Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Centro de - Gobierno en Línea

Anuncio 
ENTREGABLES 12 Y 13: DISEÑO DE UN CSIRT DE COLOMBIA PARA LA
ESTRATEGIA GOBIERNO EN LÍNEA
ÁREA DE INVESTIGACIÓN Y PLANEACIÓN
© República de Colombia - Derechos Reservados
Bogotá, D.C., Diciembre de 2008
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
FORMATO PRELIMINAR AL DOCUMENTO
Título:
MANUAL PARA LA CONSTITUCIÓN DE UN CSIRT COLOMBIANO
SISTEMA DE GESTIÓN DE CALIDAD
PROGRAMA AGENDA DE CONECTIVIDAD
Fecha elaboración
aaaa-mm-dd:
2008-12-04
Sumario:
Corresponde a los entregables No. 12 y 13, primero y segundo avance del
CSIRT.
Palabras Claves:
CSIRT, Seguridad de la información, Incidentes
Formato:
Dependencia:
Código:
Lenguaje:
Castellano
Dirección de planificación e investigación
Versión:
2
Estado:
Categoría:
Autor (es):
Revisó:
Aprobó:
Proyecto Diseño de modelo SGSI
para la estrategia de Gobierno en
Línea
Firmas:
Juan C. Alarcón
Jairo Pantoja
Juan C. Alarcón
Información Adicional:
Ubicación:
Página 2 de 192
En elaboración
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
CONTROL DE CAMBIOS
VERSIÓN
1
1.1
2
FECHA
23 10 2008
05 11 2008
04 12 2008
No. SOLICITUD
RESPONSABLE
Fernando Gaona
Fernando Gaona
Fernando Gaona
DESCRIPCIÓN
Primera versión del documento
Revisión interna conjunta equipo de Consultoría Digiware
Revisión con el Programa Gobierno en Línea
Página 3 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
TABLA DE CONTENIDO
DERECHOS DE AUTOR...........................................................................................................................................9
AUDIENCIA ........................................................................................................................................................20
INTRODUCCIÓN..................................................................................................................................................21
1. QUÉ ES UN CSIRT .........................................................................................................................................23
1.1. DEFINICIÓN ..............................................................................................................................................23
1.2. ANTECEDENTES.........................................................................................................................................23
1.3. BENEFICIOS DE CONTAR CON UN CSIRT ......................................................................................................25
2. INICIATIVAS Y EXPERIENCIAS NACIONALES E INTERNACIONALES EN CSIRTS...................................................26
2.1. ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL MUNDO ..............................................................26
2.1.1. FIRST - FORUM FOR INCIDENT RESPONSE AND SECURITY TEAMS .....................................................................33
2.1.2. ENISA - EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY............................................................41
2.1.3. APCERT - ASIA PACIFIC COMPUTER EMERGENCY RESPONSE TEAM ..................................................................44
2.1.4. CERT - COORDINATION CENTER DE LA UNIVERSIDAD CARNEGIE MELLON........................................................45
2.1.5. TERENA - TRANS-EUROPEAN RESEARCH AND EDUCATION NETWORKING ASSOCIATION.................................48
2.1.6. ALEMANIA - CERT-BUND (COMPUTER EMERGENCY RESPONSE TEAM FÜR BUNDESBEHÖRDEN).....................50
2.1.7. ARABIA SAUDITA - CERT-SA (COMPUTER EMERGENCY RESPONSE TEAM - SAUDI ARABIA) ..............................51
2.1.8. ARGENTINA - ARCERT (COORDINACIÓN DE EMERGENCIAS EN REDES TELEINFORMÁTICAS)............................52
2.1.9. AUSTRALIA - AUSCERT (AUSTRALIA COMPUTER EMERGENCY RESPONSE TEAM) .............................................55
2.1.10. AUSTRIA - CERT.AT (COMPUTER EMERGENCY RESPONSE TEAM AUSTRIA).....................................................56
2.1.11. BRASIL - CERT.BR (COMPUTER EMERGENCY RESPONSE TEAM BRAZIL)...........................................................57
2.1.12. CANADÁ - PSEPC (PUBLIC SAFETY EMERGENCY PREPAREDNESS CANADA) .....................................................58
2.1.13. CHILE – CSIRT-GOV...........................................................................................................................................59
2.1.14. CHILE - CLCERT (GRUPO CHILENO DE RESPUESTA A INCIDENTES DE SEGURIDAD COMPUTACIONAL) ............60
2.1.15. CHINA - CNCERT/CC (NATIONAL COMPUTER NETWORK EMERGENCY RESPONSE TECHNICAL TEAM)............61
2.1.16. COREA DEL SUR - KRCERT/CC (CERT COORDINATION CENTER KOREA)............................................................65
2.1.17. DINAMARCA – DK.CERT (DANISH COMPUTER EMERGENCY RESPONSE TEAM)...............................................67
2.1.18. EMIRATOS ÁRABES UNIDOS – AECERT (THE UNITED ARAB EMIRATES COMPUTER EMERGENCY RESPONSE
TEAM) 68
2.1.19. ESPAÑA - ESCERT (EQUIPO DE SEGURIDAD PARA LA COORDINACIÓN DE EMERGENCIAS EN REDES
TELEMÁTICAS).................................................................................................................................................................69
2.1.20. ESPAÑA – IRIS-CERT (SERVICIO DE SEGURIDAD DE REDIRIS)............................................................................70
2.1.21. ESPAÑA - CCN-CERT (CRYPTOLOGY NATIONAL CENTER - COMPUTER SECURITY INCIDENT RESPONSE TEAM)72
2.1.22. ESPAÑA - INTECO-CERT (CENTRO DE RESPUESTAS A INCIDENTES EN TI PARA PYMES Y CIUDADANOS)..........74
Página 4 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – SISTEMA DE GESTIÓN DE CALIDAD –
ESTRATEGIA DE GOBIERNO EN LÍNEA
2.1.23. ESTADOS UNIDOS - US-CERT (UNITED STATES - COMPUTER EMERGENCY READINESS TEAM)........................76
2.1.24. ESTONIA – CERT-EE (COMPUTER EMERGENCY RESPONSE TEAM OF ESTONIA)...............................................77
2.1.25. FILIPINAS - PH-CERT (PHILIPPINES COMPUTER EMERGENCY RESPONSE TEAM)..............................................78
2.1.26. FRANCIA-CERTA (CENTRE D'EXPERTISE GOUVERNEMENTAL DE RÉPONSE ET DE TRAITEMENT DES ATTAQUES
INFORMATIQUES) ...........................................................................................................................................................79
2.1.27. HONG KONG - HKCERT (HONG KONG COMPUTER EMERGENCY RESPONSE COORDINATION CENTRE) ..........81
2.1.28. HUNGRÍA - CERT (CERT-HUNGARY)..................................................................................................................82
2.1.29. INDIA - CERT-IN (INDIAN COMPUTER EMERGENCY RESPONSE TEAM) ............................................................84
2.1.30. JAPAN - JPCERT/CC (JP CERT COORDINATION CENTER) ...................................................................................86
2.1.31. MÉXICO – UNAM-CERT (EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD EN CÓMPUTO) ....................88
2.1.32. NUEVA ZELANDIA – CCIP (CENTRE FOR CRITICAL INFRASTRUCTURE PROTECTION) ........................................89
2.1.33. HOLANDA – GOVCERT.NL.................................................................................................................................90
2.1.34. POLONIA - CERT POLSKA (COMPUTER EMERGENCY RESPONSE TEAM POLSKA) .............................................91
2.1.35. QATAR - Q-CERT (QATAR CERT)........................................................................................................................92
2.1.36. REINO UNIDO - GOVCERTUK (CESG´S INCIDENT RESPONSE TEAM) .................................................................93
2.1.37. SINGAPUR – SINGCERT (SINGAPORE CERT)......................................................................................................94
2.1.38. SRI LANKA – SLCERT (SRI LANKA COMPUTER EMERGENCY RESPONSE TEAM).................................................95
2.1.39. TÚNEZ - CERT-TCC (COMPUTER EMERGENCY RESPONSE TEAM - TUNISIAN COORDINATION CENTER) ..........97
2.1.40. VENEZUELA CERT.VE (VENCERT – EQUIPO DE RESPUESTA PARA EMERGENCIAS INFORMÁTICAS) ...............101
2.2. EXPERIENCIAS O ANTECEDENTES EN COLOMBIA.......................................................................................103
2.2.1. CIRTISI – COLOMBIA (CENTRO DE INFORMACIÓN Y RESPUESTA TÉCNICA A INCIDENTES DE SEGURIDAD
INFORMÁTICA DE COLOMBIA) ......................................................................................................................................103
2.2.2. CSIRT COLOMBIA (COL CSIRT) ..........................................................................................................................108
2.2.3. COMITÉ INTERAMERICANO CONTRA EL TERRORISMO DE LA OEA (CICTE) ......................................................109
2.3. EN RESUMEN ..........................................................................................................................................110
2.3.1. CSIRTS PÚBLICOS..............................................................................................................................................110
2.3.2. CSIRTS PRIVADOS .............................................................................................................................................111
2.3.3. CSIRTS INTERNOS .............................................................................................................................................111
2.3.4. CSIRTS DE COORDINACIÓN...............................................................................................................................112
2.3.5. ESQUEMA ASOCIATIVO ENTRE EL SECTOR PÚBLICO Y EL PRIVADO .................................................................112
3. DEFINICIÓN DE LA ORGANIZACIÓN CSIRT PARA COLOMBIA ........................................................................113
3.1.
3.2.
3.3.
3.4.
3.5.
3.6.
TIPO DE ENTIDAD....................................................................................................................................113
RELACIÓN CON LAS ENTIDADES ...............................................................................................................117
MISIÓN...................................................................................................................................................117
VISIÓN....................................................................................................................................................117
OBJETIVOS ESTRATÉGICOS ......................................................................................................................117
OBJETIVOS ESPECÍFICOS ..........................................................................................................................118
4. PORTAFOLIO DE SERVICIOS........................................................................................................................119
4.1. SERVICIOS PREVENTIVOS ........................................................................................................................120
4.2. SERVICIOS REACTIVOS.............................................................................................................................122
4.3. GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ....................................................................................124
4.4. CARACTERÍSTICAS DE LOS SERVICIOS .......................................................................................................127
4.4.1. SERVICIOS PREVENTIVOS .................................................................................................................................127
Página 5 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – SISTEMA DE GESTIÓN DE CALIDAD –
ESTRATEGIA DE GOBIERNO EN LÍNEA
4.4.2. SERVICIOS REACTIVOS......................................................................................................................................128
4.4.3. GESTIÓN DE LA CALIDAD DE LA SEGURIDAD ....................................................................................................128
5. PROCESOS Y PROCEDIMIENTOS..................................................................................................................129
5.1. DELIMITACIÓN SISTÉMICA.......................................................................................................................129
5.2. PROCESOS ..............................................................................................................................................130
5.3. PROCEDIMIENTOS ..................................................................................................................................133
6. ANÁLISIS DEL MERCADO ............................................................................................................................135
6.1. MACRO ENTORNO ..................................................................................................................................136
6.1.1. POLITICOS ........................................................................................................................................................136
6.1.2. ECONOMICOS ..................................................................................................................................................137
6.1.3. SOCIALES..........................................................................................................................................................139
6.1.4. TECNOLOGICOS................................................................................................................................................139
6.2. INDUSTRIAS Y SECTORES .........................................................................................................................141
6.3. ALIADOS ESTRATÉGICOS Y MERCADOS ....................................................................................................142
6.3.1. DEBILIDADES ....................................................................................................................................................143
6.3.2. OPORTUNIDADES.............................................................................................................................................144
6.3.3. FORTALEZAS.....................................................................................................................................................144
6.3.4. AMENAZAS.......................................................................................................................................................144
7. INDICADORES Y METAS..............................................................................................................................146
7.1.
7.2.
7.3.
7.4.
7.5.
7.6.
PERSPECTIVA SEGURIDAD DE LA INFORMACIÓN NACIONAL .....................................................................150
PERSPECTIVA FINANCIERA.......................................................................................................................151
PERSPECTIVA PROCESOS INTERNOS.........................................................................................................151
PERSPECTIVA APRENDIZAJE Y CRECIMIENTO............................................................................................152
RESUMEN DE LOS INDICADORES..............................................................................................................153
CONSIDERACIONES GENERALES...............................................................................................................155
8. ESTRUCTURA ORGANIZACIONAL ................................................................................................................157
8.1. ORGANIGRAMA......................................................................................................................................158
8.1.1. ASESOR JURÍDICO.............................................................................................................................................158
8.1.2. DIRECCIÓN TÉCNICA.........................................................................................................................................158
8.1.3. DIRECCIÓN DE COOPERACIÓN Y FOMENTO.....................................................................................................161
8.1.4. DIRECCIÓN ADMINISTRATIVO Y FINANCIERA ..................................................................................................163
8.2. PROCESO DE SELECCIÓN..........................................................................................................................165
8.2.1. COMPETENCIAS COMUNES..............................................................................................................................165
8.2.2. COMPETENCIAS COMPORTAMENTALES POR NIVEL JERÁRQUICO ..................................................................166
8.2.3. COMPETENCIAS TÉCNICAS...............................................................................................................................166
8.2.4. OTRAS CARACTERÍSTICAS.................................................................................................................................167
8.3. CAPACITACIÓN .......................................................................................................................................168
Página 6 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – SISTEMA DE GESTIÓN DE CALIDAD –
ESTRATEGIA DE GOBIERNO EN LÍNEA
9. ETAPAS PARA LA CONFORMACIÓN DEL CSIRT – COLOMBIA ........................................................................169
10. PRESUPUESTO PRELIMINAR DE INVERSIÓN Y FUNCIONAMIENTO..............................................................170
10.1. PRESUPUESTO DE INVERSIÓN ................................................................................................................172
10.2. PRESUPUESTO DE FUNCIONAMIENTO....................................................................................................172
11. TERMINOLOGÍA .......................................................................................................................................178
12. ANEXO A – CARACTERIZACIÓN DE PROCESOS Y PROCEDIMIENTOS............................................................192
Página 7 de 192
LISTA DE ILUSTRACIONES
Ilustración 1: Países con CSIRTs Miembros de FIRST........................................................................... 35
Ilustración 2: Estructura de ENISA ..................................................................................................... 43
Ilustración 3: Modelo Detallado del Sistema Administrativo Nacional de Seguridad de la Información .....113
Ilustración 4: Delimitación Sistemática de la Entidad ..........................................................................129
Ilustración 5: Modelo Tecnológico del CSIRT, detallando los procesos misionales..................................130
Ilustración 6: Modelo de Segmentación del CSIRT..............................................................................131
Ilustración 7: Despliegue de Procesos ...............................................................................................132
Ilustración 8: Catálogo de Procesos Misionales...................................................................................133
Ilustración 9: Catálogo de Procedimientos .........................................................................................133
Ilustración 10: de Análisis del Mercado..............................................................................................135
Ilustración 11: Marco Político, Económico, Social y Tecnológico del CSIRT............................................136
Ilustración 12: Análisis de Competitividad de Porter............................................................................141
Ilustración 13: Matriz DOFA..............................................................................................................143
Ilustración 14: Modelo de Gestión.....................................................................................................147
Ilustración 15: Alineación de la Visión y la Estrategia..........................................................................148
Ilustración 16: Mapa Estratégico.......................................................................................................149
Ilustración 17: Perspectivas y Orientadores Estratégicos .....................................................................150
Ilustración 18: Estructura Organizacional Propuesta ...........................................................................158
Página 8 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
DERECHOS DE AUTOR
Este documento pertenece a la Estrategia de Gobierno en Línea del Ministerio de Comunicaciones de Colombia, esta
prohibida la reproducción total o parcial del contenido de este documento sin la autorización expresa de la Estrategia
de Gobierno en Línea. A continuación, se detallan los derechos de autor relacionados en este documento:
•
SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx:
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
FIRST. http://www.first.org/
Copyright © 1995 - 2006 by FIRST.org, Inc.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
ENISA. http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf.
