/09/26. Publicado por: Department of Homeland Security - USA.
Autor: No determinado.

Página 75 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.24. ESTONIA – CERT-EE 27 (COMPUTER EMERGENCY RESPONSE TEAM OF ESTONIA)

2.1.24.1. Antecedentes

El Equipo de la Respuesta a Emergencias Computacionales de Estonia (CERT Estonia), se establece en


2006. Su tarea es asistir a usuarios estonios del Internet en la puesta en práctica de medidas preventivas
para reducir los daños posibles de incidentes de la seguridad y ayudarles a responder a las amenazas de la
seguridad. El CERT Estonia se ocupa de los incidentes de la seguridad que ocurren en redes estonias.

Los incidentes de la seguridad se atienden acorde con una prioridad definida según su severidad y alcance
potenciales considerando el número de usuarios afectados, el tipo de un incidente, la blanco del ataque,
así como el origen del ataquey los recursos requeridos para manejar el incidente. Los incidentes prioritarios
incluyen, por ejemplo: ataques que pueden comprometer la vida de la gente, ataques en la infraestructura
del Internet (servidores de nombres, nodos de red importantes y ataques automáticos en grande en los
servidores de la red), etc.

2.1.24.2. Servicios Ofrecidos

El CERT Estonia ofrece los servicios siguientes:

• Orientación en el incidente

• Recepción de informes de incidente

• Asignación de prioridades a los incidentes según su nivel de la severidad

• Análisis del incidente

• Respuesta a los incidentes.

2.1.24.3. Área de Influencia

Estonia

27Tomado de: http://www.ria.ee/?id=28201. U.A: 2008/09/26. Publicado por: Department for Handling Information Security
Incidents - Estonia. Autor: No determinado.

Página 76 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.25. FILIPINAS - PH-CERT28 (PHILIPPINES COMPUTER EMERGENCY RESPONSE TEAM)

2.1.25.1. Antecedentes

El Equipo de Respuesta a Emergencias Computacionales de Filipinas (PH-CERT) es una organización sin


ánimo de lucro que pretende brindar un punto confiable de contacto para emergencias computacionales,
de internet y otras emergencias relacionadas de la tecnología de información.

2.1.25.2. Servicios Ofrecidos

• Proporcione ayuda legal y consultiva.

• Opera como punto central para divulgar vulnerabilidades de la seguridad computacional y


proporcionará ayuda coordinada en respuesta a tales informes.

• Genera informes técnicos de análisis referentes a código malévolo.

• Proporciona información sobre la futura tecnología que puede plantear amenazas de la seguridad.

• Proporciona entrenamiento para promover el conocimiento de la seguridad.

• Genera alarmas sobre medidas a tomar contra amenazas existentes o próximas de la seguridad.

• Proporciona pautas en el uso y la combinación eficaces de las herramientas de la seguridad para


detección y prevención del incidente.

2.1.25.3. Área de Influencia

Filipinas

28
Tomado de: http://www.phcert.org/. U.A: 2008/09/26. Publicado por: Philippines Computer Emergency Response
Team. Autor: No determinado.

Página 77 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.26. FRANCIA-CERTA29 (CENTRE D'EXPERTISE GOUVERNEMENTAL DE RÉPONSE ET DE


TRAITEMENT DES ATTAQUES INFORMATIQUES)

2.1.26.1. Antecedentes

El Primer Ministro anunció la creación del CERTA, tras la decisión del Comité Interministerial para la
Sociedad de la Información (CISI), en enero de 1999 e inaugurado en febrero de 2000, con el fin de
reforzar la protección de las redes del Estado contra los ataques. A fin de reforzar y coordinar la lucha
contra las intrusiones en los sistemas informáticos de las administraciones del Estado, el Gobierno decide la
creación de una estructura de alerta y de asistencia en la Internet encargada de la misión de vigilar y
responder a los ataques informáticos.

Los dos principales objetivos del CERTA son:

• Garantizar la detección de las vulnerabilidades y la resolución de incidentes relativos a la seguridad de


los sistemas de información

• Asistir en la instalación de medios que permitan prevenir futuros incidentes.

Para alcanzar estos dos objetivos, deben llevarse a cabo en paralelo las tres misiones siguientes:

• Llevar a cabo una vigilancia tecnológica.

• Organizar la instalación de una red de confianza.

• Administrar la resolución de un incidente (si es necesario en relación con la red mundial de los CERT).

El CERTA es miembro del FIRST desde el 12 de setiembre de 2000 y participa en la actividad TF-CSIRT
(Computer Security Incident Response Team) que es la coordinación de los CERT europeos.

En la actualidad existen varios CERT en Francia. Esta es la lista de los equipos miembros del FIRST o de la
TF-CSIRT:

• El CERTA es el CERT dedicado al sector de la administración francesa.

• El Cert-IST es el CERT dedicado al sector de la Industria, de los Servicios y del Terciario (IST). Fue
creado a finales del año 1998 por cuatro socios: ALCATEL, el CNES, ELF y France Telecom.

29Tomado de: http://www.certa.ssi.gouv.fr/. U.A: 2008/09/26. Publicado por: Premier Ministre / Secrétariat Général de la
Défense Nationale / Direction centrale de la sécurité des systèmes d'information. Autor: No determinado.

Página 78 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• El CERT-RENATER es el CERT dedicado a la comunidad de los miembros del GIP RENATER (Red
Nacional de telecomunicaciones para la tecnología, la Enseñanza y la Investigación).

2.1.26.2. Servicios Ofrecidos

Las tareas prioritarias del CERT son las siguientes:

• Centralización de las solicitudes de asistencia tras los incidentes de seguridad (ataques) en las redes y
sistemas de informaciones: recepción de las solicitudes, análisis de los síntomas y eventual correlación
de los incidentes.

• Tratamiento de las alertas y reacción a los ataques informáticos: análisis técnico, intercambio de
informaciones con otros CERT, contribución a estudios técnicos específicos.

• Establecimiento y mantenimiento de una base de datos de las vulnerabilidades.

• Prevención por difusión de informaciones sobre las precauciones que tomar para minimizar los riesgos
de incidente o, por lo menos, sus consecuencias.

• Coordinación eventual con las demás entidades (fuera del campo de acción): centros de competencia
en redes, operadores y proveedores de acceso a Internet, CERT nacionales e internacionales.

2.1.26.3. Estructura

Dicha estructura depende de la Secretaría General de la Defensa Nacional y trabajará en red con los
servicios encargados de la seguridad de la información en todas las administraciones del Estado.
Participará en la red mundial de los CERT (Computer Emergency Response Team).

El CERTA depende de la Dirección Central de la Seguridad de Sistemas de Información (DCSSI) en la


Secretaría General de la Defensa Nacional (SGDN), y se encarga de asistir a los organismos de la
administración en la instalación de medios de protección y en la resolución de los incidentes o las
agresiones informáticas de las cuales son víctimas. Constituye el complemento indispensable para las
acciones preventivas ya aseguradas por la DCSSI y que son anteriores en el procedimiento de seguridad de
los sistemas de información.

2.1.26.4. Área de Influencia

Francia

Página 79 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.27. HONG KONG - HKCERT30 (HONG KONG COMPUTER EMERGENCY RESPONSE


COORDINATION CENTRE)

2.1.27.1. Antecedentes

En respuesta a las necesidades de hacer frente a amenazas de la seguridad, el gobierno ha financiado al


consejo de la productividad de Hong Kong para poner a funcionar el Centro de Coordinación del Equipo de
Respuesta a Emergencias Computacionales de Hong Kong (HKCERT). El objetivo de HKCERT es
proporcionar un contacto centralizado en la divulgación de incidentes y seguridad computacionales y de la
red y brindar la respuesta para las empresas locales y los usuarios del Internet en el caso de los incidentes
de la seguridad. Coordinará las acciones de respuesta y recuperación para los incidentes divulgados, ayuda
a supervisar y a divulgar la información sobre seguridad y proporciona asesoría en medidas preventivas
contra amenazas de la seguridad. El HKCERT también organiza seminarios del conocimiento y cursos de en
asuntos relacionados seguridad de la información.

2.1.27.2. Servicios Ofrecidos

• Respuesta a Incidentes: HKCERT proporciona respuesta durante 24 horas al día, 7 días a la semana.
Acepta incidentes por teléfono, fax y e-mail. HKCERT asiste y coordina las acciones de recuperación
para los incidentes.

• Alarma de la Seguridad: HKCERT supervisa de cerca la información sobre temas relacionadas con la
seguridad tales como últimos virus, debilidades de la seguridad y divulga la información al público.

• Publicación: HKCERT publica pautas, listas de comprobación, alarmas y artículos relacionados con la
seguridad. Estos documentos incluyen la información sobre vulnerabilidades de la seguridad,
estrategias de defensa y detección temprana de ataques probables. HKCERT también publica un boletín
de noticias mensual que proporciona la información más reciente en seguridad computacional y de la
red.

• Entrenamiento y educación: Para elevare el conocimiento de la seguridad de la información y para


mejorar la comprensión pública, HKCERT organiza seminarios libres y brinda a los informes a las
asociaciones comerciales regularmente. HKCERT también organiza los cursos que proporcionan
conocimiento profundizado en asuntos del específico de la seguridad de la información.

• Investigación y desarrollo: HKCERT conduce estudios en asuntos seleccionados seguridad de la


información y la situación en Hong Kong referente ataques de la computadora, pérdida, contramedidas,
etc.

2.1.27.3. Área de Influencia

Hong Kong

30Tomado de: http://www.hkcert.org/. U.A: 2008/09/26. Publicado por: HKCERT. Autor: No determinado.

Página 80 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.28. HUNGRÍA - CERT31 (CERT-HUNGARY)

2.1.28.1. Antecedentes

CERT-Hungría es el centro húngaro de la seguridad de la red y de la información del gobierno. Su tarea es


proporcionar la ayuda de la seguridad de la red y de la información al público húngaro entero, a los
negocios y a los sectores privados. El centro tiene un papel vital en la protección crítica de la
infraestructura de la información de Hungría. CERT-Hungría también actúa como base de conocimiento
para profesionales y público húngaro.

CERT-Hungría fue fundada en 2004 en la fundación de Theodore Puskas con la ayuda del Ministerio de la
Informática y de las Comunicaciones.

Los servicios públicos de la organización se ofrecen al gobierno, a los municipios, y a los negocios
húngaros, con la atención especial a la protección de los sistemas informáticos del gobierno húngaro.

CERT-Hungría es lista abordar problemas de la seguridad 24 horas al día 365 días al año. Proporciona
alarmas sobre amenazas nuevamente que emergen. Es responsable de manejar compromisos de la
seguridad en los sistemas informáticos del gobierno húngaro. Proporciona la dirección para reducir
boquetes de la seguridad, y aumenta conocimiento social sobre la información y seguridad de la
computadora a través de varios foros.

2.1.28.2. Servicios Ofrecidos

CERT-Hungría ofrece los servicios siguientes:

• Alarmas y advertencias: Este servicio implica que CERT-Hungría divulgue la información que describe
los ataques de intrusos, vulnerabilidades de la seguridad, alarmas de intrusión, virus informáticos,
bromas, proporcionando una línea de conducta recomendada a corto plazo para ocuparse del
problema. La alarma, la advertencia o la asesoría se envían como reacción a un problema existente
para notificar los componentes de la actividad y para proporcionar la orientación para proteger los
sistemas o recuperar cualquier sistema que fuera afectado.

• Avisos: Los avisos incluyen, pero no se limitan a las alarmas de la intrusión, las advertencias de la
vulnerabilidad y las recomendaciones de seguridad. Los avisos permiten proteger sistemas y redes
contra problemas encontrados antes de que puedan explotar.

• Difusión de la información relacionada con la Seguridad: Este servicio provee una recopilación de
información útil para mejorar la seguridad. Tal información puede incluir:

• Información de contactos para CERT-Hungría y pautas de divulgación.

31Tomado de: http://www.cert-hungary.hu/. U.A: 2008/09/26. Publicado por: CERT Hungary. Autor: No determinado.

Página 81 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Archivos de alarmas, de advertencias y de otros avisos

• Documentación sobre mejores prácticas actuales

• Orientación general de la seguridad computacional

• Políticas, procedimientos y listas de comprobación

• Información del desarrollo y distribución de correcciones

• Ajustes de proveedores

• Estadística y tendencias actuales en la divulgación del incidente

• Otra información que puede mejorar seguridad total

• Dirección del incidente: CERT-Hungría se ocupa solamente de incidentes de la seguridad informática.


Estos incidentes de la seguridad pueden ser acceso desautorizado a los datos sobre un sistema
informático, negación de los ataques del servicio, virus contra un sistema informático, las
vulnerabilidades, o cualquier otra actividad o programa que amenacen la seguridad de un sistema
informático. Durante su incidente los expertos de CERT-Hungría reciben, dan la prioridad, y responden
a los incidentes y a los informes y analizan incidentes y acontecimientos. Las actividades particulares de
la respuesta pueden incluir:

• Acción a tomar para proteger los sistemas y las redes afectadas o amenazadas por el intrusos

• Proveer soluciones y estrategias de mitigación de o de alarmas relevantes

• Filtración de tráfico de la red

• Dirección de la vulnerabilidad: Las vulnerabilidades están basadas en errores de la configuración que


crean los agujeros de seguridad en los sistemas informáticos y redes. La dirección de la vulnerabilidad
implica recibir información sobre vulnerabilidades del hardware y del software. CERT-Hungría analiza la
naturaleza, mecanismos y efectos de las vulnerabilidades y desarrollan las estrategias de la respuesta
para detectar y reparar las vulnerabilidades.

• Manejo de artefactos: Un artefacto es cualquier archivo u objeto encontrado en un sistema que


impacta en sistemas y redes, que atacan o que se esté utilizando para destruir medidas de seguridad.
CERT-Hungría analiza la naturaleza, mecanismos, versión y el uso de los artefactos y desarrolla (o
sugiere) las estrategias de respuesta para detectar, quitar y defender contra estos artefactos.

• Educación y entrenamiento: Con seminarios, los talleres, los cursos y clases particulares, CERT-Hungría
educa sobre soluciones de seguridad computacional. Los temas pueden ser:

Página 82 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Incidente y pautas

• Métodos apropiados de respuesta

• Herramientas de respuesta del incidente

• Métodos para la prevención del incidente

• Otra información necesaria para proteger, detectar, divulgar y responder a los incidentes de la
seguridad computacional.

2.1.28.3. Área de Influencia

Hungría

2.1.29. INDIA - CERT-IN32 (INDIAN COMPUTER EMERGENCY RESPONSE TEAM)

2.1.29.1. Antecedentes

El propósito del CERT-In es convertirse en la agencia de confianza de la comunidad india para responder a
los incidentes de la seguridad de computacional. CERT-In asiste a los miembros de la comunidad india para
ejecutar medidas proactivas para reducir los riesgos de los incidentes de la seguridad informática.

2.1.29.2. Servicios Ofrecidos

• Servicios Reactivos

• Proporciona un solo punto del contacto para divulgar problemas locales.

• Asiste al gobierno y a la comunidad general en la prevención y la manipulación de incidentes de la


seguridad computacional.

• Comparte la información y las lecciones aprendidas con el CERT/CC, otros CERTs y las organizaciones.

• Respuesta del incidente

• Proporciona el servicio de una seguridad 24 x 7.

32Tomado de: http://www.cert-in.org.in/. U.A: 2008/09/26. Publicado por: Department of Information Technology. Ministry
of Communications & Information Technology, Government of India. Autor: No determinado.

Página 83 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Procedimientos de recuperación

• Análisis de artefactos

• Trazo del incidente

• Servicios Proactivos

• Publica las pautas de la seguridad, las recomendaciones y consejos oportunos.

• Análisis y respuesta de la vulnerabilidad

• Análisis del riesgo

• Evaluación de producto relacionados con la seguridad

• Colaboración con los proveedores

• Perfilar atacantes.

• Entrenamiento, investigación y desarrollo de la conducta.

• Funciones

• Divulgación

• Punto central para divulgar incidentes

• Base de datos de incidentes

• Análisis

• Análisis de tendencias y patrones de la actividad del intruso

• Desarrollo de las estrategias preventivas

• Respuesta

• La respuesta del incidente es un proceso dedicado a restaurar sistemas afectados a la operación

• Envío de recomendaciones para la recuperación y la contención del daño causada por los incidentes.

Página 84 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Ayuda a los administradores de sistemas a tomar la acción de seguimiento para prevenir la repetición
de incidentes similares

2.1.29.3. Estructura

CERT-In funciona bajo auspicios y con la autoridad delegada del Departamento de Tecnología de
Información, del Ministerio de Comunicaciones y Tecnología de Información, del gobierno de la India.

CERT-In trabaja cooperativamente con los oficiales de información y los administradores de sistema de
varias redes sectoriales y de gobierno.

2.1.29.4. Área de Influencia

India

2.1.30. JAPAN - JPCERT/CC33 (JP CERT COORDINATION CENTER)

2.1.30.1. Antecedentes

JPCERT/CC es el primer CSIRT establecido en Japón. Se coordina con los proveedores de servicios de red,
vendedores de productos de seguridad, agencias estatales, así como las asociaciones gremiales de la
industria. En la región Pacífica de Asia, JPCERT/CC ayudó a formar APCERT (Equipo de Respuesta a
Emergencias Computacionales de Asia Pacífico) y ejerce la función de secretaría para APCERT. Es miembro
del Foro de Equipos de Respuesta y Seguridad del Incidente (FIRST).

Los objetos de JPCERT/CC son:

• Proporcionar respuestas a incidente de seguridad computacionales.

• Coordinar la acción con CSIRTs locales e internacional y organizaciones relacionadas.

• Ayudar al establecimiento de nuevos CSIRTs y promover la colaboración entre CSIRTs

• Divulgar información técnica sobre incidentes de seguridad computacional y las vulnerabilidades y


ajustes a la seguridad, generar alarmas y advertencias.

• Generar investigación y análisis de incidentes de la seguridad computacional.

• Conducir investigaciones sobre tecnologías relacionadas con la seguridad.

33
Tomado de: http://www.jpcert.or.jp/. U.A: 2008/09/26. Publicado por: JPCERT/CC. Autor: No determinado.

Página 85 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Aumentar el entendimiento de la seguridad de la información y del conocimiento técnico, con


educación y entrenamiento.

2.1.30.2. Servicios Ofrecidos

• Incidente Respuesta y análisis: JPCERT/CC proporciona ayuda técnica para divulgar problemas de la
seguridad de la siguiente manera:

• Con base en información proporcionada por los sitios afectados, JPCERT/CC determina los daños.

• Identifica las vulnerabilidades.

• Proporciona información técnica relevante.

• Adicionalmente genera un informe semanal y trimestral sobre respuestas y análisis de incidentes y otra
información relevante a la seguridad computacional.

• Alertas de Seguridad: JPCERT/CC recopila la información relacionada con seguridad computacional y


genera alarmas y mensaje para prevenir ataques contra redes locales de las organizaciones, así como
para evitar que el impacto de tales ataques llegue a ser extenso. Un informe semanal, contiene
amenazas potenciales y mensajes de cómo evitarlos o reducir al mínimo el daño causado por incidentes
o las vulnerabilidades.

• Coordinación con otros CSIRTs: Siendo el primer CSIRT formado en Japón, mantiene relaciones
cercanas establecidas con mucho CSIRTs no sólo en la Asia y la región pacífica, sino también en otras
regiones. La coordinación y la colaboración con esos CSIRTs es crucial para el uso seguro de la
tecnología del Internet en todo el mundo.

• Coordinación de Proveedores: Con el fin de evitar, reduce al mínimo o recupera del daño con eficacia y
eficiencia, la coordinación con los proveedores que pudieron afectar la seguridad del Internet es
importante. JPCERT/CC comparte la información con los proveedores locales y distribuyen la
información de la vulnerabilidad de manera oportuna.

• Educación y entrenamiento: JPCERT/CC proporciona la educación y el entrenamiento relacionados con


la seguridad de la red, incidentes de seguridad, vulnerabilidad y las tendencias y ayudas de seguridad a
partir de seminarios y talleres. Además, vario informes técnicos y otros documentos están disponibles
en el web site.

• Investigación y análisis: Los incidentes de la computadora se están convirtiendo en un problema cada


vez más difícil de identificar. JPCERT/CC ejerce investigación y análisis para encontrar mejores maneras
de prevenir ataques o de limitar su daño.

Página 86 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.30.3. Área de Influencia

Japón

2.1.31. MÉXICO – UNAM-CERT34 (EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD EN


CÓMPUTO)

2.1.31.1. Antecedentes

El UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo) es un equipo de


profesionales en seguridad en cómputo localizado en el Departamento de Seguridad en Cómputo (DSC) de
la Dirección General de Servicios de Cómputo Académico (DGSCA), de la UNAM.

El UNAM-CERT se encarga de proveer el servicio de respuesta a incidentes de seguridad en cómputo a


sitios que han sido víctimas de algún "ataque", así como de publicar información respecto a
vulnerabilidades de seguridad, alertas de la misma índole y realizar investigaciones de la amplia área del
cómputo y así ayudar a mejorar la seguridad de los sitios.

El DSC (Departamento de Seguridad en Cómputo) de la DGSCA, UNAM, es un punto de encuentro al cual


puede acudir la comunidad de cómputo para obtener información, asesorías y servicios de seguridad, así
como para intercambiar experiencias y puntos de vista, logrando con ello, establecer políticas de seguridad
adecuadas, disminuir la cantidad y gravedad de los problemas de seguridad y difundir la cultura de la
seguridad en cómputo.

2.1.31.2. Servicios Ofrecidos

El DSC pone a la disposición de los Institutos, Facultades y organizaciones externas su portafolio de


servicios de Seguridad en Tecnologías de la Información:

• Análisis de Riesgos.

• Test de Penetración.

• Análisis Forense.

• Auditorias de Seguridad.

• Administración de Infraestructura de Seguridad en TI.

34Tomado de: http://www.cert.org.mx/index.html. U.A: 2008/09/26. Publicado por: UNAM-CERT. Autor: Jefe del
Departamento de Seguridad en Cómputo: Juan Carlos Guel. Líder del Proyecto: Alejandro Núñez Sandoval.

Página 87 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Tecnologías de Seguridad.

• Desarrollo de Soluciones.

• Asesorías.

2.1.31.3. Estructura

El UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo) es un equipo de


profesionales en seguridad en cómputo localizado en el Departamento de Seguridad en Cómputo (DSC) de
la Dirección General de Servicios de Cómputo Académico (DGSCA), de la UNAM.

2.1.31.4. Área de Influencia

México

2.1.32. NUEVA ZELANDIA – CCIP35 (CENTRE FOR CRITICAL INFRASTRUCTURE PROTECTION)

2.1.32.1. Antecedentes

El Centro para la Protección de la infraestructura Crítica (CCIP) es la agencia de estatal dedicada al trabajo
con las organizaciones, la industria y el gobierno relacionados con la infraestructura crítica de Nueva
Zelandia, para mejorar la protección y la seguridad computacional de amenazas.

2.1.32.2. Servicios Ofrecidos

• Proporcionar un servicio de asesoría 7*24 hacia dueños y operadores de la Infraestructura Crítica


Nacional y del gobierno de Nueva Zelandia.

• Investigar y analizar los incidentes del ciberespacio que ocurren contra la Infraestructura Crítica
Nacional.

