CURSO:

Seguridad de Servicios de Red

PROFESOR:

SEMINARIO, HERNAN

TEMA:

“CERT / CSIRT”

INTEGRANTES:

 Blas Huerta, Ricardo

 Córdova Saldaña, Diego Alonso
 Felices Gómez, Sandi Madeleine
 Ramírez Escalera, Elizabeth Valeria
 Sandoval Serrano, Juan Julio

CICLO:

2018-2
 Índice
1. Introducción...............................................................................................................................4
2. Antecedentes.............................................................................................................................5
3. Alcance.......................................................................................................................................5
4. Objetivos....................................................................................................................................6
4.1. Objetivo General................................................................................................................6
4.2. Objetivos Específicos.........................................................................................................6
5. Contenido...................................................................................................................................6
5.1. Funciones...........................................................................................................................9
5.2. Servicios ofrecidos por un CERT/CSIRT............................................................................10
5.3. Cómo crear un CERT.........................................................................................................10
5.3.1. Sistemas de gestión de la seguridad de la información y los CERT/CSIRT.................10
5.3.2. Parámetros de un CERT............................................................................................11
5.3.3. Dotación de recursos................................................................................................13
5.3.4. Plataforma tecnológica.............................................................................................17
5.3.5. Aseguramiento y uso apropiado de los equipos.......................................................17
5.3.6. Modelo organizativo.................................................................................................19
5.3.6.1. Modelo de organización independiente...........................................................19
5.3.6.2. Modelo integrado en una organización preexistente.......................................19
5.3.6.3. Modelo “campus”.............................................................................................19
5.3.6.4. Modelo basado en el voluntariado...................................................................20
5.3.6.5. Misión, comunidad, autoridad, competencias..................................................20
5.3.6.5.1. Misión............................................................................................................20
5.3.6.5.2. Comunidad....................................................................................................21
5.3.6.5.3. Autoridad o modelo de relación con la comunidad.......................................22
5.3.7. Organización patrocinadora.....................................................................................23
5.3.8. CATÁLOGO DE SERVICIOS.........................................................................................23
5.3.9. El proceso de gestión de incidentes.........................................................................25
5.3.10. Ámbitos de actuación de los CSIRT...........................................................................27
5.4. Etapas en el desarrollo de un CSIRT................................................................................33
5.5. Ventajas de tener un CSIRT.............................................................................................34

2
 5.6. CSIRT el camino hacia CERT.............................................................................................35
5.7. CERT autorizados a nivel mundial...................................................................................36
5.8. Pe-CERT............................................................................................................................37
5.7.1. Objetivos..................................................................................................................38
5.7.2. Servicios....................................................................................................................39
5.7.3. Esfuerzos y logros.....................................................................................................40
5.7.4. Los servicios a los que Pe-CERT tiene proyectados...................................................41
5.7.5. Productos y Servicios ofrecidos actualmente por Pe-CERT.......................................41
6. Conclusiones............................................................................................................................42
7. Recomendaciones....................................................................................................................42
8. Bibliografía...............................................................................................................................43

3
1. Introducción

Las redes de comunicación y los sistemas de información constituyen ya

un factor esencial del desarrollo económico y social. La informática y las
redes se han convertido en servicios públicos importantes, del mismo
modo que la electricidad y el agua.

La complejidad de las infraestructuras informáticas y de red y el reto de la

administración dificultan la gestión adecuada de la seguridad de las redes.
Los administradores de redes y de sistemas no cuentan con personal ni
con prácticas de seguridad suficientes para defenderse de los ataques y
minimizar los daños. Por ello, el número de incidentes de seguridad
informática va en aumento.

Cuando se producen incidentes de seguridad informática, las

organizaciones deben responder rápida y eficazmente. Cuanto más
rápidamente reconoce una organización un incidente, lo analiza y
responde a él, más fácil le resultará limitar los daños y recuperar los
costes. Crear un equipo de respuesta a incidentes de seguridad
informática (CSIRT) es una manera magnífica de contar con esa
capacidad de respuesta rápida y ayudar a evitar incidentes futuros.

En tal sentido, la seguridad de las redes de comunicación y los sistemas

de información, y en particular su disponibilidad, son una cuestión que
afecta cada vez más a la sociedad, pues los sistemas de información más
importantes pueden enfrentarse a problemas debido a la complejidad de
los sistemas, a accidentes, a errores y a ataques a las infraestructuras
físicas que prestan servicios vitales para el bienestar de la sociedad.

4
2. Antecedentes

Tras el incidente del gusano Morris creado por Robert Tappan Morris (un
estudiante de 23 años), el cual fue el primer ejemplar de malware auto
replicable que el 2 de noviembre de 1988 afectó al 10% de los sistemas de
conectados en red de aquel entonces (ARPANET). Tras dicho incidente, la
Agencia de Proyectos Avanzados de Investigación en Defensa (DARPA)
encargó al Software Engineering Institute (SEI) la creación de un centro
para coordinar la comunicación entre expertos durante emergencias de
seguridad y para ayudar a prevenir Incidentes futuros.

El mes siguiente, el Centro de Coordinación CERT (CERT / CC) fue

fundado dentro del SEI en la Universidad Carnegie Mellon. El CERT / CC,
ha acumulado una reputación de larga data como líder global en respuesta
coordinada, análisis de vulnerabilidad, prácticas y evaluaciones de
seguridad, análisis e investigación de supervivencia y capacitación y
educación.

El CERT / CC desempeña un papel indispensable en la protección y el

gobierno de los procesos y prácticas de seguridad de alto nivel a nivel de
Internet y de la red global de información, exportando a menudo su
experiencia e invención al beneficio de la comunidad de seguridad
informática del mundo. El paraguas de seguridad del CERT / CC, y CERTs
subsecuentes fundados en todo el mundo siguiendo el modelo del CERT /
CC, supera en gran medida las capacidades limitadas demostradas por
muchos CIRTs.

3. Alcance

Este trabajo de investigación permitirá conocer los conceptos relacionados

a un CERT y CSIRT, las funciones que cumplen en las organizaciones

5
 para mitigar los accesos no autorizados, prevenir el robo de información,
los servicios que brindan para mantener segura la información, entre otros.
De igual manera, mencionar los requisitos necesarios para la
implementación de los mismos. Adicionalmente, se dará una revisión de
cómo está constituida el CERT y CSIRT en el Perú.

4. Objetivos

4.1. Objetivo General

Dar a conocer los conceptos, servicios, funciones, implementación de un

CERT y CSIRT y la importancia del rol que cumplen en la seguridad de la
información a nivel mundial.