Reproduction of material published on this web site is authorized, provided the source is acknowledged, unless it
is stated otherwise. Where prior permission must be obtained for the reproduction or use of material published on
this web site the above mentioned permission shall be cancelled and restrictions shall be imposed through a legal
notice as appropriate published on that specific material.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
APCERT. http://www.apcert.org/.
Copyright(C) 2008 APCERT. All rights reserved
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Terena. http://www.terena.org/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
Página 9 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Alemania - CERT-Bund. http://www.bsi.bund.de/certbund/
© Federal Office for Information Security (BSI). All rights reserved
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Arabia Saudita - CERT-SA. http://www.cert.gov.sa/
Copyright © 2006 - 2007 | Disclaimer. All Rights Reserved
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Argentina – ArCERT. http://www.arcert.gov.ar/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Australia – AusCERT. http://www.auscert.org.au/
The material on this web site is covered by copyright. Apart from any use permitted under the Copyright Act
1968, no part may be reproduced or distributed by any process or means, without the prior written permission of
AusCERT.
AusCERT acknowledges all instances where copyright is held by, or shared with, another organisation. In such
cases, each copyright owner should be contacted regarding reproduction or use of that material.
Se solicita autorización. Respuesta:
Date: Wed, 1 Oct 2008 03:43:58 +0000
CC: [email protected]
Subject: RE: RE: (AUSCERT#200869d4a) Re: Permission to use and to make translations about AusCert
To: [email protected]
From: [email protected]
-----BEGIN PGP SIGNED MESSAGE----Hash: RIPEMD160
Hi Fernando,
Página 10 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
We are happy for you to translate the sections of our website that you have highlighted. Additionally we have in
the last week assisted New Zealand via a workshop to aid them in the creation of a National CERT, and we also
provide training for the purpose of creating National CERT teams.
Please do not hesitate to contact us further regarding the possibility of training and further collaboration.
Regards,
- -- Jonathan Levine –
Computer Security Analyst | Hotline: +61 7 3365 4417
AusCERT, Australia's National CERT | Fax: +61 7 3365 7031
The University of Queensland | WWW: www.auscert.org.au
QLD 4072 Australia | Email: [email protected]
•
Austria - CERT.at. www.cert.at
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Brasil - CERT.br. http://www.cert.br
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Canadá – PSEPC. http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Chile – CSIRT-GOV. http://www.csirt.gov.cl/
La información presentada en este portal tiene finalidad informativa, especialmente dirigida a los responsables de
seguridad, administradores de redes y sistemas, personal informático y en general cualquier individuo que cumpla
labores al interior de la Administración del Estado. El mal uso de la información entregada puede ser sancionado
en conformidad al estatuto administrativo.
Como el acceso a este portal es público, en los casos en que se detecte uso malicioso de la información, o
intentos de quebrantar la seguridad del sistema, CSIRT Chile se reserva el derecho de ejercer todas las acciones
legales correspondientes contra quien resulte responsable de dichos actos, amparado en la Ley General de
Telecomunicaciones y la Ley de Delito Informático.
Queda estrictamente prohibido utilizar la información presentada en este portal sin el conocimiento y
consentimiento formal por parte de CSIRT Chile, en especial para efectos contrarios a los buscados por este
equipo.
Página 11 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Se solicita autorización.
•
Chile – CLCERT. http://www.clcert.cl
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
China - CNCERT/CC. http://www.cert.org.cn/english_web/.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Corea del Sur - KrCERT/CC. http://www.krcert.or.kr/
COPYRIGHT KRCERT.OR.KR. ALL RIGHTS RESERVED.
All materials released by Internet Incident Response Support Center are protected under the copyright law and
copyrights of all released materials are owned by the center. Accordingly, it is prohibited to copy or distribute
them partially and entirely.
If you seek for economic profits or benefits equivalent of it, a prior consultation with the center or prior approval
from the center is required. In case those materials are quoted partially or entirely after prior consent or
approval, it shall clearly state that the source of quoted contents belongs to the center.
The hyperlink from other web sites to the main web page of the center is allowed but not to the other web pages
(sub domain). Also, before setting a hyperlink to the main web page of the Center, it should be notified to the
center in advance.
In case data posted at a web site of the Center is used for the purpose of positing at the other Internet sites in a
due manner, the arbitrary change of data except simple error correction is prohibited. The violation of this act is
subject to criminal punishment.
For the purpose of news report, criticism, education and study activities, data posted in the web page can be
quoted as long as they satisfy fair practices within a legal boundary.
However, in this case, the quotation of materials is limited to less than 10% of the whole contents. The violation
of this act is regarded as infringement on copyright.
As long as the data provided by the center is used for individual purpose (not commercial purpose) or within a
boundary of household and equivalent boundary, it can be copied for use. However, even if a specific company,
non-profit organization, intends to copy them for the purpose of internal use only, it is not allowed to copy
materials.
The illegal copy and distribution of materials provided by the center falls under infringement on copyright
property law and the violator is sentenced to imprisonment not exceeding 5 years and a fine not exceeding 50
Mio.won.
For more detailed information, you can contact the Internet Incident Response Support Center
Página 12 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
(Tel: 118 / [email protected], [email protected]).
Se solicita autorización.
•
Dinamarca – DK.CERT. https://www.cert.dk/
Información sobre estas páginas pueden ser protegidas por los derechos de autor
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Emiratos Árabes Unidos – aeCERT. http://www.aecert.ae/
© 2007-2008 aeCERT. All rights reserved
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
España – ESCERT. http://escert.upc.edu/index.php/web/es/index.html
Los textos, diseños, imágenes, bases de datos, logotipos, estructuras, marcas y otros elementos de esCERT-UPC,
incluido todo lo referente a ALTAIR, están protegidos por la normativa de aplicación respecto a la propiedad
intelectual e industrial. esCERT-UPC autoriza a los usuarios a reproducir, copiar, distribuir, transmitir, adaptar o
modificar exclusivamente los contenidos de la web de esCERT-UPC, siempre que se especifique la fuente y/o los
autores.
•
España – IRIS-CERT. http://www.rediris.es/cert/
RedIRIS © 1994-2008
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
España - CCN-CERT. https://www.ccn-cert.cni.es/
© 2008 Centro Criptológico Nacional - C/Argentona s/n 28023 MADRID
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
España - INTECO-CERT. http://www.inteco.es/rssRead/Seguridad/INTECOCERT
Todos los elementos que forman el sitio Web, así como su estructura, diseño y código fuente de la misma, son
titularidad de INTECO y están protegidos por la normativa de propiedad intelectual e industrial.
Se prohíbe la reproducción total o parcial de los contenidos de este sitio Web, así como su modificación y/o
distribución sin citar su origen o solicitar previamente autorización.
Página 13 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
INTECO no asumirá ninguna responsabilidad derivada del uso por terceros del contenido del sitio Web y podrá
ejercitar todas las acciones civiles o penales que le correspondan en caso de infracción de estos derechos por
parte del usuario.
•
Estados Unidos - US-CERT. http://www.us-cert.gov
You are permitted to reproduce and distribute documents on this web site in whole or in part, without changing
the text you use, provided that you include the copyright statement or "produced by" statement and use the
document for noncommercial or internal purposes. For commercial use or translations, send your email request to
[email protected].
Se solicita autorización.
•
Estonia – CERT-EE. http://www.ria.ee/?id=28201
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Filipinas - PH-CERT. http://www.phcert.org/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Francia-CERTA. http://www.certa.ssi.gouv.fr/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Hong Kong – HKCERT. http://www.hkcert.org/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Hungría – CERT. http://www.cert-hungary.hu/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
India - CERT-In. http://www.cert-in.org.in/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Japan - JPCERT/CC. http://www.jpcert.or.jp/
Copyright © 1996-2008 JPCERT/CC All Rights Reserved
Página 14 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
México – UNAM-CERT. http://www.cert.org.mx/index.html
Copyright® Todos los derechos reservados, cert.org.mx. DSC/UNAM-CERT DGSCA
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Nueva Zelandia – CCIP. http://www.ccip.govt.nz/
Except where specifically noted, all material on this site is © Crown copyright.
Material featured on this site is subject to Crown copyright protection unless otherwise indicated. The Crown
copyright protected material may be reproduced free of charge in any format or media without requiring specific
permission, provided that the material is reproduced accurately and is not further disseminated in any way, and
on condition that the source of the material and its copyright status are acknowledged.
The permission to reproduce Crown copyright protected material does not extend to any material on this site that
is identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained
from the copyright holders concerned.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Holanda - GOVCERT.NL. http://www.govcert.nl/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Polonia - CERT Polska. http://www.cert.pl/
Copyright © 2004 NASK
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Qatar - Q-CERT. http://www.qcert.orgv
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Reino Unido – GovCertUK. www.govcertuk.gov.uk
Crown Copyright 2008
Página 15 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Reino Unido – GovCertUK. www.govcertuk.gov.uk
The material featured on this site is subject to Crown Copyright protection unless otherwise indicated. The Crown
Copyright protected material (other than CPNI logo and website design) may be reproduced free of charge in any
format or medium provided it is reproduced accurately and not used in a misleading context. Where any of the
Crown Copyright items on this site are being republished or copied to others, the source of the material must be
identified and the copyright status acknowledged.
The permission to reproduce Crown protected material does not extend to any material on this site which is
identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained from
the copyright holders concerned.
For further information on Crown copyright policy and licensing arrangements, please refer to the guidance on
OPSI's website at www.opsi.gov.uk/advice/crown-copyright/copyright-guidance/index.htm.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Singapur – SingCERT. http://www.singcert.org.sg/
1. SingCERT Security Alerts (such as advisories and bulletins): Permission is granted to reproduce and distribute
SingCERT security alerts in their entirety, provided the SingCERT PGP signature or the PGP signature of the
original creator of the alerts is included and provided the alert is used for noncommercial purposes with the intent
of increasing the awareness of the Internet community.
2. All materials produced by SingCERT except as noted in Section 1, "SingCERT security alerts": Requests for
permission to reproduce documents or Web pages or to prepare derivative works or external and commercial use
should be addressed to SingCERT through email to [email protected] e-mail address is being protected
from spam bots, you need JavaScript enabled to view it.
Se solicita autorización.
•
Sri Lanka – SLCERT. http://www.cert.lk/
Copyright Reserved. Sri Lanka CERT.
Website Material: All material on this website is covered by copyright. No part may be re-produced or distributed
by any process or means. Requests for permission to reproduce documents or Web pages or to prepare derivative
works for external and commercial use should be addressed to Sri Lanka CERT through email to
[email protected].
Security Alerts: Permission is granted to reproduce and distribute Sri Lanka CERT security alerts such as
advisories and bulletins in its entirety, provided the signature of the original creator of the alerts is included and
provided the alert is used for non-commercial purposes.
Se solicita autorización.
Página 16 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Túnez - CERT-TCC. http://www.ansi.tn/en/about_cert-tcc.htm
Copyright © 2006 ANSI
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Venezuela CERT.ve. http://www.cert.gov.ve/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
CIRTISI COLOMBIA.
http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de
%202007%202.pdf
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
CSIRT Colombia. http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Solicitud de Autorización de uso y traducción presentada a los diferentes organismos que así lo
requieren:
Título:
Permission to use and to make translations about CSIRT
Solicitud:
In order to design a CSIRT for the program “Gobierno en Línea” (e-government) of Colombia, we want to
identify a documented relation of national and international initiatives and experiences in CSIRTs. Then we
request authorization to translate and to reproduce available information in your web page relating to
precedents, offered services, structure of the CSIRT and area of coverage.
The results will be compiled and presented in a technical paper "Design of a CSIRT for the Program Gobierno
en Linea of Colombia " in the chapter " Documented Relation of National and International Experiences and
Initiatives in CSIRTs ".
Cordial greeting,
Fernando Gaona
Página 17 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Organizations Team Leader
Project "Model of the Computer Security Management for e-Government"
Telephone (+57 3164720780)
Program "Agenda de Conectividad": http://www.agenda.gov.co/
Digiware: http://www.digiware.com.co/Digiware/index1.html
Página 18 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
CRÉDITOS
Este documento fue generado a partir de los resultados de la consultoría llevada a cabo para el diseño del
modelo de seguridad de la información para la Estrategia de Gobierno en Línea. El desarrollo del proyecto
estuvo a cargo del grupo de consultores contratados por Gobierno en Línea y el aporte de los
responsables de la supervisión del contrato y demás grupos asesores de la Estrategia de Gobierno en
Línea.
Página 19 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
AUDIENCIA
El documento de Diseño de un CSIRT para la Estrategia de Gobierno en Línea de Colombia está dirigido
especialmente para las entidades públicas y privadas, así como la comunidad académica que participen en
la creación del CSIRT Colombiano o demanden sus productos o servicios, así como la comunidad nacional e
internacional relacionada con el tema de la seguridad de la información.