• Trabajar con las agencias de protección de la Infraestructura Crítica Nacional tanto de manera local
como internacionalmente para mejorar el conocimiento de la seguridad del ciberespacio en Nueva
Zelandia.

35
Tomado de: http://www.ccip.govt.nz/. U.A: 2008/09/26. Publicado por: Centre for Critical Infrastructure Protection.
Autor: No determinado.

Página 88 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.32.3. Estructura

El Centro para la Protección de la Infraestructura Crítica (CCIP) es una unidad de negocio dentro de la
oficina de Seguridad de Comunicaciones del Gobierno (GCSB).

La persona responsable del CCIP y de GCSB es el Primer Ministro de Nueva Zelandia.

2.1.32.4. Área de Influencia

Nueva Zelandia

2.1.33. HOLANDA – GOVCERT.NL36

2.1.33.1. Antecedentes

GOVCERT.NL es el Equipo de Respuesta a Emergencias Computacionales para el gobierno holandés. Desde


2002 apoya al gobierno en la prevención y atención de incidentes relacionados con la seguridad.

2.1.33.2. Servicios Ofrecidos

• Coordinación: Actúa como punto central de la emergencia de incidentes relacionados con la seguridad,
tales como virus informáticos y detección de vulnerabilidades.

• Información: Proporciona la información correspondiente a temas de seguridad a las partes apropiados.

• Asiste a oficiales del gobierno en la prevención de incidentes de seguridad.

• Intercambio internacional del conocimiento: mantiene la cooperación e intercambio de información a


nivel internacional.

• Banco de datos: GOVCERT. NL es un centro de información. Proporciona acceso al conocimiento y a la


experiencia de su personal y organizaciones que participan. Además, promueve el intercambio de
información entre estas organizaciones. El banco de datos facilita el intercambio por medio de listas de
distribución, de archivos de documentos relevantes y de mejores prácticas.

• Paneles: Organizamos reuniones periódicas para dar la oportunidad de intercambiar conocimiento e


ideas en temas de actualidad.

• Ayuda en caso de incidentes: Ofrece ayuda haciendo frente a todas las clases de incidentes,
extendiéndose al correo Spam, a los ataques de la red de la escala grande, con un soporte 7*24.

36
Tomado de: http://www.govcert.nl/. U.A: 2008/09/26. Publicado por: GOV-CERT.NL. Autor: No determinado.

Página 89 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.33.3. Área de Influencia

Holanda

2.1.34. POLONIA - CERT POLSKA37 (COMPUTER EMERGENCY RESPONSE TEAM POLSKA)

2.1.34.1. Antecedentes

El CERT Polska es el nombre oficial del equipo desde el enero de 2001. Era conocido antes como CERT
Nask. Desde el febrero de 1997 el CERT Polska ha sido un miembro del Foro Mundial de Equipos de
Respuesta y Seguridad del Incidente - FIRST. El CERT Nask fue establecido en marzo de 1996 según la
disposición del director de Nask (Red Académica y de Investigación en Polonia).

Sus objetivos son constituir un único punto confiable de atención a incidentes y prevención en Polonia para
los clientes de la comunidad Nask y otras redes en Polonia, responder por los incidentes de seguridad,
proveer información referente a la seguridad y advertencias de los ataques en cooperación con otros
equipos de respuesta a incidentes por todo el mundo

2.1.34.2. Servicios Ofrecidos

• El CERT Polska registra las peticiones, alertas y proporcionará datos e informes estadísticos de
incidentes.

• Proporciona ayuda a los sitios que tienen problemas de seguridad.

• El CERT Polska brinda información actual sobre problemas de seguridad y su solución (vía web y lista
de suscripción).

2.1.34.3. Estructura

El equipo lo conforma la Red Académica y de Investigación en Polonia, con la ayuda de expertos de


universidades polacas.

2.1.34.4. Área de Influencia

Polonia

37
Tomado de: http://www.cert.pl/. U.A: 2008/09/26. Publicado por: CERT Polska. Autor: No determinado.

Página 90 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.35. QATAR - Q-CERT38 (QATAR CERT)

2.1.35.1. Antecedentes

Como Equipo Nacional de Respuesta a Incidente de Seguridad Computacional de Qatar, Q-CERT coordinará
el sistema de actividades de la ciber - seguridad necesarias para mejorar la protección de infraestructuras
críticas en la nación y en la región.

Para alcanzar esta meta, Q-CERT trabajará con las agencias y la industria estatal para formar una
estrategia de la gerencia de riesgo para la seguridad del ciberespacio que incluye los siguientes frentes:

• Planeamiento, medición y evaluación

• Disuasión

• Protección

• Supervisión, detección y análisis

• Respuesta

• Reconstitución y recuperación

• Investigación y desarrollo

Q-CERT cubre todas las organizaciones autorizadas para utilizar el dominio del código de país.qa, así como
la población en general de Qatar que utiliza el Internet. Incluye al gobierno de Qatar, a los negocios e
instituciones educativas que utilizan el Internet para sus operaciones. Los socios estratégicos incluyen la
industria petrolera del aceite, la industria de servicios financieros, la industria de las telecomunicaciones, y
los ministerios del estado de Qatar. Q-CERT trabajará con los institutos educativos en Qatar para aumentar
conocimiento de la seguridad de la información y para mejorar prácticas de seguridad de la información.

2.1.35.2. Servicios Ofrecidos

• Talleres, seminarios, y cursos diseñados para aumentar el conocimiento acerca de la seguridad del
ciberespacio.

• Provee un Web site para brindar información sobre las amenazas que emergen, nuevas
vulnerabilidades y otros temas de seguridad.

38
Tomado de: http://www.qcert.org. U.A: 2008/09/26. Publicado por: Supreme Council of Information &
Comunication Technology. Autor: No determinado.

Página 91 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Explorar la información de la seguridad de sistemas de fuente abierta para prevenir amenazas


emergentes.

• Genera nuevas alarmas y estrategias de mitigación.

• Analiza vulnerabilidades y código malévolo para desarrollar estrategias de la mitigación.

• Analizar incidentes de la seguridad e identifica contramedidas.

• Coordina a través de las organizaciones internacionales el manejo de atención a incidentes e


investigaciones.

• Ayuda en la determinación del alcance y de la magnitud de incidentes de seguridad e identifica


estrategias de la recuperación

2.1.35.3. Estructura

Q-CERT es un organismo nacional patrocinado del Consejo Supremo para la Tecnología de Información y
de Comunicaciones (ictQATAR) del estado de Qatar en asocio con el programa CERT que es parte de
Instituto de Ingeniería de Software de la Universidad Carnegie - Mellon en Pittsburgh, Estados Unidos.

2.1.35.4. Área de Influencia

Gobierno y sector privado en Qatar y en la región cercana del golfo.

2.1.36. REINO UNIDO - GOVCERTUK39 (CESG´S INCIDENT RESPONSE TEAM)

2.1.36.1. Antecedentes

GovCertUK nace en febrero de 2007, como la autoridad técnica nacional para el aseguramiento de la
información y proporciona la función de CERT al gobierno británico. Asiste a organizaciones del sector
público en la respuesta a los incidentes de seguridad computacional y proporciona asesoría para reducir la
exposición a la amenaza.

Este papel incluye disponer de una capacidad de respuesta a emergencias de las organizaciones del sector
público que pueden requerir la ayuda técnica y la asesoría durante períodos de ataque electrónico o de
otros incidentes de la seguridad de la red.

El equipo GovCertUK presta ayuda técnica y asesoría al Centro para la Protección de la Infraestructura
Nacional (Centre for the Protection of National Infrastructure – CPNI40), que proporcionará un papel similar

39
Tomado de: www.govcertuk.gov.uk. U.A: 2008/09/26. Publicado por: CESG GovCertUK Incident Response Team.
Autor: No determinado.

Página 92 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

de ayuda a la infraestructura nacional crítica, a las organizaciones del sector público y privado, protegiendo
la seguridad nacional ayudando así a reducir la vulnerabilidad de la infraestructura nacional al terrorismo y
a otras amenazas.

2.1.36.2. Servicios Ofrecidos

• Publicaciones orientadas a la protección general de la seguridad.

• Informes de seguridad de la información destacando los riesgos frente a la infraestructura nacional.

• Notas técnicas de la Seguridad de la Información.

• Vulnerabilidades de la Seguridad de la Información.

• Investigación en vulnerabilidades computacionales para determinar las amenazas, identificar problemas


y se trabaja de la mano con proveedores de tecnología para suministrar patches de software.

• Promueven las mejores prácticas entre los operadores de la infraestructura nacional, compartiendo la
información.

• Descripción de tecnologías emergentes.

• Intercambios de información sobre los riesgos.

2.1.36.3. Área de Influencia

Reino Unido e Irlanda del Norte

2.1.37. SINGAPUR – SINGCERT41 (SINGAPORE CERT)

2.1.37.1. Antecedentes

El Equipo de Respuesta a Emergencias Computacionales de Singapur (SingCERT) fue instalado para


facilitar la detección, la resolución y la prevención de incidentes relacionados con la seguridad en Internet.

Sus objetivos son:

40
Tomado de: www.cpni.gov.uk. U.A: 2008/09/26. Publicado por: Centre for the Protection of National Infrastructure
– CPNI. Autor: No determinado.

41
Tomado de: http://www.singcert.org.sg/. U.A: 2008/09/26. Publicado por: Singapur – SingCERT. Autor: No
determinado.

Página 93 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Ser un punto de contacto confiable.

• Facilitar la resolución de las amenazas de la seguridad.

• Aumente la capacidad nacional en seguridad.

2.1.37.2. Servicios Ofrecidos

• Genera alarmas, recomendaciones y patches de seguridad.

• Promueve el conocimiento de la seguridad a través de cursos, seminarios y talleres de seguridad.

• Colabora con los proveedores y otros CERTs para encontrar soluciones a los incidentes de la seguridad

2.1.37.3. Estructura

SingCERT fue establecido inicialmente en octubre de 1997 como programa de la autoridad del desarrollo
de Infocomm de Singapur, en colaboración con el Centro para la Investigación del Internet de la
Universidad Nacional de Singapur.

2.1.37.4. Área de Influencia

Singapur

2.1.38. SRI LANKA – SLCERT42 (SRI LANKA COMPUTER EMERGENCY RESPONSE TEAM)

2.1.38.1. Antecedentes

El Equipo de Respuesta a Emergencia Computacionales de Sri Lanka (SLCERT) es el centro para la


seguridad del ciberespacio, designado por mandato para proteger la infraestructura de la información de la
nación y para coordinar medidas protectoras y respuestas a las amenazas y a las vulnerabilidades de la
seguridad informática.

Un CERT nacional actúa como punto focal para la seguridad de Ciberespacio para una nación. Es la única
fuente confiable para asesorar sobre las amenazas y las vulnerabilidades más recientes que afectan los
sistemas informáticos y las redes y para asistir al gobierno en responder y recuperarse de Ataques
computacionales.

42
Tomado de: http://www.cert.lk/. U.A: 2008/09/26. Publicado por: Sri Lanka – SLCERT. Autor: No determinado.

Página 94 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.1.38.2. Servicios Ofrecidos

SLCERT ofrece tres categorías de servicio:

• Servicios de Respuesta: Son los servicios que son activados por los acontecimientos que son capaces
de causar efectos nocivos sobre los sistemas de información. Los ejemplos son ataques de Spam, virus
y acontecimientos inusuales de intrusos.

• Dirección en incidentes: Este servicio implica responder a una petición o a una notificación asociada a
la detección de un acontecimiento inusual, que puede afectar el funcionamiento, la disponibilidad o la
estabilidad de los servicios o sistemas informáticos.

• SLCERT realizará pasos para identificar el incidente y para clasificar la severidad del incidente,
asesorando en cómo contener el incidente y suprimir la causa. Una vez los sistemas se recuperan
completamente, SLCERT genera un informe de incidente detallando su naturaleza, medidas tomadas
para recuperarse de incidente y medidas preventivas recomendadas para el futuro.

• Servicios del Conocimiento: Se diseñan para educar en la importancia de la seguridad de la información


y de los asuntos relacionados y las mejores prácticas.

• Alarmas: Este servicio se utiliza para divulgar la información en relación con virus informáticos, bromas
y vulnerabilidades de la seguridad, y en lo posible, para proporcionar recomendaciones a corto plazo
para ocuparse de las consecuencias de tales ataques.

• Seminarios y conferencias: Estos servicios tienen la intención de aumentar el conocimiento sobre la


seguridad de la información, seguridad estándares y mejores prácticas. Se busca ayudar a reducir
perceptiblemente la probabilidad de ser atacado.

• Talleres: Estos servicios son dirigido para aumentar el conocimiento acerca de la seguridad de la
información. Se orientan a los profesionales más técnicos, que realizan tareas diarias relacionadas con
la seguridad de la información.

• Base de Conocimiento: La base de conocimiento es un servicio pasivo ofrecido por SLCERT a los
interesados con documentos, artículos, noticias, etc., publicado en el Web site de SLCERT y los medios.
Se busca proporcionar una gama de recursos del conocimiento que permitan a cualquier persona
encontrar información útil para ayudar a aumentar su comprensión de la seguridad de la información.

• Servicios de la Consulta: Estos servicios se orientan a proveer medios de toma de decisiones con
respecto a la seguridad de la información, y para tomar las medidas necesarias para consolidar las
defensas.

• Soporte Técnico: Este servicio de revisión y análisis está dirigido a la infraestructura y procedimientos
de la seguridad adoptados dentro de las organizaciones, de acuerdo con la experiencia en seguridad de
la información del SLCERT y de ciertos parámetros predefinidos. El resultado final es un identificación

Página 95 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

detallada de las debilidades de la infraestructura, las mejoras que deben llevarse a cabo y cómo tales
las mejoras deben ser puestas en ejecución.

• Soporte Consultivo para Política Nacional: Éste es un servicio realizado por SLCERT como obligación
con la nación. Como autoridad primaria en seguridad de la información en Sri Lanka, SLCERT es
responsable de generar y de hacer cumplir estándares de seguridad de la información a nivel nacional.

2.1.38.3. Área de Influencia

Sri Lanka

2.1.39. TÚNEZ - CERT-TCC43 (COMPUTER EMERGENCY RESPONSE TEAM - TUNISIAN


COORDINATION CENTER)

2.1.39.1. Antecedentes

A partir de 2002 se establece el núcleo de un CSIRT en Túnez, que condujo en 2004 al lanzamiento oficial
del CERT-TCC (Computer Emergency Response Team - Centro Tunecino de Coordinación), un CSIRT
público gestionado por la Agencia Nacional para la Seguridad Computacional.

El CERT-TCC tiene los siguientes objetivos:

• Aumentar el conocimiento y entendimiento acerca de la seguridad de la información y de la seguridad


de la computadora a través de medidas proactivas.

• Proporcionar un soporte confiable7*24, con un solo punto de contacto para las emergencias, para
ayudar a manejar incidentes de la seguridad y para asegurar la protección del Ciberespacio nacional y
la continuidad de servicios críticos nacionales a pesar de ataques.

• Proporcionar el entrenamiento y la certificación de alto nivel para los aprendices y los profesionales.

• Informar sobre las mejores prácticas y sobre aspectos de organización de la seguridad, con un foco
especial en la gerencia de la intervención y de riesgo.

• Informar sobre vulnerabilidades y respuestas correspondientes y sirve como un punto confiable de


contacto para recopilar e identificar vulnerabilidades en sistemas informáticos.

• Informar sobre mecanismos y herramientas de la seguridad y asegurar que la tecnología apropiada y


las mejores prácticas de gerencia sean utilizadas.

43Tomado de: http://www.ansi.tn/en/about_cert-tcc.htm. U.A: 2008/09/26. Publicado por: National Agency for Computer
Security - Tunez. Autor: No determinado.

Página 96 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Poner en ejecución los mecanismos que permitan alertar y dar respuesta a organizaciones y a
instituciones, para desarrollar sus propias capacidades de la gerencia del incidente

• Facilitar la comunicación entre el profesional y los expertos que trabajan en estructuras de seguridad y
estimular la cooperación entre y a través de los negocios públicos y privados de las agencias estatal y
de las organizaciones académicas.

• Colaborar con la comunidad internacional y nacional en incidentes de detección y de resolución de la


seguridad computacional.

• Promover o emprende el desarrollo de los materiales educativos, de conocimiento y de entrenamiento


apropiados para mejorar las habilidades y el conocimiento técnico de los usuarios y los profesionales de
la seguridad.

2.1.39.2. Servicios Ofrecidos

• Actividades del conocimiento

• Publicaciones: Como material del conocimiento, se desarrollan y distribuyen folletos y guías que
explican a los usuarios de una manera simple y clara las amenazas y cómo proteger sus sistemas.
También distribuyen libremente los CDs con las herramientas de seguridad y de control parental, libres
para el uso doméstico, pero también los patches.

• Presentaciones: Co-organizan e intervienen en conferencias nacionales y talleres relacionados con la


seguridad, con demostraciones en vivo de ataques, para sensibilizar a la gente con la realidad de los
riesgos y la importancia de las mejores prácticas.

• Juventud y padres: Referente a conocimiento de la juventud y de los padres, preparan material del
conocimiento. Un manual “Pasaporte de la seguridad para la familia” incluyendo concursos, historietas
y juego pedagógico, que explican a los niños de una manera divertida, los riesgos (pedofilia, virus,
etc…) y las reglas básicas de protección.

• Prensa: Participa en emisiones semanales en medios nacionales, creando un posicionamiento.

• Información y actividades de alertas: Una de las principales tareas es detectar y analizar amenazas y
transmitir esa información a los administradores de sistema y a la comunidad de usuarios. CERT-TCC
divulga regularmente información y alarmas sobre vulnerabilidades críticas y actividades malévolas a
través de sus listas de distribución y con su web site. Analiza las vulnerabilidades potenciales,
recogiendo la información, trabajando con otros CSIRTs y proveedores de software para conseguir las
soluciones a estos problemas.

• Entrenamiento y educación: CERT-TCC está actuando para la construcción de un grupo de trabajo de


los multiplicadores y e la creación de diplomados especializados en seguridad, junto con el estímulo de
los profesionales para obtener certificación internacional. Para solucionar eficientemente el problema de
la carencia del entrenamiento especializado en seguridad, el CERT-TCC organiza entrenamientos para

Página 97 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

los multiplicadores que estarán en cargo de reproducir esos cursos en una escala mayor. Los primeros
asuntos identificados son los siguientes:

• Técnicas de seguridad del perímetro de la red: Arquitecturas seguras, cortafuegos, identificaciones,


servidores de marcado manual seguros.

• Organización y técnicas internas: Desarrollo de política de la seguridad, desarrollo del plan de


seguridad, herramientas de seguridad de la red (Cortafuegos, entradas distribuidos contra-virus, PKI.).

• Tecnologías de supervivencia de la información: Planes de recuperación de desastres.

• Base técnica para la prevención de la intrusión: Identifica y previene intrusiones y defectos de


seguridad.

• Fundamentos en la orientación del manejo del incidente.

• Metodologías de la autovaloración de la seguridad.

• ISO 17799 e ISO 27000.

• Curso de CBK, para la preparación a la certificación de CISSP.

• Cursos especializados para el personal judicial y de investigación.

• También desarrollan un programa de entrenamiento para la certificación de personas del sector


privado, que permite la obtención de la certificación nacional de interventor de la seguridad, además, al
entrenamiento para los administradores de los sistemas de e-gobierno, y como motivación para la
certificación de CISSP, los entrenamientos que cubren todos los capítulos del CBK.

• CERT-TCC trabaja con profesionales e instituciones académicas para desarrollar planes de estudios en
seguridad de la información y se tiene el proyecto para lanzar un centro de entrenamiento regional en
seguridad en sociedad con el sector privado.

• Prepara adicionalmente los entrenamientos especiales para los jueces, y periodistas.

• Educación: En colaboración con dos instituciones académicas, se lanzó la primera maestría en


seguridad en 2004 y ahora tres universidades públicas y cuatro privadas, proponen programas de
maestría similares. Para motivar a estudiantes a atender a esos cursos, se les ofrece la posibilidad de
postular a la certificación nacional del interventor de la seguridad. De otro lado, consideran que todos
los estudiantes deben ser preparados para obtener conocimiento apropiado sobre riesgos y la
existencia de las mejores prácticas y de herramientas de seguridad para la protección. Con ese
propósito, comenzaron sesiones del conocimiento de verano para los nuevos profesores de las escuelas
secundarias y están motivando a todas las entidades de educación para la introducción de los cursos
básicos del conocimiento dentro de programas académicos, desde las escuelas secundarias hasta la

Página 98 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

universidad. CERT-TCC comenzó el desarrollo del material y de los programas del conocimiento para las
escuelas secundarias.

• Dirección y ayuda del incidente: Según la ley relacionado con la seguridad computacional, las
corporaciones privadas y públicas deben informar al CERT-TCC sobre cualquier incidente, que pueda
tener impacto en otros sistemas de información nacionales, con la garantía de confidencialidad ala que
están obligados los empleados del CERT-TCC y los interventores de la seguridad, bajo sanciones
penales. Las organizaciones tanto privadas como públicas deben confiar en el CERT-TCC por lo cual se
obligan a guardar confidencial sobre sus identidades y la información sensible proporcionada. También
deben ser neutrales, que permita trabajar con las entidades y las entidades sin predisposición.

• Se establecieron teléfonos 7*24 que permiten a los profesionales y a los ciudadanos divulgar y llamar
para solicitar ayuda en caso de incidentes de la seguridad computacional y también para solicitar la
información y/o la ayuda en cualquier tema relacionado a la seguridad.

• En las actividades de dirección de la vulnerabilidad y del incidente se asigna una prioridad más alta a
los ataques y a las vulnerabilidades que afectan directamente el ciberespacio nacional. En este sentido
se comenzó a desarrollar un sistema llamado “Saher” que permite determinar y predecir amenazas
grandes y potenciales a las infraestructuras de telecomunicación sensibles y al Ciberespacio local,
basado en código abierto que permite supervisar la seguridad del Ciberespacio nacional en tiempo real
para la detección temprana de ataques masivos. El primer prototipo fue desplegado en noviembre de
2005.

• Para asegurar una respuesta rápida y correcta en caso de ataques grandes contra el Ciberespacio, se
ha desarrollado un plan global de la reacción basado en el establecimiento de células de crisis
coordinadas a nivel de varios agentes del Ciberespacio nacional ( ISPs, IDCs, proveedores de acceso,
redes corporativas grandes) con CERT-TCC actuando como coordinador entre ellos.

• Colaboración con asociaciones: Co-organizan regularmente talleres del conocimiento y entrenamiento


buscando sinergia entre los profesionales y los agentes nacionales. Animan la creación de dos
asociaciones especializadas en el campo de la seguridad informática: Una asociación académica
lanzada en 2005 (“Asociación Tunecina para la Seguridad Numérica”) y durante 2006 (“Asociación
Tunecina de Expertos en Seguridad Computacional”). Con el propósito de motivar la agregación técnica
de esas asociaciones, las están motivando para la creación de equipos de trabajo técnicos.

• Colaboración internacional: CERT-TCC se ha establecido como miembro de pleno derecho de FIRST en


mayo de 2007 y busca colaborar con otros CSIRTs para lograr un apoyo mayor y colaboración en
investigaciones. También intentan ser activos a nivel regional en África y en organizaciones
internacionales.

2.1.39.3. Estructura

Cuenta con dos equipos:

• Equipo Amen: A cargo del análisis del incidente y coordinación y respuesta en sitio y en caso de
emergencia nacional.