4.2. Objetivos Específicos

 Definir los conceptos de CERT/CSIRT.

 Conocer las funciones y los servicios que brindan el CERT/CSIRT
 Explicar cómo se realiza la formación de un CERT/CSIRT
 Explicar cómo se encuentra implementado el CERT/CSIRT en el Perú.

5. Contenido

¿QUÉ ES CERT?

CERT significa (Computer Emergency Response Team o equipo de

respuesta a emergencias informáticas).
CERT / CC (Computer Emergency Response Team / Coordination Center,
equipo de respuesta a emergencias informáticas / Centro de
coordinación). Tradicionalmente, se ha definido un CERT como una
organización, equipo, unidad o la capacidad de un organismo o institución

6
de ofrecer servicios y soporte a un colectivo determinado (denominado
“comunidad”) para prevenir, gestionar y responder a los incidentes de
seguridad de la información que puedan surgir. Esta definición genérica
viene materializándose en un equipo multidisciplinario de expertos que
trabaja de acuerdo con procesos definidos previamente y que disponen de
unos medios determinados para implantar y gestionar, de un modo
centralizado, todas y cada una de las medidas necesarias para mitigar el
riesgo de ataques contra los sistemas de la Comunidad a la que presta el
servicio y responder de forma rápida y efectiva en caso de producirse.

¿Qué es un CSIRT?

CSIRT significa Computer Security Incident Response Team (equipo de

respuesta a incidentes de seguridad informática). El término CSIRT es el
que se suele usar en Europa en lugar del término registrado CERT,
registrado en EE.UU. por el CERT Coordination Center (CERT/CC).

Se usan diferentes abreviaturas para el mismo tipo de equipos:

 CERT o CERT/CC (Computer Emergency Response Team /
Coordination Center, equipo de respuesta a emergencias informáticas /
Centro de coordinación)
 CSIRT (Computer Security Incident Response Team, equipo de
respuesta a incidentes de seguridad informática)
 IRT (Incident Response Team, equipo de respuesta a incidentes)
 CIRT (Computer Incident Response Team, equipo de respuesta a
incidentes informáticos)
 SERT (Security Emergency Response Team, equipo de respuesta a
emergencias de seguridad)

Un CSIRT es un equipo de expertos en seguridad de las TI cuya principal

tarea es responder a los incidentes de seguridad informática. El CSIRT

7
presta los servicios necesarios para ocuparse de estos incidentes y ayuda
a los clientes del grupo al que atienden a recuperarse después de sufrir
uno de ellos.

Para mitigar los riesgos y minimizar el número de respuestas necesarias,

la mayor parte de los CSIRT ofrecen también a sus clientes servicios
preventivos y educativos.

Publican avisos sobre las vulnerabilidades del software y el hardware en

uso e informan a los usuarios sobre los programas maliciosos y virus que
se aprovechan de estas deficiencias. De este modo, los clientes atendidos
pueden corregir y actualizar rápidamente sus sistemas. Tal es el caso del
CERT / CC el cual entre sus funciones tiene una política de revelación de
información de vulnerabilidades.

Políticas de revelación

En un primer momento el CERT/CC siguió una política de no revelación de

vulnerabilidades. Su actuación se basaba en recibir las vulnerabilidades
de los investigadores, verificarlas, comunicarlas al proveedor y cuando el
proveedor arreglaba la vulnerabilidad entonces publicaba los detalles
sobre la misma.

En 2001 el CERT Coordination Center publica su nueva política de

revelación que podríamos catalogar como de revelación parcial. Cuando la
vulnerabilidad es recibida el CERT/CC envía la información al proveedor
afectado. A partir de este momento el proveedor dispone de 45 días
pasados los cuales el CERT/CC publicará la vulnerabilidad. El periodo de
45 es flexible de modo que puede ser acortado o extendido según las
circunstancias (Ejemplo, dificultad de realizar el parche o la vulnerabilidad
ya es utilizada por un exploit que está activo).

8
 El CERT/CC está en contra de la publicación de exploit porque piensan
que tiene más perjuicios que beneficios. Sin embargo, su política no define
ninguna regla sobre esto.

5.1. Funciones

La razón de la creación de los CERT/CSIRT es la cantidad de pérdidas

causadas por los virus, las vulnerabilidades, los casos de acceso no
autorizado a información, el robo de información protegida, etc.

Un CERT o CSIRT recibe, analiza y responde informes de incidentes

recibidos desde miembros de su comunidad (constituency), otros CSIRT, o
terceras personas, coordinando la respuesta entre las partes.

En este aspecto podemos definir los siguientes términos:

Constituency: Comunidad de la que el CERT/CSIRT ofrece sus servicios.

Incidente de Seguridad: Cualquier evento real o sospechoso relacionado

con la seguridad de un sistema informático o red.

Las funciones de un CERT/CSIRT son:

 Ayudar al público objetivo (constituency) a atenuar y prevenir incidentes

graves de seguridad.
 Ayudar a proteger informaciones valiosas.
 Coordinar de forma centralizada la seguridad de la información.
 Guardar evidencias, por si hubiera que recurrir a pleitos.
 Apoyar y prestar asistencia a usuarios para recuperarse de las
consecuencias de los incidentes de seguridad.

9
  Dirigir de forma centralizada la respuesta a los incidentes de seguridad
– Promover confianza, que alguien controla la situación

5.2. Servicios ofrecidos por un CERT/CSIRT

Cada CERT es diferente y en función de sus recursos y su público objetivo

establece unas prioridades y decide aportar unos servicios diferentes.
Algunos ejemplos de Servicios que un CERT/CSIRT puede ofrecer son:

Servicios preventivos
 Avisos de seguridad
 Búsqueda de vulnerabilidades
 Auditorías o evaluaciones de seguridad
 Configuración y mantenimiento de herramientas de seguridad,
aplicaciones e infraestructuras
 Desarrollo de herramientas de seguridad
 Propagación de información relacionada con la seguridad

Servicios reactivos
 Gestión de incidentes de seguridad (análisis, respuesta, soporte y
coordinación de incidentes de seguridad)
 Gestión de vulnerabilidades (análisis, respuesta y coordinación de
vulnerabilidades detectadas)

5.3. Cómo crear un CERT

Antes de plantear la implantación de la capacidad de respuesta ante

incidentes mediante la creación de un CERT, la organización promotora
debe considerar los siguientes aspectos:

10
5.3.1. Sistemas de gestión de la seguridad de la información y los
CERT/CSIRT

Lo primero que se debe de tener presente es que la creación de un CERT

no implica por tanto implantar sólo tecnología, sino adoptar una serie de
procesos (compuestos por distintos recursos: humanos, económicos,
tecnológicos, etc.), gestionados de acuerdo a unas políticas, normas y
procedimientos que persiguen cumplir unos objetivos de negocio
concretos. En un esquema de organización en que la seguridad de la
información es madura y se maneja en el marco de un Sistema de Gestión
de la Seguridad de la Información (SGSI), el CERT se suele especializar
en una función concreta de este SGSI: la de gestión de incidentes.