Página 20 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
INTRODUCCIÓN
Con el rápido desarrollo de internet, las diferentes entidades del país son cada vez más dependientes del
uso de redes públicas, volviendo crítica la protección de la estabilidad de la infraestructura nacional que
componen la nueva e-economía emergente y así mismo es urgente.
Los ataques contra la infraestructura computacional están aumentando de frecuencia, en sofisticación y en
escala. Esta amenaza cada vez mayor requiere un acercamiento y colaboración con las varias
organizaciones públicas, privadas y la academia, que tomen el papel de liderazgo y coordinación con el
apoyo total del gobierno tanto a nivel central como territorial.
Para tratar esta necesidad urgente, se propone el establecimiento de un grupo CSIRT Colombiano que
tendría un foco operacional en la atención de emergencias de seguridad de la información para las
transacciones en línea del país, con una permanente colaboración nacional e internacional.
CÓMO UTILIZAR ESTE DOCUMENTO
El presente documento describe el modelo propuesto para la creación de un Equipo de Respuesta a
Incidentes de Seguridad de la Información - CSIRT Colombiano (por las siglas en inglés de Computer
Security Incident Response Teams) considerando los siguientes aspectos:
•
En el primer capítulo se incluye un marco de referencia donde se define lo que es un CSIRT y algunos
beneficios que conlleva.
•
En el segundo capítulo se hace una relación de algunas iniciativas y experiencias nacionales e
internacionales en CSIRTs consideradas para el desarrollo de este documento.
•
En el tercer capítulo se presenta una definición general del CSIRT, el tipo de entidad que se
recomienda constituir, su misión, visión, el portafolio de productos y servicios, y sus objetivos
estratégicos.
•
En el cuarto capítulo se propone un potencial portafolio de productos y servicios que hagan auto
sostenible la operación del CSIRT Colombiano.
Página 21 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
En el quinto capítulo se incluyen los procesos y procedimientos que sostengan la operación de la
entidad, haciendo una articulación del modelo de seguridad con la NTC-GP 1000, MECI e ISO 9000. Su
caracterización se presenta en el documento anexo.
•
En el sexto capítulo se hace una revisión del entorno del mercado que enfrentará el CSIRT.
•
En el séptimo capítulo se hace una recomendación de indicadores y metas que, bajo el enfoque de la
metodología del Balanced Scorecard (Cuadro de Mando Integral), permitan su adecuado control y
gestión.
•
En el octavo capítulo se incluye una propuesta de estructura organizacional con las competencias
requeridas para cada rol, el modelo de contratación y capacitación del talento humano del CSIRT
Colombiano.
•
En el noveno capítulo se sugieren las etapas para la conformación del CSIRT en Colombia.
•
En el décimo capítulo se elabora una propuesta de presupuesto de inversión y funcionamiento del
CSIRT, teniendo en cuenta que sea auto sostenible en el mediano y largo plazo.
Página 22 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
1.
QUÉ ES UN CSIRT
1.1. DEFINICIÓN
El término CSIRT significa Computer Security Incident Response Team (Equipo de Respuesta a Incidentes
de Seguridad Informática), y ha sido acuñado respondiendo simultáneamente a diferentes abreviaturas
usadas para denotar a nivel mundial este tipo de equipos:
•
CSIRT (Computer Security Incident Response Team / Equipo de Respuesta a Incidentes de Seguridad
Informática): Término usado en Europa.
•
CERT o CERT/CC (Computer Emergency Response Team / Coordination Center, equipo de respuesta a
emergencias informáticas / Centro de coordinación): Término registrado en los Estados Unidos de
América por el CERT Coordination Center (CERT/CC).
•
IRT (Incident Response Team / Equipo de respuesta a incidentes).
•
CIRT (Computer Incident Response Team / Equipo de respuesta a incidentes informáticos).
•
SERT (Security Emergency Response Team / Equipo de respuesta a emergencias de seguridad).
Un CSIRT es un equipo de expertos en seguridad informática que pretenden responder a los incidentes de
seguridad relacionados con la tecnología de la información y a recuperarse después de sufrir uno de estos
incidentes. Para minimizar los riesgos también se ofrecen servicios preventivos y educativos relacionados
con vulnerabilidades de software, hardware o comunicaciones y se informa a la comunidad sobre los
potenciales riesgos que toman ventaja de las deficiencias de la seguridad.
1.2. ANTECEDENTES
Durante la segunda mitad de los años ochenta se vio la red Arpanet salir de la fase de I&D y convertirse en
una realidad práctica bajo el impulso del mundo universitario y desarrollada por el DoD (el Departamento
de Defensa estadounidense). La eficacia y la constante mejora de los distintos servicios, entre los cuales se
cuenta el correo electrónico, rápidamente hicieron que esta red sea indispensable para numerosos sitios.
En noviembre de 1988, un estudiante de la Universidad de Cornell lanzó en esta red un programa que se
propagaba y se replicaba solo. Este programa, conocido con el nombre de “gusano de Internet”,
aprovechaba distintos fallos de seguridad del sistema Unix (el sistema operativo de la mayoría de los
computadores conectados en la red). Aunque no fue programado con malas intenciones, este primer virus
informático, se propagó rápidamente obstruyendo al mismo tiempo las máquinas infectadas por múltiples
Página 23 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
copias del gusano. En ese entonces, la red constaba de aproximadamente 60.000 computadores. Con sólo
el 3 o 4 % de las máquinas contaminadas, la red estuvo totalmente indisponible durante varios días, hasta
que se tomaron medidas cautelares (incluyendo la desconexión de numerosas máquinas de la red).
Para eliminar este “gusano de Internet”, se creó un equipo de análisis ad hoc con expertos del MIT, de
Berkley, Purdue. Se reconstituyó y analizó el código del virus, lo cual permitió, por una parte, identificar y
corregir los fallos del sistema operativo, y por otra parte, desarrollar y difundir mecanismos de
erradicación. Después de este incidente, el director de obras de Arpanet, la DARPA (Defense Advanced
Research Projects Agency), decidió instalar una estructura permanente, el CERT Coordination Center
(CERT/CC) parecido al equipo reunido para resolver el incidente.
Este incidente actuó como una alarma e impulsó la necesidad de cooperación y coordinación multinacional
para enfrentarse este tipo de casos. En este sentido, la DARPA (Defence Advanced Research Projects
Agency / Agencia de Investigación de Proyectos Avanzados de Defensa) creó el primer CSIRT: El CERT
Coordination Center (CERT/CC1), ubicado en la Universidad Carnegie Mellon, en Pittsburgh (Pensilvania,
USA).
Poco después el modelo se adoptó en Europa, y en 1992 el proveedor académico holandés SURFnet puso
en marcha el primer CSIRT de Europa, llamado SURFnet-CERT2. El número de CSIRTs continuó creciendo,
cada uno con su propio propósito, financiación, divulgación y área de influencia. La interacción entre estos
equipos experimentó dificultades debido a las diferencias en lengua, zona horaria y estándares o
convenciones internacionales. Siguieron otros muchos equipos, y en la actualidad existen más de 100
equipos reconocidos alrededor del mundo. Con el tiempo, los CERT ampliaron sus capacidades y pasaron
de ser una fuerza de reacción a prestadores de servicios de seguridad completos que incluyen servicios
preventivos como alertas, avisos de seguridad, formación y servicios de gestión de la seguridad. Pronto el
término “CERT” se consideró insuficiente, y a finales de los años noventa se acuñó el término “CSIRT”. En
la actualidad, ambos términos (CERT y CSIRT) se usan como sinónimos.
Internet comenzó su vertiginoso crecimiento y muchas compañías comenzaron a confiar en Internet sus
transacciones diarias. Así mismo, los CSIRTs continuaron creciendo alrededor del globo, soportando
gobiernos enteros u organizaciones multinacionales.
Desde ese entonces, Internet ha seguido creciendo hasta llegar a ser la red que se conoce actualmente,
con una multiplicación rápida de las máquinas conectadas (varios millones) y de las fuentes de agresión.
1
CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute - Carnegie
Mellon University. Autor: No determinado
2
SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx. U.A: 2008/09/26. Publicado por: SURFnet
network. Autor: No determinado
Página 24 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
1.3. BENEFICIOS DE CONTAR CON UN CSIRT
Disponer de un equipo dedicado a la seguridad de las TI ayuda a las organizaciones a mitigar y evitar los
incidentes graves y a proteger su patrimonio. Otros posibles beneficios son:
•
Disponer de una coordinación centralizada para las cuestiones relacionadas con la seguridad de las TI
dentro de la organización (punto de contacto).
•
Reaccionar a los incidentes relacionados con las TI y tratarlos de un modo centralizado y especializado.
•
Tener al alcance de la mano los conocimientos técnicos necesarios para apoyar y asistir a los usuarios
que necesitan recuperarse rápidamente de algún incidente de seguridad.
•
Tratar las cuestiones jurídicas y proteger las pruebas en caso de pleito.
•
Realizar un seguimiento de los progresos conseguidos en el ámbito de la seguridad.
•
Fomentar la cooperación en la seguridad de las TI entre los clientes del grupo atendido
(sensibilización).
Página 25 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.
INICIATIVAS Y EXPERIENCIAS NACIONALES E INTERNACIONALES
EN CSIRTs
2.1. ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL MUNDO
En la actualidad existen múltiples organizaciones que usan el nombre CERT - Computer Emergency
Response Team (Equipo de Respuesta a Emergencias de Computación) o CSIRT (término genérico de
significado equivalente).
A continuación se presentan algunas de estas experiencias como primer paso fundamental para la
definición de una propuesta de creación del CSIRT Colombiano (ú.a = 30/09/2008).
Nombre del
Documento
CSIRT – Handbook
CSIRT FAQ
Incident Management
Capability Metrics
Resumen
Teoría General en
temas de CSIRT
Teoría General en
temas de CSIRT
Teoría General en
temas de CSIRT
Incident Management
Mission Diagnostic
Method
Teoría General en
temas de CSIRT
State of the Practice
of Computer Security
Incident Response
Teams
The Real Secrets of
Incident Management
Teoría General en
temas de CSIRT
Teoría General en
temas de CSIRT
The Real Secrets of
Incident Management
Teoría General en
temas de CSIRT
Incident Response
SHight
Improving CSIRT
Communication
Teoría General en
temas de CSIRT
Teoría General en
temas de CSIRT
Enlace
Fuente
http://www.cert.org/
CSIRT - Handbook.pdf
http://www.cert.org/
CSIRT FAQ.doc
http://www.cert.org/
07tr008 - Incident
Management Capability
Metrics Version 0.1.pdf
http://www.cert.org/
08tr007 - Incident
Management Mission
Diagnostic Method,
Version 1.0.pdf
http://www.cert.org/
State of the Practice of
Computer Security
Incident Response
Teams.pdf
http://www.cert.org/
The Real Secrets of
Incident
Management.pdf
http://www.cert.org/
The Real Secrets of
Incident
Management.MP3
http://www.rediris.es/cert/links/ Incident_Response_SHig
csirt.es.html
ht.pdf
http://www.tesink.org/thesis.pd Thesis.pdf
f
Página 26 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Nombre del
Documento
Through Standardized
and Secured
Information Exchange
Limits to
Effectiveness in
Computer Security
Incident Response
Teams
eCSIRT.net
Deliverable Common
Language
Specification &
Guideline to
Application of the
Common Language
part (i)
eCSIRT.net
Deliverable1 Guideline
to Application of the
Common Language
part (ii)
Seguridad Informática
para Administradores
de Redes y Servidores
Seguridad Informática
para
Administradores de
Redes
y Servidores
Helping prevent
information security
risks in the transition
to integrated
operations
State of the Practice
of Computer Security
Incident Response
Teams (CSIRTs)
Expectations for
Computer Security
Incident Response
Site Security
Handbook
Guidelines for
Evidence Collection
and Archiving
Resumen
Enlace
Fuente
Teoría General en
temas de CSIRT
https://www.cert.org/archive/p
df/Limits-to-CSIRTEffectiveness.pdf
Limits-to-CSIRTEffectiveness.pdf
Teoría General en
temas de CSIRT
http://www.ecsirt.net/cec/servi
ce/documents/wp2-commonlanguage.pdf
wp2-commonlanguage.pdf
Teoría General en
temas de CSIRT
http://www.ecsirt.net/cec/servi
ce/documents/wp2-and-3guideline.pdf
wp2-and-3-guideline.pdf
Teoría General en
temas de CSIRT
http://www.arcert.gov.ar/ncurs
os/material/Seg-adm-6p.pdf
Seg-adm-6p.pdf
Teoría General en
temas de CSIRT
http://www.arcert.gov.ar/curso
s/seguridad_adm/Seguridad%2
0para%20Administradores.pdf
Seguridad%20para%20A
dministradores.pdf
Teoría General en
temas de CSIRT
http://www.telenor.com/telektr
onikk/volumes/pdf/1.2005/Page
_029-037.pdf
Page_029-037.pdf
Teoría General en
temas de CSIRT
Teoría General en
temas de CSIRT
http://www.rediris.es/cert/links/ 03tr001 - State of the
csirt.es.html
Practice of Computer
Security Incident
Response Teams.pdf
http://www.ietf.org/rfc/rfc2350. Expectations for
txt
Computer Security
Incident Response.doc
http://www.ietf.org/rfc/rfc2196. Site Security
txt
Handbook.doc
Teoría General en
temas de CSIRT
http://www.ietf.org/rfc/rfc3227.
txt
Teoría General en
temas de CSIRT
Página 27 de 192
Guidelines for Evidence
Collection and
Archiving.doc
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Nombre del
Documento
Why do I need a
CSIRT?