Página 99 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Equipo Saherel: A cargo de la detección del incidente y del artefacto, que desarrolla y maneja un
sistema de supervisión para el ciberespacio nacional, basado en soluciones de código abierto. Está
también a cargo de dar asistencia técnica y ayuda para el despliegue de las soluciones de código
abierto.

2.1.39.4. Área de Influencia

Túnez

2.1.40. VENEZUELA CERT.VE44 (VENCERT – EQUIPO DE RESPUESTA PARA EMERGENCIAS


INFORMÁTICAS)

2.1.40.1. Antecedentes

El Ministerio de Ciencia y Tecnología, cumpliendo su competencia en materia de Tecnologías de


Información y Comunicación, pone en marcha el proyecto parea conformar un Equipo de Respuesta para
Emergencias Informáticas a través de la Superintendencia de Servicios de Certificación Electrónica -
SUSCERTE. Este equipo en conjunto con la academia, centralizará y coordinará los esfuerzos para el
manejo de incidentes que afecten oi puedan afectar los recursos informáticos de la Administración Pública,
así como difundir información de cómo neutralizar incidentes, tomar precauciones para las amenazas de
virus que puedan comprometer la disponibilidad y confiabilidad de las redes.

Además centralizará los reportes sobre incidentes de seguridad ocurridos en la Administración Pública y
facilitará el intercambio de información para afrontarlos, provee documentación y asesoría sobre la
seguridad informática.

Sus objetivos son combinar esfuerzos con la comunidad internet nacional e internacional para facilitar y
proporcionar respuesta a los problemas de seguridad informática que afecten o puedan afectar a los
sistemas centrales, así como elevar la conciencia colectiva sobre temas de seguridad informática y llevar a
cabo tareas de investigación que tengan como finalidad mejorar la seguridad de los sistemas existentes.
Coordinar las acciones de monitoreo, detección temprana y respuesta ante incidentes de seguridad de
informática entre los órganos del Poder Público, así como el tratamiento formal de estos incidentes y su
escalamiento ante las instancias correspondientes.

La Superintendencia debe promocionar y divulgar el uso de Políticas de Seguridad, la firma electrónica y


certificado electrónico apoyándose en los centros educativos, planteándose programas académicos que
apoyen a dichos centros en las carreras jurídicas para dar a conocer la Ley sobre mensaje de Datos y
Firma Electrónica, los reglamentos y las resoluciones de la superintendencia. Así se pretende lograr que la
Administración Pública venezolana identifique sus requisitos de seguridad y aplique medidas para
alcanzarlos, mediante el uso de tres fuentes principales:

44
Tomado de: http://www.cert.gov.ve/. U.A: 2008/09/26. Publicado por: Venezuela CERT.ve. Autor: No determinado.

Página 100 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Valoración de los riesgos de cada uno de los Entes Gubernamentales. Con ello se identifican las
amenazas a los activos, se evalúa la vulnerabilidad y la probabilidad de su ocurrencia y se estima su
posible impacto.

• Determinación de requisitos legales, estatutarios y regulatorios que deberían satisfacer los entes de la
Administración Pública, sus usuarios, contratistas y proveedores de servicios.

• Establecimiento de los principios, objetivos y requisitos que forman parte del tratamiento de la
información que el Gobierno Nacional ha desarrollado para apoyar sus operaciones.

Para ello el VenCERT (Centro de Respuestas ante incidentes telemáticos del Sector Público) implementará
un conjunto de políticas, prácticas, y procedimientos y los controles que garanticen el cumplimiento de los
objetivos específicos de seguridad. Asimismo, orientará y asesorará en la definición de estructuras
organizativas, funciones de software y necesidades de formación.

El VenCERT deberá igualmente constituirse en eje central de un sistema de investigación científica aplicada
a la seguridad telemática, convirtiéndose en demandante principal de sus productos y proveedor
permanente de nuevos temas de investigación.

2.1.40.2. Servicios Ofrecidos

• Proveer un servicio especializado de asesoramiento en seguridad de redes

• Promover la coordinación entre los organismos de la Administración Pública para prevenir, detectar,
manejar y recuperar incidentes de seguridad.

• Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administración Pública y facilitar
el intercambio de información para afrontarlos.

• Crear listas de correo con el fin de mantener informados a los directores de informática sobre las
noticias más recientes en materia de seguridad.

2.1.40.2.1. Estructura

El VenCERT hace parte de la Superintendencia de Servicios de Certificación Electrónica de Venezuela –


SUSCERTE.

2.1.40.3. Área de Influencia

Administración Pública de Venezuela

Página 101 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.2. EXPERIENCIAS O ANTECEDENTES EN COLOMBIA

2.2.1. CIRTISI – COLOMBIA45 (CENTRO DE INFORMACIÓN Y RESPUESTA TÉCNICA A


INCIDENTES DE SEGURIDAD INFORMÁTICA DE COLOMBIA)

2.2.1.1. Antecedentes

En colaboración de varías entidades gubernamentales se desarrolló una primera propuesta para la


constitución de un Centro de Información y Respuesta Técnica a Incidentes de Seguridad Informática de
Colombia – CIRTISI.

Según esta propuesta, CIRTISI Colombia buscaría propender por la prevención, detección y reacción frente
a incidentes de seguridad informática que amenacen y/o desestabilicen la normal operación de entidades
gubernamentales e incluso la seguridad nacional, mediante apoyo tecnológico, entrenamiento y generación
de una cultura global de manejo de la información.

Sus objetivos generales serían:

• Brindar apoyo a las entidades gubernamentales para la prevención y rápida detección, identificación,
manejo y recuperación frente a amenazas a la seguridad informática.

• Interactuar con los entes de policía judicial generando un espacio de consulta frente a las amenazas de
seguridad e investigaciones informáticas.

• Proporcionar información especializada y conocimiento a las autoridades de policía judicial durante los
procesos investigativos relacionados con la seguridad informática.

• Construir un laboratorio de detección e identificación, control y erradicación de amenazas informáticas


para los diferentes organismos gubernamentales.

• Consolidar el capitulo HTCIA (High Technology Crime Investigation Association) Colombia y adelantar
las actividades necesarias para su permanencia y crecimiento

Sus objetivos específicos serían:

• Proporcionar alertas tempranas frente a amenazas informáticas que puedan desestabilizar la tecnología
y la seguridad nacional.

45
Documento: CIRTISI COLOMBIA, Tomado de

http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de%202007%202.pdf. U.A:
2008/09/26. Publicado por: Gobierno en Línea. Autor: No determinado.

Página 102 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Fomentar la investigación y desarrollo de estrategias de seguridad informática.

• Brindar una adecuada respuesta a incidentes de seguridad informática, con un enfoque metodológico
que propenda por la eficiencia de las investigaciones realizadas.

• Establecer canales de comunicación nacionales expeditos de manera que sea posible ofrecer una
atención a incidentes en forma efectiva.

• Generar redes de apoyo temáticas en materia de seguridad de la información.

• Promover la coordinación nacional con otras entidades pertinentes del orden regional

• Fortalecer la cooperación con organismos intergubernamentales en el ámbito subregional, regional e


internacional.

• Impulsar la cooperación internacional con organismos de similar naturaleza y propósito.

• Participar en el Forum of Incident Response and Security Teams (FIRST)

• Consolidar, mantener y liderar el capitulo HTCIA Colombia

• Fomentar una conciencia global de seguridad informática

• Proveer un servicio especializado de asesoramiento en seguridad de redes.

2.2.1.2. Servicios Propuestos

• Investigación técnica de amenazas informáticas existentes e identificación de tendencias.

• Generación de alertas tempranas frente a las amenazas existentes, conocidas y potenciales.

• Entrenamiento local, nacional o internacional en materia de seguridad informática y procedimientos de


computación forense para los organismos de policía judicial colombiana.

• Respuesta efectiva a incidentes de seguridad informática que se presenten en cualquier órgano


gubernamental, brindando apoyo técnico para la recolección, análisis, preservación y presentación de
evidencia digital en incidentes que den lugar a investigaciones informáticas.

• Promover la cultura de la seguridad informática y la estandarización de protocolos de seguridad.

• Establecer contactos con equipos de similar naturaleza o propósito y con organizaciones que agrupen
estos equipos, tanto a nivel nacional como internacional.

Página 103 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

El CIRTISI - Colombia propone desarrollar sus actividades dentro de los siguientes ejes estratégicos:

• Desarrollo de Políticas: Promover la formulación de políticas que contribuyan con la prevención,


detección, identificación, manejo y recuperación frente a amenazas a la seguridad informática así como
con la adopción de legislación para adecuar y actualizar la tipificación de las conductas conocidas por el
CIRTISI.

• Actividad Operacional: Obtener diagnósticos reales sobre las diferentes amenazas informáticas que se
generan a partir de una cobertura de servicios y sectores definida y, de la permanente capacitación y
optimización tecnológica.

• Impacto Social: Generación de una cultura global de manejo de la información y fomento de la


conciencia frente a la seguridad informática mediante la permanente socialización de las amenazas
conocidas y nuevas y su impacto sobre la seguridad informática en Colombia.

2.2.1.3. Estructura Sugerida

La conformación del CIRTISI involucraría cinco áreas o divisiones con liderazgo propio de manera que se
puedan cubrir diversos aspectos de la seguridad informática nacional.

Ilustración 6: Estructura CIRTISI Colombia

• División de Infraestructura y Asesoría: Esta división será la encargada de todo el planeamiento logístico
y estratégico necesario para la conformación y puesta en operación del CIRTISI - Colombia, apoyando
directamente a la dirección general y junta directiva que se designe.

• División de Alertas Tempranas y Coordinación: Esta división se concentrará en el monitoreo de


amenazas y coordinación con CERT’s nacionales e internacionales, generando las alertas tempranas

Página 104 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

frente a amenazas potenciales. En conjunto con la investigación y desarrollo son el corazón del CIRTISI
en la medida que se convierte en el punto de detección de amenazas globales. Adicionalmente, esta
división está encargada de mantener una base estadística de amenazas a la seguridad de la
información.

• División de Investigación y Desarrollo: La división de Investigación y Desarrollo estará encargada del


laboratorio de amenazas, proporcionadas por la división de alertas tempranas, con el fin de identificar
riesgos efectivos. Esta división afinará la base estadística de amenazas convirtiéndolas en riesgos y
generando las alertas acerca de aquellos riesgos que podrían impactar de mayor manera la seguridad
nacional. Estos estudios contribuirán con la elaboración de diagnósticos sobre la situación real del país
en materia de seguridad informática. Adicionalmente, esta División se encargará todo lo relacionado
con capacitación y entrenamiento tanto al interior del CIRTISI como hacia los diferentes entes del
Gobierno. Asimismo, administrará y distribuirá entre las entidades nacionales competentes las ofertas
de cooperación, asistencia y capacitación en nuevas tecnologías y manejo de incidentes de seguridad
informática.

• División de Respuesta a Incidentes: La División de Respuesta a Incidentes será el grupo de reacción


frente a cualquier incidente de seguridad de la información que se presente en el sector Gobierno. Esta
división estará a cargo de los mecanismos de comunicación únicos nacionales que atenderían y
manejarían los requerimientos de incidentes. Adicionalmente, los funcionarios de esta división podrán
interactuar con las entidades con funciones de policía judicial en el desarrollo de investigaciones
informáticas ofreciendo apoyo técnico y especializado. Asimismo, el CIRTISI pondría a disposición de
dichas entidades las estadísticas sobre investigaciones informáticas a nivel nacional. Inicialmente,
contará con la infraestructura necesaria para brindar asistencia de lunes a viernes de 9:00 a 18:00
horas, y en el mediano plazo, a medida que aumente la capacidad y la demanda, entraría a operar en
el modelo 24 horas al día, 7 días a la semana (7/24).

• División de Divulgación y Concienciación: Esta División será la única encargada de proporcionar la


información oficial que se derive de las actividades del CIRTISI hacia los medios de comunicación y la
comunidad en general. Adicionalmente y, como parte de la misión social del CIRTISI, promoverá la
generación de conciencia en el adecuado manejo de la seguridad de la información.

Las entidades involucradas en su constitución serían:

• Ministerio del Interior y de Justicia

• Ministerio de Defensa Nacional

• Ministerio de Relaciones Exteriores

• Ministerio de Comunicaciones

• Ministerio de Comercio, Industria y Turismo

• Departamento Administrativo de Seguridad (DAS)

Página 105 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Policía Nacional (DIPOL, DIJIN)

• Comisión de Regulación de Telecomunicaciones (CRT)

• Dirección Nacional de Planeación (DNP)

• Fiscalía General de la Nación

• Cuerpo Técnico de Investigación (CTI)

• Procuraduría General de la Nación

2.2.1.4. Área de Influencia

El CIRTISI Colombia tendría un alcance nacional que abarca el sector Gobierno y brindaría apoyo a las
entidades gubernamentales para la prevención y rápida detección, identificación, manejo y recuperación
frente a amenazas a la seguridad informática.

También brindaría apoyo técnico y proporcionaría información especializada a los cuerpos de policía judicial
y de control en aspectos relacionados con la seguridad informática. En estos casos, manteniendo reserva
en la información reportada a los organismos y teniendo en cuenta las responsabilidades y controles que el
manejo de este tipo de información requiere.

El CIRTISI establecería canales de interlocución con usuarios del sector privado y la academia con el
propósito de ampliar la información en materia de tendencias e investigación. En este sentido, hará
seguimiento a los principales dispositivos, aplicaciones y herramientas (hardware, software), a fin de
conocer las vulnerabilidades de los sistemas operativos, alertar y obrar en consecuencia. Adicionalmente,
mantendrá una base de datos de incidentes de seguridad, la cual servirá para consulta, seguimiento, y
permitirá llevar un registro histórico de los mismos.

El CIRTISI brindaría capacitación especializada a las áreas técnicas de las diferentes entidades nacionales.

Teniendo en cuenta que la cooperación e intercambio de información entre equipos de esta naturaleza está
basada en la confianza, el CIRTISI - Colombia estaría llamado a constituirse en el punto focal confiable
para organismos similares en el ámbito internacional. El CIRTISI entraría en contacto con otros Equipos de
Seguridad existentes en el mundo, y con las organizaciones que los agrupan, y establecería canales
comunicación permanente para facilitar el intercambio de información técnica, experiencias, metodologías,
procesos, buenas prácticas y otros servicios que ofrecen dichas organizaciones.

Página 106 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.2.2. CSIRT COLOMBIA46 (COL CSIRT)

2.2.2.1. Antecedentes

El COL-CSIRT es un grupo de investigación de la Universidad Distrital Francisco José de Caldas que


pretende un marco de operación nacional y cuyo constituyente estará dado por entidades de educación
superior y entidades oficiales del estado.

Su objetivo es ofrecer un servicio de soporte a las entidades estatales y de educación superior, para la
prevención, detección y corrección de los incidentes de seguridad informáticos, con los siguientes objetivos
específicos.

• Desarrollar una Base de Datos que contenga la información concerniente a los diferentes incidentes de
seguridad informáticos existentes y las preguntas más frecuentemente contestadas (FAQ's).

• Prestar el soporte sobre Sistemas Operativos Windows y Linux (Unix).

• Utilizar la clasificación taxonómica de los incidentes y ataques con código malicioso propuesta en el
proyecto de maestría en Teleinformática titulado "ANÁLISIS DE INCIDENTES RECIENTES DE
SEGURIDAD EN INTERNET 1995 a 2003" para ofrecer una respuesta oportuna, eficaz y eficiente a los
distintos reportes y alertas que se reciban diariamente en el centro de respuesta.

• Establecer detalladamente los servicios que prestará el centro de respuesta con respecto a los
incidentes de seguridad informáticos.

• Integrar la base de datos del Centro de Respuesta a incidentes y ataques con código malicioso, al
portal WEB del COL-CSIRT que está siendo desarrollado por el grupo de investigación ARQUISOFT de
la Universidad Distrital Francisco José de Caldas.

46 Tomado de: http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt. U.A: 2008/09/26. Publicado por:Universidad Distrital


Francisco José de Caldas. Autores: Coordinadora: MsC. Zulima Ortiz Bayona. Docentes asistentes: Ing. Claudia Liliana Bucheli, María del Pilar
Bohorquez. Estudiantes coordinadores: Erika Tatiana Luque Melo, Jeffrey Steve Borbón Sanabria, Anthony Molina. Estudiantes investigadores:
Lina Rocio Infante, Diego Alfonso Barrios Contreras, Ivon Carolina Rodríguez Parra, Laura Patricia Ortiz Ortiz, Diego Iván Arango, Jorge
Eduardo Ibáñez Sepúlveda, Edwin Giovanny Gutierrez Ramírez, Jairo Andrés Gómez Monrroy, Rene Alejandro Rangel Segura, Alvaro
Hernando Talero Niño, Daniel Arturo Acosta, Camilo Andrés Alfonso Vargas, Mónica Patricia Basto Guevara, Wilmer Daniel Galvis, Saira
Carvajal, Diana Marcela Cotte Corredor, Luis Francisco Fontalvo Romero, Cristian Camilo Betancourt Lemus, Rodrigo Cruz Hernández, Julián
Bonilla M, Jorge Gamba V, Giulio Leonardo Aquite Pinzón, Nidia Marcela Corcovado B, Jorge Andrés Diab, Daniel Felipe Rentería Martínez

Página 107 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.2.2.2. Servicios Ofrecidos

Prestará el servicio de manejo de incidentes de seguridad informáticos, a través del análisis de incidentes,
respuesta a los incidentes en lí-nea, soporte a la respuesta del incidente y la coordinación de la respuesta
del incidente.

2.2.2.3. Estructura

El grupo está compuesto por una coordinación, docentes asistentes, estudiantes coordinadores y
estudiantes investigadores.

2.2.2.4. Área de Influencia

Colombia

2.2.3. COMITÉ INTERAMERICANO CONTRA EL TERRORISMO DE LA OEA (CICTE)

En junio de 2004 se llevó a cabo un taller para practicantes en materia de seguridad cibernética del CICTE
sobre la estrategia integral de seguridad cibernética de la OEA47, y sirvió como marco para establecer una
Red Interamericana CSIRT de vigilancia y alerta.

Su objetivo era crear una red hemisférica de puntos nacionales de contacto entre equipos de respuesta a
incidentes de seguridad en computadoras (Computer Security Incident Response Teams: CSIRT) con
responsabilidad nacional (CSIRT nacionales), en los Estados Miembros de la OEA, con el mandato y la
capacidad de responder debida y rápidamente a las crisis, incidentes y peligros relacionados con la
seguridad cibernética.

Estos equipos podrían comenzar simplemente como puntos de contacto oficiales en cada uno de los
Estados y estarían a cargo de recibir información sobre seguridad cibernética. En el futuro se convertirían
en un CSIRT.

Reviste importancia creciente la colaboración mundial y la capacidad de respuesta en tiempo real entre los
equipos. Dicha colaboración debe permitir lo siguiente:

• El establecimiento de CSIRT en cada uno de los Estados Miembros

• El fortalecimiento de los CSIRT hemisféricos

• La identificación de los puntos de contacto nacionales

47Tomado de: http://www.cicte.oas.org/Rev/en/Documents/OAS_GA/AG-RES.%202004%20(XXXIV-O-04)_SP.pdf. U.A: 2008/09/26.


Publicado por: Comité Interamericano Contra el Terrorismo de la OEA. Autor: No determinado.

Página 108 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• La identificación de los servicios críticos

• El diagnóstico rápido y preciso del problema

• El establecimiento de protocolos y procedimientos para el intercambio de información

• La pronta diseminación regional de advertencias sobre ataques

• La pronta diseminación regional de advertencias sobre vulnerabilidades genéricas

• a difusión de un alerta regional sobre actividades sospechosas y la colaboración para analizar y


diagnosticar tales actividades

• El suministro de información sobre medidas para mitigar y remediar los ataques y amenazas

• La reducción de duplicaciones de análisis entre los equipos

• El fortalecimiento de la cooperación técnica y la capacitación en materia de seguridad cibernética para


establecer los CSIRTs nacionales

• La utilización de los mecanismos subregionales existentes.

En mayo de 2008 se llevó a cabo en la ciudad de Bogotá una capacitación en “Fundamentos para creación
y manejo de un CSIRT” organizada por la Secretaría del CICTE en coordinación con la Cancillería y la
Policía Nacional de Colombia (DIJIN), con la participación de representantes de Bolivia, Chile, Ecuador,
Paraguay, Perú, República Dominicana, y Colombia, con responsabilidades técnicas y/o políticas relativas al
desarrollo de su infraestructura nacional de seguridad cibernética, incluida la creación y desarrollo de
Computer Security Incident Response Teams (CSIRT).

2.3. EN RESUMEN

A modo de resumen de la revisión documental acerca de las iniciativas y experiencias de CSIRT nacionales
e internacionales y en concordancia con los comentarios recibidos de la firma Suárez Beltrán & Asociados
por medio del Programa Gobierno en Línea, se identifica una tipificación de los CSIRT acorde con sus
estructuras, objetivos y funciones.

2.3.1. CSIRTs PÚBLICOS

El carácter público de los CSIRT suelen ser los responsables por la seguridad de la información para las
entidades gubernamentales, enfocándose en servir como punto único y de coordinación para el manejo de
incidentes de la información relacionados con las infraestructuras críticas nacionales. Así mismo, son
responsables por la definición de estándares y buenas prácticas e impulsan la formación y difusión del
conocimiento en temas de seguridad de la información. Se identifican dos tipos de estructuras: Unidades
públicas independientes o unidades de negocio dependientes de entidades existentes.

Página 109 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Unidades públicas independientes: Tiene su área de influencia limitada al país y a las entidades
públicas, pero cuentan con plena autoridad para impulsar medidas y tomar acciones preventivas a lo
largo de los sectores económicos y administrativos. Dentro de los beneficios de contar con un CSIRT
dentro de la estructura del gobierno se pueden considerar el permitir identificar un punto único de
contacto central, así como la capacidad de tener un equipo capaz de instrumentar y conducir una
rápida respuesta para contener un incidente de seguridad de la información que pueda poner en riesgo
la infraestructura crítica nacional.

• Unidades de negocio dependientes de entidades existentes. Estas dependencias suelen estar asociadas
a las áreas de inteligencia, sector de las comunicaciones, la ciencia y tecnología, directamente
vinculadas a gabinetes de gobierno o a las entidades policiales o militares. Suelen tener autoridad
compartida con otras instancias para el manejo del incidente informático.

2.3.2. CSIRTs PRIVADOS

• Organismos consultivos sin ánimo de lucro: Despliegan gran parte de sus servicios y actividades a favor
de sus miembros inscritos, quienes pagan una suma por la afiliación para el mantenimiento de la
estructura del CSIRT. Tiene un papel consultivo y no tiene ninguna autoridad para ordenar o realizar
tareas por parte de sus miembros o el área de influencia. Son fuentes generalizadas de buenas
prácticas, documentos técnicas compartidos con la comunidad y creación de estándares de mercado.
De igual forma, promueven foros para la creación y difusión de conocimiento técnico.

• Organismo con ánimo de lucro: Identificados como proveedores, el mercado ofrece los servicios de los
CSIRT a través de varias alternativas:

o Centros de Análisis, que se concentran en la agrupación y análisis de datos desde varias fuentes
para determinar las tendencias y patrones en la actividad de incidentes.

o Equipos de Proveedores, que manejen informes de vulnerabilidades en sus productos de software o


hardware.

o Proveedores de Respuesta a Incidentes, que ofrecen servicios de manejo de incidentes para otras
organizaciones.