Esta función cumple plenamente su cometido cuando este SGSI ha

alcanzado un cierto grado de madurez, y a su vez la seguridad de la
información manejada por el propio CERT se encuentra también
beneficiada por la estructuración de la organización de procesos que un
SGSI aporta. En el caso de que la entidad no disponga de un sistema de
gestión de la seguridad, es recomendable que el CERT cree su propio
SGSI.

En algunos casos, esta madurez de sus objetivos y modelo de negocio

evoluciona hacia el concepto de CSIRT antes mencionado, asumiendo
bajo este nuevo modelo, el resto de las actividades clave de la gestión de
la seguridad, absorbiendo las funciones y responsabilidades de los grupos
u oficinas de seguridad previas que conformaban el área de gestión de la
seguridad de la información, en muchos casos, dándole forma y entidad
propia y segregada del área de TIC.

5.3.2. Parámetros de un CERT

11
Entre los distintos factores que contribuyen al éxito de un CERT, se sitúa
la proporcionalidad de los recursos con los que se dote con respecto a las
expectativas de demanda que genere, al igual que en cualquier otro
servicio. Por lo tanto, a la hora de dimensionar correctamente este tipo de
equipos deberá considerarse los siguientes parámetros:

 Tamaño de la Comunidad a la que se da servicio. Este es el

parámetro principal, puesto que a mayor número de miembros se
generarán más peticiones de asistencia en gestión de incidentes y de
otro tipo.
 Grado de autoridad sobre los miembros de la Comunidad y el
modelo de relación jerárquica entre ambos. Es relevante si se
solicitarán los servicios por propia iniciativa o por imperativo legal, lo
que condiciona en este último caso la existencia probable de un mayor
volumen de incidentes a gestionar.
 Servicios ofrecidos y nivel de servicio. Si se ofrecen servicios en
modo 24x7 los 365 días del año se requerirán de muchos más recursos
humanos y técnicos que si únicamente se prestan en horario laboral.
También hay que considerar los acuerdos de servicio y tiempos de
respuesta, como por ejemplo las modalidades de “best effort” (en los
que el equipo se compromete a cumplir con las peticiones de su
Comunidad, aunque no existe una obligación formal) o de “next
business day” (que establece que la petición se atenderá a partir del
próximo día laborable), o incluso periodos menores de respuesta.
 Promoción y comunicación de servicios. Uno de los parámetros que
más influirá será el grado de conocimiento por parte de la Comunidad
de los servicios que se ofrecen. Este aspecto implica que la dotación
del CERT debe ir progresando a medida que aumente su impacto
prestando especial atención a la promoción y comunicación de los
nuevos servicios.

12
  Proceso de maduración. Establecer un CERT es un proyecto a largo
plazo, que debe ir madurando y ampliándose en la medida que ofrezca
valor a su comunidad y se gane su confianza. Normalmente, no se
puede considerar completamente implantado hasta al menos dos años
después de su inauguración.
 Plan estratégico. Es conveniente planificar la correcta evolución del
CERT, prestando la adecuada atención a los aspectos de financiación y
sostenibilidad a largo plazo, contemplando la entrada progresiva de
nuevos servicios, así como de los recursos necesarios para
implantarlos, promocionarlos y operarlos.

Variables para la configuración de un CERT

5.3.3. Dotación de recursos

Los factores anteriores determinarán los recursos que necesitará el CERT,

que se pueden clasificar en dos grupos generales:

RECURSOS HUMANOS
Su número evolucionará con el tiempo, aunque en la fase inicial, será
necesario contar con las siguientes figuras:

13
 Director general/Supervisor que gestione el equipo.
 Personal técnico, empleados que desarrollan y ofrecen los servicios.
 Investigadores, empleados que llevan a cabo las investigaciones y
análisis necesarios.

El jefe del equipo CERT debería poseer una formación amplia en al ámbito
de la seguridad y experiencia laboral en el proceso de gestión de crisis y
recuperación de negocio. Los miembros de un equipo técnico operativo
deberían ser expertos en seguridad que puedan proporcionar los servicios
especializados del CERT para la gestión y la respuesta a incidentes en el
ámbito de las TIC. Los investigadores deberían poseer conocimientos
extensos en seguridad TIC y experiencia en proyectos de seguridad.

La forma más concreta, convendría que todo CERT contase con los
siguientes perfiles:

 Un responsable del equipo que actúe como punto de contacto con la

Comunidad a la que se da servicio y el resto de CERTs con los que se
vaya a colaborar.
 Un responsable de los sistemas y seguridad de la información.
Este puesto es necesario únicamente en el caso de que el propio CERT
sea responsable de la operación, administración y mantenimiento de los
sistemas TIC que necesite para su operación. En algunos casos parte
de estos sistemas podrán estar compartidos con la organización
patrocinadora, aunque continuarán existiendo otros necesariamente
bajo la responsabilidad única del CERT: se trataría al menos de las
instalaciones para realizar análisis forense y análisis de códigos
dañinos.
 Un equipo de comunicación o relaciones públicas. El CERT tendrá
que mantener una actividad de comunicación y promoción con la

14
 Comunidad para promocionar los servicios que presta y para divulgar
conocimiento específico sobre seguridad (si se encuentra dentro de su
Catálogo de Servicios). El éxito de un CSIRT depende de la confianza y
reconocimiento que logre en su Comunidad. Esto requiere hacer énfasis
en la promoción de sus actividades y servicios. El plan de comunicación
y promoción debería incluir los siguientes aspectos:

 Identificación de los medios disponibles.

 Mecanismos oficiales de divulgación de información del centro – sala
de prensa.
 Participación en eventos y foros especializados.
 Afiliación a organismos internacionales.