Resumen
Teoría General en
temas de CSIRT
Enlace
Fuente
Description of the
different kinds of
CSIRT environments
Teoría General en
temas de CSIRT
http://www.terena.org/activities
/tf-csirt/meeting9/jaroszewskiassistance-csirt.pdf
http://www.enisa.europa.eu/cer
t_guide/pages/05_01_04.htm
Informe del relator
del séptimo período
ordinario de sesiones
del Comité
Interamericano
Contra el Terrorismo
Adopción de una
estrategia
interamericana
integral para combatir
las amenazas a la
seguridad cibernética:
Un enfoque
multidimensional y
multidisciplinario para
la creación de una
cultura de seguridad
cibernética
Puesta en marcha del
CSIRT y Gestión de
Seguridad de la
Información de
ANTEL
FIRST - Forum for
Incident Response
and Security Teams
ENISA - European
Network and
Information Security
Agency
APCERT (Asia Pacific
Computer Emergency
Response Team)
CERT Coordination
Center de la
Universidad Carnegie
Mellon
Alemania - CERTBund
Arabia Saudita -
Antecedentes de los
CSIRT
http://scm.oas.org/pdfs/2007/C
ICTE00188E.pdf
CICTE00188E.pdf
Antecedentes de los
CSIRT
http://dgpt.sct.gob.mx/fileadmi
n/ccp1/redes/doc._472-04.doc
doc._472-04.doc
Antecedentes de los
CSIRT
http://jiap.org.uy/jiap/JIAP2007
/Presentaciones%20Jiap%2020
07/ANTEL.pdf
Antel.pdf
Experiencias en el
Mundo
http://www.first.org/
Página Web
Experiencias en el
Mundo
http://www.enisa.europa.eu/cer Página Web
t_guide/downloads/CSIRT_setti
ng_up_guide_ENISA-ES.pdf
Experiencias en el
Mundo
http://www.apcert.org/
Página Web
Experiencias en el
Mundo
http://www.cert.org/
Página Web
Experiencias en el
Mundo
Experiencias en el
http://www.bsi.bund.de/certbu
nd/
http://www.cert.gov.sa/
Página Web
Página 28 de 192
jaroszewski-assistancecsirt.pdf
Description of the
different kinds of CSIRT
environments.docs
Página Web
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Nombre del
Documento
CERT-SA (Computer
Emergency Response
Team - Saudi Arabia)
Argentina - ArCERT
(Computer
Emergency Response
Team of the
Argentine Public)
Australia - AusCERT
(Australia Computer
Emergency Response
Team)
Austria - CERT.at
(Computer
Emergency Response
Team Austria)
Brasil - CERT.br
(Computer
Emergency Response
Team Brazil)
Canadá - PSEPC
(Public Safety
Emergency
Preparedness
Canada)
Chile – CSIRT-GOV
Chile - CLCERT
China - CNCERT/CC
(National Computer
Network Emergency
Response Technical
Team)
Corea del Sur KrCERT/CC (CERT
Coordination Center
Korea)
Dinamarca – DK.CERT
(Danish Computer
Emergency Response
Team)
Emiratos Árabes
Unidos – aeCERT
(The United Arab
Emirates Computer
Resumen
Enlace
Fuente
Mundo
Experiencias en el
Mundo
http://www.arcert.gov.ar/
Página Web
Experiencias en el
Mundo
http://www.auscert.org.au/
Página Web
Experiencias en el
Mundo
www.cert.at
Página Web
Experiencias en el
Mundo
http://www.cert.br
Página Web
Experiencias en el
Mundo
http://www.psepcsppcc.gc.ca/prg/em/ccirc/indexen.asp
Página Web
Experiencias en el
Mundo
Experiencias en el
Mundo
Experiencias en el
Mundo
http://www.csirt.gov.cl/
Página Web
http://www.clcert.cl
Página Web
http://www.cert.org.cn/english
_web/
Página Web
Experiencias en el
Mundo
http://www.krcert.or.kr/
Página Web
Experiencias en el
Mundo
https://www.cert.dk/
Página Web
Experiencias en el
Mundo
http://www.aecert.ae/
Página Web
Página 29 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Nombre del
Documento
Emergency Response
Team)
España - ESCERT
(Equipo de Seguridad
para la Coordinación
de Emergencias en
Redes Telemáticas)
España – IRIS-CERT
(Universidades)
España - CCN-CERT
(Cryptology National
Center - Computer
Security Incident
Response Team)
España - INTECOCERT (Centro de
Respuestas a
Incidentes en TI para
PYMES y Ciudadanos)
Estados Unidos - USCERT (United States Computer Emergency
Readiness Team)
Estonia – CERT-EE
Filipinas - PH-CERT
(Philippines Computer
Emergency Response
Team)
Francia-CERTA
(Centre d'Expertise
Gouvernemental de
Réponse et de
Traitement des
Attaques
informatiques)
Hong Kong - HKCERT
(Hong Kong
Computer Emergency
Response
Coordination Centre)
Hungría - CERTHungria
India - CERT-In
Japan - JPCERT/CC
Resumen
Enlace
Fuente
Experiencias en el
Mundo
http://escert.upc.edu/index.php
/web/es/index.html
Página Web
Experiencias en el
Mundo
Experiencias en el
Mundo
http://www.rediris.es/cert/
Página Web
https://www.ccn-cert.cni.es/
Página Web
Experiencias en el
Mundo
http://www.inteco.es/rssRead/S
eguridad/INTECOCERT
Página Web
Experiencias en el
Mundo
http://www.us-cert.gov
Página Web
Experiencias en el
Mundo
Experiencias en el
Mundo
http://www.ria.ee/?id=28201
Página Web
http://www.phcert.org/
Página Web
Experiencias en el
Mundo
http://www.certa.ssi.gouv.fr/
Página Web
Experiencias en el
Mundo
http://www.hkcert.org/
Página Web
Experiencias en el
Mundo
Experiencias en el
Mundo
Experiencias en el
http://www.cert-hungary.hu/
Página Web
http://www.cert-in.org.in/
Página Web
http://www.jpcert.or.jp/
Página Web
Página 30 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Nombre del
Documento
(JP CERT
Coordination Center)
México – UNAM-CERT
Nueva Zelandia –
CCIP (Centre for
Critical Infrastructure
Protection)
Holanda GOVCERT.NL
Polonia - CERT Polska
(Computer
Emergency Response
Team Polska)
Qatar - Q-CERT
(Qatar CERT)
Reino Unido GovCertUK
Singapur – SingCERT
(Singapore CERT)
Sri Lanka – SLCERT
Túnez - CERT-TCC
(Computer
Emergency Response
Team - Tunisian
Coordination Center)
Venezuela CERT.ve
(VenCERT - Centro de
Respuestas ante
Incidentes
Telemáticos del
Sector Público)
EXPERIENCIAS o
antecedentes EN
COLOMBIA
Comité
Interamericano
Contra el Terrorismo
de la OEA (CICTE)
CSIRT COLOMBIA
Developing an
Resumen
Enlace
Fuente
Mundo
Experiencias en el
Mundo
Experiencias en el
Mundo
http://www.cert.org.mx/index.h
tml
http://www.ccip.govt.nz/
Página Web
Experiencias en el
Mundo
Experiencias en el
Mundo
http://www.govcert.nl/
Página Web
http://www.cert.pl/
Página Web
Experiencias
Mundo
Experiencias
Mundo
Experiencias
Mundo
Experiencias
Mundo
Experiencias
Mundo
Experiencias
Mundo
en el
http://www.qcert.org
Página Web
en el
www.govcertuk.gov.uk
Página Web
en el
www.cpni.gov.uk
Página Web
en el
http://www.singcert.org.sg/
Página Web
en el
http://www.cert.lk/
Página Web
en el
http://www.ansi.tn/en/about_c
ert-tcc.htm
Página Web
Experiencias en el
Mundo
http://www.cert.gov.ve/
Página Web
Experiencias en el
Mundo
http://www.udistrital.edu.co/co
munidad/grupos/arquisoft/colcsi
rt/?q=colcsirt
http://www.cicte.oas.org/Rev/E
S/Events/Cyber_Events/CSIRT
%20training%20course_Colom
bia.asp
http://www.udistrital.edu.co/co
munidad/grupos/arquisoft/colcsi
rt/?q=colcsirt
http://www.securityfocus.com/i
Página Web
Experiencias en el
Mundo
Experiencias en
Colombia
Aspectos Financieros
Página 31 de 192
Página Web
ENISA work_programme_2006.
pdf
CSIRT COLOMBIA.doc
Developing an Effective
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Nombre del
Documento
Effective Incident
Cost Analysis
Mechanism
Incident Cost Analysis
and Modeling Project
Incident Cost Analysis
and Modeling Project
I-CAMP II
Defining Incident
Management
Processes for CSIRTs
Benchmarking CSIRT
work
Processes
How to Design a
Useful Incident
Response Policy
Effectiveness of
Proactive CSIRT
Services
Recommended
Internet Service
Provider Security
Services and
Procedures
CSIRT Services List
ENISA - Possible
services that a CSIRT
can deliver
Organizational Models
for Computer Security
Incident Response
Teams (CSIRTs)
Organizational Models
for Computer Security
Incident Response
Teams
Staffing Your
Computer Security
Incident Response
Team
Resumen
de un CSIRT
Enlace
nfocus/1592
Fuente
Incident Cost Analysis
Mechanism.doc
Aspectos Financieros
de un CSIRT
http://www.cic.uiuc.edu/groups ICAMPReport1.pdf
/ITSecurityWorkingGroup/archiv
e/Report/ICAMPReport1.pdf
Aspectos Financieros http://www.cic.uiuc.edu/groups ICAMPReport2.pdf
de un CSIRT
/ITSecurityWorkingGroup/archiv
e/Report/ICAMPReport2.pdf
Procesos de un
http://www.cert.org/
04tr015 - Defining
CSIRT
Incident Management
Processes for CSIRTs.pdf
Procesos de un
http://www.hig.no/index.php/c Kjærem - Benchmarking
CSIRT
ontent/download/3302/70468/fi CSIRT work
le/Kj%C3%A6rem%20processes.pdf
%20Benchmarking%20CSIRT%
20work%20processes.pdf
Procesos de un
http://www.securityfocus.com/i How to Design a Useful
CSIRT
nfocus/1467
Incident Response
Policy.doc
Productos y Servicios http://www.first.org/conference kossakowski-klausde un CSIRT
/2006/papers/kossakowskipapers.pdf
klaus-papers.pdf
Productos y Servicios http://www.ietf.org/rfc/rfc3013. Recommended Internet
de un CSIRT
txt
Service Provider Security
Services and
Procedures.doc
Productos y Servicios http://www.cert.org/
CSIRT-services-list.pdf
de un CSIRT
Productos y Servicios http://www.enisa.europa.eu/cer ENISA - Possible services
de un CSIRT
t_guide/pages/05_02.htm
that a CSIRT can
deliver.doc
Estructura de un
http://www.rediris.es/cert/links/ 03hb001 - Organizational
CSIRT
csirt.es.html
Models for Computer
Security Incident
Response Teams
(CSIRTs)
Estructura de un
http://www.sei.cmu.edu/public Organizational Models
CSIRT
ations/documents/03.reports/03 for Computer Security
hb001/03hb001chap07.html
Incident Response
Teams.doc
Estructura de un
http://www.cert.org/
Staffing Your Computer
CSIRT
Security Incident
Response Team.doc
Página 32 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Nombre del
Documento
CERT-FI First 12
months
A step-by-step
approach
on how to set up a
CSIRT
Steps for Creating
National CSIRTs
Action List for
Developing a CSIRT
ENISA - Cómo crear
un CSIRT paso a paso
Resumen
Modelo de Negocio
de un CSIRT
Modelo de Negocio
de un CSIRT
Modelo de Negocio
de un CSIRT
Modelo de Negocio
de un CSIRT
Modelo de Negocio
de un CSIRT
Enlace
Fuente
http://www.terena.org/activities huopio-certfi.pdf
/tf-csirt/meeting8/huopiocertfi.pdf
http://www.enisa.europa.eu/do enisa_csirt_setting_up_g
c/pdf/deliverables/enisa_csirt_s uide.pdf
etting_up_guide.pdf
http://www.cert.org/archive/pd
f/NationalCSIRTs.pdf
http://www.cert.org/
NationalCSIRTs.pdf
Action List for
Developing a CSIRT.pdf
http://www.enisa.europa.eu/cer CSIRT_setting_up_guide
t_guide/downloads/CSIRT_setti _ENISA-ES.pdf
ng_up_guide_ENISA-ES.pdf
2.1.1. FIRST - FORUM FOR INCIDENT RESPONSE AND SECURITY TEAMS3
2.1.1.1.
Antecedentes
El Foro de Equipos de Seguridad para Respuesta a Incidentes - FIRST es la primera organización global
reconocida en respuesta a incidentes, tanto de manera reactiva como proactiva.
FIRST fue formado en 1990 en respuesta al problema del gusano de internet que atacó en 1988. Desde
entonces, ha continuado creciendo y desarrollándose en respuesta a las necesidades que cambiaban de los
equipos de la respuesta y de la seguridad del incidente.
2.1.1.2.
Servicios Ofrecidos
FIRST reúne una variedad de equipos de respuesta de incidentes de seguridad informática para entidades
gubernamentales, comerciales y académicas. FIRST busca fomentar la cooperación y coordinación en la
prevención de incidentes, estimular la reacción rápida a los incidentes y promover el compartir información
entre los miembros y la comunidad.
FIRST proporciona adicionalmente servicios de valor agregado tales como:
•
Acceso a documentos actualizados de mejores prácticas.
•
Foros técnicos para expertos en seguridad informática.
3Tomado
de: http://www.first.org/. U.A: 2008/09/26. Publicado por: FIRST.ORG, Inc. Autor: No determinado.
Página 33 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Clases
•
Conferencia Anual
•
Publicaciones y webservices
•
Grupos de interés especial
2.1.1.3.
Estructura
FIRST funciona bajo de un marco operacional, que contiene los principios que gobiernan y las reglas de
funcionamiento de alto nivel para la organización. Sin embargo, FIRST no ejercita ninguna autoridad sobre
la organización y la operación de los equipos individuales miembros.
Comité de Dirección: El Comité de Dirección es un grupo de individuos responsables de la política de
funcionamiento general, de procedimientos y de materias relacionadas que afectan a FISRT en su
totalidad.
Nombre
Derrick Scholl (Chair)
Ken van Wyk (Vice-Chair)
Chris Gibson (Treasurer)
Peter Allor
Yurie Ito
Scott McIntyre
Francisco Jesus Monserrat Coll
Tom Mullen
Steve Adegbite
Arnold Yoon
Entidad
Sun Microsystems, USA
KRvW Associates, LLC, USA
Citigroup, USA/UK
IBM ISS, USA
JPCERT/CC, Japan
KPN-CERT, NL
RedIRIS, Spain
British Telecom, UK
Microsoft, USA
KrCERT/CC, Korea
Vigencia
2008-2010
2007-2009
2008-2010
2008-2010
2007-2009
2008-2010
2007-2009
2007-2009
2008-2010
2007-2009
Junta Directiva: La Junta Directiva es un grupo de individuos responsables de la política de funcionamiento
general, de procedimientos, y de materias relacionadas que afectan la organización FIRST en su totalidad.
Secretaría: La secretaría sirve como punto administrativo para FIRST y proporciona un contacto general.