No tienen ningún tipo de autoridad para la mitigación o tratamiento en los incidentes informáticos.

• Iniciativas Académicas: Bajo este esquema universitario, se generan equipos con énfasis en la
investigación y el análisis de la seguridad informática. Se elaboran publicaciones, foros y talleres,
cursos de capacitación y boletines periódicos.

2.3.3. CSIRTs INTERNOS

Estos equipos sólo responden a las necesidades de las organizaciones privadas a las que pertenecen,
imparte instrucciones, políticas y reglas de aplicación. Su principal actividad es la gestión de incidentes en
sus propias entidades.

Página 110 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

2.3.4. CSIRTs DE COORDINACIÓN

Estas organizaciones coordinan y facilitan el manejo de incidentes de seguridad de la informaciñon con el


apoyo de todas las entidades relacionadas con el tema a nivel nacional y a través de varios CSIRTs
nacionales e internacionales.

2.3.5. ESQUEMA ASOCIATIVO ENTRE EL SECTOR PÚBLICO Y EL PRIVADO

Esta alianza se organiza con el fin de proteger la infraestructura de internet del país, ante ataques que
pongan en juego su seguridad de la información, beneficiándose del patrocinio económico del sector
privado.

Página 111 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

3. DEFINICIÓN DE LA ORGANIZACIÓN CSIRT PARA COLOMBIA

3.1. TIPO DE ENTIDAD

Iniciando el proceso de definición y diseño de un CSIRT48 en Colombia, es muy importante tener en cuenta
la naturaleza del programa Gobierno en Línea en el cual se enmarca este proyecto.

El CSIRT entra a apoyar el modelo de Seguridad de la Información definido para el programa Gobierno en
Línea, facilitando la rápida y efectiva acción para el manejo estratégico de incidentes de seguridad de la
información, e interactuando con el Grupo Técnico de Apoyo que tiene entre sus responsabilidades los
estudios técnicos y el soporte técnico - jurídico para la preparación de los documentos, políticas, objetivos
de control y controles recomendados que son avalados por la Comisión. Asesora a las entidades en su
implementación, certifica su cumplimiento y proporciona apoyo técnico y jurídico para la operatividad del
modelo.

Ilustración 3: Modelo Detallado del Sistema Administrativo Nacional de Seguridad de la Información

48 CSIRT: Computer Security Incident Response Team (Equipo de Respuesta a Incidentes de Seguridad
Computacional)

Página 112 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Si bien es cierto que en el marco de este proyecto, el CSIRT que se constituya se orientará a los aspectos
de seguridad de la información para la Estrategia de Gobierno en Línea, con el ánimo de hacerlo auto
sostenible en el tiempo, es necesario considerar un amplio portafolio de servicios orientados tanto al sector
público como privado, para lo cual se han considerado 3 alternativas de tipo de entidad, cada una con
ventajas y desventajas respectivamente:

Ventajas Consideradas:

MODELO 1 MODELO 2 MODELO 3


(Como Dirección del (Como Asociación Pública (Como Asociación con
Ministerio de sin ánimo de lucro) Participación Mixta)
Comunicaciones)
Está sometida al control fiscal y Está sometida al control fiscal Foco de la entidad en el objeto
social que verifica que los fondos y social que verifica que los misional del CSIRT.
públicos sean utilizados de fondos públicos sean
acuerdo con la Ley y la eficiencia utilizados de acuerdo con la
administrativa - competitividad. Ley y la eficiencia
Brinda mayor transparencia a su administrativa -
operación. competitividad. Brinda mayor
transparencia a su operación.
No pueden suspender sus No pueden suspender sus Mayor credibilidad por parte de la
funciones por voluntad de las funciones por voluntad de las comunidad.
personas que están a su cargo. personas que están a su
Los órganos de la administración cargo. Los órganos de la
y los servicios que se han administración y los servicios
establecido deben continuar que se han establecido deben
mientras la Ley no autorice la continuar mientras la Ley no
suspensión o supresión de ellos, autorice la suspensión o
con lo cual se garantiza la supresión de ellos, con lo cual
continuidad del servicio. se garantiza la continuidad del
servicio.
Los resultados de un Los resultados de un Menor costo de operación ya que se
establecimiento público no se establecimiento público no se puede transferir a las empresas
miden en términos de utilidades miden en términos de privadas
o ganancias que se reparten en utilidades o ganancias que se
beneficio de particulares sino por reparten en beneficio de
el grado de eficiencia del servicio particulares sino por el grado
que se le lleva a la comunidad y de eficiencia del servicio que
la seguridad es un tema de alto se le lleva a la comunidad y la
impacto en el que todas las seguridad es un tema de alto
entidades deben involucrarse. impacto en el que todas las
entidades deben involucrarse.
Toma de decisiones depende de La adopción de decisiones se La adopción de decisiones se hace de
un único actor hace de manera coordinada, manera coordinada por cuanto ellas
por cuanto ellas suponen un suponen un ejercicio colegiado, y
ejercicio colegiado, y opera opera según lo que el acto constitutivo
según lo que el acto establezca.
constitutivo establezca.

Página 113 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

MODELO 1 MODELO 2 MODELO 3


(Como Dirección del (Como Asociación Pública (Como Asociación con
Ministerio de sin ánimo de lucro) Participación Mixta)
Comunicaciones)
Foco de la entidad en el
objeto misional del CSIRT.
Estructuración a través de Régimen Laboral de derecho Régimen Laboral de derecho privado,
decreto lo cual permite contar privado, salvo a los Directivos salvo a los Directivos y Ordenadores de
con un CSIRT rápidamente. y Ordenadores de Gasto, lo Gasto, lo cual permite mejorar la
cual permite mejorar la escala escala de remuneración.
de remuneración.

Desventajas Consideradas:

MODELO 1 MODELO 2 MODELO 3


(Como Dirección del (Como Asociación Pública (Como Asociación con
Ministerio de sin ánimo de lucro) Participación Mixta)
Comunicaciones)
En la comunidad Colombiana Se debe entrar a negociar la Se debe entrar a negociar la
existe una baja confianza en la participación de los participación de los integrantes de la
efectividad de las instituciones integrantes de la sociedad. sociedad.
públicas.
El CSIRT no tendría jerarquía
como centro de respuesta.
Limitado a la burocracia del
Ministerio.
La constitución y los actos de una Régimen legal mixto. Régimen legal mixto.
entidad pública se rigen por leyes
y decretos de función pública.
Todos sus actos son
reglamentados y están
encaminados a la prestación de
servicios de interés general para
la sociedad, sin embargo esto
puede hacer más lenta su
operación.
Ausencia de personal
especializado para cubrir los
frentes de trabajo del C-SIRT,
aunque podría acudirse a
contrataciones de prestación de
servicios.
La constitución de la La constitución de la asociación
asociación supone la supone la elaboración de actos de
elaboración de actos de constitución que se deben concertar
constitución que se deben con cada uno de los miembros, lo cual
concertar con cada uno de los toma tiempo.
miembros, lo cual toma

Página 114 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

MODELO 1 MODELO 2 MODELO 3


(Como Dirección del (Como Asociación Pública (Como Asociación con
Ministerio de sin ánimo de lucro) Participación Mixta)
Comunicaciones)
tiempo.
Sujeción a las reglas de Sujeción a las reglas de
ejecución presupuestal. Rigidez y ejecución presupuestal.
problemas operativos. Rigidez y problemas
operativos.

La seguridad de la información nacional es un punto crítico del Estado y se convierte en soporte básico
para la seguridad nacional, siendo la seguridad nacional y la seguridad de su infraestructura crítica una
responsabilidad del mismo Estado, que no puede dejarse en manos de particulares. Por esta razón, se
recomienda el establecimiento de una Asociación de carácter público sin ánimo de lucro, adscrita al
Ministerio de Comunicaciones, que favorezca los intereses de seguridad nacional sobre intereses
particulares y que garantice la transparente e igualitaria gestión de sus servicios. La composición de esta
sociedad puede establecerse con la participación del Ministerio de Comunicaciones (50%), los entes
policivos (DAS, Policía, Fiscalía con el 25%) y la academia (25%), representada por el Instituto Colombiano
para el Desarrollo de la Ciencia y la Tecnología, ‘Francisco José de Caldas’, COLCIENCIAS (ahora
constituido como Departamento Administrativo).

Algunas de las ventajas de contar con un CSIRT como entidad pública son:

• Velar con prioridad por la seguridad de la información de la infraestructura crítica nacional.

• Contar con un adecuado, seguro, transparente e igualitario manejo de la información confidencial de


cada organización cuando se presente un incidente de seguridad de la información.

• Contar con un grupo de personal especializado, certificado y entrenado en aspectos técnicos a los
cuales muchas entidades públicas no tendrían acceso de manera individual.

• Establecer canales y acuerdos de intercambio de información de manera oficial con otros CSIRT de
carácter gubernamental, policivo y privado así como con organizaciones que agrupan equipos de
seguridad de la información a nivel internacional (por ejemplo, el FIRST y la Red Interamericana de
Respuesta a Incidentes de Seguridad Cibernética de la Organización de Estados Americanos).

3.2. RELACIÓN CON LAS ENTIDADES

El CSIRT entra a apoyar el Modelo de Seguridad de la Información definido para la Estrategia de Gobierno
en Línea y como tal, su relación con las entidades corresponderá a la definida en el Sistema Administrativo
Nacional de Seguridad de la Información (ver documento “Modelo Seguridad - SANSI –SGSI.doc”, numeral
3 –Estructura Institucional). Así mismo, en el capítulo de definición de los Procesos y Procedimientos, en el
numeral 5, se detallará la relación con las diferentes entidades.

Página 115 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

3.3. MISIÓN

El CSIRT es el órgano técnico que lidera y coordina los procesos de aseguramiento de la información en el
ámbito Colombiano, para prevenir, detectar, proteger y reaccionar frente a amenazas, vulnerabilidades e
incidentes de seguridad de la información, a usuarios en entidades públicas y privadas, mediante apoyo
tecnológico, entrenamiento y generación de una cultura e higiene para el manejo adecuado de la
seguridad de la información.

3.4. VISIÓN

El CSIRT se consolidará como referente a nivel regional en temas de prevención, detección, coordinación y
respuesta a incidentes de seguridad de la información buscando el mejoramiento continuo y coordinando el
trabajo de grupos de apoyo nacionales e internacionales.

3.5. OBJETIVOS ESTRATÉGICOS

Perspectiva Objetivos Estratégicos Definición

Brindar apoyo a las entidades públicas y


privadas para la prevención, rápida
detección, identificación, manejo,
Brindar apoyo para optimizar la
coordinación y recuperación frente a
seguridad de la información en las
incidentes relacionados con la seguridad de
entidades públicas y privadas.
la información, proporcionando servicios
SEGURIDAD DE preventivos y reactivos frente a las
LA amenazas y vulnerabilidades potenciales.
INFORMACIÓN
NACIONAL Consolidar actuaciones que posicionen al
CSIRT Colombia, de acuerdo con su objeto
misional a nivel nacional, así como reforzar la
Consolidar la marca CSIRT Colombia,
nueva marca y la creación de una cultura de
con base en la credibilidad de los
Empresa a la sociedad en general,
usuarios.
fundamentado en la credibilidad generada en
la población objetivo, por los resultados
obtenidos.
Ofrecer productos y servicios que garanticen
FINANCIERA Ser una entidad auto sostenible.
la auto sostenibilidad de la organización.
Hacer de manera correcta los procesos
PROCESOS Lograr la cultura, excelencia internos y hacer que estos se traduzcan en
INTERNOS operacional y la competitividad. mejores resultados en la satisfacción de
clientes y estados financieros.
Identificar, registrar y administrar el
APRENDIZAJE Y conocimiento esencial con el cual se dará un
Gestionar el Conocimiento.
CRECIMIENTO eficiente y eficaz cumplimiento a las ideas
rectoras del CSIRT.

Página 116 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Perspectiva Objetivos Estratégicos Definición


Contar con el mejor Talento Humano en
técnicas de seguridad de la información,
Tener el Mejor Talento Humano. personal profesional con certificaciones y/o
especializaciones en seguridad de la
información.

3.6. OBJETIVOS ESPECÍFICOS

• Impulsar la cooperación e interactuar con organismos nacionales e internacionales de similar naturaleza


y propósito, con entidades públicas, privadas, la academia y las instituciones policivas generando un
espacio de trabajo conjunto frente a las amenazas e investigaciones y redes de apoyo temáticas en
materia de seguridad de la información.

• Proporcionar alertas tempranas frente a amenazas de la seguridad de la información que puedan


desestabilizar la seguridad nacional relacionada con la información.

• Fomentar la investigación y desarrollo de estrategias de seguridad de la información.

• Brindar una adecuada respuesta a incidentes de seguridad de la información, con un enfoque


metodológico.

• Fomentar una conciencia nacional de seguridad de la información.

• Proveer un servicio especializado de asesoramiento en seguridad de la información.

Por defecto, todos los usuarios de información en Colombia, tanto personas jurídicas como naturales,
entidades públicas o privadas, podrán ser apoyados por el CSIRT.

Página 117 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

4. PORTAFOLIO DE SERVICIOS

Para el CSIRT, la adecuada selección de servicios se convierte en una decisión relevante para su definición,
fortalecimiento, sostenimiento y continuidad. A continuación, se presenta una recopilación de los
principales tipos de servicios que podría llegar a ofrecer el CSIRT partiendo de la experiencia de otros
CSIRT a nivel mundial. De manera general, los posibles servicios se agrupan así:

Gestión de la Seguridad de la
Servicios Preventivos Servicios Reactivos
información
 Comunicados  Tratamiento de incidentes  Consultoría de seguridad
 Análisis de riesgos  Análisis de incidentes  Publicaciones
 Observatorio de tecnología  Recopilación de pruebas  Sensibilización
 Planificación de la forenses  Prensa
continuidad del negocio y  Seguimiento o rastreo  Educación / Formación
recuperación tras un  Coordinación de la respuesta a  Formación Comunitaria
desastre incidentes  Evaluación y graduación de
 Evaluaciones de la  Apoyo a la respuesta a Entidades
seguridad incidentes  Evaluación y graduación de
 Auditorías de la seguridad  Coordinación del Manejo de Establecimientos.
 Alertas y advertencias evidencias  Alquiler de Software
 Configuración y  Respuesta a incidentes in situ  Alquiler equipos forenses
mantenimiento de la  Centro de interacción
seguridad multimedia.
 Desarrollo de  Estandarización pliegos de
herramientas de seguridad seguridad informática para el
 Difusión de información sector gobierno.
relacionada con la
seguridad

Es importante anotar que a pesar que todos los servicios ofrecidos serán responsabilidad y experticia del
CSIRT, su labor principal será la de coordinación de todas las acciones y entidades involucradas en el
manejo de incidentes de la información a nivel nacional y el desarrollo de estas actividades será objeto de
tercerización, buscando el beneficio de las mejores experiencias y conocimientos a nivel nacional e
internacional. En este sentido, ejercerá las funciones de coordinador de otros CSIRT nacionales o
internacionales, las entidades públicas y privadas involucradas en los incidentes de seguridad de la
información, los proveedores de servicios relacionados con la seguridad de la información, los proveedores
de hardware y software y la academia. En particular con los entes policivos, su responsabilidad llegará
hasta la entrega de los casos y sus insumos correspondientes para su posterior judicialización. A
continuación, se detalla cada uno de los servicios que puede brindar con el apoyo de las entidades
coordinadas.

Página 118 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

4.1. SERVICIOS PREVENTIVOS

Aquellos servicios que proveen asistencia y atención para ayudar a preparar, proteger y asegurar un
componente de sistema en anticipación a futuros ataques, problemas o eventos. Llevar a cabo este tipo de
servicios reducirá directamente el número de incidentes en el futuro.

• Comunicados: Este servicio busca informar de manera proactiva a sus clientes, nuevas vulnerabilidades
o herramientas de intrusión recientemente detectadas. Estos comunicados tales como: alertas de
intrusos, advertencias de vulnerabilidad y avisos sobre seguridad, permiten proteger sistemas y redes
de nuevos problemas antes de que éstos se presenten.

• Análisis de riesgos: Este servicio busca diagnosticar y evaluar los posibles riesgos sobre los activos
críticos relacionados con la información, para mejorar así o determinar las estrategias de protección y
respuesta.

• Observatorio de la tecnología: Busca que a través del análisis al entorno de su injerencia, el CSIRT
observe y haga seguimiento a nuevos desarrollos técnicos, actividades de intrusos y tendencias en
identificación de futuras amenazas. Lo cual podrá incluir las disposiciones jurídicas y legislativas, las
amenazas sociales o políticas y las nuevas tecnologías. Todo lo anterior se deberá desarrollar mediante
diferentes actividades tales como: lectura de listas de correo de seguridad, sitios web de seguridad y
noticias y artículos periodísticos de carácter científico, tecnológico, político y público, con lo cual se
logrará una buena retroalimentación en información relacionada con la seguridad de los sistemas y las
redes de los clientes. Adicionalmente y con el objeto de obtener y validar la información e
interpretación exacta, se deberán buscar alianzas o conexiones con otros CSIRT o partes consideradas
autoridades en este ámbito. El producto de este servicio podrá materializarse a través de comunicados,
directrices o unas recomendaciones centradas en las cuestiones de seguridad a medio o largo plazo.

• Planificación de la continuidad de los negocios y la recuperación tras un desastre: Teniendo en cuenta


que cada vez serán más los incidentes potenciales que provoquen una degradación grave de las
operaciones comerciales, se ofrece este servicio que permite aprovechar el conocimiento y experiencia
del CSIRT, para la planificación de la continuidad de negocio y la recuperación tras un desastre en los
eventos relacionados con los ataques y las amenazas a la seguridad de la información.

• Evaluaciones de la seguridad: Estudio y evaluación de la infraestructura de seguridad de una


organización, basados en los requisitos establecidos por ésta o por otras normas nacionales o
internacionales aplicables. Existen varios tipos entre las que se destacan:

• Revisión de las infraestructuras: Con el fin de asegurar las políticas de mejores prácticas y las
configuraciones estándar de la organización o de la industria, se revisan manualmente todos los
dispositivos informáticos que intervengan o prevengan un incidente informático, entre los que se
destacan de manera general el hardware, software, enrutadores, cortafuegos, servidores, etc.

• Revisión de las mejores prácticas: Con el objeto de determinar si las prácticas de seguridad se adaptan
a la política establecidas y definida por la organización u otras normas establecidas, se realizaran
entrevistas con los empleados y con los administradores del sistema y de la red.

Página 119 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Escaneo: Uso de detectores de vulnerabilidades o de virus para averiguar qué sistemas y redes son
vulnerables.

• Pruebas de penetración: Con esta evaluación o auditoria se busca comprobar la seguridad de un sitio a
través de un ataque deliberado a sus sistemas y redes.

• Auditorías de la seguridad: Las auditorías de seguridad pueden ser técnicas, que se centran en los
riesgos existentes en los sistemas de información de la organización y en la calidad técnica de las
medidas de protección introducidas, y no técnicas o procedimentales, que estudian el cumplimiento
efectivo de la Política de Seguridad de la organización y de sus procedimientos.

• Alertas y advertencias: Servicio que difunde información, por medio de la cual se describe el ataque de
un intruso, vulnerabilidades de seguridad, alertas de intrusos, virus informáticos o hoaxes49, etc. Este a
su vez recomienda, acciones a corto plazo para la atención o solución a problemas consecuentes.

• Configuración y mantenimiento de herramientas, aplicaciones, infraestructuras y servicios de


seguridad: Este servicio, tiene como objeto principal la identificación y orientación para configurar y
mantener de un modo seguro las herramientas, las aplicaciones y la infraestructura informática general
que usan los clientes atendidos por el CSIRT. El alcance a este servicio será cualquier cuestión o
problema que surja con las configuraciones o con el uso de herramientas y aplicaciones que el CSIRT
considere podría dejar a un sistema, vulnerable a un ataque. Dentro de este servicio, se podrá
actualizar la configuración y realizar el mantenimiento de herramientas y servicios de seguridad, como
los sistemas de detección de intrusos, el escaneo de la red o el control de los sistemas, filtros,
cortafuegos, redes privadas virtuales (VPN) y mecanismos de autenticación. Incluso se podrá configurar
los servidores, los ordenadores personales y portátiles, los asistentes digitales personales (PDA) y otros
dispositivos inalámbricos de acuerdo con las políticas de seguridad, así como encargarse de su propio
mantenimiento.

• Desarrollo de herramientas de seguridad: Este servicio ofrece desarrollar herramientas específicas para
necesidades particulares o generales de sus clientes o propias del CSIRT. Como por ejemplo, desarrollo
de actualizaciones correctivas de seguridad para el software utilizado por el grupo de clientes o la
distribución de software protegido que se pueda utilizar para reconstruir ordenadores comprometidos.
Así mismo se podrá desarrollar herramientas o secuencias de comandos que amplíen la funcionalidad
de las herramientas de seguridad existentes, tales como un nuevo plug-in para una vulnerabilidad o
escáner de red, secuencias de comandos que faciliten el uso de la tecnología de encripción o
mecanismos de distribución automática de actualizaciones correctivas.

• Difusión de información relacionada con la seguridad: Servicio que proporciona de manera fácil y
completa, información útil para mejorar la seguridad. Dicha información puede incluir:

o Directrices de comunicación e información de contacto del CSIRT

49 Mensajes de correo electrónico engañosos que se distribuyen en cadena.

Página 120 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

o Ficheros de alertas, advertencias y otros comunicados

o Estadísticas y tendencias actuales de los incidentes de seguridad de la información.

o Recolección, análisis y publicación de estadísticas de seguridad de la información para Colombia


por medio de redes de investigación abiertas.

o Asesoramiento general sobre seguridad de la información

o Documentación acerca de las mejores prácticas actuales

o Políticas, procedimientos y listas de comprobación

o Desarrollo de actualizaciones correctivas y difusión de información

o Enlaces con proveedores

o Otras informaciones que puedan mejorar las prácticas generales de seguridad.

Esta información podrá proceder de fuentes externas tales como otros CSIRT, proveedores, y
expertos en seguridad.

4.2. SERVICIOS REACTIVOS

Aquellos servicios que se provocan o se desencadenan por un evento o requerimiento. Este tipo de
servicios, son un componente clave para un trabajo de atención de incidentes.

• Tratamiento de incidentes: Servicio que abarca la recepción, evaluación, priorización y respuesta a


peticiones y comunicaciones, así mismo al análisis de incidentes y acontecimientos. Las actividades de
respuestas pueden ser entre otras las siguientes:

o Actuaciones para proteger sistemas y redes afectadas o amenazadas por la actividad de


intrusos.

o Aportación de soluciones y estrategias de mitigación a partir de avisos o alertas.

o Reconstrucción de sistemas.

o Filtrado del tráfico de la red.

o Búsqueda de actividad de intrusos en otras partes de la red.

Página 121 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

o Corrección o reparación de sistemas.

o Desarrollo de otras estrategias de respuesta o provisionales.