 Un equipo de gestión de incidentes. En esta área es donde resulta

más difícil cuantificar los recursos necesarios. Además, dependerá del
nivel de servicio que ofrece el CERT en cada uno de ellos y que puede
consultarse en el Catálogo de Servicios. El correspondiente a la gestión
de incidentes debe ser el más destacado. Si se ofrece una calidad de
servicio de 24x7, o bien se espera un número elevado de peticiones de
soporte, deberá existir un primer nivel de asistencia a la Comunidad que
gestione y filtre inicialmente las notificaciones realizadas, y un segundo
nivel especializado que realmente gestione y abra una investigación
sobre el incidente, si procede.
 El primer nivel necesita un grado de conocimiento técnico básico
especializado en tecnologías TIC suficiente para entender la situación
notificada. También deberá caracterizarse por tener gran disponibilidad
para trabajar en horario especial y capacidad de trabajo bajo presión.
 El segundo nivel, es donde se encuentran los especialistas que
realmente tienen el conocimiento técnico y las habilidades de
intercomunicación con otros CERT o miembros de la comunidad de
Internet. Se ha constatado que la calidad del trabajo realizado por un

15
 CERT depende en igual medida de los medios de que dispone y del
conocimiento técnico de sus miembros, pero también de su capacidad
de comunicación e interrelación con otros equipos de respuesta ante
incidentes y agentes relevantes en la gestión global de las
infraestructuras TIC (como proveedores de servicios de Internet – ISP
–, operadores de telecomunicaciones, agentes administrativos de
Internet, etc.). Este equipo de personas serán los encargados de
analizar, asesorar y, en general, gestionar las situaciones de
emergencia que un incidente provoca. Fuera de las situaciones de
emergencia, también estarán al cargo de prestar los otros servicios no
específicamente de gestión de incidentes (divulgación, análisis de
código malicioso, etc.).
Lo más probable sea que se deba disponer de especialistas en distintas
áreas, ya que es difícil que una única persona sea experta en todas las
materias de interés para un CERT. El número de recursos necesario en
el segundo nivel dependerá del número de incidentes a gestionar, por lo
que debe estar preparado para crecer, sobre todo en los primeros
estadios de vida del CERT.
 Un equipo de formación. Es esencial que el personal del CERT esté
adecuadamente formado y actualizado en nuevas tecnologías TIC,
nuevas amenazas y técnicas de ataque. Por otra parte, y dependiendo
del catálogo de servicios, también es interesante que este conocimiento
se transfiera a la Comunidad, especialmente administradores de
sistemas, gestores de TIC y usuarios finales, mediante distintos tipos de
acciones formativas. Debería existir en el CERT la suficiente capacidad
y experiencia pedagógica para poder prestar este tipo de servicio. Esta
capacidad puede estar presente en los expertos de segundo nivel, si
bien su perfil y exigencias operativas hacen que no sean los perfiles
más adecuados, debiéndose buscar por tanto formadores/consultores
profesionales.

16
5.3.4. Plataforma tecnológica

Se deberá dotar al CERT de los medios técnicos necesarios para poder

prestar sus servicios. A nivel general, un CERT requiere de los siguientes
sistemas principales:

 Plataforma Internet (Portal)

 Sistemas de Soporte a Operaciones (Sistemas de tickets, BBDD, etc.)
 Sistemas de Back-Office (Investigación forense, código dañino, etc.)

5.3.5. Aseguramiento y uso apropiado de los equipos

Lo más apropiado es establecer una política de uso de los sistemas en la

que se indiquen todas las reglas a las que los miembros del equipo deben
atenerse. El primer planteamiento debe partir de si los trabajadores del
CERT deben ser sus propios administradores. Hay que plantearse si los
equipos pueden ser utilizados para uso personal o no, qué páginas se
pueden visitar desde los sistemas del CERT o qué tipo de software
personal se puede descargar o instalar. La política de uso debería incluir
también las siguientes cuestiones:

1. Uso apropiado de los equipos.

2. Copias de seguridad.
3. Configuraciones de seguridad para software y navegadores, según las
guías CCN-STIC.
4. Buenas prácticas y configuración segura de soluciones cortafuegos,
antivirus, proxy, etc.
5. Instalación de actualizaciones de software y de seguridad.
6. Acceso remoto a los servicios del CERT para labores de administración
y/o soporte de teletrabajadores.

17
También es importante el emplazamiento físico del CERT, no sólo para
tener un lugar de trabajo sino también para proteger el acceso al área
restringido. Puede incluir las siguientes estancias:

 Oficina general.
 Área securizada físicamente para reuniones y trabajo sobre incidentes.
 Acceso seguro para oficinas individuales, trituradoras de papel, faxes e
impresoras.
 Laboratorio de pruebas e instalaciones de formación.
 Cajas fuertes, etc.

Las instalaciones de un CERT, así como su red e infraestructura de

telecomunicaciones, tienen que ser diseñada con gran cuidado, no sólo
para proteger los sistemas y la información sensible recolectada, sino
también al equipo de personas.

Se requiere por tanto de un Plan de Seguridad de las instalaciones

específico que cumpla con las normativas y buenas prácticas aplicables,
especialmente las relativas las instalaciones donde se maneje información
sensible o clasificada.

Se deberán establecer diversos niveles de acceso, dejando a los más

internos la custodia de los activos críticos y confidenciales (salas de
almacenamiento de evidencias, salas de proceso de datos o las salas de
operación).

Estos niveles deberán segregarse físicamente y deberán contar con los

adecuados sistemas de control de acceso y vigilancia para garantizar que
sólo el personal autorizado pueda acceder.

18
5.3.6. Modelo organizativo

Existen diversos modelos de funcionamiento para los CERT. Éstos

dependerán de la organización patrocinadora y de la Comunidad a la que
se atiende. En líneas generales, los modelos se pueden clasificar de la
siguiente forma:

5.3.6.1. Modelo de organización independiente

Es un CERT extendido que actúa como una organización independiente,

con sus propios directivos y empleados. En muchos casos son
organizaciones o empresas financiadas por la organización patrocinadora
o por los miembros de la Comunidad.

5.3.6.2. Modelo integrado en una organización preexistente

En este modelo el CERT funciona como un departamento de la

organización con más o menos autonomía. Generalmente está dirigido por
un jefe de equipo responsable de las actividades, que reúne a los técnicos
necesarios cuando resuelve incidentes o trabaja en actividades del CSIRT.

Puede pedir asistencia especializada a las otras áreas de la organización

y en caso de que se requiera, incorporar trabajadores propios.

5.3.6.3. Modelo “campus”

En este modelo se parte de los modelos de algunas universidades y/o

redes de investigación, en las cuales existe una sede central y muchas
sedes distribuidas con una cierta independencia. En este caso hay un
CERT “madre” o principal y unidades o CERTs más pequeños

19
 dependientes del primero. Este modelo es ideal para grandes
organizaciones con elevada descentralización, como por ejemplo en
empresas transnacionales.