Equipos Miembros: Los equipos de la respuesta del incidente que participan en FIRST representan las
organizaciones que asisten a la comunidad de la tecnología de información o a entidades gubernamentales
que trabajan en la prevención y manipulación de incidentes de seguridad informática.
Enlaces: Individuos o representantes de organizaciones con excepción de los equipos CSIRT que tienen un
interés legítimo en y lo valoran a FIRST.
Comités: El Comité de Dirección de FIRST establece los comités temporales ad hoc requeridos para
alcanzar mejor las metas.
Página 34 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.1.4.
Área de Influencia
FIRST está una confederación internacional de los equipos de respuesta a incidente informáticos que de
manera cooperativa manejan incidentes de la seguridad y promueven programas de la prevención del
incidente, anima y promueve el desarrollo de productos, políticas y servicios de la seguridad, desarrolla y
promulga las mejores prácticas de la seguridad y promueve la creación y expansión de los equipos de
incidente alrededor del mundo.
Los miembros de FIRST desarrollan y comparten información técnica, herramientas, metodologías,
procesos y mejores prácticas y utilizan su conocimiento, habilidades y experiencia combinados para
promover un ambiente electrónico global más seguro. FIRST tiene actualmente más de 180 miembros,
extienda por África, las Américas, Asia, Europa y Oceanía. Los siguientes son los equipos CSIRT
distribuidos alrededor del mundo, donde Colombia aún no hace parte:
Ilustración 1: Países con CSIRTs Miembros de FIRST
CSIRT
AAB GCIRT
ACERT
ACOnet-CERT
AFCERT
ARCcert
ASEC
AT&T
AboveSecCERT
Apple
Nombre Oficial del CSIRT
ABN AMRO Global CIRT
Army Emergency Response Team
ACOnet-CERT
Air Force CERT
The American Red Cross Computer Emergency Response Team
AhnLab Security E-response Center
AT&T
Above Security Computer Emergency Response Team
Apple Computer
Página 35 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
CSIRT
ArCERT
AusCERT
Avaya-GCERT
BCERT
BELNET CERT
BFK
BIRT
BMO ISIRT
BP DSAC
BTCERTCC
BadgIRT
Bell IPCR
Bunker
CAIS/RNP
CARNet CERT
CC-SEC
CCIRC
CCN-CERT
CERT POLSKA
CERT TCC
CERT-Bund
CERT-FI
CERT-Hungary
CERT-IT
CERT-In
CERT-Renater
CERT-TCC
CERT-VW
CERT.at
CERT.br
CERT/CC
CERTA
CERTBw
CFC
CGI CIRT
CIAC
CLCERT
CMCERT/CC
Nombre Oficial del CSIRT
Computer Emergency Response Team of the Argentine Public
Administration
Australian Computer Emergency Response Team
Avaya Global Computer Emergency Response Team
Boeing CERT
BELNET CERT
BFK edv consulting
BrandProtect IRT
BMO InfoSec Incident Response Team
BP Digital Security Alert Centre
British Telecommunications CERT Co-ordination Centre
University of Wisconsin-Madison
Bell Canada Information Protection Centre (IPC) Response
The Bunker Security Team
Brazilian Academic and Research Network CSIRT
CARNet CERT
Cablecom Security Team
Canadian Cyber Incident Response Centre
CCN-CERT (Spanish Governmental National Cryptology Center Computer Security Incident Response Team)
Computer Emergency Response Team Polska
TDBFG Computer Security Incident Response Team
CERT-Bund
CERT-FI
Hungarian governmental Computer Emergency Response Team
CERT Italiano
Indian Computer Emergency Response Team
CERT-Renater
Computer Emergency Response Team Tunisian Coordination Center
CERT-VW
CERT.at
Computer Emergency Response Team Brazil
CERT Coordination Center
CERT-Administration
Computer Emergency Response Team Bundeswehr
Cyber Force Center
CGI Computer Incident Response Team
US Department of Energy's Computer Incident Advisory Capability
Chilean Computer Emergency Response Team
China Mobile Computer Network Emergency Response Technical Team
/Coordination Center
Página 36 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
CSIRT
CNCERT/CC
CSIRT ANTEL
CSIRT Banco Real
CSIRT.DK
CSIRTUK
Cert-IST
Cisco PSIRT
Cisco Systems
Citi CIRT
ComCERT
CyberCIRT
DANTE
DCSIRT
DFN-CERT
DIRT
DK-CERT
E-CERT
EDS
EMC
ESACERT
ETISALAT-CERT
EWA-Canada/CanCERT
EYCIRT
Ericsson PSIRT
FSC-CERT
FSLabs
Funet CERT
GD-AIS
GIST
GNS-Cert
GOVCERT.NL
GTCERT
Goldman Sachs
GovCertUK
HIRT
HKCERT
HP SSRT
IBM
IIJ-SECT
Nombre Oficial del CSIRT
National Computer Network Emergency Response Technical Team /
Coordination Center of China
ANTEL's Computer and Telecommunications Security Incident
Response Centre
Real Bank Brazil Security Incident Response Team
Danish Computer Security Incident Repsonse Team
CSIRTUK
CERT France Industries, Services & Tertiaire
Cisco Systems Product Security Incident Response Team
Cisco Systems CSIRT
Citi CIRT
Commerzbank CERT
Cyberklix Computer Incident Response Team
Delivery of Advanced Network Technology to Europe Limited
Diageo CSIRT
DFN-CERT
DePaul Incident Response Team
Danish Computer Emergency Repsonse Team
Energis Computer Emergency Response Team
EDS
EMCs Product Security Response Center
ESA Computer and Communications Emergency Response Team
ETISALAT Computer Emergency Response
EWA-Canada / Canadian Computer Emergency Response Team
Ernst & Young Computer Incident Response Team
Ericsson Product Security Incident Response Team
CERT of Fujitsu-Siemens Computers
F-Secure Security Labs
Funet CERT
General Dynamics – AIS
Google Information Security Team
GNS-Cert
GOVCERT.NL
Georgia Institute of Technology CERT
Goldman, Sachs and Company
CESGs Government Computer Emergency Response Team
Hitachi Incident Response Team
Hong Kong Computer Emergency Response Team Coordination Centre
HP Software Security Response Team
IBM
IIJ Group Security Coordination Team
Página 37 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
CSIRT
ILAN-CERT
ILGOV-CERT
ING Global CIRT
IP+ CERT
IPA-CERT
IRIS-CERT
IRS CSIRC
Infosec-CERT
Intel FIRST Team
JANET CSIRT
JPCERT/CC
JPMC CIRT
JSOC
Juniper SIRT
KFCERT
KKCSIRT
KMD IAC
KN-CERT
KPN-CERT
KrCERT/CC
LITNET CERT
MCERT
MCI
MCIRT
MFCIRT
MIT Network Security
MLCIRT
MODCERT
MSCERT
MyCERT
NAB ITSAR
NASIRC
NCIRC CC
NCSA-IRST
NCSIRT
NGFIRST
NIHIRT
NISC
NIST
NN FIRST Team
Nombre Oficial del CSIRT
Israeli Academic CERT
Israel governmental computer emergency response team
ING Global CIRT
IP-Plus CERT
IPA-CERT
IRIS-CERT
IRS (Internal Revenue Service) Computer Security Incident Response
Team
Infosec Computer Emergency Response Team
Intel FIRST Team
JANET CSIRT
JPCERT Coordination Center
JPMorgan Chase Computer Incident Response Team
Japan Security Operation Center
Juniper Networks Security Incident Response team
Korea Financial Computer Emergency Response Team
Kakaku.com Security Incident Response Team
KMD Internet Alarm Center
Korea National Computer Emergency Response Team
Computer Emergency Response Team of KPN
KrCERT/CC
LITNET CERT
Motorola Cyber Emergency Response Team
MCI, Inc.
Metavante Computer Incident Response Team
McAfee Computer Incident Response Team
Massachusetts Institute of Technology Network Security Team
Merrill Lynch Computer Security Incident Response Team
MOD Computer Emergency Response Team
Microsoft Product Support Services Security Team
Malaysian Computer Emergency Response Team
National Australia Bank - IT Security Assessments and Response
NASA Incident Response Center
NATO Computer Incident Response Capability - Coordination Center
National Center for Supercomputing Applications IRST
NRI SecureTechnologies Computer Security Incident Response Team
Northrop Grumman Corporation FIRST
NIH Incident Response Team
National Information Security Center
NIST IT Security
Nortel FIRST Team
Página 38 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
CSIRT
NORDUnet
NTT-CERT
NU-CERT
NUSCERT
Nokia-NIRT
NorCERT
ORACERT
OS-CIRT
OSU-IRT
OxCERT
PRE-CERT
PSU
Pentest
Q-CERT
Q-CIRT
RBC FG CSIRT
RBSG
RM CSIRT
RU-CERT
RUS-CERT
Ricoh PSIRT
S-CERT
SAFCERT
SAIC-IRT
SAP CERT
SBCSIRT
SGI
SI-CERT
SIRCC
SITIC
SKY-CERT
SLCERT
SUNet-CERT
SURFcert
SWAT
SWITCH-CERT
SWRX CERT
Secunia Research
Siemens-CERT
Nombre Oficial del CSIRT
NORDUnet
NTT Computer Security Incident Response and Readiness Coordination
Team
Northwestern University
NUS Computer Emergency Response Team
Nokia Incident Response Team
Norwegian Computer Emergency Response Team
Oracle Global Security Team
Open Systems AG Computer Incident Response Team
The Ohio State University Incident Response Team
Oxford University IT Security Team
PRE-CERT
Pennsylvania State University
Pentest Security Team
Qatar CERT
QinetiQ Computer Incident Response Team
RBC Financial Group CSIRT
Royal Bank of Scotland, Investigation and Threat Management
ROYAL MAIL CSIRT CC
Computer Security Incident Response Team RU-CERT
Stabsstelle DV-Sicherheit der Universitaet Stuttgart
Ricoh Product Security Incident Response Team
CERT of the German Savings Banks Organization
Singapore Armed Forces Computer Emergency Response Team
Science Applications International Corporation - Incident Response
Team
SAP AG CERT
Softbank Telecommunications Security Incident Response Team
Silicon Graphics, Inc.
Slovenian CERT
Security Incident Response Control Center
Swedish IT Incident Centre
Skype Computer Emergency Response Team
Sri Lanka Computer Emergency Response Team
SUNet-CERT
SURFcert
A.P.Moller-Maersk Group IT-Security SWAT
Swiss Education and Research Network CERT
SecureWorks Computer Emergency Response Team
Secunia Research
Siemens-CERT
Página 39 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
CSIRT
SingCERT
Sprint
Stanford
Sun
SymCERT
TERIS
TESIRT
TS-CERT
TS/ICSA FIRST
TWCERT/CC
TWNCERT
Team Cymru
Telekom-CERT
ThaiCERT
UB-First
UCERT
UGaCIRT
UM-CERT
UNAM-CERT
UNINETT CERT
US-CERT
Uchicago Network Security
VISA-CIRT
VeriSign
YIRD
dCERT
dbCERT
e-Cop
e-LC CSIRT
esCERT-UPC
secu-CERT
Nombre Oficial del CSIRT
Singapore CERT
Sprint
Stanford University Information Security Services
Sun Microsystems, Inc.
Symantec Computer Emergency Response Team
Telefonica del Peru Computer Security Incidents Response Team
TELMEX Security Incident Response Team
TeliaSoneraCERT CC
TruSecure Corporation
Taiwan Computer Emergency Response Team/Coordination Center
Taiwan National Computer Emergency Response Team
Team Cymru
Telekom-CERT
Thai Computer Emergency Response Team
UB-First
Unisys CERT
The University of Georgia Computer Incident Response Team
University of Michigan CERT
UNAM-CERT
UNINETT CERT
United States Computer Emergency Readiness Center
The University of Chicago Network Security Center
VISA-CIRT
VeriSign
Yahoo Incident Response Division
debis Computer Emergency Response Team
Deutsche Bank Computer Emergency Response Team
e-Cop Pte Ltd
e-LaCaixa CSIRT
CERT for the Technical University of Catalunya
SECUNET CERT
Página 40 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.2. ENISA - EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY4
2.1.2.1.
Antecedentes
El 10 de marzo de 2004 se creó una Agencia Europea de Seguridad de las Redes y de la Información
(ENISA)5. Su objetivo era garantizar un nivel elevado y efectivo de seguridad de las redes y de la
información en la Comunidad Europea y desarrollar una cultura de la seguridad de las redes y la
información en beneficio de los ciudadanos, los consumidores, las empresas y las organizaciones del sector
público de la Unión Europea, contribuyendo así al funcionamiento armonioso del mercado interior. Desde
hace varios años, diferentes grupos europeos dedicados a la seguridad, como los CERT/CSIRT, los equipos
de detección y respuesta a abusos y los WARP, colaboran para que Internet sea más seguro.
La ENISA desea apoyar el esfuerzo realizado por estos grupos aportando información acerca de las
medidas que garantizan un nivel adecuado de calidad de los servicios. Además, la Agencia desea potenciar
su capacidad de asesorar a los Estados miembros de la UE y los órganos comunitarios en cuestiones
relacionadas con la cobertura de grupos específicos de usuarios de las TI con servicios de seguridad
adecuados. Por lo tanto, basándose en los resultados del grupo de trabajo ad-hoc de cooperación y apoyo
a los CERT, creado en 2005, este nuevo grupo de trabajo se encargará de asuntos relativos a la prestación
de servicios de seguridad adecuados (servicios de los CERT) a grupos de usuarios específicos.
2.1.2.2.
Servicios Ofrecidos
Para asegurar el cumplimiento de sus objetivos según lo precisado en su regulación, las tareas de la
agencia se enfocan en:
•
Asesorar y asistir a los Estados miembro en temas de seguridad de la información y a la industria en
problemas de seguridad relacionados con sus productos de hardware y de software.
•
Recopilar y analizar datos sobre incidentes de la seguridad en Europa y riesgos emergentes.
•
Promover métodos de gestión de riesgo de la seguridad de la información.
Los principales servicios que promueven son:
4Tomado
de: http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf. U.A: 2008/09/26. Publicado
por: ENISA. Autor: No determinado.
5
Reglamento (CE) nº 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la
Agencia Europea de Seguridad de las Redes y de la Información. Una “agencia europea” es un órgano creado por la
UE para realizar una tarea técnica, científica o de gestión muy concreta perteneciente al ámbito comunitario de la UE.