• Análisis de Incidentes: Este servicio busca definir el alcance del daño e incidentes causados, su
naturaleza, así como también la estrategia definitiva o temporal de respuesta. Este análisis es un
examen general de la información disponible y de las pruebas o instancias relacionadas con un
incidente o evento. Existen muchos niveles de análisis de incidentes y numerosos subservicios, que
dependen del servicio mismo, objetivos y procesos del CSIRT. A continuación se detallan dos
subservicios.

o Recopilación de pruebas forenses: Acción que incluye la recolección, la conservación, la


documentación y análisis de las pruebas procedentes de un sistema informático comprometido,
para determinar cambios en el sistema y ayudar a reconstruir los eventos que han
desembocado en el compromiso. Las actividades de recopilación de pruebas forenses incluyen,
entre otras cosas, la realización de una copia bit a bit del disco duro de los sistemas afectados,
la búsqueda de cambios en el sistema, tales como nuevos programas, archivos, servicios y
usuarios, el examen de los procesos en ejecución y los puertos abiertos, y la búsqueda de
troyanos y juegos de herramientas. Es usual que las personas que tengan a cargo este tipo de
responsabilidades, declaren como testigos periciales en actos judiciales.

o Seguimiento o rastreo: Busca rastrear los orígenes de un intruso o identificar sistemas a los que
éste haya tenido acceso. Con este servicio además de incluir la identificación del intruso, se
podrá en los sistemas afectados y redes relacionadas, incluir el seguimiento al acceso del
intruso.

• Coordinación de la respuesta a incidentes: Servicio que busca coordinar tareas de respuesta entre las
partes implicadas en el incidente. Dentro de estos se incluye, la víctima del ataque, los sitios
relacionados con el ataque y cualquier otro sitio necesario de asistencia para el análisis del ataque. Este
se hace extensivo inclusive, aquellas áreas de soporte (IT) de la víctima, tales como proveedores de
servicio de internet, administradores de sistema y la red, así como también a otros CSIRT. La
recolección de información sobre contactos, la notificación a los sitios de su implicación potencial (como
víctimas o como orígenes de un ataque), la recolección de datos estadísticos sobre el número de sitios
implicados y tareas dirigidas a facilitar el intercambio y el análisis de la información, así como el reporte
del incidente a departamentos internos o externos, serán entre otras las tareas de coordinación que
pueden abarcar este servicio. Este no incluye una respuesta a los incidentes directa e in situ.

• Apoyo respuesta a incidentes: Servicio proporcionado a través de orientación remota, para que el
personal in situ realice por si mismo las tareas de recuperación. La función del CSIRT será la de
orientar y ayudar al grupo víctima del ataque, a recuperarse del incidente, pero lo hará por medios
telefónicos, correo electrónico fax o documentación. Dentro del servicio se podrá incluir, entre otros, la
interpretación de los datos recogidos, la entrega de información sobre contactos o la orientación en
cuanto a estrategias de mitigación y recuperación.

• Coordinación del Manejo de evidencias: Con fines policivos, se coordina la labor de recopilación y
manejo de evidencias en casos de incidentes de la información, con el fin de garantizar el debido
proceso en el manejo de evidencias digitales (Servicios Forenses).
Página 122 de 183
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Respuesta a incidentes in situ: Asistencia directa, que busca ayudar a los clientes del grupo atendido a
recuperarse de un incidente. El CSIRT se encargara de analizar físicamente los sistemas afectados,
repararlos y recuperarlos, en especial en aquellos casos que no exista un equipo local respondiendo al
incidente. Para sospecha de incidente, el servicio incluye todas las actividades necesarias para su
corrección o mitigación.

4.3. GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Son servicios establecidos y muy conocidos, diseñados para mejorar la seguridad general de una
organización. Estos servicios están diseñados para tener en cuenta los comentarios recibidos y las lecciones
aprendidas basándose en los conocimientos adquiridos al responder a incidentes, vulnerabilidades y
ataques. Lo anterior hace que se oferten productos que permitan a terceros ayudar a mejorar toda la
seguridad de una organización, identificar riesgos, amenazas y debilidades del sistema. Son servicios
generalmente no técnicos pero preventivos en naturaleza, contribuyendo indirectamente a la reducción en
el número de incidentes.

• Consultoría sobre seguridad: Este servicio busca asesorar y orientar, a los grupos de clientes atendidos
en las mejores prácticas de seguridad. Por lo cual el CSIRT participará en las recomendaciones o
identificación de requisitos de compra, instalación o protección de nuevos sistemas, aplicaciones de
software, dispositivos de red entre otros. Así mismo se ofrece asistencia y orientación en la definición
de políticas de seguridad.

• Publicaciones: Se busca elaborar y distribuir folletos que expliquen de manera simple, las diferentes
amenazas, acciones preventivas y correctivas para el tratamiento de riesgos informáticos. Estas
publicaciones podrán tener adjuntos Discos Compactos de libre uso doméstico de herramientas de
seguridad y de control parental50.

• Sensibilización: Buscando que los grupos de clientes atendidos y/o potenciales, desarrollen sus labores
cotidianas de manera más segura, así como también de mejorar el grado de entendimiento de las
temáticas relacionadas con seguridad, se ofrece un servicio que intenta reducir el número de ataques
con éxito y aumentar la probabilidad de que se detecten y comuniquen ataques. Lo anterior, por medio
de la sensibilización de incidentes de seguridad de la información a través de artículos y desarrollando
pósteres, boletines, sitios web u otros recursos informativos que explican las mejores prácticas en
seguridad y consejos sobre las precauciones que conviene tomar. Durante este proceso de
sensibilización también se incluye reuniones o seminarios de actualización.

• Prensa: Participar en emisiones periódicas en los principales medios nacionales, creando así un
posicionamiento del CSIRT.

• Educación / Formación: Este servicio busca capacitar tanto a primer respondiente en las entidades,
como a los grupos de clientes atendidos y/o potenciales, entre otros temas en la comunicación de

50 Programas (software) que tienen la capacidad de bloquear, restringir o filtrar el acceso a determinada
información ofensiva para los niños o personas susceptibles.

Página 123 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

incidentes, métodos de respuesta adecuados, herramientas de respuesta a incidentes, métodos de


prevención de incidentes y otras temáticas necesarias para protegerse de incidentes de seguridad de la
información, detectarlos, comunicarlos y responder a ellos. El servicio podrá ofrecerse a través de
seminarios, talleres, cursos y/o tutoriales. Incluso podrá crearse diplomados especializados en
seguridad. Teniendo en cuenta la importancia de la seguridad de la información dentro de cualquier
organización, su amplio campo de acción laboral y el incremento a la demanda de personal capacitado,
se pueden crear y ofrecer con colaboración de la academia programas de capacitación. Estos servicios
se enfocarán y desarrollarán teniendo en cuenta las necesidades propias de cada uno de los sectores
públicos y privados, sin embargo este servicio será cobrado únicamente al sector privado.

• Formación Comunitaria: Este servicio podría enfocarse y ofrecerse a la sociedad en general y


específicamente a la familia a través de entidades estatales que lo promuevan. El objeto principal será
la de explicar de manera didáctica en especial a los niños, los riesgos y reglas básicas de la protección,
en diferentes temas que afecten su vida cotidiana. Este servicio busca inculcar a edades tempranas una
cultura de protección y mitigación de cualquier tipo de riesgo, incluidos los informáticos. Lo anterior
podrá ser ofrecido a través de concursos, historietas, obras de teatro, juegos pedagógicos, etc.

• Graduación y certificación: El CSIRT valorará el grado al cual las entidades se nivelen dentro del Modelo
de Seguridad de la Información para la Estrategia de Gobierno en Línea: RSI Grado 1, Grado 2 y Grado
3, siendo el RSI Grado 1 el más básico y el RSI Grado 3 el más avanzado. Lo anterior, se realizará
inicialmente en las entidades a través de una auto-evaluación de diferentes criterios (ver documento
“Modelo Seguridad - SANSI –SGSI.doc”, capítulo 6.11), para el cual, el CSIRT generará un registro del
grado que será otorgado a las entidades y establecimientos como sello de operación y facilitará a los
usuarios identificar que establecimientos son seguros para realizar sus trámites electrónicos.

De la misma forma, el SANSI a través del CSIRT podrá facultar a terceros para que actúen como
empresas certificadoras basándose en sus competencias, conocimiento, características técnicas, de
infraestructura y know how en torno a la seguridad de la información, para que certifiquen de manera
directa, a las entidades públicas y privadas que cumplan con el Modelo de Seguridad de la Información
para la Estrategia de Gobierno en Línea. Lo anterior se realizará a través de una marca de certificación
para el Modelo de Seguridad, la cual será validada nacionalmente como un sello de seguridad en la
información a las empresas premiadas, esto actuará como un incentivo para fomentar la participación
de las entidades en el Modelo de Seguridad y la ventaja competitiva entre entidades. A continuación,
se detallan los tipos de certificación otorgadas por los terceros facultados:

o Certificación de entidades: Certificación otorgada a las entidades públicas y privadas que


cumplan con los requerimientos plasmados en el Modelo de Seguridad de la Información para la
Estrategia de Gobierno en Línea, evidenciando el mejoramiento y evolución de su sistema de
gestión en seguridad de la información SGSI. Esta certificación se otorga teniendo en cuenta los
siguientes criterios:

 La certificación es renovada anualmente.

 La certificación provee un sello que puede ser usado tanto en la página web de la
Entidad como en las firmas de sus empleados.

Página 124 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

 La certificación no es renovada cuando la Entidad no evidencie el mejoramiento de su


sistema de gestión en seguridad de la información SGSI o cuando una auditoría
encuentre no conformidades mayores con el Modelo.

o Certificación de establecimientos: Otorgada a los establecimientos que pertenezcan a la cadena


de prestación de servicios para la Estrategia de Gobierno en Línea (ISP, Telecentros, Compartel,
centros de acceso comunitario, cafés Internet, entre otros), que cumplan con los requerimientos
plasmados en el Modelo de Seguridad de la Información para la Estrategia de Gobierno en
Línea, evidenciando la implementación de sus controles y recomendaciones. Estas
certificaciones se otorgan con los siguientes periodos de renovación para los establecimientos:

 Certificación renovada anualmente para los ISP.

 Certificación renovada bi-anualmente para los Telecentros, Compartels y centros de


acceso comunitario.

 Certificación renovada tri-anualmente para los cafés internet / otros.

• Alquiler de Software: Este servicio permite que el CSIRT, tenga la posibilidad de cobrar el uso de sus
licencias de software de seguridad de la información (por internet), a través del pago de una cuota
periódica. Entre las ventajas para el cliente, están entre otras dedicar el dinero que destinaría a las
licencias y al proyecto, a su actividad principal, ahorro de costos, reducir el riesgo de obsolescencia del
software, libertad de continuidad en caso de que el software no cumpla con las expectativas, etc.

• Alquiler de Equipo Forense: Permite al CSIRT la generación de ingresos provenientes de la plataforma


instalada y su óptimo aprovechamiento.

• Centro de interacción multimedia: Línea de atención a nivel de seguridad, que tendrá como función,
facilitar la comunicación entre el CSIRT y los clientes a través de cualquier medio interactivo (Ej,
internet, chat, teléfono, SMS, etc), permitiendo que estos últimos contacten o sean contactados para
solución de problemas e inquietudes de seguridad de la información. Este servicio será fuente de
información que podrá materializarse en estadísticas y diseño de nuevos servicios.

• Estandarización de pliegos de seguridad de la información del sector gobierno: Con el objeto de apoyar
la contratación pública, y dar un acompañamiento a las interventorías de seguridad de la información,
el CSIRT con su experiencia normalizara parámetros que permitan a las entidades del Gobierno, de
acuerdo con sus necesidades de seguridad de la información, realizar contrataciones públicas con
estándares mínimos exigibles para cada caso.

4.4. CARACTERÍSTICAS DE LOS SERVICIOS

Todos los servicios propuestos serán responsabilidad del CSIRT, sin embargo algunos de ellos tendrán la
posibilidad de ser ofrecidos por firmas externas (terceros) que tengan la competencia necesaria, para
soportar las actividades del CSIRT. Todas las compañías públicas y privadas que usen servicios del CSIRT,
deberán estar matriculados por medio de una membrecía periódica pagada, la cual le otorga el uso de

Página 125 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

algunos de esos servicios que se incluyen en el valor de la membrecía. Existen otros servicios que se
excluyen de esta membrecía y deberán ser pagados de manera independiente, así como algunos servicios
que se ofrecen gratuitamente. A continuación se resumen los servicios de acuerdo con lo anterior.

Del total de servicios ofrecidos, solo el 32% serán ejecutados directamente por el CSIRT, el 68% restante
serán responsabilidad de este mismo, pero ejecutados por Terceros. Así mismo el 94% de los servicios
ofrecido, traerá para este ente técnico retribuciones de tipo económico.

4.4.1. SERVICIOS PREVENTIVOS

Servicios Preventivos Tipo de Oferta Tarifa


Comunicados Directa Incluida en la Membresía
Análisis de riesgos Tercerizada Costo
Observatorio de tecnología Directa Incluida en la Membresía
Continuidad del negocio y recuperación tras un desastre Tercerizada Incluida en la Membresía
Evaluaciones de seguridad Tercerizada Costo
Auditorías de la seguridad Tercerizada Costo
Alertas y advertencias Tercerizada Incluida en la Membresía
Configuración y mantenimiento de la seguridad Tercerizada Costo
Desarrollo de herramientas de seguridad Tercerizada Costo
Difusión de información relacionada con la seguridad Directa Incluida en la Membresía

4.4.2. SERVICIOS REACTIVOS

Servicios Reactivos Tipo de Oferta Tarifa


Tratamiento de incidentes Tercerizada Incluida en la Membresía
Análisis de incidentes Tercerizada Incluida en la Membresía
Recopilación de pruebas forenses Tercerizada Incluida en la Membresía
Seguimiento o rastreo Tercerizada Incluida en la Membresía
Coordinación de la respuesta a incidentes Directa Incluida en la Membresía
Apoyo a la respuesta a incidentes Directa Incluida en la Membresía
Coordinación del Manejo de evidencias Directa Incluida en la Membresía

Página 126 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Servicios Reactivos Tipo de Oferta Tarifa


Respuesta a incidentes in situ Tercerizada Incluida en la Membresía

4.4.3. GESTIÓN DE LA CALIDAD DE LA SEGURIDAD

Gestión de la Calidad de la Seguridad Tipo de Oferta Tarifa


Consultoría en seguridad Tercerizada Costo
Publicaciones Directa Gratis para toda la comunidad
Sensibilización Tercerizada Costo
Prensa Directa Gratis para toda la comunidad
Educación / Formación sector publico Tercerizada Incluida en la Membresía
Educación / Formación sector privado Tercerizada Costo
Formación Comunitaria Tercerizada Costo
Graduación a terceros para entidades Costo para los grados 2 y 3,
Directa subsididado para grado 1.
Graduación a terceros para productos Directa Costo
Alquiler Software Tercerizada Costo
Alquiler equipos forenses Tercerizada Costo
Centro de interacción multimedia Tercerizada Incluida en la Membresía
Estandarización pliegos de seguridad de la información
Directa Incluida en la Membresía

Página 127 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

5. PROCESOS Y PROCEDIMIENTOS

5.1. DELIMITACIÓN SISTÉMICA

Para entender una organización en términos de procesos es fundamental delimitar con precisión los bordes
de la institución creada o a crear, identificando los procesos y los diferentes actores o agentes que definen
el quehacer de la entidad. En la gráfica siguiente se muestra dicha delimitación, partiendo del nemónico
TASCOI que permite precisar seis elementos necesarios para esta tarea: Transformación (Misión de la
entidad), Actores (Quienes participan directamente en la transformación que adelanta la entidad),
Suministradores (Proveedores), Clientes (Beneficiarios o usuarios), Organizadores (Quien dirige y orienta el
curso de la entidad) e Intervinientes (Aunque no hacen parte de la entidad regulan su propósito). Espejo et
al., 1996).

Ilustración 4: Delimitación Sistemática de la Entidad

Página 128 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Esta grafica ilustra de manera general el comportamiento de la entidad en términos de su proceso de


transformación y quienes intervienen en él, permitiendo abordar con más precisión el análisis de procesos
a continuación.

5.2. PROCESOS

Con este capítulo se pretende evitar la fragmentación funcional y promover la integración de actividades en
una estructura organizacional por procesos, que permita identificar las relaciones de estos (interacción) y
su secuencia lógica para maximizar el valor a ofertar al usuario final del producto institucional, para el
efecto se ha partido de identificar un modelo tecnológico de procesos y un modelo de segmentación por
servicios, después de esto se cruzan los dos modelos y se despliegan los procesos para al final caracterizar
los mismos.

El Modelo Tecnológico o Mapa de Procesos permite identificar 4 niveles de procesos, estratégicos,


misionales, evaluación y de apoyo, permitiendo visualizar de manera grafica el comportamiento de los
mismos y un primer acercamiento a las necesidades de herramientas tecnológicas de información para
apoyarlos. Es el mapa de procesos de la entidad.

Ilustración 5: Modelo Tecnológico del CSIRT

El Modelo de Segmentación permite un acercamiento de manera general a los servicios que puede prestar
la nueva institución, de tal forma que pueda ir previendo la estructura funcional, los cargos y competencias
requeridas para operar.

Página 129 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Ilustración 6: Modelo de Segmentación del CSIRT

En seguida se cruzan los dos modelos y esto permite establecer de qué manera se despliegan los procesos
en la entidad, base para poder iniciar el proceso de caracterización, es decir, de identificación de los rasgos
diferenciadores de cada proceso:

Página 130 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – SISTEMA DE GESTIÓN DE CALIDAD –
ESTRATEGIA DE GOBIERNO EN LÍNEA

Ilustración 7: Despliegue de Procesos

Página 131 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – SISTEMA DE GESTIÓN DE CALIDAD –
ESTRATEGIA DE GOBIERNO EN LÍNEA

Con esta información se define el catálogo final de procesos y se inicia la caracterización de los mismos,
disponible en el documento ANEXO A – CARACTERIZACIÓN DE PROCESOS Y PROCEDIMIENTOS.

Ilustración 8: Catálogo de Procesos

5.3. PROCEDIMIENTOS

Los procedimientos no son otra cosa que la forma especificada de llevar a cabo los procesos, en otras
palabras, el como se adelanta de manera operativa la tarea. Así las cosas y basados en el esquema del
numeral anterior, se ha definido el siguiente catalogo de procedimientos:

Ilustración 9: Catálogo de Procedimientos

Página 132 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

El catalogo se desarrolla en documento ANEXO A – CARACTERIZACIÓN DE PROCESOS Y


PROCEDIMIENTOS.

Página 133 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

6. ANÁLISIS DEL MERCADO

En este análisis se busca identificar las influencias externas generadas por tres diferentes niveles del
entorno empresarial, que afectan directa o indirectamente al CSIRT. Todo el análisis en su conjunto
permitirá a los directivos de esta nueva Entidad, entender que factores pueden influir en el éxito o fracasos
de las estrategias a implementar.

Ilustración 10: de Análisis del Mercado

El análisis propuesto, resulta efectivo en la medida que se haga una periódica retroalimentación a cada uno
de los niveles, ya que el entorno empresarial tiene como características, su amplia diversidad, complejidad
y alto velocidad de cambio. A continuación se describe brevemente cada uno de los tres niveles y su
metodología de análisis.

Página 134 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

6.1. MACRO ENTORNO

Detalla los factores generales del entorno que afectan en mayor o menor medida al CSIRT. El marco PEST
permite identificar como pueden afectar a la organización las tendencias políticas, económicas, sociales,
tecnológicas.

Ilustración 11: Marco Político, Económico, Social y Tecnológico del CSIRT

Dentro de este abanico de factores externos, se resalta el tema regulatorio, las tendencias informacionales
a nivel mundial y el compromiso del Gobierno por garantizar la seguridad nacional y allí la seguridad de la
seguridad de la información en Colombia.

6.2. INDUSTRIAS Y SECTORES

Grupo de empresas que prestan similares o iguales servicios, que son sustitutos cercanos a los ofertados
por el nuevo CSIRT. El modelos de las cinco fuerzas de Porter resulta útil para comprender los cambios de

Página 135 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

la dinámica competitiva dentro y fuera del sector de seguridad de TIC. A continuación se detalla su
análisis.

Ilustración 12: Análisis de Competitividad de Porter

Por su naturaleza es una industria con bastante competencia, en la cual se ofertan varios tipos de servicios
y productos focalizados en la seguridad de la información, los usuarios tienen un buen poder de
negociación, ya que además de tener acceso a información, poseen una variedad de posibilidades que les
permiten hacer procesos de selección variados y ajustados a cada unas de sus realidades informáticas. Por
lo cual no existe una dependencia a los proveedores de estos servicios o productos, sino más bien infinidad
de los mismos, los cuales podrán ser sustituidos en su gran mayoría.

Es importante resaltar que existen barreras de entradas, para empresas que busquen incurrir en negocios
de seguridad TIC’s, tales como los grandes capitales de inversión en el desarrollo y oferta de servicios y
productos, así como también una insipiente regulación en términos de seguridad de la información los
cuales se espera se concreten en el mediano plazo. No se evidencia en el país, casos generales a nivel
nacional (solo algunos casos, especialmente en universidades), en la que tanto empresas públicas como
privadas presenten una oferta variada de servicios integrados, dirigidos a cubrir servicios de seguridad de
la información, a nivel departamental o nacional.

Página 136 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

6.3. ALIADOS ESTRATÉGICOS Y MERCADOS

Dentro de este sector existen varias organizaciones con distintas características, participando del mercado
sobre bases diferentes. El principal objetivo será el de identificar este tipo de proveedores directos e
indirectos, con el fin de crear alianzas estratégicas que permitan el cumplimiento de los objetivos
misionales del nuevo CSIRT.

Es importante considerar iniciativas y actuales modelos de seguridad de la información, como aliados


estratégicos en el propósito mismo del nuevo CSIRT, el cual está enfocado principalmente a la
coordinación de incidentes computacionales a través de proveedores que faciliten esta gran
responsabilidad. Lo anterior abarcará de igual forma alianzas con proveedores de servicios informáticos, de
software y hardware, la academia, sectores públicos y privados así como gremios, que se ajusten a los
objetivos institucionales de esta Entidad y al portafolio de servicio y productos, que se busca ofertar.

Los conceptos analizados en los tres anteriores niveles ayudan a comprender los factores
macroeconómicos, de la industria y el mercado del CSIRT. Sin embargo, lo verdaderamente importante son
las implicaciones que se derivan de esta comprensión general para las decisiones y elecciones estratégicas.
Por lo cual se hace necesario comprender a detalle cómo puede influir este conjunto de factores sobre el
éxito o fracaso estratégico. Para lo anterior se realiza un análisis DOFA.

Página 137 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Ilustración 13: Matriz DOFA

De los diferentes análisis hechos, se puede concluir de manera general, que la competencia de servicios y
productos que cubren necesidades de seguridad de la información es alta, así mismo se observa que no
hay una masa crítica de competidores directos, que integren un conjunto de servicios es pos de la
seguridad de la información. Lo anterior y para el caso particular del nuevo CSIRT, será más una
oportunidad para poder ofertar la mejor y mayor variedad de servicios en este campo, para lo cual se
vislumbran posibles oportunidades de demanda y crecimiento económico dentro del país, así como en la
región.

Página 138 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

7. INDICADORES Y METAS

La propuesta planteada a través de este documento no podrá quedarse solo en planes, sino que deberá
ser implementada y sus resultados deberán evaluarse y medirse. Por lo cual será responsabilidad de este
nuevo CSIRT, la implementación y control estratégico de su accionar.