5.3.6.4. Modelo basado en el voluntariado

Este modelo generalmente lo constituyen CERT “ad hoc”, donde un grupo

de personas (especialistas) se unen para asesorarse, apoyarse entre sí y
prestar servicio a una Comunidad de forma voluntaria. Estos CERT
dependen en gran parte de la motivación de los participantes. Las redes
WARP son un ejemplo de este modelo.

5.3.6.5. Misión, comunidad, autoridad, competencias

A la hora de institucionalizarse, un CERT tiene que establecer muy

claramente el marco en que deberá desarrollar su actividad. Su éxito a
largo plazo dependerá del plan estratégico que se realice. Este plan o
marco de referencia consistirá en definir claramente unos conceptos e
ideas globales que determinen los objetivos y la evolución del equipo de
respuestas ante incidentes.

Los distintos elementos que dan la visión estratégica de un CERT son los
siguientes:

5.3.6.5.1. Misión

Objetivos de alto nivel que debe cumplir el CERT y que servirán para
poder identificar cuáles son los servicios por ofrecer, a quién se han de
ofrecer y qué criterios se deben aplicar para asignar la prioridad a sus
actividades. Esta declaración debe ser explícitamente aprobada (firmada,
por tanto) por la organización que patrocina su creación y debe ser

20
 comunicada al propio equipo del CERT, así como al resto de la
Comunidad (tanto de Internet como a la que se da servicio).

Algunos CERT han fracasado precisamente por la indefinición de estos

objetivos o por la falta de compromiso de la organización patrocinadora.

5.3.6.5.2. Comunidad

Es el público objetivo o colectivo al que están dirigidos específicamente la

mayor parte de los servicios del CERT. Todo equipo de estas
características se crea para servir a una Comunidad que puede ser una
parte o la totalidad de una organización o incluso de varias organizaciones
(en el mundo anglosajón se conoce por “Constituency”).

La organización patrocinadora del CERT aprobará explícitamente el tipo

de Comunidad elegida. Cabe la posibilidad de que una vez concretados
los servicios en base a los objetivos establecidos, esta Comunidad se
subdivida en varios grupos, a los cuales se les prestará diversos niveles
de asistencia. Es decir, no es necesario que todos los miembros de la
Comunidad reciban los mismos servicios; pueden existir ciertos
segmentos que tengan prioridad y que disfruten de ciertos privilegios a los
que el resto no tiene acceso.

Por otra parte, no es de extrañar que una misma Comunidad pueda ser
atendida por varios CERTs a la vez, aunque muy probablemente cada uno
de ellos le ofrecerá un conjunto de servicios distintos. Es importante, por
tanto, que el CERT determine correctamente quién pertenece a su
Comunidad y en qué servicios está interesado, así como qué CERT le dan
asistencia y de qué forma.

21
 Asimismo, también puede considerarse a otros actores como parte de la
Comunidad de un CERT (otros CERTs locales o internacionales,
operadores de redes de comunicaciones, ISP, websites, etc.) con los que
compartirá conocimientos y cooperará en la investigación y resolución de
incidentes de manera conjunta. En muchos casos, un CERT requerirá de
la asistencia o cooperación de otras organizaciones o CERT, con los
cuales debe establecer una relación de confianza. En muchos casos estas
redes pueden funcionar de manera voluntaria o establecer obligaciones de
colaboración recíproca entre sus miembros.

5.3.6.5.3. Autoridad o modelo de relación con la comunidad

El modo en el que el CERT se relacione con la Comunidad y el grado de

autoridad sobre las intervenciones que realice determinará enormemente
el tipo y el nivel de servicios que ofrezca.

Existen cuatro tipos de autoridad que un CERT puede tener sobre su

Comunidad:

 Autoridad completa: el Equipo puede llevar a cabo todas las acciones

necesarias para gestionar los incidentes; los miembros de la
Comunidad deben implantar las medidas establecidas por el CERT o
bien dar facilidades para que su personal las realice.
 Autoridad compartida: el CERT colabora abierta y directamente con
los administradores y gestores TIC de la Comunidad en la gestión
directa de los incidentes, facilitando información y tomando las
decisiones de manera conjunta.
 Autoridad nula: no se tiene ningún tipo de autoridad sobre los
miembros de la Comunidad y únicamente actúa como asesor y fuente
confiable de información.

22
  Autoridad indirecta: el equipo del CERT no tiene autoridad directa
sobre la Comunidad, pero indirectamente tiene la posibilidad de ejercer
presión sobre sus miembros. Este tipo de relación no está explicitada
formalmente y se tratan más bien de interrelaciones que han surgido
con el paso del tiempo o bien a través de una tercera organización (por
ejemplo, la organización patrocinadora que apoya abiertamente al
CERT).

5.3.7. Organización patrocinadora

Un CERT no nace espontáneamente, sino que está promovido por una

organización, pública o privada, que ha detectado la necesidad de proveer
a una determinada Comunidad de la capacidad de respuesta ante
incidentes de seguridad informática. Esta organización es la que se
denomina Organización patrocinadora.

Debe indicarse que la relación del CERT, tanto con la organización

patrocinadora como con la Comunidad a la que presta servicio, será
fundamental en el grado de cumplimiento de los objetivos (determinados
en la misión) y en el tipo de autoridad que se establezca.

5.3.8. CATÁLOGO DE SERVICIOS

Finalmente, una vez definidos los aspectos ya citados, el CERT deberá

elaborar el Catálogo de Servicios que desea ofrecer a la Comunidad,
descritos de forma pormenorizada (incluyendo su extensión, su nivel de
asistencia o el modo en el que el cliente tendrá acceso a ellos). Deberá
por lo tanto especificar los siguientes aspectos de cada uno de los
servicios:

23
 Objetivo: propósito y naturaleza del servicio.
 Definición: descripción en detalle del alcance del servicio y del grado
de profundidad en el que el CERT lo ofrece (por ejemplo: en la gestión
de un incidente ¿el CERT llegará a intervenir en los sistemas de un
miembro de la Comunidad?).
 Funciones: responsabilidades de cada una de las partes (el CERT, el
miembro de la Comunidad, otras partes) en la prestación del servicio.
 Nivel de Servicio: descripción del grado del nivel del servicio.
 Parámetros de calidad que la Comunidad puede esperar obtener del
servicio.
 Política de comunicación: explicación del modo en que el CERT se
relacionará con cada una de las partes que intervienen en el servicio (el
propio equipo, la Comunidad y otras partes). También se detallará el
tipo de información que se intercambiará con cada uno.
 Prioridades: grado de prioridad que otorga el CERT al servicio. Este
aspecto está directamente relacionado con los puntos “Nivel de
Servicio” y “Parámetros de Calidad”. Las consideraciones tenidas en
cuenta constituirán una imagen de lo que debe esperar obtener la
Comunidad del CERT a nivel de servicios.