Página 41 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Servicios Reactivos
•
•
•
•
•
•
•
•
•
•
Alertas y
advertencias
Tratamiento de
incidentes
Análisis de
incidentes
Apoyo a la
respuesta a
incidentes
Coordinación de la
respuesta a
incidentes
Respuesta a
incidentes in situ
Tratamiento de la
vulnerabilidad
Análisis de la
vulnerabilidad
Respuesta a la
vulnerabilidad
Coordinación de la
respuesta a la
vulnerabilidad
Servicios Proactivos
•
•
•
•
•
•
•
Manejo de Instancias
Comunicados
Observatorio de
tecnología
Evaluaciones o
auditorías de la
seguridad
Configuración y
mantenimiento de
la seguridad
Desarrollo de
herramientas de
seguridad
Servicios de
detección de
intrusos
Difusión de
información
relacionada con la
seguridad
•
•
•
Análisis de
instancias
Respuesta a las
instancias
Coordinación de la
respuesta a las
instancias
Página 42 de 192
Gestión de la Calidad de
la Seguridad
• Análisis de riesgos
• Continuidad de la
operación y
recuperación tras un
desastre
• Consultoría de
seguridad
• Sensibilización
• Educación /
Formación
• Evaluación o
graduación de
productos
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.2.3.
Estructura
Ilustración 2: Estructura de ENISA
2.1.2.4.
Área de Influencia
ENISA cubre la Comunidad Económica Europea y sus países miembros son: Austria, Bélgica, Bulgaria, Chipre,
República Checa, Dinamarca, Estonia, Finlandia, Francia, Alemania, Grecia, Hungría, Irlanda, Italia, Latvia, Lituania,
Luxemburgo, Malta, Países Bajos, Polonia, Portugal, Rumania, Eslovaquia, Eslovenia, España, Suecia, Reino Unido,
Noruega, Islandia, Liechtenstein.
Página 43 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.3. APCERT6 - ASIA PACIFIC COMPUTER EMERGENCY RESPONSE TEAM
2.1.3.1.
Antecedentes
APCERT ha sido constituida con la misión de mantener una red de contactos de expertos en seguridad
informática en la región Pacífica de Asia, para mejorar el conocimiento y la capacidad de la región en lo
referente a incidentes de la seguridad de la computadora.
2.1.3.2.
Servicios Ofrecidos
•
Impulsar la cooperación regional e internacional de Asia pacífica en seguridad de la información.
•
Tomar medidas comunes para atender incidentes de seguridad de la red.
•
Facilitar compartir información e intercambio de tecnología, relacionada con seguridad de la
información, virus informáticos y código malévolo, entre sus miembros.
•
Promover la investigación y colaboración en temas del interés en sus miembros.
•
Asistir a otros CERTs y CSIRTS en la región para conducir respuestas eficiente y eficaz a emergencia
computacionales.
•
Generar recomendaciones de ayudar en cuestiones legales relacionadas con la respuesta a incidentes
de seguridad y de emergencias informáticas en la región.
2.1.3.3.
Estructura
Miembros de pleno derecho
Equipo
AusCERT
BKIS
CCERT
CERT-En
CNCERT/ CC
HKCERT
ID-CERT
JPCERT /CC
6Tomado
Nombre oficial del equipo
Australian Computer Emergency Response Team
Bach Khoa Internetwork Security Center
CERNET Computer Emergency Response Team
Indian Computer Emergency Response Team
National Computer network Emergency Response
technical Team / Coordination Center of China
Hong Kong Computer Emergency Response Team
Coordination Centre
Indonesia Computer Emergency Response Team
Japan Computer Emergency Response Team /
Economía
Australia
Vietnam
República Popular de China
India
República Popular de China
Hong Kong, China
Indonesia
Japón
de: http://www.apcert.org/. U.A: 2008/09/26. Publicado por: APCERT. Autor: No determinado.
Página 44 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Equipo
KrCERT/CC
MyCERT
PHCERT
SingCERT
ThaiCERT
TWCERT /CC
TWNCERT
Nombre oficial del equipo
Coordination Center
Korea Internet Security Center
Malaysian Computer Emergency Response Team
Philippine Computer Emergency Response Team
Singapore Computer Emergency Response Team
Thai Computer Emergency Response Team
Taiwan Computer Emergency Response Team /
Coordination Center
Taiwan National Computer Emergency Response Team
Economía
Corea
Malasia
Filipino
Singapur
Tailandia
Taipei china
Taipei china
Miembros Generales
Equipo
BP DSIRT
BruCERT
GCSIRT
NUSCERT
SLCERT
VNCERT
2.1.3.4.
Nombre oficial del equipo
BP Digital Security Incident Response Team
Brunei Computer Emergency Response Team
Government Computer Security and Incident Response
Team
National University of Singapore Computer Emergency
Response Team
Sri Lanka Computer Emergency Response Team
Vietnam Computer Emergency Response Team
Economía
Singapur
Negara Brunei Darussalam
Filipinas
Singapur
Sri Lanka
Vietnam
Área de Influencia
La región de Asia Pacífico
2.1.4. CERT - COORDINATION CENTER DE LA UNIVERSIDAD CARNEGIE MELLON7
2.1.4.1.
Antecedentes
El equipo del CERT CSIRT ayuda a organizaciones para desarrollar, para funcionar, y para mejorar
capacidades de la gerencia del incidente. Las organizaciones pueden aprovecharse de los productos, del
entrenamiento, de los informes, y de los talleres para la comunidad global del Internet.
El centro de coordinación del CERT (CERT/CC), es uno de los grupos con mayor reconocimiento en el
campo de los CERTs. Aunque fue establecido como equipo de respuesta a incidente, el CERT/CC se ha
desarrollado más allá, centrándose en identificar las amenazas potenciales, de notificar a los
7
CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute - Carnegie
Mellon University. Autor: No determinado.
Página 45 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
administradores de sistemas y al personal técnico acerca de dichas amenazas y de coordinar con los
proveedores y los equipos CERT en todo el mundo para tratar las amenazas.
2.1.4.2.
Servicios Ofrecidos
Las áreas en las cuales puede ayudar son:
•
Análisis de vulnerabilidades, esperando identificar y atenuar los impactos antes de que se conviertan en
una amenaza significativa de la seguridad. Una vez que se identifica una vulnerabilidad, se trabaja con
los proveedores apropiados de la tecnología para resolver la acción.
•
Además de identificar vulnerabilidades, previenen la introducción de nuevas amenazas, estableciendo
prácticas que los proveedores pueden utilizar mejorar la seguridad y la calidad de su software.
•
Promueven el desarrollo de una capacidad global de la respuesta, ayudando a organizaciones y a
países a establecer los Equipos de Respuesta a Incidente de la Seguridad Informática (CSIRTs) y
trabajan con los equipos existentes para coordinar la comunicación y la respuesta durante
acontecimientos importantes de seguridad.
•
Examinan, catalogan y hacen ingeniera inversa sobre códigos malévolos. Estas actividades ayudan a
entender mejor cómo el código trabaja y permiten que se identifiquen las tendencias y los patrones
que pueden revelar vulnerabilidades explotables u otras amenazas potenciales.
•
Promueven el intercambio de información referente a los servicios de seguridad:
•
Avisos de prevención
•
Actualizaciones de las actividades de seguridad
•
Análisis y entrenamiento en incidentes
•
Alertas
•
Investigación en tendencias, amenazas y riesgos
•
Generan intercambios Técnicos
•
Consultoría, entrenamiento y desarrollo de habilidades técnicas.
•
Intercambios técnicos de personal o afiliados residentes
•
Herramienta de desarrollo y ayuda
Página 46 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Análisis de vulnerabilidad
•
Análisis de hardware
•
Red de supervisión y análisis
•
Evalúan la madurez y capacidad del CSIRT
•
Interactúan para el patrocinio de FIRST y presentación a otras organizaciones y socios estratégicos
•
Hacen análisis de la infraestructura crítica
2.1.4.3.
Estructura
El Carnegie Mellon CyLab es una iniciativa universitaria, multidisciplinaria que implica más de 200
facultades, estudiantes, y personal en Carnegie Mellon que han construido el liderazgo en tecnología de
información de Carnegie Mellon. Los trabajos de CyLab se centran en la coordinación del CERT (CERT/CC),
el conducir un centro reconocido internacionalmente de seguridad de Internet. A través de su conexión al
CERT/CC, CyLab también trabaja de cerca con US-CERT - una sociedad entre el departamento de la
división nacional de la seguridad de la Ciberseguridad del gobierno (NCSD) y del sector privado,
protegiendo la infraestructura nacional de la información en Estados Unidos.
2.1.4.4.
Área de Influencia
Ilustración 3: CERT apoyados por el Centro de Coordinación de la Universidad Carnegie Mellon
Página 47 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.5. TERENA8 - TRANS-EUROPEAN RESEARCH AND EDUCATION NETWORKING ASSOCIATION
2.1.5.1.
Antecedentes
La Asociación Trans Europea de Redes de Investigación y Educación – TERENA (Trans-European Research
and Education Networking Association) ofrece un foro de colaboración, innovación y compartir
conocimiento para fomentar el desarrollo de la tecnología, de la infraestructura y de los servicios del
Internet que se utilizan por la comunidad de Investigación y educación.
Los objetivos de TERENA se orientan a promover y participar en el desarrollo de información de alta
calidad y de una infraestructura de telecomunicaciones internacionales en beneficio de la investigación y de
la educación.
2.1.5.2.
Servicios Ofrecidos
Las principales actividades de TERENA son:
•
Proveer un ambiente de fomento de nuevas iniciativas en la investigación en la comunidad europea
para el establecimiento de una red de conocimiento.
•
Empalmar el soporte europeo para evaluar, probar, integrar y promover nuevas tecnologías del
establecimiento de una red de conocimiento.
•
Organizar conferencias, talleres y seminarios para el intercambio de la información en Comunidad
europea para el establecimiento de una red de investigación y buscar transferencia del conocimiento a
organizaciones menos avanzadas.
Junto con FIRST, TERENA organiza regularmente talleres de entrenamiento para los miembros de los
Equipos de Respuesta al incidente de Seguridad Computacional (CSIRTs), con base en materiales
desarrollados originalmente por el proyecto TRANSITS que funcionó entre 2002 y 2005.
TRANSITS era originalmente un proyecto financiado por la Comunidad Económica Europea para promover
el establecimiento de los equipos de la respuesta del incidente de la seguridad de la computadora (CSIRTs)
tratando el problema de la escasez del personal experto en CSIRTs. Esta meta ha sido tratada
proporcionando cursos de especialización al personal de CSIRTs en temas organizacionales, operacionales,
técnicos, de mercado y temas legales implicados en el establecimiento de un CSIRT.
Desde que el proyecto TRANSITS terminó en septiembre de 2005, TERENA y FIRST unieron sus fuerzas
para organizar talleres a través de Europa, con la ayuda de ayuda financiera de varias organizaciones. Los
talleres más recientes han sido co-organizados y patrocinados por ENISA.
8
Tomado de: http://www.terena.org/. U.A: 2008/09/26. Publicado por: Terena. Autor: No determinado.
Página 48 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.5.3.
Estructura
La estructura de TERENA incluye:
•
Asamblea General de TERENA
•
Asamblea General Representantes
•
Comité ejecutivo Técnico de TERENA
•
Comité Técnico de TERENA
•
Consejo Consultivo Técnico
•
Secretaría
2.1.5.4.
Área de Influencia
ACOnet, Austria
FCCN, Portugal
MREN, Montenegro
AMRES - University of
Belgrade, Serbia
ARNES, Slovenia
BELNET, Belgium
FUNET, Finland
PCSS, Poland
SURFnet, The
Netherlands
SWITCH, Switzerland
GARR, Italy
GRNET, Greece
RedIRIS, Spain
RENATER, France
UIIP NASB, Belarus
ULAKBIM, Turkey
BREN, Bulgaria
CARNet, Croatia
CESNET, Czech Republic
HEAnet, Ireland
HUNGARNET, Hungary
IUCC, Israel
RESTENA, Luxembourg
RHnet, Iceland
RoEduNet, Romania
UNI-C, Denmark
UNINETT, Norway
Malta, University of
Malta
CYNET, Cyprus
JANET(UK), United
Kingdom
LITNET, Lithuania
MARNET, FYR of
Macedonia
SANET, Slovakia
DFN, Germany
EENet, Estonia
SigmaNet, Latvia
SUNET, Sweden
Página 49 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.6. ALEMANIA - CERT-BUND9
BUNDESBEHÖRDEN)
2.1.6.1.
(COMPUTER
EMERGENCY
RESPONSE
TEAM
FÜR
Antecedentes
La Oficina Federal para la Seguridad en la Tecnología de Información (Bundesamt für Sicherheit in der
Informationstechnik - BSI) es la central de servicios de seguridad del gobierno y por ende, asume la
responsabilidad de la seguridad de la sociedad, convirtiéndose en la columna básica de la seguridad interna
en Alemania.
Mantiene contacto con los usuarios (administraciones públicas, gobierno y los municipios, así como las
empresas y los usuarios privados) y fabricantes de tecnología de información.
En Septiembre de 2001 se creo el contexto de la reorganización del BSI CERT-BUND (Equipo de Respuesta
a Emergencias Computacionales para las autoridades federales). Los ataques de virus computacionales
repetidos a las redes y sistemas, creo la necesidad de contar con un lugar central para la solución de los
problemas de la seguridad informática, enfocados en prevenir los agujeros de seguridad en los sistemas
informáticos del gobierno, con reacción siete días la semana.
2.1.6.2.
Servicios Ofrecidos
Entre las tareas del CERT están:
•
Generar y publicar recomendaciones preventivas para evitar las acciones que generen daños.
•
Identificar puntos débiles del hardware y software.
•
Sugerir medidas de recuperación de los agujeros de seguridad,
•
Advertir situaciones especiales de amenaza relacionadas con la tecnología de información.
•
Recomendar medidas reactivas para delimitar daños.
•
Investigar riesgos de seguridad con el uso de la tecnología de información así como desarrollar las
medidas de seguridad.
•
Desarrollar criterios de prueba.
•
Evaluar la seguridad en sistemas información.
9
Tomado de: http://www.bsi.bund.de/certbund/. U.A: 2008/09/26. Publicado por: Bundesamt für Sicherheit in der
Informationstechnik (BSI). Autor: No determinado.
Página 50 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Ayudar de las autoridades gubernamentales en temas relacionados con la seguridad en la tecnología de
información.
2.1.6.3.