Como mecanismo de control y seguimiento, se propone un modelo integral de gestión, basado en la


filosofía Balanced Scorecard (BSC) o Cuadro de Mando Integral51, con lo cual se busca que el nuevo CSIRT,
sea una organización enfocada en su estrategia. Este alineamiento estratégico se divide en planeación,
difusión, revisión y ajuste, con lo que se busca entre otros lo siguiente:

• Movilizar el cambio a través del liderazgo ejecutivo,

• Traducir la estrategia en términos operativos: Definir los mapas estratégicos, los objetivos, indicadores
y metas,

• Alinear la organización con una única estrategia,

• Hacer de la estrategia un trabajo de todos: Proporcionar formación, comunicación, definición de metas,


compensación por incentivos y capacitación del personal,

• Hacer de la estrategia un proceso continuo: integrar la estrategia en la planificación, el presupuesto, la


generación de informes y las revisiones de gestión,

51 KAPLAN, Robert, NORTON, David. “Cuadro de Mando Integral”.

Página 139 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Ilustración 14: Modelo de Gestión52

Este conjunto de elementos ayudará como instrumento de planificación, información y control simultaneo
de las diversas partes de esta organización, al mismo tiempo que:

• Proveerá una clara definición de lo que el nuevo CSIRT debe medir,

• Alineará los elementos ya estructurados en la fase de formulación estratégica,

• Establecerá indicadores cuantitativos en cada una de sus perspectivas,

• Mantendrá las métricas financieras tradicionales e introducirá nuevos componentes como guía para los
nuevos elementos de gestión empresarial,

• Traducirá las directrices del nuevo CSIRT en un conjunto equilibrado de indicadores de desempeño,

• Comunicará los objetivos estratégicos a través de toda la organización,

• Alineará las iniciativas individuales y organizacionales,

52 SERNA GOMEZ, Humberto. “Índices de Gestión”.

Página 140 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Mejorará el aprendizaje y la retroalimentación estratégica del CSIRT.

Esta herramienta tiene un conjunto de componentes que es importante conocer y definir. El Cuadro de
Mando propuesto se divide en cuatro perspectivas, que representan de manera general las áreas más
relevantes del nuevo CSIRT. Es importante tener en cuenta en el diseño detallado se definirá de manera
táctica y operativa a través de toda la gestión de la entidad.

Ilustración 15: Alineación de la Visión y la Estrategia

• Perspectiva Seguridad de la información Nacional: Esta perspectiva es la razón de ser del CSIRT,
buscando minimizar el impacto de fallos informáticos con base en la prevención y protección frente a
amenazas, vulnerabilidades e incidentes computacionales a usuarios de la tecnología de información,
logrando una permanente incorporación y retención de clientes, con base en su satisfacción,
garantizándoles el soporte efectivo y eficiente.

• Perspectiva Financiera: Garantizar la auto sostenibilidad de la operación del CSIRT, generando


rentabilidad a sus accionistas.

• Perspectiva Interna: Lograr un excelente desempeño ante el cliente que se deriva de procesos,
decisiones y acciones basadas en las mejores prácticas mundiales en seguridad de la información. Así
como también crear e inculcar una cultura propia para el eficiente y efectivo desarrollo de las
actividades de esta nueva organización.

Página 141 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Perspectiva de Aprendizaje y Crecimiento: A partir del mejor talento humano y el permanente


desarrollo de las personas, el CSIRT estará en capacidad de crear conocimiento en torno a la seguridad
de la información, aprender de su propio actuar, lanzar nuevos productos y servicios, crear más valor
para los clientes y mejorar la eficiencia operativa continuamente. El aprendizaje organizacional se
convierte en una ventaja competitiva y se integra al mejoramiento continuo de esta nueva
organización.

Estas cuatro perspectivas deberán interrelacionarse, por medio de algunos orientadores estratégicos, tales
como: posicionamiento, calidad, servicio al cliente, motivación y cultura. Y serán la base y propósito de la
gestión gerencial del CSIRT. A continuación se detallan a nivel estratégico, los principales objetivos por
cada una de las perspectivas, con su respectivo indicador y meta, así como su interacción con los
orientadores estratégicos, a través del esquema de un mapa estratégico.

Ilustración 16: Mapa Estratégico

Página 142 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Ilustración 17: Perspectivas y Orientadores Estratégicos

7.1. PERSPECTIVA SEGURIDAD DE LA INFORMACIÓN NACIONAL

• Cobertura del CSIRT en entidades a nivel nacional: Con este indicador se pretende medir el apoyo
brindado en seguridad de la información al mayor número de entidades a nivel nacional, de manera
periódica no menor a 1 año. Se separa en entidades públicas y en entidades privadas.

• Cobertura del CSIRT en departamentos a nivel nacional: Este indicador busca definir porcentualmente
el número de departamentos al que se espera llegar con el alcance del CSIRT, de manera periódica no
menor a 1 año.

• Porcentaje de de incidencia de seguridad declaradas con impacto negativo. Este indicador busca definir
porcentualmente para los diferentes grupos de clientes, de manera periódica no mayor a 3 meses, el
total de incidencias ocurridas a nivel nacional, las cuales se discriminen por incidencias ocurridas,
incidencias prevenidas y incidencias de impacto. Entre las incidencias a definir se podrá incluir: la
denegación de servicios, troyanos, recepción de correo no deseado, virus informático, software espía o

Página 143 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

spyware, instrucciones remotas de ordenadores, intrusiones en su correo electrónico, intrusiones en


otras cuentas de servicio web, bombas lógicas, robos de información, fraudes, robo de ancho de
banda, etc.

• Posicionamiento (Top of Mind): Este indicador busca entender la dinámica de la marca CSIRT en
Colombia, se recomienda hacerse de manera periódica no menor a un año. Con este indicador la
compañía podrá darse cuenta a través del mercado objetivo, si existe o se tiene un bajo o alto grado
de recordación de la marca CSIRT. Este índice es una relación entre el numero de menciones de marca
sobre el total de entrevistados.

• Índice de Satisfacción de Usuarios: Mediante encuestas, se pretende determinar la satisfacción de los


usuarios basada en la calidad percibida como medición de una satisfacción general, el cumplimiento de
expectativas y la cercanía a la compañía perfecta acorde con el estándar internacional del Índice
Americano de Satisfacción de Clientes (ACSI – American Customer Satisfaction Index)53

7.2. PERSPECTIVA FINANCIERA

• Gasto versus Punto de Equilibrio: El nuevo CSIRT deberá verificar en el volumen de venta que, luego
de deducidos los costos variables, queda un excedente suficiente para cubrir los costos fijos. Este
punto umbral de rentabilidad será el punto en el que el CSIRT ingresa a una zona de ganancias,
mientras que por debajo, no cubrirá sus costos. Por esta razón el CSIRT debe operar a un nivel
superior al punto de equilibrio para poder reponer sus equipos, distribuir sus dividendos y tomar
providencias para su expansión. Este indicador se recomienda sea teniendo en cuenta sólo para un
periodo de tiempo definido por la propia organización (no mayor a un año), este después deberá ser
remplazado por uno que mida y exija beneficios monetarios ascendentes. Este indicador busca medir la
auto sostenibilidad financiera y de crecimiento del CSIRT para que pueda ofrecer servicios sostenibles a
los diferentes mercados objetivos. Se deberá observar en este una tendencia de crecimiento y
diversificación sana y sostenida de la oferta de servicios, con una muy buena calidad de cartera y
adecuados niveles de eficiencia y rentabilidad. Así mismo este, busca medir como mínimo en un
periodo inferior a 6 meses. Se medirá como mínimo, con base en el cubrimiento de los costos fijos del
negocio (punto de equilibrio), teniendo en cuenta el margen bruto de rentabilidad.

7.3. PERSPECTIVA PROCESOS INTERNOS

• Promedio de la Evaluación de 360 grados: La Evaluación de 360 grados o evaluación integral es una
herramienta que permite medir el desempeño de los funcionarios y sus competencias, y de esta forma
diseñar programas de desarrollo para individuales y colectivos. La evaluación de 360 grados pretende
dar a los empleados una perspectiva de su desempeño desde el punto de vista de sus jefes, sus
compañeros, subordinados, clientes internos, etc. El propósito de aplicar esta evaluación es brindar al
funcionario la retroalimentación necesaria para mejorar su desempeño, su comportamiento o ambos y
dar a la dirección la información necesaria para tomar decisiones oportunas. Se recomienda aplicarse
semestralmente.

53 The American Customer Satisfaction Index (ACSI). http://www.theacsi.org/

Página 144 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Certificaciones obtenidas: Este indicador busca garantizar la calidad de los procesos del CSIRT. El
término se refiere a una serie de normas universales basadas inicialmente en la norma NTGCP 1000 y
la norma ISO 27000. Una certificación indica a los clientes que el CSIRT ha implementado un sistema
para garantizar que cualquier producto o servicio que ofrezca cumplirá constantemente con las normas
internacionales de calidad.

7.4. PERSPECTIVA APRENDIZAJE Y CRECIMIENTO

• La principal función de la gestión del conocimiento es que el CSIRT no deba pasar dos veces por un
mismo proceso para resolver de nuevo el mismo problema, sino que ya disponga de mecanismos para
abordarlo utilizando información guardada sobre situaciones previas. Este indicador busca transformar
el conocimiento tácito en conocimiento explícito, se recomienda se logre alcanzar este objetivo en no
menos a seis meses. Para este fin pueden emplearse nuevas herramientas, como las bases de datos o
las intranets, u otras más clásicas (revistas, manuales y bibliotecas), que en su conjunto forman la
denominada "memoria organizacional" que permite organizar el conocimiento explicitado. Existen
diferentes técnicas para representar y gestionar el conocimiento, codificado desde áreas diferentes: La
inteligencia artificial, los sistemas de gestión de bases de datos, como text mining, la ingeniería del
software, y otras técnicas empleadas desde la perspectiva del estudio de los sistemas de información.
Esta tendencia se denomina “orientación al conocimiento”, y es la que el CSIRT deberá tener como
objetivo en el desarrollo al propósito de crear un sistema de gestión documental.

La Gestión del Conocimiento contribuye a:

o Mejorar la rapidez de respuesta en un entorno, tanto interno como externo, en continua


evolución Tiempo promedio de atención de incidentes)

o Mejorar la calidad de los productos o servicios desarrollados por la propia entidad y reducir los
errores en el proceso productivo (Número de errores en el proceso productivo).

o Publicación y difusión de conocimiento concerniente al tema de seguridad de la información


(Número de Investigaciones publicadas al año)

o Protección y registro de Derechos de Propiedad Intelectual.

• Porcentaje de funcionarios directivos y técnicos certificados en CISSP o CISM: El Talento Humano será
el elemento de mayor participación dentro del nuevo CSIRT, siendo ésta la base para crear valor
agregado intangible que le permita sobresalir en un mercado competitivo y exigente. Debido a lo
anterior será importante el proceso de selección de cada uno de los empleados, en el que se deberán
contemplar las aptitudes, conocimiento y habilidades técnicas / gerenciales definidas a través de este
documento. El objetivo será el de cumplir con el mayor numero de requerimientos establecidos para
cada cargo y del mismo modo desarrollarlos o capacitarlos en el total de los mismos.

Algunas de las certificaciones para los perfiles de trabajo en el CSIRT son:

Página 145 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

o CISSP54: Dominio de conocimiento en tecnología y gerencia en Seguridad de la Información.

o CISM55: Conocimiento en gerencia de Seguridad de la Información.

o ABCP o CBCP56: Conocimiento en planes y gestión de la continuidad del negocio.

o CISA57: Experiencia en auditoría de sistemas.

o ISO 27001 Lead Auditor: Conocimiento en auditoría de sistemas de gestión en seguridad de la


información SGSI.

7.5. RESUMEN DE LOS INDICADORES

METAS
OBJETIVOS
PERSPECTIVA INDICADOR UNIVERSO
ESTRATÉGICOS
Año 1 Año 2

SEGURIDAD DE Cobertura del CSIRT


LA en entidades públicas
50 100 182
INFORMACIÓN del orden nacional
NACIONAL (grados 2 y 3)

Cobertura del CSIRT


Brindar apoyo
en entidades privadas 50 100 21.210
para optimizar la
a nivel nacional
seguridad de la
información en las
Cobertura del CSIRT
entidades públicas
en departamentos a 5 15 32
y privadas.
nivel nacional

Porcentaje de Total de
incidencia de incidentes
30% 10%
seguridad declaradas reportados al
con impacto negativo CSIRT

54 www.isc2.org

55 www.isaca.org

56 www.drii.org

57 www.isaca.org

Página 146 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

METAS
OBJETIVOS
PERSPECTIVA INDICADOR UNIVERSO
ESTRATÉGICOS
Año 1 Año 2

Total de
Consolidar la Posicionamiento (Top
>80% >80% Encuestas
marca CSIRT of Mind)
realizadas
Colombia, con
base en la
Total de
credibilidad de los Índice de Satisfacción
>65% >75% Encuestas
usuarios. de Usuarios
realizadas

Ser una entidad Gasto versus Punto de Gastos <= Gastos <=
FINANCIERA Total gastos
auto sostenible. Equilibrio (P.E.) P.E. P.E.

Evaluaciones
Promedio de la
360 grados al
Evaluación de 360 80% 85%
total de
grados
funcionarios
Lograr la cultura y
PROCESOS
excelencia
INTERNOS Total de
operacional.
NTGCP certificaciones
Certificaciones NTGCP
1000, ISO de calidad
obtenidas 1000
27000 aplicables al
CSIRT

Total de
Tiempo promedio de
4 horas 1 horas incidentes
atención de incidentes
atendidos

Total de errores
3 errores 1 error por
registrados y
Número de errores en por cada 10 cada 10
total de
el proceso productivo incidencias incidencias
incidentes
atendidas atendidas
atendidos
Gestionar el
conocimiento.
Total de
Número de
APRENDIZAJE Y investigaciones
Investigaciones 3 10
CRECIMIENTO publicadas por
publicadas al año
el CSIRT

Total de
Número de patentes patentes
1 3
registradas al año registradas por
el CSIRT

Porcentaje de Total de
Tener el mejor funcionarios directivos funcionarios
> 60% > 80%
Talento Humano. y técnicos certificados directivos y
en CISSP o CISM técnicos

Página 147 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

7.6. CONSIDERACIONES GENERALES

Una vez descrita la formulación a nivel estratégico del posible sistema integrado de medición, a través del
Cuadro de Mando Integral, finalmente es importante tener en cuenta para el diseño e implementación, los
siguientes puntos:

• El marco previo de referencia al proceso de planeación estratégica, antes de la ejecución de los planes
y control de la gestión, será la formulación del concepto estratégico, formulación del plan estratégico
basado en la estrategia y la formulación de los planes tácticos y operacionales.

• El presupuesto, el Talento Humano, la tecnología y el negocio deben alinearse con la estrategia,

• El CSIRT deberá crear un contexto positivo para la medición,

• El enfoque de la medición será la creación de valor,

• La medición deberá ser integral (horizontal y vertical),

• La recolección de información y experiencias deberán ser transformadas en estrategias,

• La medición y control deberá ser parte de la cultura organizacional,

• Clarificar las condiciones que crearan valor para el cliente,

• Definir los procesos que transformaran los activos intangibles a resultados financieros y del cliente,

• Definir los activos intangibles que deben ser alineados e integrados para facilitar la creación de valor,

• Los componentes del Sistema Integrado de Medición son el direccionamiento estratégico y las
perspectivas,

• Los indicadores se deberán definir en diferentes niveles organizacionales: Estratégicos (Monitorean y


miden fundamentalmente el desempeño de los macro procesos), tácticos (Monitorean y miden los
procesos), operativos (Monitorean y miden las actividades) y de frontera o compartidos (Monitorean y
miden el desempeño de los procesos donde existe responsabilidad compartida),

• Los indicadores deberán tener necesariamente una relación causa efecto,

• El mapa estratégico hará explicita y comunicable a cualquier nivel la estrategia,

• La ejecución a este modelo debe ser el elemento central de la cultura de una organización,

Página 148 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Comunicación, Implantación y Sistematización: Incluye divulgación, automatización, agenda gerencial


con el Cuadro de Mando Integral, planes de acción para detalles, plan de alineación de iniciativas y
objetivos estratégicos, plan de despliegue a toda la empresa.

Con todo lo anterior se propone y plantea que a partir de los diferentes lineamientos dados en este
documento, se diseñe e implemente esta iniciativa estratégica, la cual permitirá al nuevo CSIRT monitorear
y evaluar su desempeño de una manera integral frente a sus objetivos estratégicos.

Página 149 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

8. ESTRUCTURA ORGANIZACIONAL

De acuerdo con el Software Engineering Institute en su documento “Organizational Models for Computer
58
Security Incident Response Teams (CSIRTs)” , existen criterios definidos para tres tipos de estructuras
organizacionales para un CSIRT, con lo cual se procederá a determinar cuales de estas, se ajustan a la
realidad de la estrategia de Gobierno en Línea.

Estos grupos son:

• Equipos de Seguridad

• CSIRT Coordinado

• CSIRT Interno

Teniendo en cuenta el modelo de Seguridad de la Información definido para el programa Gobierno en


Línea, el CSIRT propuesto será un ente técnico que funcione como un ente coordinador, que faculte a
terceros en el desarrollo y prestación de los servicios, de este modelo se destaca:

• Su equipo coordina el esfuerzo de respuesta de incidentes e intercambio de información a través de


muchos CSIRT, equipos de seguridad, terceros u otras organizaciones externas.

• Su equipo no pertenece a la misma organización de su jurisdicción.

• El CSIRT, será el responsable de la prestación de servicios ofrecidos por terceros.

Su principal servicio es coordinar intercambio de información y facilitar la discusión de incidentes.

58 Tomado de: http://www.rediris.es/cert/links/csirt.es.html. Fecha de acceso: 2008/10/10. Publicado por


Carnegie Mellon University - Software Engineering Institute. Autores: Georgia Killcrece, Klaus-Peter Kossakowski,
Robin Ruefle, Mark Zajicek.

Página 150 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

8.1. ORGANIGRAMA

Ilustración 18: Estructura Organizacional Propuesta

A continuación se describen cada uno de los principales objetivos de las direcciones que conforman el
CSIRT, y sus principales responsabilidades generales.

8.1.1. ASESOR JURÍDICO

La Asesoría Jurídica tiene por objetivo asesorar a la Dirección General, en todo lo relacionado con temas
legales de competencia del CSIRT, relacionados tanto a nivel administrativo y comercial como a nivel de la
consultoría, prestación de servicios y temas forenses de seguridad de la información.

8.1.2. DIRECCIÓN TÉCNICA

8.1.2.1. Grupo de Incidentes

Grupo que busca proveer a las empresas facultadas o tercerizadas por el CSIRT (en la prestación de los
diferentes servicios), la coordinación, asistencia y atención, para ayudar a preparar, proteger y asegurar
componentes de sistemas de clientes objetivos, en anticipación a futuros ataques, problemas o eventos
derivados de la seguridad de la información.

• Hacer seguimiento de los principales indicadores y políticas relacionadas con la seguridad de la


información en el ámbito nacional e internacional.

Página 151 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Crear una base de conocimiento que permita el análisis y evaluación de la seguridad de la información.

• Definir, planificar y fomentar las responsabilidades y respuestas primarias, de carácter operacional,


para el control de cualquier tipo de emergencia de seguridad de información.

• Promover y velar para que métodos probados internacionalmente, para el control de las emergencias
hechas por terceros, se apliquen eficiente y eficazmente.

• Definir y fomentar equipos de trabajo que puedan utilizar las técnicas elementales de acción ante
emergencias.

• Definir técnicas o herramientas que permitan rastrear los orígenes de un incidente o identificar
sistemas a los se haya tenido acceso no autorizado.

• Definir y fomentar la integración de equipos de trabajo técnico, con roles perfectamente definidos ante
una emergencia.

• Asistir en la recuperación tras desastres relacionados con los ataques y las amenazas a la seguridad de
información de las Entidades, mediante la coordinación de los diferentes recursos.

• Mediante actividades de coordinación, velar por la eficiente y eficaz detección, tratamiento, análisis y
respuesta de incidentes de seguridad de la información, hechas por las empresas facultadas por el
CSIRT en esta materia.

• Gestionar la recopilación de pruebas forenses, en lo que se refiere a la recolección, la conservación, la


documentación y el análisis de las pruebas procedentes del sistema informático comprometido.

8.1.2.2. Grupo Gestión y Control

Este grupo tiene como fin coordinar y dar soporte a las empresas tercerizadas por el CSIRT, para que
consoliden y apliquen los conocimientos y habilidades requeridas, para administrar, controlar y auditar los
sistemas informáticos.

• Realizar la validación y monitoreo del modelo de seguridad de la información.

• Soportar la evaluación de infraestructuras de seguridad de la información, a través de evaluaciones y/o


auditorias de seguridad, basados en los requisitos establecidos por el sistema y/o normas nacionales e
internacionales aplicables.

• Administrar la herramienta de autoevaluación y soportar las auditorias, monitoreos y análisis a la


información, desarrollada por los terceros contratados por el CSIRT.

• Brindar soporte en lo relacionado con la herramienta de autoevaluación y auditoria.

Página 152 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Desarrollar y complementar las herramientas de auto-evaluación y de auditoría con base en las


necesidades y requisitos actuales y futuros del Modelo de Seguridad.

• Recopilar las estadísticas, métricas e indicadores que permitan medir el desempeño y evidenciar el
mejoramiento del modelo de seguridad en las Entidades.

• Centralizar la información enviada por los diferentes terceros contratados por el CSIRT.

8.1.2.3. Grupo de Investigación y Desarrollo

El Grupo de Investigación y Desarrollo, tiene como principal propósito la investigación científica, el


desarrollo y la innovación de la seguridad de la información. En este grupo se establecen instrumentos y/o
medios que garanticen el cumplimiento del modelo de seguridad de la información. Adicionalmente se
busca el desarrollo y la gestión del conocimiento del CSIRT, a través de eficientes y eficaces vías de
comunicación.

• Asesorar a las Entidades públicas y privadas en materia de seguridad de la información, así como
apoyar a la elaboración, seguimiento y evaluación de políticas en este ámbito.

• Difundir información relacionada con la seguridad de la información a todos los actores relacionados.

• Desarrollar herramientas específicas para necesidades particulares o generales de sus clientes o propias
del CSIRT.

• Convocar al sector privado y a la academia para obtener apoyo en la investigación en materia de


seguridad de la información.

• Mantener contacto permanente con los distintos sectores de la industria para la identificación de
necesidades tecnológicas y de seguridad de la información.

• Recomendar o identificar para las Entidades objetivo, requisitos de compra, instalación o protección de
nuevos sistemas de seguridad, aplicaciones de software, dispositivos de seguridad, entre otros. Así
mismo, ofrecer asistencia y orientación en la implementación de las políticas de seguridad del modelo.

• Proponer los lineamientos, temas y elementos de sensibilización al Grupo CSIRT – Función de


Capacitación, en lo concerniente a las campañas de Concienciación - sensibilización.

• Gestionar la información y documentación del CSIRT.

• Diseñar herramientas de organización y difusión del conocimiento dentro del CSIRT.

• Gestionar la comunicación interna de la Institución.

• Gestionar el aprendizaje organizativo del CSIRT.

Página 153 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Gestionar del cambio y la innovación institucional.

• Adecuar la taxonomía de las piezas de conocimiento conforme se incremente el conjunto de


conocimiento derivado de la experiencia y conocimiento del CSIRT.