Los servicios que un CERT puede ofrecer se suelen agrupar en tres

categorías24: servicios reactivos, proactivos y los denominados “de valor
añadido” o “de gestión de la calidad de la seguridad”.

24
 Lista de servicios tradicionales de un CERT

5.3.9. El proceso de gestión de incidentes

Dado que la capacidad de gestión y respuesta a incidentes es la actividad

principal de un CERT, el proceso de gestión de incidentes es el proceso
clave de éste. Un CERT deberá desarrollar un proceso formal y coherente
de gestión de incidentes que incluya los siguientes pasos:

 Detección de eventos que puedan reflejar actividades maliciosas de

acuerdo a los niveles de prioridad y criterios de detección reflejados
previamente por los responsables del área de gestión de incidentes.
Estos eventos pueden haber sido resultado de una investigación inicial
(monitorización de redes) o de las notificaciones recibidas de distintas
fuentes (entre otras la propia Comunidad a la que se presta el servicio).
 Discernimiento entre eventos interesantes, irrelevantes y falsos
positivos.
 Registro de casos en un sistema de gestión de incidentes (ticketing) con
una información mínima: identidad del informante, fecha y hora de la
llamada, miembro de la Comunidad a la que hace referencia,
descripción de la situación notificada, etc.

25
 En una segunda fase (segundo nivel) y una vez identificado un
incidente, comenzará la fase de triaje en la que se debería determinar:

- Confirmar que no es un falso positivo,

- Correlar la información recibida con el resto de información del
sistema de gestión,
- Crear un nuevo incidente o enlazar el ticket en otro ya existente,
- Asignar el ticket al POC afectado sin enviarle aún información,
- Clasificar el incidente según una clasificación establecida
previamente,
- Priorización del incidente.
 Una vez identificado un incidente, y adecuadamente clasificado y
priorizado, se procederá al Registro y Notificación de este a las partes
afectadas (miembros de la Comunidad y/o otras organizaciones
externas).
 En una cuarta fase, y una vez notificadas las partes afectadas por un
incidente, se realizará el seguimiento de este y su cierre final. En dicho
seguimiento se colaborará en la contención de los daños, erradicación
de las causas o efectos adversos e implantación o mejora de controles
de seguridad para la prevención de nuevos incidentes del mismo tipo.
De igual modo, se colaborará con las entidades afectadas para la
pronta notificación de incidentes de gran envergadura que se
extendieran fuera del ámbito de la Comunidad.

26
5.3.10. Ámbitos de actuación de los CSIRT

Tipos de CSIRT:
Es importante saber cuál va a ser el entorno de actuación y cuáles van a ser sus
usuarios. Es por esto que se distinguen los siguientes sectores:
 CSIRT del sector académico
 CSIRT del sector de la protección de la información vital y de la
información y las infraestructuras vitales (CIP/CIIP)
 CSIRT del sector de la pequeña y mediana empresa (PYME)
 CSIRT del sector publico
 CSIRT Comercial
 CSIRT Interno
 CSIRT Nacional
 CSIRT de soporte

CSIRT del sector académico:

27
Prestan servicios a centros académicos y educativos, como universidades o
centros de investigación, y a sus campus virtuales.
Grupo de clientes atendido: personal y los estudiantes de esos centros.
CSIRT Comercial:
Prestan servicios comerciales a sus clientes. En el caso de un proveedor de
servicios de Internet, el CSIRT presta principalmente servicios relacionados con
el abuso a los clientes finales (conexión por marcación telefónica, ADSL) y
servicios de CSIRT a sus clientes profesionales.
Grupo de clientes atendido: Por lo general prestan sus servicios a un grupo de
clientes que paga por ello.
CSIRT del sector de la protección de la información vital y de la
información y las infraestructuras vitales (CIP/CIIP):
Se centran principalmente en la protección de la información vital (CIP) y de la
información y las infraestructuras vitales (CIIP). Por lo general, estos CSIRT
especializados colaboran estrechamente con un departamento público de
protección de la información y las infraestructuras vitales. Estos CSIRT abarcan
todos los sectores vitales de las TI del país y protegen a los ciudadanos.
Grupo de clientes atendido: Sector público; empresas de TI de importancia
fundamental; ciudadanos.
CSIRT del sector público:
Prestan servicios a agencias públicas y, en algunos países, a los ciudadanos.
Grupo de clientes atendido: Las administraciones y sus agencias. En algunos
países también prestan servicios de alerta a los ciudadanos.
CSIRT interno:
Únicamente prestan servicios a la organización a la que pertenecen, lo que
describe más su funcionamiento que su pertenencia a un sector. Por regla
general, estos CSIRT no mantienen sitios web públicos. Grupo de clientes
atendido: Personal y departamento de TI de la organización a la que pertenece
el CSIRT.
CSIRT del sector militar:
Prestan servicios a organizaciones militares con responsabilidades en
infraestructuras de TI necesarias con fines de defensa.
Grupo de clientes atendido: Personal de instituciones militares y de entidades
estrechamente relacionadas con éstas.

28
Ejemplos de boletines de seguridad emitidos por el CSIRT de la Marina de
Guerra del Perú:

29
30
CSIRT del sector de la pequeña y mediana empresa (PYME):
Organizado por sí mismo que presta servicios a las empresas del ramo o a
un grupo de usuarios similar.
Grupo de clientes atendido: pueden ser las PYME y su personal, o grupos
de interés especial.
CSIRT de soporte:
Se centran en productos específicos. Suelen tener por objetivo desarrollar y
facilitar soluciones para eliminar vulnerabilidades y mitigar posibles efectos
Negativos.
Grupo de clientes atendido: Propietarios de productos.
CSIRT Nacional:
Este es un equipo con responsabilidad general de coordinación sobre todos
los sectores y tiene una amplia responsabilidad sobre prácticamente todos
los puntos tratados anteriormente. Este centro funciona como punto focal de
contacto tanto en el entorno nacional como para requerimientos
internacionales.
En la mayoría de los casos, estos centros atienden a la comunidad de
CSIRT en su país, y asumen la responsabilidad de coordinación de otros
CSIRT en el ámbito nacional. Los CSIRT nacionales generalmente han
evolucionado de los CSIRT gubernamentales como una consecuencia
lógica de la ampliación de sus servicios.
Así, por ejemplo, la Unión Europea ha señalado en diversas ocasiones la
necesidad de contar con Equipos nacionales o gubernamentales de
respuesta a incidentes de seguridad (sin decantarse por una u otra
definición) que dispongan de una base común en términos de capacidad y
que actúen como catalizadores nacionales de los interesados y de su
capacidad para realizar actividades públicas. Esta “gran capacidad de alerta
temprana y respuesta a incidentes” debería participar de manera efectiva en
la cooperación transfronteriza y en el intercambio de información con otras
organizaciones existentes, como el EGC Group o Grupo de CERT
gubernamentales europeos.