Área de Influencia
Alemania
2.1.7. ARABIA SAUDITA - CERT-SA10 (COMPUTER EMERGENCY RESPONSE TEAM - SAUDI
ARABIA)
2.1.7.1.
Antecedentes
El Equipo de Respuesta a Emergencia Computacionales (CERT-SA) es un organismo sin ánimo de lucro
establecido para desempeñar un papel importante en la creación de conocimiento, la administración, la
detección, la prevención, la coordinación y la respuesta a los incidentes de seguridad de la información a
nivel nacional en Arabia Saudita.
Su misión se establece en torno a los siguientes objetivos orientados a Arabia Saudita:
•
Incrementar el nivel de conocimiento acerca de la seguridad de la información.
•
Coordinar a nivel nacional los esfuerzos para promover las mejores prácticas de la seguridad y crear
confianza entre la comunidad del ciberespacio.
•
Ayudar a manejar ataques e incidentes de la seguridad de la información.
•
Ser la referencia en seguridad de la información para la comunidad de Ciberespacio.
•
Construir talento y capacidad humana en el campo de la seguridad de la información.
•
Proporcionar un ambiente de confianza para las e-transacciones.
•
Fomentar la confianza, cooperación y colaboración entre los componentes y la ciber-comunidad de
Arabia Saudita.
2.1.7.2.
•
10
Servicios Ofrecidos
Gerencia de la calidad de la seguridad
Tomado de: http://www.cert.gov.sa/. U.A: 2008/09/26. Publicado por:CERT-SA. Autor: No determinado.
Página 51 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Construcción de conocimiento: Proporciona conocimiento y dirección en temas de seguridad de la
información para una mejor adecuación a las prácticas aceptadas en seguridad informática, vía portal,
campaña y seminarios.
•
Educación / Entrenamiento: Provee educación en seguridad de la información con el entrenamiento
interno ajustado para requisitos particulares y en colaboración con instituciones de entrenamiento.
•
Servicios Proactivos
•
Aviso: Genera alarmas de seguridad de la información que incluye pero no se limitado a la intrusión,
advertencias de vulnerabilidad y asesorías en la seguridad a través del portal.
•
Difunde información relacionada con la seguridad.
•
Servicios reactivos
•
Alarmas y advertencia: Difunde información que describe intrusos, vulnerabilidades de la seguridad,
alarmas de intrusión, virus informáticos, bromas y establece la línea de conducta relevante para
enfrentar problemas específicos.
•
Ayuda de la respuesta del incidente: Asiste en la recuperación de incidentes vía teléfono, email, fax, o
documentación. Puede implicar asistencia técnica en la interpretación de los datos y orienta en
estrategias de mitigación y recuperación.
•
Análisis del incidente: Examina la información disponible y evidencia de soporte relacionados con un
incidente, con el fin de identificar el alcance del incidente, el grado del daño causado por el incidente,
la naturaleza del incidente y las estrategias de respuesta.
2.1.7.3.
Área de Influencia
Arabia Saudita
2.1.8. ARGENTINA
ARCERT11
TELEINFORMÁTICAS)
2.1.8.1.
(COORDINACIÓN
DE
EMERGENCIAS
EN
REDES
Antecedentes
En el año 1999, la Secretaría de la Función Pública de la Jefatura de Gabinete de Ministros de Argentina
dispuso la creación de ArCERT, unidad de respuesta ante incidentes en redes que centraliza y coordina los
11
Tomado de: http://www.arcert.gov.ar/. U.A: 2008/09/26. Publicado por:Subsecretaría de Tecnología de Gestión,
Secretaría de la Gestión Pública, Argentina. Autor: No determinado.
Página 52 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
esfuerzos para el manejo de los incidentes de seguridad que afecten los recursos informáticos de la
Administración Pública Nacional, es decir cualquier ataque o intento de penetración a través de sus redes
de información.
Adicionalmente difunde información con el fin de neutralizar dichos incidentes, en forma preventiva o
correctiva, y capacita al personal técnico afectado a las redes de los organismos del Sector Público
Nacional. ArCERT comenzó a funcionar en mayo de 1999 en el ámbito de la Subsecretaría de la Gestión
Pública, siendo sus principales funciones:
•
Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administración Pública Nacional y
facilitar el intercambio de información para afrontarlos.
•
Proveer un servicio especializado de asesoramiento en seguridad de redes.
•
Promover la coordinación entre los organismos de la Administración Pública Nacional para prevenir,
detectar, manejar y recuperar incidentes de seguridad.
•
Actuar como repositorio de toda la información sobre incidentes de seguridad, herramientas y técnicas
de defensa
ArCERT cumple funciones de naturaleza eminentemente técnica. No pretende investigar el origen de los
ataques ni quienes son sus responsables. Corresponde al responsable de cada organismo efectuar las
denuncias para iniciar el proceso de investigación
2.1.8.2.
Servicios Ofrecidos
Servicios: Todos los servicios que el ArCERT brinda a los Usuarios son gratuitos y no implican erogación
alguna para el Organismo representado.
•
Acceso al Sitio Privado de ArCERT
•
Análisis y seguimiento de los incidentes de seguridad reportados
•
Difusión de información sobre las principales fallas de seguridad en productos
•
Recomendación de material de lectura
•
Asesorías sobre seguridad informática
•
Acceder a la utilización del Producto SiMoS (Sistema de Monitoreo de Seguridad)
•
Acceso a la Base de Conocimiento de Seguridad del ArCERT
Página 53 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Acceso a las Herramientas de Seguridad seleccionadas por el ArCERT
Servicios por Pedidos de Asistencia Específicos
•
Instalación y configuración de Firewall de libre disponibilidad
•
Instalación y configuración de IDS de libre disponibilidad
•
Análisis de la topología de red
•
Análisis perimetrales y visibilidad de la red
•
Búsqueda de vulnerabilidades en los servidores de red
•
Recomendaciones para robustecer los Sistemas Operativos y las Aplicaciones
Productos
•
SIMOS - Sistema de Monitoreo de Seguridad: Permite detectar las vulnerabilidades conocidas de los
servidores, que brinden servicio a través de Internet, de los organismos de la Administración Pública
•
FW-APN - Firewall de libre disponibilidad para la Administración Pública Nacional: Solución basada en
software de libre disponibilidad, eficiente, robusta y de bajos requerimientos que cubre las necesidades
de Firewall en la mayoría de las redes de la Administración Pública Nacional. Funciona directamente
desde CD-ROM.
•
DNSar - Sistema de Análisis de Servidores y Dominios DNS: DNSar es un software desarrollado por
ArCERT para analizar los servidores y dominios DNS en busca de posibles errores de configuración y
funcionamiento.
•
CAL - Coordinación y Análisis de Logs (En desarrollo): CAL es un conjunto de software, de fácil
instalación, que los organismos pueden instalar en una máquina dedicada para la detección de alertas
de seguridad en su red. Además, estas alertas son reenviadas a ArCERT para una visión macro de
estado de seguridad de la administración pública.
2.1.8.3.
Estructura
ArCERT está sustentado por un grupo de especialistas, que hoy conforman el equipo de seguridad en
redes, dedicado a investigar sobre incidentes, hacking, herramientas de protección y detección, etc., con
conocimientos y experiencia entre otras, en las siguientes áreas: tecnologías informáticas, Firewalls,
seguridad en Internet é Intranet, detección y erradicación de intrusos, políticas y procedimientos de
seguridad, administración de riesgos, etc.
Página 54 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Funciona en la Oficina Nacional de Tecnologías de Información de la Subsecretaría de Tecnologías de
Gestión de la Secretaría de Gabinete y Gestión Pública de la Jefatura de Gabinete de Ministros de
Argentina.
2.1.8.4.
Área de Influencia
Argentina
2.1.9. AUSTRALIA - AUSCERT12 (AUSTRALIA COMPUTER EMERGENCY RESPONSE TEAM)
2.1.9.1.
Antecedentes
AusCERT es el Equipo de Respuesta a Emergencias Computacionales nacional para Australia y proporciona
asesoría en temas de seguridad de la información de la computadora, a la comunidad australiana y a sus
miembros, como punto único de contacto para ocuparse de dichos incidentes de seguridad que afectan o
que implican redes australianas.
AusCERT supervisa y evalúa amenazas globales de la red de computadores y las vulnerabilidades. AusCERT
publica boletines de seguridad, incluyendo estrategias recomendadas de prevención y mitigación.
AusCERT ofrece servicios de administración de incidentes que puede ser una manera eficaz de parar un
ataque en curso de la computadora o proporcionar la asesoría práctica en la respuesta y recuperación de
un ataque.
2.1.9.2.
Servicios Ofrecidos
Las organizaciones del miembro de AusCERT gozan de un número de servicios no disponibles al público en
general. Estos servicios incluyen:
•
Servicio de la detección temprana.
•
Acceso vía Web site a contenidos exclusivos.
•
Entrega vía email de boletines de seguridad.
•
Acceso a Foros.
•
Servicios de gerencia del incidente: incluyen la coordinación del incidente y la dirección del incidente.
12
Tomado de: http://www.auscert.org.au/. U.A: 2008/09/26. Publicado por: AusCERT, The University of Queensland,
Brisbane QLD 4072, Australia. Autor: No determinado.
Página 55 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Supervisión, evaluación y asesoría acerca de la vulnerabilidad y amenazas.
•
Los miembros de AusCERT reciben boletines de la seguridad vía email. Los no miembros pueden
suscribir al servicio de alerta libre nacional.
•
AusCERT investiga el ambiente de la seguridad del Internet para el gobierno y la industria dentro de
Australia. Estructura
AusCERT es una organización independiente, sin ánimo de lucro, con base en la Universidad de
Queensland, como parte del área de Servicios de Tecnología de la Información.
AusCERT cubre sus gastos con una variedad de fuentes incluyendo suscripciones de miembros y el
entrenamiento y educación en seguridad informática.
Es miembro activo del Foro FIRST y del Equipo de Respuesta a Emergencia Informática de Asia Pacífico
(APCERT), AusCERT tiene acceso a la información sobre amenazas y vulnerabilidades de la red de
computadores que surgen de manera regional y global.
2.1.9.3.
Área de Influencia
Australia y Asia en la región pacífica
2.1.10.
AUSTRIA - CERT.AT13 (COMPUTER EMERGENCY RESPONSE TEAM AUSTRIA)
2.1.10.1. Antecedentes
CERT.at es el CERT austríaco nacional que comenzó como un ensayo en marzo de 2008. Como el CERT
nacional, CERT.at es el punto de contacto primario para la seguridad informática en el contexto nacional.
CERT.at coordina otro CERT que funciona en el área de la infraestructura crítica o de la infraestructura de
la comunicación. En el caso de ataques en línea significativos contra la infraestructura austríaca, CERT.at
coordina la respuesta de los operadores y de los equipos locales de la seguridad.
2.1.10.2. Servicios Ofrecidos
•
Respuesta al incidente: CERT.at asiste al equipo de seguridad en el manejo de los aspectos técnicos y
de organización de incidentes. Particularmente, proporciona ayuda o asesoría con respecto a los
aspectos siguientes de la administración del incidente:
•
Determina si un incidente es auténtico y define la prioridad requerida.
13
Tomado de: www.cert.at. U.A: 2008/09/26. Publicado por: Computer Emergency Response Team Austria. Autor: No
determinado.
Página 56 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Coordinación del incidente: Investiga el incidente y toma las medidas apropiadas. Facilita el contacto
con otros participantes que puedan ayudar a resolver el incidente.
•
Resolución del incidente. Recomienda las acciones apropiadas.
•
Actividades Proactivas:
•
Recopila información de contacto de los equipos locales de seguridad.
•
Publica avisos referentes a amenazas serias de la seguridad.
•
Informa acerca de tendencias en tecnología y distribuyen conocimiento relevante.
•
Ofrece foros para construir la comunidad e intercambiar información.
2.1.10.3. Área de Influencia
Austria
2.1.11.
BRASIL - CERT.BR14 (COMPUTER EMERGENCY RESPONSE TEAM BRAZIL)
2.1.11.1. Antecedentes
El CERT.br es el equipo de respuesta a los incidentes de seguridad para el Internet brasileño, responsable
de recibir, analizar y responder a dichos incidentes.
Más allá del proceso de respuesta a los incidentes en sí mismo, el CERT.br también actúa sobre los
problemas de la seguridad, la correlación entre los acontecimientos en el Internet brasileño y de ayuda al
establecimiento de nuevos CSIRTs en el Brasil.
2.1.11.2. Servicios Ofrecidos
Los servicios dados para el CERT.br incluyen:
•
Ser un único punto para las notificaciones de los incidentes de seguridad, para proveer la coordinación
y la ayuda necesaria en el proceso de respuesta a los incidentes, contactando las piezas implicadas
cuando sea necesario.
14Tomado
de: http://www.cert.br. U.A: 2008/09/26. Publicado por: Comitê Gestor da Internet no Brasil (CGI.br). Autor:
No determinado.
Página 57 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Establecer un trabaje colaborativo con otras entidades, como el gobierno, los proveedores de acceso y
servicios y de Internet.
•
Dar apoyo al proceso de recuperación y al análisis de sistemas.
•
Entrenar en la respuesta a los incidentes de seguridad, especialmente a los miembros de CSIRTs y de
las instituciones que están creando sus propios grupos.
2.1.11.3. Área de Influencia
Brasil
2.1.12.
CANADÁ - PSEPC15 (PUBLIC SAFETY EMERGENCY PREPAREDNESS CANADA)
2.1.12.1. Antecedentes
El Centro Canadiense de Respuesta a Ciberincidentes (CCIRC) es responsable de supervisar amenazas y de
coordinar la respuesta nacional a cualquier incidente de la seguridad del ciberespacio. Su foco es la
protección de la infraestructura crítica nacional contra incidentes.
El centro es una parte del Centro de Operaciones del Gobierno y un componente importante en la
preparación de la seguridad nacional para atender emergencias en los peligros que acechan al gobierno.
Las iniciativas actuales incluyen:
•
Coordinación de la respuesta del incidente a través de jurisdicciones.
•
Fomentar el compartir la información entre las organizaciones y las jurisdicciones
•
Generar las advertencias en torno a la seguridad.
•
Divulgación de incidentes
•
Desarrolla estándares operacionales de seguridad de la tecnología de información y documentación
técnica en temas tales como supervisión del sistema y software malévolo.
15
Tomado de: http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp. U.A: 2008/09/26. Publicado por: Gobierno de Canadá.
Autor: No determinado.