• Generar estrategias de difusión de piezas de conocimiento de interés general.

• Fomentar la automatización de los procesos relacionados con seguridad de la información.

• Realizar auditorías anuales de conocimiento a los empleados del CSIRT.

• Vigilar que el conocimiento fluya de forma ágil a través del CSIRT.

• Diseñar políticas para el uso de las bases de datos institucionales.

8.1.3. DIRECCIÓN DE COOPERACIÓN Y SOPORTE

8.1.3.1. Grupo Capacitación

El Grupo de Capacitación tiene como principal objeto, ayudar a sensibilizar, dar a conocer y preparar al
mercado objetivo, en los beneficios y amenazas que se derivan de la seguridad de la información,
desarrollar la capacidad de estos para alcanzar objetivos de desarrollo informático y a promover el uso de
herramientas y procedimientos que prevengan posibles incidentes de seguridad de la información.

• Promover campañas de capacitación periódicas para el sector público y privado, en temas relacionados
con la seguridad de la información, coordinando los diferentes cursos, charlas y/o conferencias.

• Mantener la articulación con los entes policivos para la atención de los incidentes de seguridad de la
información.

• Buscar convenios con terceros, para soportar, ejecutar y/o fortaleces los diferentes programas de
capacitación, en los que se incluya de manera integrada, la academia, el sector público y privado.

• Dar lineamientos generales, a los responsables directos de los programas de capacitación, en las
diferentes áreas de seguridad de la información.

• Soportar a terceros en la capacitación y entrenamiento a las Entidades, en temas relacionados con la


herramienta de autoevaluación y auditoria.

• Planear el desarrollo de capacitaciones internas para el desarrollo de las competencias y habilidades


técnico/gerenciales para todo el personal del Grupo Técnico de Apoyo y el de la Comisión Nacional de
Seguridad de la Información.

Página 154 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

8.1.3.2. Grupo Relaciones Públicas y Comunicación

Grupo que tiene como objetivo, gestionar y proyectar de manera integral los sistemas de comunicación e
información del CSIRT, liderar cambios, establecer programas de cultura e identidad corporativa,
diagnosticar y planear estratégicamente y de manera armónica la comunicación según los diferentes
públicos y entornos.

• Diseñar e implementar el plan de comunicaciones del CSIRT.

• Gestionar la comunicación entre el CSIRT y público clave para construir, administrar y mantener su
imagen positiva.

• Construir la identidad, la cultura y la reputación del CSIRT, como un camino que facilitará la
construcción de vínculos con los involucrados (Stakeholders), mediante el desarrollo de programas de
identidad corporativa.

• Definir y diseñar la Política de imagen corporativa que deba adoptar el CSIRT.

• Crear estrategias de publicidad para lograr difundir y promocionar el programa de capacitación.

• Posicionar la nueva marca CSIRT en el mercado nacional y regional, por medio de rutinas de campañas
de publicidad.

• Diseñar métodos y mecanismos que permitan conocer el grado de aceptación de los programas y
proyectos desarrollados por el CSIRT.

• Sensibilizar a los grupos objetivo en el conocimiento y uso de los temas relacionados con la seguridad
de información.

• Coordinar la emisión de boletines, revistas y toda clase de documentos relacionados con la acción del
CSIRT.

• Difundir estudios e informes publicados por otras entidades y organismos nacionales e internacionales,
así como de información sobre la actualidad en materia de la seguridad y confianza de la Información.

• Propender por las buenas relaciones y comunicaciones, con la prensa local, seccional, nacional e
internacional.

• Crear alianzas con CSIRT nacionales e internacionales.

• Crear alianzas de largo plazo con el sector académico, privado, proveedores de tecnología, etc, las
cuales permitan entre otros crear, gestionar y trasmitir el conocimiento del CSIRT.

• Diseñar mecanismos y establecer los conductos de divulgación del CSIRT.

Página 155 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

8.1.4. DIRECCIÓN ADMINISTRATIVO Y FINANCIERA

Este grupo tiene como principal objeto administrar los recursos financieros, tecnológicos (IT), legales y
humanos del CSIRT.

8.1.4.1. Financieros

• Administrar el proceso de elaboración presupuestaria.

• Controlar y supervisar la ejecución del presupuesto de manera articulada con la planificación


estratégica y el control de gestión de la institución.

• Realizar la gestión contable, patrimonial y la administración de recursos de la institución, procurando el


estricto cumplimiento en la aplicación de todos los sistemas y procedimientos administrativos
establecidos.

• Administrar el proceso de compras y contrataciones de bienes y servicios del CSIRT.

• Intervenir desde el punto de vista presupuestario en el financiamiento de los proyectos.

• Desarrollar criterios, metodologías e instrumentos de aspectos administrativos, contables y de control.

• Administrar la gestión de desarrollo de la infraestructura física y la gestión de servicios de


mantenimiento y soporte logístico de las distintas direcciones.

• Establecer e implantar mecanismos idóneos para la administración de los recursos financieros, de


bienes, materiales y servicios asignados al funcionamiento del CSIRT.

• Coordinar con la Gerencia de Recursos Humanos las tareas contables, administrativas y financieras
requeridas para la administración del personal de la Institución.

• Dirigir y supervisar la elaboración de los estados contables del CSIRT.

8.1.4.2. Tecnologicos

• Mantener, monitorear y reparar la infraestructura de redes del CSIRT.

• Implementar y mantener servidores y servicios de red comunes dentro del CSIRT.

• Diseñar, implementar y mantener sistemas de monitoreo y respaldo para la infraestructura de redes del
CSIRT.

Página 156 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Asegurar la calidad y la performance en el funcionamiento de la infraestructura de redes y servicios de


la organización.

8.1.4.3. Legales

• Auxiliar en la elaboración de todo tipo de contratos, actas constitutivas, actas de Asamblea e


instrumentos jurídicos de la competencia del CSIRT.

• Participar en la negociación, seguimiento y hasta el cierre de distintos tipos de operaciones con


clientes y proveedores de naturaleza comercial, de alianza estratégica, societaria, etc.

• Emitir consultas y opiniones acerca de asuntos que influyan de manera directa en el patrimonio y
responsabilidad de la empresa y sus socios dentro de su operación comercial.

• Auxiliar en la realización de todo tipo de trámites ante dependencias gubernamentales de carácter


departamental y nacional.

8.1.4.4. Humanos

• Asesorar y participar en la formulación de la política de personal.

• Dar a conocer las políticas de personal y asegurar su cumplimiento.

• Establecer y normalizar el perfil y el rol de cada uno de los puestos de trabajo dentro del CSIRT.

• Reclutar, seleccionar y contratar al personal del CSIRT.

• Desarrollar y gestionar la estructura y política salarial.

• Planear las diferentes capacitaciones internas para promover y desarrollar las competencias y
habilidades técnico/gerenciales para todo el personal del CSIRT.

• Mantener todos los registros necesarios concernientes al personal.

• Incentivar la integración y buenas relaciones humanas entre el personal.

• Recibir quejas, sugerencias y resuelve los problemas de los colaboradores.

• Hacer la evaluación del desempeño de los colaboradores.

Página 157 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

8.2. PROCESO DE SELECCIÓN

Las competencias laborales generales se establecerán de acuerdo con el Decreto número 2539 de 2005, en
el cual se detallan para los empleos públicos de los distintos niveles jerárquicos de las entidades, las
competencias requeridas. Estas deberán tenerse en cuenta a la hora de realizar los procesos de selección
de los diferentes vacantes creadas para el CSIRT. A continuación se enumeran dichas competencias:

8.2.1. COMPETENCIAS COMUNES

• Orientación a resultados

• Orientación al usuario y al ciudadano

• Transparencia

• Compromiso con la Organización

Nivel Directivo

• Liderazgo

• Planeación

• Toma de decisiones

• Dirección y Desarrollo de Personal

• Conocimiento del entorno

Nivel Asesor Nivel Profesional

• Experticia Profesional • Aprendizaje Continuo

• Conocimiento del entorno • Experticia profesional

• Construcción de relaciones • Trabajo en Equipo y Colaboración

• Iniciativa • Creatividad e Innovación

Página 158 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Nivel Técnico Nivel Asistencial

• Experticia Técnica • Manejo de la Información

• Trabajo en equipo • Adaptación al cambio

• Creatividad e innovación • Disciplina

• Relaciones Interpersonales

• Colaboración

8.2.2. COMPETENCIAS COMPORTAMENTALES POR NIVEL JERÁRQUICO

Cuando se tengan personal a cargo, se deberá incluir; liderazgo de grupos de trabajo y toma de decisiones

8.2.3. COMPETENCIAS TÉCNICAS

Estas deberán evaluarse con mayor exigencia dependiendo de las responsabilidades propias del cargo.

• Principios de seguridad de la información.

• Amplio conocimiento de la tecnología y los protocolos de Internet y redes.

• Conocimiento de diversos sistemas operativos tipo Windows, Unix, Linux.

• Conocimiento de los equipos de infraestructura de redes (enrutador, switches, DNS, proxy, correo,
etc.).

• Conocimiento de las aplicaciones de Internet.

• Conocimiento de amenazas a la seguridad (phishing, defacing, sniffing, etc.).

• Conocimiento de la evaluación del riesgo y las implementaciones prácticas.

• Servicios y aplicaciones de red.

• Habilidades de programación.

Página 159 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Habilidades en manejo y análisis de incidentes.

• Certificaciones.

 CISSP59 - Dominio de conocimiento tecnología y gerencia en seguridad de la información.


Obligatoria.

 CISM60 - Conocimiento en gerencia de seguridad de la información. Obligatoria.

 ABCP o CBCP61 - Conocimiento en planes y gestión de la continuidad del negocio. Opcional.

 CISA62 – Experiencia en auditoría de sistemas. Opcional.

 ISO27001 Lead Auditor – conocimiento en auditoría de sistemas de gestión en seguridad de la


información SGSI. Opcional.

8.2.4. OTRAS CARACTERÍSTICAS

• Disponibilidad para viajar a soportar operaciones en lugares diferentes a su ciudad base.

• Nivel educativo. Dependiendo del cargo se requerirán carreras técnicas profesionales o a nivel de
posgrado.

• Experiencia laboral en el ámbito de la seguridad de las TI principalmente.

• Disposición a trabajar por turnos.

Es importante que el tipo de contratación se haga a término indefinido, haciendo un seguimiento por cada
empleado a través de una evaluación de desempeño, la cual evalué de manera general entre otros los
siguientes puntos.

• Cumplimiento de objetivos.

59 www.isc2.org

60 www.isaca.org

61 www.drii.org

62 www.isaca.org

Página 160 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Competencias técnicas.

• Competencias Administrativas.

• Eficiencia en el gerenciamiento de las responsabilidades.

• Excelencia de servicio.

• Eficiencia en el liderazgo.

La calificación de estas evaluaciones de desempeño, afectaran individualmente o en grupo, cualquiera que


sea el caso, en las retribuciones, en la promoción, en los concursos, y en las capacitaciones a ofrecer.

8.3. CAPACITACIÓN

Dentro del proyecto se deberá destinar un presupuesto dirigido a la capacitación del personal. Esto como
consecuencia a la dificultad de encontrar personal, con el total de las habilidades anteriormente descritas y
a que constantemente se presentaran avances y mejoras en la practicas informáticas o de soporte, a
utilizar en cada una de las responsabilidades.

Si bien es cierto que el personal a contratar, deberá contar con un conocimiento y experiencia previa a la
mayoría de las habilidades. No se hace necesario que cumpla con el 100% de estas. Por esto se deberá
priorizar para cada uno de los cargos las principales competencia y de las faltantes se suplirán con una
posterior capacitación. Es importante que la relaciones con entes como el sector privado, académico y
publico, ayuden a formalizar este plan de capacitación.

El plan de capacitación deberá fundamentarse en las habilidades anteriormente detalladas y en el dominio


de:

• Área de cobertura y sistemas y operaciones de su área de cobertura.

• Políticas y procedimientos estándares de operación.

• Política sobre revelación de información.

• Política sobre uso aceptable del equipamiento y de la red.

Página 161 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

9. ETAPAS PARA LA CONFORMACIÓN DEL CSIRT – COLOMBIA

La constitución del CSIRT en Colombia supone el cumplimiento de ciertas etapas, considerando que iniciar
una nueva etapa supone la estabilización y permanente sostenibilidad y continuidad de las etapas
anteriores. Para la conformación del proyecto CSIRT en Colombia se consideran las siguientes etapas:

• Etapa I – Alistamiento: Se definirán todos los procesos, procedimientos, roles y responsabilidades


necesarias para poner en operación el CSIRT- Colombia. De la misma manera, se llevaría a cabo el
alistamiento tecnológico, logístico y estratégico para la definición de los alcances visibles e indicadores
de gestión del CSIRT.

• Etapa II – Capacitación y Entrenamiento Involucra la capacitación y entrenamiento necesarios para


iniciar el proceso. Una vez iniciado, esta capacitación podría gestionarse a través de la cooperación
nacional e internacional, tanto a nivel bilateral como multilateral. En todo caso, la capacitación o
entrenamiento deberá ser permanente a lo largo de la existencia del CSIRT.

• Etapa III – Generación de Alertas e Investigación: Se busca un servicio de alertas tempranas e


investigación y desarrollo en laboratorio, para comenzar a prestar un servicio informativo a las
entidades de tanto públicas como privadas.

• Etapa IV - Respuesta a Incidentes y Apoyo en Investigación del Delito: Supone una madurez suficiente
en procesos, procedimientos, capacitación, entrenamiento e información de amenazas y riesgos como
para poder conformar operativamente el grupo de respuesta a incidentes y apoyar las investigaciones
informáticas adelantadas por las autoridades competentes.

• Etapa V – Operación, Revisión y Mejoramiento Continuo: Involucra la revisión constante de los


procesos, procedimientos, indicadores de gestión y genera la retroalimentación interna para el
mejoramiento continuo.

Página 162 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

10. PRESUPUESTO PRELIMINAR DE INVERSIÓN Y FUNCIONAMIENTO

A continuación se presenta un presupuesto preliminar de Inversión y Funcionamiento, que deberá ser


ajustado de acuerdo con las validaciones que se realicen al modelo con la comunidad.

Costo
Frecuencia
Rubro Unidades Unitario / Total
Anual
Mensual
Presupuesto de Inversión

Estudios y Diseños 1 1 40.000.000 40.000.000

Plataforma Tecnológica
Hardware 1 1 20.000.000 20.000.000
Software 1 1 20.000.000 20.000.000
Servicios de seguridad 1 1 25.000.000 25.000.000
Mantenimiento y reparaciones 1 1 15.000.000 15.000.000
Desarrollo Web 1 1 50.000.000 50.000.000
Tecnologías de seguridad de la red y de la
1 1 75.000.000 75.000.000
información
Gestión de equipos de seguridad (hasta 20
1 1 20.000.000 20.000.000
elementos)
Monitoreo de equipos de seguridad (hasta 20
1 1 5.000.000 5.000.000
elementos)
Correlación de equipos de seguridad (hasta 20
1 1 20.000.000 20.000.000
elementos)
Protección a los sistemas 1 1 50.000.000 50.000.000
Total Plataforma Tecnológica 300.000.000

Muebles 1 1 20.000.000 20.000.000

Seguros de equipos e Infraestructura 1 1 10.000.000 10.000.000

Total Presupuesto de Inversión 370.000.000

Presupuesto de Funcionamiento

Costo de Personal - Salarios


Director General 1 14 9.600.000 134.400.000
Directores 3 14 7.200.000 302.400.000

Página 163 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Costo
Frecuencia
Rubro Unidades Unitario / Total
Anual
Mensual
Jefes Grupo 6 14 6.000.000 504.000.000
Profesionales Certificados en seguridad 3 14 4.800.000 201.600.000
Equipo base 10 14 2.400.000 336.000.000
Administrativo 1 14 1.200.000 16.800.000
Total Costo de Personal - Salarios 1.495.200.000

Entrenamiento y Capacitación 1 1 30.000.000 30.000.000

Operación
Logística para Conferencias y talleres 1 6 20.000.000 120.000.000
Costos de representación 1 1 20.000.000 20.000.000
Suscripciones a medios especializados 1 1 2.000.000 2.000.000
Traducciones 1 1 5.000.000 5.000.000
Elaboración de Talleres 1 1 20.000.000 20.000.000
Publicaciones y materiales informativos 1 1 20.000.000 20.000.000
Viáticos 2 12 2.000.000 48.000.000
Total Costo de Operación 235.000.000

Infraestructura
Alquiler del Establecimiento 1 12 5.000.000 60.000.000
Servicios Públicos 1 12 1.900.000 22.800.000
Mantenimiento 1 12 3.000.000 36.000.000
Total Costo Infraestructura 118.800.000

Costo Variable
Auditorías de la seguridad 1 25 14.666.667 366.666.667
Configuración y mantenimiento de la seguridad 1 13 1.600.000 20.800.000
Análisis de riesgos 1 12 32.000.000 384.000.000
Planificación de la continuidad del negocio y
1 3 66.666.667 200.000.000
recuperación tras un desastre
Recopilación de pruebas forenses 1 10 1.600.000 16.000.000
Respuesta a incidentes in situ 1 21 800.000 16.800.000
Evaluación de productos 1 3 4.000.000 12.000.000
Total Presupuesto Variable 1.016.266.667

Total Presupuesto Costo de Funcionamiento Año 1 2.895.266.667

Presupuesto de Ventas

Presupuesto de Ventas de Servicios para miembros y


no miembros
Graduación Nivel 2 1 0 4.000.000 0
Graduación Nivel 3 1 50 8.000.000 400.000.000
Auditorías de la seguridad 1 25 36.666.667 916.666.667

Página 164 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Costo
Frecuencia
Rubro Unidades Unitario / Total
Anual
Mensual
Configuración y mantenimiento de la seguridad 1 13 4.000.000 52.000.000
Análisis de riesgos 1 12 80.000.000 960.000.000
Planificación de la continuidad del negocio y
1 3 166.666.667 500.000.000
recuperación tras un desastre
Presupuesto de Ventas de Servicios para no miembros
Recopilación de pruebas forenses 1 10 4.000.000 40.000.000
Respuesta a incidentes in situ 1 21 2.000.000 42.000.000
Evaluación de productos 1 3 10.000.000 30.000.000

Total Presupuesto de Ventas Año 1 2.940.666.667

A continuación se describen algunos de los criterios utilizados para la estimación preliminar del
presupuesto de Inversión y Funcionamiento para el montaje del CSIRT en Colombia.

10.1. PRESUPUESTO DE INVERSIÓN

El Presupuesto de Inversión comprende todo el cuadro de adquisición de maquina y equipo que permitan
asegurar el proceso productivo y ampliar la cobertura del mercado. Los principales componentes
considerados para el Presupuesto de Inversión son:

• Estudios y Diseños: Los costos de Estudios y Diseños incluyen las evaluaciones de riesgos y
vulnerabilidades de seguridad de la información tanto nacionales como internacionales, que permitan
prevenir la acción de los incidentes y crear una línea base para el desarrollo de los servicios y el
monitoreo de la seguridad nacional de la información en las entidades atendidas por la Estrategia de
Gobierno en Línea.

• Plataforma Tecnológica: incluye el hardware y software requerido para garantizar la operación y la


seguridad de la información propia del CSIRT así como la necesaria para la prestación de los servicios
ofrecidos.

• Infraestructura: Incluye la planta física requerida para la operación del CSIRT.

10.2. PRESUPUESTO DE FUNCIONAMIENTO

El presupuesto de funcionamiento incluye las actividades para el período siguiente al cual se elabora (en el
caso de este documento será el ejercicio 2009). Son estimados que en forma directa tienen que ver con la
razón principal de la entidad. Los principales componentes del Presupuesto de Funcionamiento son:

• Costos de Personal - Salarios: Se considera la estructura organizacional considerada de manera


preliminar en el presente documento, con salarios acordes el mercado laboral y los perfiles requeridos.

Página 165 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

• Costos de Reclutamiento: Asume la contratación de un tercero para el proceso de búsqueda y


reclutamiento del personal del CSIRT.

• Entrenamiento: Costos asociados con la preparación técnica del personal para un mejor desempeño en
la operación.

• Operación: Costos estimados asociados a la operación diaria del CSIRT en la prestación de los servicios
ofrecidos: Atención de incidentes y la sensibilización de la comunidad, entre otros.

• Costos de Infraestructura, considerando el posible alquiler del espacio físico para la operación, los
servicios públicos y le mantenimiento de la planta y equipos.

• Costo Variable adicional: Es el costo variable que depende de volumen de ventas. A este costo se
descuenta el costo de personal de planta disponible permanentemente para e desarrollo de proyectos.

• Presupuesto de ventas: Se estima con base en tarifas y comportamientos esperados del mercado y
considerando que la operación del CSIRT en Colombia comience en mayo de 2009.

Página 166 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – SISTEMA DE GESTIÓN DE CALIDAD –
ESTRATEGIA DE GOBIERNO EN LÍNEA

Detalle Presupuesto de Ventas (Millones de Pesos) - Año 1

Presupuesto de Ventas:

Rango de
Precios
dependiendo Precio
Ventas del tamaño Unitario May Jun Jul Ago Sep Oct Nov Dic Totales
de la entidad Ponderado
y alcance del
servicio
Graduación Nivel 2 Unidades 0
8 4 0 0 0 0 0 0 0 0 0
Graduación Nivel 3 Unidades 2 3 5 6 6 8 11 9 50
15 8 16 24 40 48 48 64 88 72 400

Presupuesto de Ventas de Servicios para miembros y no miembros

Auditorías de la
Unidades 1 2 2 2 4 4 4 6 25
seguridad
"5 - 100 37 37 73 73 73 147 147 147 220 917
Configuración y
mantenimiento de Unidades 1 1 1 2 2 2 2 2 13
la seguridad
1 - 10 4 4 4 4 8 8 8 8 8 52
Análisis de riesgos Unidades 1 1 1 1 2 2 2 2 12
20 - 200 80 80 80 80 80 160 160 160 160 960
Planificación de la
continuidad del
negocio y Unidades 1 1 1 3
recuperación tras
un desastre
50 - 400 167 0 0 167 0 167 0 167 0 500

Página 167 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Presupuesto de Ventas de Servicios para no miembros

Recopilación de
Unidades 1 1 1 1 1 1 2 2 10
pruebas forenses
1 - 10 4 4 4 4 4 4 4 8 8 40
Respuesta a
Unidades 1 2 3 4 5 6 21
incidentes in situ
2 2 0 0 2 4 6 8 10 12 42
Evaluación de
Unidades 1 1 1 3
productos
10 10 0 0 0 0 0 10 10 10 30

Página 168 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – SISTEMA DE GESTIÓN DE CALIDAD –
ESTRATEGIA DE GOBIERNO EN LÍNEA

11. TERMINOLOGÍA

Acción correctiva: (Inglés: Corrective action). Medida de tipo reactivo orientada a eliminar la causa de una
no-conformidad asociada a la implementación y operación del SGSI con el fin de prevenir su repetición.

Acción preventiva: (Inglés: Preventive action). Medida de tipo pro-activo orientada a prevenir potenciales
no-conformidades asociadas a la implementación y operación del SGSI.

Accreditation body: Véase: Entidad de acreditación.

Aceptación del Riesgo: (Inglés: Risk acceptance). Según [ISO/IEC Guía 73:2002]: Decisión de aceptar un
riesgo.