31
 CSIRT Nacional, como centro de coordinación

Cada CSIRT es único, en el sentido de que establece sus operaciones, su

organización y su imperativo legal para satisfacer las necesidades de su país y
su comunidad. Frente a esto, todos los CSIRT tienen un objetivo común,
mantener seguras las redes de sus países. De este modo podemos concluir
que, aunque cada CSIRT utiliza herramientas y procedimientos diferentes,
todos comparten el mismo objetivo, las capacidades de todos los CSIRT
serían:
 Designar un punto de contacto para la coordinación de la respuesta a
incidentes.
 Construir y mantener una red de contactos extensa, tanto nacional como
internacional.
 Monitorización de la situación actual y mejora de la concienciación

32
 Posibles ámbitos de la comunidad de un CSIRT Nacional

Pasos en la formación de un CSIRT

Al momento de empezar a funcionar como un CSIRT, es importante saber:
 ¿Cuál es la misión? → Metas y Objetivos
 Posición en el organigrama
 ¿A quién se da servicio? → Comunidad Objetivo (Constituency)
 ¿Cuál es el modelo de funcionamiento?
 ¿Qué servicios se van a dar?

5.4. Etapas en el desarrollo de un CSIRT

 Etapa 1: Educar a la organización

 Etapa 2: Planificar el esfuerzo
 Etapa 3: Implementación inicial
 Etapa 4: Fase de operación

33
  Etapa 5: Evaluación y mejora

Como cada organización es diferente a otras, no hay una única receta para armar
un CSIRT.
Cada CSIRT es único y depende de:

- Grado de madurez de la organización.

- Necesidades y requerimientos (que pueden variar).
- Misión y objetivo.
- Recursos.
- Apoyo disponible

Asimismo, contar

Autoridad - ¿Qué puede hacer el equipo y con qué derecho?

Escalamiento

- Ruta jerárquica acordada de antemano

- Para llegar a los directivos, contactos de prensa, administración de riesgos

Contactos externos (otros CSIRTs, policía, etc)

1. Usar el esfuerzo de forma efectiva y eficiente

2. Evitar mensajes/acciones contradictorias

5.5. Ventajas de tener un CSIRT

Disponer de un equipo dedicado a la seguridad de las TI ayuda a las

organizaciones a mitigar y evitar los incidentes graves y a proteger su
patrimonio.
Otras posibles ventajas son:

34
  Disponer de una coordinación centralizada para las cuestiones
relacionadas con la seguridad de las TI dentro de la organización (punto
de contacto).
 Reaccionar a los incidentes relacionados con las TI y tratarlos de un
modo centralizado y especializado.
 Tener al alcance de la mano los conocimientos técnicos necesarios
para apoyar y asistir a los usuarios que necesitan recuperarse
rápidamente de algún incidente de seguridad.
 Tratar las cuestiones jurídicas y proteger las pruebas en caso de pleito.
 Realizar un seguimiento de los progresos conseguidos en el ámbito de
la seguridad.
 Fomentar la cooperación en la seguridad de las TI entre los clientes del
grupo atendido (sensibilización).

5.6. CSIRT el camino hacia CERT

Los equipos de respuesta a incidentes de seguridad informática (CSIRT)

que solicitan la autorización para utilizar la marca "CERT" en sus nombres
pueden esperar seguir el siguiente proceso:

 El liderazgo de CSIRT completa el formulario de calificación.

 El personal del CERT revisa el formulario de calificación.
 El equipo legal de SEI crea un acuerdo de licencia y lo envía al
personal de CSIRT.
 El personal del CERT revisa el sitio web del CSIRT para asegurarse
de que cumple con las Pautas para el uso de "CERT" (que se
describen en la siguiente sección).
 El personal de CERT coordina con el personal de CSIRT sobre
cualquier cambio que deba hacerse.
 El personal de CSIRT firma copias impresas del acuerdo y lo
devuelve al equipo legal de SEI.

35
  El acuerdo firmado se presenta a la Universidad Carnegie Mellon
(CMU) para obtener las firmas apropiadas.
 El acuerdo se ejecuta después de que las firmas de CMU están
aseguradas y se envía al personal de CERT que publica el nombre
de CSIRT y el enlace del sitio web a los Usuarios Autorizados de la
página web de "CERT".
 El personal de CSIRT puede agregar el gráfico ubicado en los
Usuarios Autorizados de la página web "CERT" a su sitio web.

5.7. CERT autorizados a nivel mundial

Debido a que CERT es una marca registrada del SEI (Software Engineering
Institute) de la Universidad Carnegie Mellon, forman parte de la base de
datos de CERT autorizados los cuales pueden ser consultados en la
página:
https://www.sei.cmu.edu/education-outreach/computer-security-incident-
response-teams/authorized-users/index.cfm

36
 5.8. Pe-CERT

Pe-CERT, es el grupo de trabajo denominado Coordinadora de

Respuestas a Emergencias en Redes Teleinformáticas de la
Administración Pública, oficializado mediante RM 360-2009-PCM
publicado el 19 de agosto de 2009, la cual permitirá generar un marco de
trabajo de cooperación entre los ministerios del sector público para
mejorar los niveles de seguridad de la información en las entidades
públicas. Además, es el encargado de liderar los esfuerzos para resolver,
anticipar y enfrentar los Ciber Desafíos y coordinar la defensa ante los
Ciber ataques, con el fin de proveer a la Nación de una postura Segura en
el Ámbito de la Seguridad Informática.

De acuerdo al portal de Gobierno Digital 1:

“El Equipo de Respuesta de Incidentes de Seguridad Informática del Perú
(PeCERT) fue incorporado por el CERT CC (Computer Emergency
Response Team – Coordination Center) como CSIRT (Computer Security
Information Response Team) nacional para Perú el 10 mayo del 2012…”

En aquel entonces estaba bajo la responsabilidad de la Oficina Nacional

de Gobierno Electrónico (ONGEI) actualmente bajo la responsabilidad de
la Secretaría de Gobierno Digital (SeGDi).