Activo: (Inglés: Asset). En relación con la seguridad de la información, se refiere a cualquier información o
sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Según [ISO/IEC
13335-1:2004]: Cualquier cosa que tiene valor para la organización.

Alcance: (Inglés: Scope). Ámbito de la organización que queda sometido al SGSI. Debe incluir la
identificación clara de las dependencias, interfaces y límites con el entorno, sobre todo si sólo incluye una
parte de la organización.

Alerta: (Inglés: Alert). Una notificación formal de que se ha producido un incidente relacionado con la
seguridad de la información que puede evolucionar hasta convertirse en desastre.

Amenaza: (Inglés: Threat). Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el
cual puede causar el daño a un sistema o la organización.

Análisis de riesgos: (Inglés: Risk analysis). Según [ISO/IEC Guía 73:2002]: Uso sistemático de la
información para identificar fuentes y estimar el riesgo.

Análisis de riesgos cualitativo: (Inglés: Qualitative risk analysis). Análisis de riesgos en el que se usa una
escala de puntuaciones para situar la gravedad del impacto.

Página 169 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Análisis de riesgos cuantitativo: (Inglés: Quantitative risk analysis). Análisis de riesgos en función de las
pérdidas financieras que causaría el impacto.

Asset: Véase: Activo.

Assets inventory: Véase: Inventario de activos.

Audit: Véase: Auditoría.

Auditor: (Inglés: Auditor). Persona encargada de verificar, de manera independiente, la calidad e


integridad del trabajo que se ha realizado en un área particular.

Auditor de primera parte: (Inglés: First party auditor). Auditor interno que audita la organización en
nombre de ella misma. En general, se hace como mantenimiento del sistema de gestión y como
preparación a la auditoría de certificación.

Auditor de segunda parte: (Inglés: Second party auditor). Auditor de cliente, es decir, que audita una
organización en nombre de un cliente de la misma. Por ejemplo, una empresa que audita a su proveedor
de outsourcing.

Auditor de tercera parte: (Inglés: Third party auditor). Auditor independiente, es decir, que audita una
organización como tercera parte independiente. Normalmente, porque la organización tiene la intención de
lograr la certificación.

Auditor jefe: (Inglés: Lead auditor). Auditor responsable de asegurar la conducción y realización eficiente y
efectiva de la auditoría, dentro del alcance y del plan de auditoría aprobado por el cliente.

Auditoría: (Inglés: Audit). Proceso planificado y sistemático en el cual un auditor obtiene evidencias
objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una
organización.

Autenticación: (Inglés: Authentication). Proceso que tiene por objetivo asegurar la identificación de una
persona o sistema.

Authentication: Véase: Autenticación.

Availability: Véase: Disponibilidad.

BS7799: Estándar británico de seguridad de la información, publicado por primera vez en 1995. En 1998,
fue publicada la segunda parte. La parte primera es un conjunto de buenas prácticas para la gestión de la
seguridad de la información -no es certificable- y la parte segunda especifica el sistema de gestión de

Página 170 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

seguridad de la información -es certificable-. La parte primera es el origen de ISO 17799 e ISO 27002 y la
parte segunda de ISO 27001. Como tal estándar, ha sido derogado ya, por la aparición de estos últimos.

BSI: British Standards Institution. Comparable al AENOR español, es la Organización que ha publicado la
serie de normas BS 7799, además de otros varios miles de normas de muy diferentes ámbitos.

Business Continuity Plan: Véase: Plan de continuidad del negocio.

CERT (Computer Emergency Response Team): Equipo de Respuesta a Emergencias Computacionales


(Marca registrada por la Universidad Carnegie - Melon).

Certification body: Véase: Entidad de certificación.

CIA: Acrónimo inglés de confidencialidad, integridad y disponibilidad, los parámetros básicos de la


seguridad de la información.

CID: Acrónimo español de confidencialidad, integridad y disponibilidad, los parámetros básicos de la


seguridad de la información.

CCEB: Criterio Común para la Seguridad de Tecnología de Información.

Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los
objetivos de la auditoría, sirve de evidencia del plan de auditoría, asegura su continuidad y profundidad y
reduce los prejuicios del auditor y su carga de trabajo. Este tipo de listas también se pueden utilizar
durante la implantación del SGSI para facilitar su desarrollo.

Clear desk policy: Véase: Política de escritorio despejado.

CobiT: Control Objectives for Information and related Technology. Publicados y mantenidos por ISACA. Su
misión es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnología de
Información rectores, actualizados, internacional y generalmente aceptados para ser empleados por
gerentes de empresas y auditores.

Código malicioso (Malicious Code, Malware): Cubre virus, gusanos, y Troyanos electrónicos. Se pueden
distribuir a través de varios métodos incluyendo el email, Web site, shareware / freeware y de otros
medios tales como material promocional.

Compromiso de la Dirección: (Inglés: Management commitment). Alineamiento firme de la Dirección de la


organización con el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y
mejora del SGSI.

Página 171 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Confidencialidad: (Inglés: Confidenciality). Acceso a la información por parte únicamente de quienes estén
autorizados. Según [ISO/IEC 13335-1:2004]:" característica/propiedad por la que la información no está
disponible o revelada a individuos, entidades, o procesos no autorizados.

Confidenciality: Véase: Confidencialidad.

Contramedida: (Inglés: Countermeasure). Véase: Control.

Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para
mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. (Nota: Control
es también utilizado como sinónimo de salvaguarda o contramedida.

Control correctivo: (Inglés: Corrective control). Control que corrige un riesgo, error, omisión o acto
deliberado antes de que produzca pérdidas. Supone que la amenaza ya se ha materializado pero que se
corrige.

Control detectivo: (Inglés: Detective control). Control que detecta la aparición de un riesgo, error, omisión
o acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige.

Control disuasorio: (Inglés: Deterrent control). Control que reduce la posibilidad de materialización de una
amenaza, p.ej., por medio de avisos disuasorios.

Control preventivo: (Inglés: Preventive control). Control que evita que se produzca un riesgo, error,
omisión o acto deliberado. Impide que una amenaza llegue siquiera a materializarse.

Control selection: Véase: Selección de controles.

Corrective action: Véase: Acción correctiva.

Corrective control: Véase: Control correctivo.

COSO: Committee of Sponsoring Organizations of the Treadway Commission. Comité de Organizaciones


Patrocinadoras de la Comisión Treadway. Se centra en el control interno, especialmente el financiero. En
Colombia este estándar fue utilizado para realizar el estándar de control interno MECI.

Countermeasure: Contramedida. Véase: Control.

CSIRT (Computer Security Incident Response Team): Equipo de Respuesta a Incidentes de Seguridad
Computacional

Declaración de aplicabilidad: (Inglés: Statement of Applicability, SOA). Documento que enumera los
controles aplicados por el SGSI de la organización -tras el resultado de los procesos de evaluación y

Página 172 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

tratamiento de riesgos- además de la justificación tanto de su selección como de la exclusión de controles


incluidos en el anexo A de la norma.

Denial of service: Véase: Negación de Servicios.

Desastre: (Inglés: Disaster). Cualquier evento accidental, natural o malintencionado que interrumpe las
operaciones o servicios habituales de una organización durante el tiempo suficiente como para verse la
misma afectada de manera significativa.

Detective control: Véase: Control detectivo.

Deterrent control: Véase: Control disuasorio.

Directiva: (Inglés: Guideline). Según [ISO/IEC 13335-1:2004]: una descripción que clarifica qué debería ser
hecho y cómo, con el propósito de alcanzar los objetivos establecidos en las políticas.

Disaster: Véase: Desastre.

Disponibilidad: (Inglés: Availability). Acceso a la información y los sistemas de tratamiento de la misma por
parte de los usuarios autorizados cuando lo requieran. Según [ISO/IEC 13335-1:2004]: característica o
propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada.

Entidad de acreditación: (Inglés: Accreditation body). Un organismo oficial que acredita a las entidades
certificadoras como aptas para certificar según diversas normas. Suele haber una por país. Son ejemplos
de entidades de acreditación: ENAC (España), UKAS (Reino Unido), EMA (México), OAA (Argentina)...

Entidad de certificación: (Inglés: Certification body). Una empresa u organismo acreditado por una entidad
de acreditación para auditar y certificar según diversas normas (ISO 27000, ISO 9000, ISO 14000, etc.) a
empresas usuarias de sistemas de gestión.

ESF: Foro europeo de seguridad, en el que cooperan más de 70 multinacionales fundamentalmente


europeas con el objeto de llevar a cabo investigaciones relativas a los problema comunes de seguridad y
control en TI.

Evaluación de riesgos: (Inglés: Risk evaluation). Según [ISO/IEC Guía 73:2002]: proceso de comparar el
riesgo estimado contra un criterio de riesgo dado con el objeto de determinar la importancia del riesgo.

Evento: (Inglés: information security event). Según [ISO/IEC TR 18044:2004]: Suceso identificado en un
sistema, servicio o estado de la red que indica una posible brecha en la política de seguridad de la
información o fallo de las salvaguardias, o una situación anterior desconocida que podría ser relevante para
la seguridad.

Página 173 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Evidencia objetiva: (Inglés: Objective evidence). Información, registro o declaración de hechos, cualitativa
o cuantitativa, verificable y basada en observación, medida o test, sobre aspectos relacionados con la
confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e implementación
de un elemento del sistema de seguridad de la información.

Fase 1 de la auditoría: Fase en la que, fundamentalmente a través de la revisión de documentación, se


analiza en SGSI en el contexto de la política de seguridad de la organización, sus objetivos, el alcance, la
evaluación de riesgos, la declaración de aplicabilidad y los documentos principales, estableciendo un marco
para planificar la fase 2.

Fase 2 de la auditoría: Fase en la que se comprueba que la organización se ajusta a sus propias políticas,
objetivos y procedimientos, que el SGSI cumple con los requisitos de ISO 27001 y que está siendo efectivo.

FIRST (Forum of Incident Response and Security Teams): Foro global de Equipos de Respuesta a
Incidentes y Seguridad.

First party auditor: Véase: Auditor de primera parte.

Gestión de claves: (Inglés: Key management). Controles referidos a la gestión de claves criptográficas.

Gestión de riesgos: (Inglés: Risk management). Proceso de identificación, control y minimización o


eliminación, a un coste aceptable, de los riesgos que afecten a la información de la organización. Incluye la
valoración de riesgos y el tratamiento de riesgos. Según [ISO/IEC Guía 73:2002]: actividades coordinadas
para dirigir y controlar una organización con respecto al riesgo.

Guideline: Véase: Directiva.

Hacking: Es el término que cubre cualquier tentativa de tener acceso desautorizado a un sistema
informático.

Humphreys, Ted: Experto en seguridad de la información y gestión del riesgo, considerado "padre" de las
normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002.

I4: Instituto Internacional para la Integridad de la Información, asociación similar a la ESF, con metas
análogas y con sede principal en los EE.UU. Es manejado por el Instituto de Investigación de Standford.

Página 174 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

IBAG: Grupo asesor de empresas de Infosec, representantes de la industria que asesoran al Comité de
Infosec. Este comité está integrado por funcionarios de los gobiernos de la Comunidad Europea y brinda su
asesoramiento a la Comisión Europea en asuntos relativos a la seguridad de TI.

IEC: International Electrotechnical Commission. Organización internacional que publica estándares


relacionados con todo tipo de tecnologías eléctricas y electrónicas.

IIA: Instituto de Auditores Internos.

Impacto: (Inglés: Impact). El coste para la empresa de un incidente -de la escala que sea-, que puede o
no ser medido en términos estrictamente financieros -p.ej., pérdida de reputación, implicaciones legales,
etc.

Impact: Véase: Impacto.

• Incidente: Según [ISO/IEC TR 18044:2004]: Evento único o serie de eventos de seguridad de la


información inesperados o no deseados que poseen una probabilidad significativa de comprometer las
operaciones del negocio y amenazar la seguridad de la información. Algunos ejemplos comunes son:

• Spam: Envío de correo masivo no solicitado.

• Tomar el control de la computadora del alguien diferente usando un virus informático, un error del
software, un Troyano, etc.

• Negación del servicio de la computadora o de la red.

• Infracción de copyright: música, películas, programas de computadora, etc.

• Phishing: Generalmente enviando correos electrónicos que intentan inducir a brindar datos
importantes.

• Pharming: Redirigir tráfico de la red de un servidor a otra red controlada para descubrir códigos de
acceso o información confidencial.

Information processing facilities: Véase: Servicios de tratamiento de información.

Information Systems Management System: Véase: SGSI.

Information security: Véase: Seguridad de la información.

INFOSEC: Comité asesor en asuntos relativos a la seguridad de TI de la Comisión Europea.

Página 175 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Integridad: (Inglés: Integrity). Mantenimiento de la exactitud y completitud de la información y sus


métodos de proceso. Según [ISO/IEC 13335-1:2004]: propiedad/característica de salvaguardar la exactitud
y completitud de los activos.

Integrity: Véase: Integridad.

Inventario de activos: (Inglés: Assets inventory). Lista de todos aquellos recursos (físicos, de información,
software, documentos, servicios, personas, reputación de la organización, etc.) dentro del alcance del
SGSI, que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos.

IRCA: International Register of Certified Auditors. Acredita a los auditores de diversas normas, entre ellas
ISO 27001.

ISACA: Information Systems Audit and Control Association. Publica CobiT y emite diversas acreditaciones
en el ámbito de la seguridad de la información.

ISACF: Fundación de Auditoría y Control de Sistemas de Información.

ISC2: Information Systems Security Certification Consortium, Inc. Organización sin ánimo de lucro que
emite diversas acreditaciones en el ámbito de la seguridad de la información.

ISMS: Information Systems Management System. Véase: SGSI.

ISO: Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una agrupación de
organizaciones nacionales de normalización cuyo objetivo es establecer, promocionar y gestionar
estándares.

ISO 17799: Código de buenas prácticas en gestión de la seguridad de la información adoptado por ISO
transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio de nomenclatura el
1 de Julio de 2007.

ISO 19011: “Guidelines for quality and/or environmental management systems auditing”. Guía de utilidad
para el desarrollo de las funciones de auditor interno para un SGSI.

ISO 27001: Estándar para sistemas de gestión de la seguridad de la información adoptado por ISO
transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicación en 2005.

ISO 27002: Código de buenas prácticas en gestión de la seguridad de la información (transcripción de ISO
17799). No es certificable. Cambio de oficial de nomenclatura de ISO 17799:2005 a ISO 27002:2005 el 1
de Julio de 2007.

ISO 9000: Normas de gestión y garantía de calidad definidas por la ISO.

Página 176 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

ISO/IEC TR 13335-3: “Information technology. Guidelines for the management of IT Security.Techniques


for the management of IT Security.” Guía de utilidad en la aplicación de metodologías de evaluación del
riesgo.

ISO/IEC TR 18044: „Information technology. Security techniques. Information security incident


management“ Guía de utilidad para la gestión de incidentes de seguridad de la información.

ISSA: Information Systems Security Association.

ISSAP: Information Systems Security Architecture Professional. Una acreditación de ISC2.

ISSEP: Information Systems Security Engineering Professional. Una acreditación de ISC2.

ISSMP: Information Systems Security Management Professional. Una acreditación de ISC2.

ITIL: IT Infrastructure Library. Un marco de gestión de los servicios de tecnologías de la información.

ITSEC: Criterios de evaluación de la seguridad de la tecnología de información. Se trata de criterios


unificados adoptados por Francia, Alemania, Holanda y el Reino Unido. También cuentan con el respaldo
de la Comisión Europea (véase también TCSEC, el equivalente de EEUU).

JTC1: Joint Technical Committee. Comité técnico conjunto de ISO e IEC específico para las TI.

Key management: Véase: Gestión de claves.

Lead auditor: Véase: Auditor jefe.

Major nonconformity: Véase: No conformidad grave.

Malware: Véase: Código malicioso.

Management commitment: Véase: Compromiso de la Dirección.

Página 177 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

NBS: Oficina Nacional de Normas de los EE.UU.

Negación del Servicio (Denial of Service – DoS): Los ataques de negación del servicio se diseñan
generalmente para obstruir sistemas informáticos de red con una inundación de tráfico en la red. Esta
inundación del tráfico tiene a menudo el efecto de negar el acceso al sistema informático para los usuarios
legítimos. El tráfico indeseado se genera a menudo usando los sistemas informáticos inocentes conocidos
como zombis, que se ha infectado previamente con código malévolo.

NIST: (ex NBS) Instituto Nacional de Normas y Tecnología, con sede en Washington, D.C.

No conformidad: (Inglés: Nonconformity). Situación aislada que, basada en evidencias objetivas,


demuestra el incumplimiento de algún aspecto de un requerimiento de control que permita dudar de la
adecuación de las medidas para preservar la confidencialidad, integridad o disponibilidad de información
sensible, o representa un riesgo menor.

No conformidad grave: (Inglés: Major nonconformity). Ausencia o fallo de uno o varios requerimientos de
la ISO 27001 que, basada en evidencias objetivas, permita dudar seriamente de la adecuación de las
medidas para preservar la confidencialidad, integridad o disponibilidad de información sensible, o
representa un riesgo inaceptable.

Nonconformity: Véase: No conformidad.

Objective evidence: Véase: Evidencia objetiva.

Objetivo: (Inglés: Objetive). Declaración del resultado o fin que se desea lograr mediante la
implementación de procedimientos de control en una actividad de TI determinada.

OCDE: Organización de Cooperación y Desarrollo Económico. Tiene publicadas unas guías para la
seguridad de la información.

PDCA: Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las actividades de planificar
(establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y
actuar (mantener y mejorar el SGSI).

Plan de continuidad del negocio: (Inglés: Bussines Continuity Plan). Plan orientado a permitir la
continuación de las principales funciones del negocio en el caso de un evento imprevisto que las ponga en
peligro.

Página 178 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Plan de tratamiento de riesgos: (Inglés: Risk treatment plan). Documento de gestión que define las
acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la información inaceptables
e implantar los controles necesarios para proteger la misma.

Política de seguridad: (Inglés: Security policy). Documento que establece el compromiso de la Dirección y
el enfoque de la organización en la gestión de la seguridad de la información. Según [ISO/IEC
27002:2005]: intención y dirección general expresada formalmente por la Dirección.

Política de escritorio despejado: (Inglés: Clear desk policy). La política de la empresa que indica a los
empleados que deben dejar su escritorio libre de cualquier tipo de informaciones susceptibles de mal uso al
finalizar el día.

Preventive action: Véase: Acción preventiva.

Preventive control: Véase: Control preventivo.

Qualitative risk analysis: Véase: Análisis de riesgos cualitativo.

Quantitative risk analysis: Véase: Análisis de riesgos cuantitativo.

Residual Risk: Véase: Riesgo Residual.

Riesgo: (Inglés: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para
causar una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la
probabilidad de un evento y sus consecuencias.

Riesgo Residual: (Inglés: Residual Risk). Según [ISO/IEC Guía 73:2002] El riesgo que permanece tras el
tratamiento del riesgo.

Risk: Véase: Riesgo.

Risk acceptance: Véase: Aceptación del riesgo.

Risk analysis: Véase: Análisis de riesgos.

Risk assessment: Véase: Valoración de riesgos.

Risk evaluation: Véase: Evaluación de riesgos.

Página 179 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Risk management: Véase: Gestión de riesgos.

Risk treatment: Véase: Tratamiento de riesgos.

Risk treatment plan: Véase: Plan de tratamiento de riesgos.

Safeguard: Salvaguardia. Véase: Control.

Salvaguardia: (Inglés: Safeguard). Véase: Control.

Sarbanes-Oxley: Ley de Reforma de la Contabilidad de Compañías Públicas y Protección de los Inversores


aplicada en EEUU desde 2002. Crea un consejo de supervisión independiente para supervisar a los
auditores de compañías públicas y le permite a este consejo establecer normas de contabilidad así como
investigar y disciplinar a los contables. También obliga a los responsables de las empresas a garantizar la
seguridad de la información financiera.

Scope: Véase: Alcance.

Second party auditor: Véase: Auditor de segunda parte.

Security Policy: Véase: Política de seguridad.

Segregación de tareas: (Inglés: Segregation of duties). Reparto de tareas sensibles entre distintos
empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por
negligencia.

Segregation of duties: Véase: Segregación de tareas.

Seguridad de la información: Según [ISO/IEC 27002:2005]: Preservación de la confidencialidad, integridad


y disponibilidad de la información, además otras propiedades como autenticidad, responsabilidad, no
repudio y fiabilidad pueden ser también consideradas.

Selección de controles: Proceso de elección de los controles que aseguren la reducción de los riesgos a un
nivel aceptable.

SGSI: (Inglés: ISMS). Sistema de Gestión de la Seguridad de la Información. Según [ISO/IEC 27001:2005]:
la parte de un sistema global de gestión que, basado en el análisis de riesgos, establece, implementa,
opera, monitoriza, revisa, mantiene y mejora la seguridad de la información. (Nota: el sistema de gestión
incluye una estructura de organización, políticas, planificación de actividades, responsabilidades,
procedimientos, procesos y recursos.)

Página 180 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Servicios de tratamiento de información: (Inglés: Information processing facilities). Según [ISO/IEC


27002:2005]: cualquier sistema, servicio o infraestructura de tratamiento de información o ubicaciones
físicas utilizados para su alojamiento.

Sistema de Gestión de la Seguridad de la Información: (Inglés: Information Systems Management System).


Ver SGSI.

SOA: Statement of Applicability. Véase: Declaración de aplicabilidad.

SSCP: Systems Security Certified Practitioner. Una acreditación de ISC2.

Statement of Applicability: Véase: Declaración de aplicabilidad.

TCSEC: Criterios de evaluación de la seguridad de los sistemas de computación, conocidos también con el
nombre de Orange Book (Libro naranja), definidos originalmente por el Ministerio de Defensa de los
EE.UU. Véase también ITSEC, el equivalente europeo.

TERENA (Trans-European Research and Education Networking Association): Una organización europea que
soporta la Internet y las actividades y servicios sobre la infraestructura con la comunidad académica.

TF-CSIRT: Foro internacional para la cooperación en CSIRT a nivel Europeo. Consiste en 2 grupos, uno
cerrado accessible solo para equipos acreditados y uno abierto acesible a cualquier persona interesada en
CSIRT. TF-CSIRT es una de las actividades de la organización internacional TERENA.

Third party auditor: Véase: Auditor de tercera parte.

Threat: Véase: Amenaza.

TickIT: Guía para la Construcción y Certificación del Sistema de Administración de Calidad del Software.

Tratamiento de riesgos: (Inglés: Risk treatment). Según [ISO/IEC Guía 73:2002]: Proceso de selección e
implementación de medidas para modificar el riesgo.

Valoración de riesgos: (Inglés: Risk assessment). Según [ISO/IEC Guía 73:2002]: Proceso completo de
análisis y evaluación de riesgos.

Vulnerabilidad: (Inglés: Vulnerability). Debilidad en la seguridad de la información de una organización que


potencialmente permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de
un activo o conjunto de activos que puede ser explotado por una amenaza.

Página 181 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

Vulnerability: Véase: Vulnerabilidad.

WG1, WG2, WG3, WG4, WG5: WorkGroup 1, 2, 3, 4, 5. Grupos de trabajo del subcomité SC27 de JTC1
(Joint Technical Committee) de ISO e IEC. Estos grupos de trabajo se encargan del desarrollo de los
estándares relacionados con técnicas de seguridad de la información.

Página 182 de 183


INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA

12. ANEXOS

Página 183 de 183

También podría gustarte