“…Este acontecimiento es consecuencia de la constante coordinación

entre los responsables del PeCERT y de los coordinadores directos de
dicha organización. De esta manera, el PeCERT cuenta con importantes
recursos disponibles para todos sus integrantes, que les ayudarán a
mejorar la organización del equipo y compartir información en la red de
CERT's internacionales…”
1
PeCERT ingresa a la comunidad internacional de CERT y es reconocido como CSIRT nacional para el capitulo
Perú http://www.gobiernodigital.gob.pe/noticias/segdi_noticias_detalle.asp?
pk_id_entidad=1878&pk_id_noticia=367

37
5.7.1. Objetivos

De acuerdo con la resolución ministerial RM-360-2009-PCM “…son

objetivos de la Coordinadora de respuestas a Emergencias en Redes
Teleinformáticas de la Administración Pública del Perú (Pe-CERT)

a. Promover la coordinación entre las entidades de la administración de

redes informáticas de la Administración Pública Nacional, para la
prevención, detección, manejo, recopilación de información de
información y desarrollo de soluciones para los incidentes de
seguridad.
b. Coordinar, colaborar y proponer normas destinadas a incrementar los
niveles de seguridad en los recursos y sistemas relacionados con las
tecnologías informáticas en el ámbito de la Administración Pública
Nacional.
c. Asesorar técnicamente ante incidentes de seguridad en los sistemas
informáticos que reporten los distintos organismos de la
Administración Pública Nacional.
d. Asesorar a los organismos de la Administración Pública Nacional
sobre herramientas y técnicas de protección y defensa de sus
sistemas de información.
e. Centralizar los reportes sobre incidentes de seguridad ocurridos en
redes teleinformáticas de la Administración Pública Nacional y facilitar
el intercambio de información para afrontarlos.
f. Actuar como repositorio de toda la información sobre incidentes de
seguridad, herramientas, técnicas de protección y defensa.
g. Difundir información útil para incrementar los niveles de seguridad de
las redes teleinformáticas de la Administración Pública Nacional.
h. Interactuar con coordinaciones de similar naturaleza…”

38
5.7.2. Servicios

 Emisión de Boletines de Seguridad Personalizados

 Servicio de Asesoría en la Elaboración de TDR para realizar Ethical
Hacking
 Servicio de Ranking de pentesters
 Servicio de Análisis Forense
 Servicio de Capacitación de Personal
 Servicio de Ethical Hacking
 Monitoreo de Servicios

39
5.7.3. Esfuerzos y logros

40
 5.7.4. Los servicios a los que Pe-CERT tiene proyectados

5.7.5. Productos y Servicios ofrecidos actualmente por Pe-CERT

6. Conclusiones

Para mantener segura las redes de comunicaciones, las infraestructuras

informáticas, la red y los sistemas de información, que permitan el
desarrollo económico y social de una nación, es importante la
implementación del CERT y CSIRT para que proporcionen respuesta y
defensa contra incidentes de seguridad de la información a las
instituciones del estado.

7. Recomendaciones

41
  Implementar el CERT y CSIRT
 Unir esfuerzos para la protección mediante la colaboración e
intercambio de la información entre las instituciones del estado
 Fortalecer las estrategias seguridad cibernética del estado.
 Establecer políticas, procedimientos, guías, estándares, etc.

8. Bibliografía

Ardita, J. C. (s.f.). Manejo de Incidentes de Seguridad dentro de la Organización. Obtenido de

ISACA: http://m.isaca.org/chapters8/Montevideo/cigras/Documents/cigras%202013%20-
%20manejo%20de%20incidentes%20de%20seguridad%20en%20la%20organizacin
%20julio%20ardita.pdf

Ardita, J. C. (s.f.). Manejo de Incidentes de Seguridad dentro de la Organización. Obtenido de

ISACA: https://www.isaca.org/chapters8/Montevideo/cigras/Documents/cigras
%202013%20-%20manejo%20de%20incidentes%20de%20seguridad%20en%20la
%20organizacin%20julio%20ardita.pdf

Carnegie Mellon University. (August de 2004). Steps for Creating National CSIRTs. Obtenido de
Carnegie Mellon University, Software Engineering Institute:
https://resources.sei.cmu.edu/asset_files/WhitePaper/2004_019_001_53064.pdf

Carnegie Mellon University. (2011). Guidelines for Use of “CERT”. Obtenido de Carnegie Mellon
University, Software Engineering Institute:
https://resources.sei.cmu.edu/asset_files/Brochure/2011_015_001_51634.pdf

Carnegie Mellon University. (March de 2014). STEPS IN THE PROCESS FOR BECOMING AN
AUTHORIZED USER. Obtenido de Carnegie Mellon University, Software Engineering
Institute: https://resources.sei.cmu.edu/asset_files/Brochure/2013_015_001_51638.pdf

Carnegie Mellon University. (18 de March de 2018). CREATE A CSIRT. Obtenido de Carnegie Mellon
University, Software Engineering Institute:
https://resources.sei.cmu.edu/asset_files/WhitePaper/2017_019_001_485695.pdf

Carnegie Mellon University. (2018 de March de 2018). CSIRT SERVICES. Obtenido de Carnegie
Mellon University, Software Engineering Institute:
https://resources.sei.cmu.edu/asset_files/WhitePaper/2002_019_001_53048.pdf

Carnegie Mellon University. (s.f.). Authorized Users of the CERT Mark. Obtenido de Carnegie
Mellon University, Software Engineering Institute: https://www.sei.cmu.edu/education-
outreach/computer-security-incident-response-teams/authorized-users/index.cfm

42
Presidencia del Consejo de Ministros. (2014). Seguridad de la Información. Obtenido de
Precidencia del Consejo de Ministros- Oficina Nacional de Gobierno Electrónico e
Informática:
http://www.gobiernodigital.gob.pe/capacitaciones/Programas_docu/142/Programa_1328
.pdf

Presidencia del Consejo de Ministros. (s.f.). POLÍTICA NACIONAL DE CIBERSEGURIDAD. Obtenido de

Precidencia del Consejo de Ministros- Oficina Nacional de Gobierno Electrónico e
Informática: http://www.gobiernodigital.gob.pe/docs/Pol
%C3%ADtica_Nacional_de_Ciberseguridad.pdf

Presidencia del Consejo de Ministros. (s.f.). RESOLUCION MINISTERIAL Nº 360-2009-PCM.

Obtenido de Precidencia del Consejo de Ministros- Oficina Nacional de Gobierno
Electrónico e Informática: http://www.pecert.gob.pe/

WIKIPEDIA. (s.f.). Equipo de Respuesta ante Emergencias Informáticas. Obtenido de WIKIPEDIA:

https://es.wikipedia.org/wiki/Equipo_de_Respuesta_ante_Emergencias_Inform
%C3%A1ticas

43