Página 58 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Servicios de inteligencia canadienses de la seguridad: Investiga y analiza amenazas del ciberespacio a
la seguridad nacional. También proporciona asesoría en la seguridad e inteligencia, incluyendo
amenazas y la información de riesgos.
•
Establecimiento de la seguridad de comunicaciones: Proporciona asesoría y dirección en la protección
del gobierno acerca de la información electrónica de Canadá y de la infraestructura de la información.
También ofrece ayuda técnica y operacional a las agencias federales en la aplicación de la Ley de
Seguridad.
2.1.12.2. Servicios Ofrecidos
CCIRC le proporciona los servicios a los profesionales y los encargados de la infraestructura crítica y de
otras industrias relacionadas. Estos servicios se hacen sin cargo alguno:
•
Coordinación 7*24 y ayuda a la respuesta del incidente.
•
Supervisión 7*24 y análisis del ambiente de la amenaza del ciberespacio.
•
Asesoría técnica 7*24 relacionada con seguridad de la tecnología de información
•
Construcción de la capacidad nacional (estándares, mejores prácticas, conocimiento, educación)
2.1.12.3. Área de Influencia
Canadá
2.1.13.
CHILE – CSIRT-GOV16
2.1.13.1. Antecedentes
Tiene como propósito contribuir a asegurar el ciberespacio del Gobierno de Chile, en conformidad con lo
señalado en el artículo 17 de la Agenda Digital. Su misión es constituirse como referente en materias de
seguridad informática para todos los servicios que forman parte de la administración del Estado.
CSIRT Chile es dirigido por la jefatura de la División Informática del Ministerio del Interior.
16Tomado
de: http://www.csirt.gov.cl/. U.A: 2008/09/26. Publicado por: Ministerio del Interior, Palacio de la Moneda,
Santiago de Chile. Autor: No determinado.
Página 59 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.13.2. Servicios Ofrecidos
El equipo de trabajo CSIRT Chile ofrece a los sistemas y redes gubernamentales los siguientes servicios:
•
Monitoreo de actividades y detección de anomalías.
•
Apoyo forense en respuesta a incidentes computacionales.
•
Asesoría en la generación e implementación de políticas y sistemas de seguridad.
•
Boletines de alertas adecuadamente traducidos y adaptados a las necesidades nacionales.
•
Asesoría en la implementación del decreto supremo 83/2004 del Ministerio Secretaría General de la
Presidencia.
2.1.13.3. Estructura
El CSIRT Chile es una unidad dependiente de la División de Informática del Ministerio del Interior.
2.1.13.4. Área de Influencia
Chile
2.1.14.
CHILE - CLCERT17 (GRUPO CHILENO DE RESPUESTA A INCIDENTES DE SEGURIDAD
COMPUTACIONAL)
2.1.14.1. Antecedentes
El Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional – CLCERT, tiene como misión
monitorear y analizar los problemas de seguridad de los sistemas computacionales en Chile, y reducir la
cantidad de incidentes de seguridad perpetrados desde y hacia éstos.
Desde comienzos de 2004, el CLCERT se auto-financia a través de su área de capacitación, asesorías en la
generación de políticas públicas concernientes a seguridad de sistemas informáticos y proyectos de
colaboración con el sector productivo.
Para ello, CLCERT se constituye como un punto nacional de encuentro, contacto y coordinación entre
instituciones y personas relacionadas del medio local.
17Tomado
de: http://www.clcert.cl. U.A: 2008/09/26. Publicado por: FCFM Ingeniería, Universidad de Chile. Autor: No
determinado.
Página 60 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.14.2. Servicios Ofrecidos
El CLCERT tiene como principales objetivos:
•
Entregar en forma oportuna y sistemática información sobre vulnerabilidades de seguridad y amenazas
•
Divulgar y poner a disposición de la comunidad información que permita prevenir y resolver estos
incidentes de seguridad
•
Educar a la comunidad en general sobre temas de seguridad, promoviendo las políticas que permiten
su implementación.
•
CLCERT promueve el uso de Internet, los sistemas computacionales abiertos, y las tecnologías de la
información, haciendo sus usos más seguros y que por lo tanto gocen de la confianza de la comunidad
que los utiliza.
2.1.14.3. Estructura
El origen del CLCERT (fines de 2001) está estrechamente ligado al del Laboratorio de Criptografía Aplicada
y Seguridad (CASLab). Surge como una forma en que el CASLab se vincula con el medio local.
El CLCERT y el CASLab conforman una misma unidad y comparten financiamiento, pero los ámbitos de
acción son distintos. El CASLab prioriza las actividades de investigación, formación de capital humano
altamente especializado y tiene por ámbitos de acción el medio académico principalmente internacional. El
CLCERT prioriza actividades de formación profesional, extensión, transferencia tecnológica y tiene por
principal ámbito de acción el medio local.
2.1.14.4. Área de Influencia
Chile
2.1.15.
CHINA - CNCERT/CC18 (NATIONAL COMPUTER NETWORK EMERGENCY RESPONSE
TECHNICAL TEAM)
2.1.15.1. Antecedentes
El Equipo Técnico Nacional de Respuesta a Emergencias de Redes Computacionales / Centro de
Coordinación de China CNCERT/CC (National Computer Network Emergency Response Technical Team /
Coordination Center of China) es una organización funcional que opera en la Oficina de Coordinación de
Respuesta a Emergencia de Internet del Ministerio de la Industria de Información de China y que es
18
Tomado de: http://www.cert.org.cn/english_web/. U.A: 2008/09/26. Publicado por: CNCERT/CC. Autor: No
determinado.
Página 61 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
responsable de la coordinación de actividades entre todos los equipos de Respuesta a Emergencias
Computacionales de China relacionadas con incidentes en las redes públicas nacionales.
CNCERT/CC fue fundado en octubre de 2000 y se hizo miembro de FIRST en agosto de 2002. CNCERT/CC
formó parte activa en el establecimiento de APCERT como miembro del comité de dirección de APCERT. Así
CNCERT/CC está parado para una nueva plataforma para una cooperación internacional mejor y un interfaz
prestigioso de la respuesta del incidente de la seguridad de la red de China.
2.1.15.2. Servicios Ofrecidos
Proporciona servicios de seguridad de la red de computadores y brinda orientación para el manejo de los
incidentes de seguridad para las redes públicas nacionales, los sistemas nacionales importantes y las
principales organizaciones, incluyendo la detección, predicción, respuesta y prevención. Recopila, verifica,
acumula y publica la información relacionada con la seguridad del Internet. Es también responsable del
intercambio de la información y la coordinación de acciones con organizaciones de la seguridad
internacional.
•
Recopila información oportuna sobre acontecimientos de seguridad.
•
Supervisión de Incidentes: Detecte los problemas y acontecimientos severos de la seguridad a tiempo,
y entrega prevenciones y apoyo a las organizaciones relacionadas.
•
Dirección del Incidente.
•
Análisis de datos de los incidentes de seguridad.
•
Recopila y mantiene la información básica pertinente, incluyendo vulnerabilidades, correcciones,
herramientas y las últimas tecnologías de seguridad.
•
Investigación sobre las tecnologías de seguridad.
•
Entrenamiento en seguridad: Proporciona los cursos en respuesta de la emergencia, las tecnologías
requeridas, la orientación y la construcción del CERT.
•
Ofrece servicios de consultoría técnica en el manejo de incidentes de seguridad.
•
Promueve el intercambio internacional, organizando CERTs locales para orientar la cooperación y el
intercambio internacionales.
Página 62 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.15.3. Estructura
Ilustración 4: Estructura CNCERT/CC
El CNCERT/CC hace parte del Sistema de la Red Pública Nacional de Respuesta a Emergencias de
Seguridad China:
Página 63 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Ilustración 5: Sistema de la Red Pública Nacional de Respuesta a Emergencias de Seguridad China
2.1.15.4. Área de Influencia
China
Página 64 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.16.
COREA DEL SUR - KRCERT/CC19 (CERT COORDINATION CENTER KOREA)
2.1.16.1. Antecedentes
Para hacer frente a los ataques informáticos, prevenir los casos de infracción de seguridad informática y
reducir al mínimo los posibles daños en Corea, el Centro de Seguridad del Internet de Corea ha dedicado
su energía a definir las medidas y metodología eficaces para dar respuesta técnica a los ataques, para la
protección de la red de comunicaciones, de la infraestructura de la red y para el refuerzo del sistema de la
predicción y de alarmas.
Desde julio de 1996 se establece el equipo coreano de respuestas a la emergencia computacional llamado
CERTCC-KR.
En junio de 1997 se establece la Organización de Respuesta al Incidente en el Asia Pacífico
En febrero de 1998 se establece como el primer miembro coreano en el FIRST (foro de Equipos de la
Respuesta y de la Seguridad del Incidente).
En diciembre de 2003 se establece el KISC (Korea Internet Security Center), con su centro de operaciones
KrCERT/CC's.
2.1.16.2. Servicios Ofrecidos
•
Administración del Centro de Respuesta y Asistencia a Incidentes
•
Análisis de incidentes y tecnología de soporte
•
Establecimiento del sistema de coordinación para respuesta a incidentes de internet.
2.1.16.3. Estructura
•
Equipo de Análisis de Incidentes:
•
Investigación sobre nuevas vulnerabilidades de la red y tendencias de nuevos virus.
•
Verificación y análisis en vulnerabilidades de la red
•
Análisis en virus.
19
Tomado de: http://www.krcert.or.kr/. U.A: 2008/09/26. Publicado por: Korea Internet Security Center. Autor: No
determinado.
Página 65 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Recopilación de muestras de virus.
•
Establecimiento y gerencia de la base de datos de vulnerabilidades.
•
Equipo de Monitoreo de la Red:
•
Supervisión del trafico de ISPs y los Web site más importantes nacionales o internacionales.
•
Respuesta temprana a los incidentes, pronóstico y mensajes de alerta al público.
•
Atención de respuestas y direccionamiento de incidentes que ocurren de manera local o internacional.
•
Publicación de reportes mensuales con estadística y análisis del virus
•
Equipo de Respuesta a Hacking:
•
Investigación sobre técnicas y tendencias de hacking.
•
Análisis de casos de hacking en redes piloto.
•
Establecimiento y gerencia de investigaciones de incidentes y del sistema del análisis.
•
Desarrollo y distribución de tecnologías para enfrentar ocurrencias de hacking.
•
Respuesta de la emergencia contra incidentes y ayuda tecnológica
•
Equipo de Coordinación de Respuestas:
•
Muestras incrementales para recopilar y compartir información.
•
Cooperación con FIRST para el CERT.
•
Operación de la oficina administrativa para APCERT y CONCERT.
•
Recepción de correos electrónicos de incidentes y manipulación de ellos.
•
Activación del CERT nacional y establecimiento del sistema cooperativo.
•
Participación en la estandarización con respecto a incidentes del Internet.
Página 66 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.16.4. Área de Influencia
Corea del Sur
2.1.17.
DINAMARCA – DK.CERT20 (DANISH COMPUTER EMERGENCY RESPONSE TEAM)
2.1.17.1. Antecedentes
DK CERT es el equipo danés de Respuestas a Emergencias Computacionales y es de los pioneros alrededor
del mundo, cuando a inicios de los años noventa FIRST tomó la iniciativa de establecer la cooperación
internacional basada en el concepto original de CERT en los E.E.U.U. Como parte del trabajo cooperativo
internacional DK CERT supervisa la seguridad en Dinamarca.
El objetivo de DK CERT es recopilar información y conocimientos técnicos vía la cooperación en FIRST
permitiendo a DK CERT publicar alarmas y otra información relacionada con riesgos potenciales de la
seguridad. Así mismo recibe información sobre incidentes de seguridad y coordina esfuerzos en el campo.
DK CERT es un miembro del Foro de los Equipos de Respuesta y Seguridad del Incidente (FIRST).
2.1.17.2. Servicios Ofrecidos
•
Consulta con respecto a incidentes de la seguridad
•
DK CERT analiza notificaciones de las personas que se han expuesto a los incidentes de seguridad,
propone soluciones a los problemas y advierte a otros que pudieron ser blancos potenciales para
incidentes similares.
•
DK CERT coordina la información entre las partes implicadas y otras organizaciones, tales como
equipos extranjeros de respuesta y la policía.
•
DK CERT tiene un papel consultivo y no tiene ninguna autoridad para ordenar realizar tareas.
•
DK CERT puede actuar como intermediario de la información entre diversas partes que desean
mantener el anonimato
•
DK CERT proporciona asesoría con respecto a riesgos potenciales de seguridad y ofrece la ayuda por
ejemplo, para identificar el método de ataque. Además da instrucción en cómo los sistemas pueden ser
restaurados y como se pueden remediar los daños posibles.
20Tomado
de: https://www.cert.dk/. U.A: 2008/09/26. Publicado por: DK.CERT - Danish Computer Emergency Response
Team. Autor: No determinado.
Página 67 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.17.3. Estructura
DK CERT fue establecido en 1991 por el Centro para la Educación y la Investigación Danes UNI-C, bajo el
Ministerio Danés de la Educación, por uno de los primeros casos del hacker en Dinamarca. DK CERT
coordina aproximadamente 10.000 incidentes de seguridad por año.
2.1.17.4. Área de Influencia
Dinamarca
2.1.18.
EMIRATOS ÁRABES UNIDOS – AECERT21 (THE UNITED ARAB EMIRATES COMPUTER
EMERGENCY RESPONSE TEAM)
2.1.18.1. Antecedentes
El Equipo de Respuesta a Emergencias Computacionales (aeCERT) es el centro de coordinación de la
seguridad del ciberespacio en los Emiratos Árabes Unidos. Ha sido establecido por la Autoridad Reguladora
de Telecomunicaciones (TRA) como iniciativa para facilitar la detección, la prevención y la respuesta de los
incidentes de la seguridad del ciberespacio en Internet.
Su misión es sostener una infraestructura vigilante de las ciber amenazas de la seguridad y construir una
cultura de la seguridad del ciberespacio en los Emiratos Árabes Unidos.
2.1.18.2. Servicios Ofrecidos
•
Ayudar en la creación de nuevas leyes para la seguridad del ciberespacio.
•
Recopilar conocimiento de la seguridad de la información de los Emiratos Árabes Unidos.
•
Construir experiencia nacional en seguridad de la información, administración del incidente y la
computación forense.
•
Proporcionar a punto central confiable de contacto para el manejo de incidentes de la seguridad del
ciberespacio en los Emiratos Árabes Unidos.
•
Establecer un centro nacional para divulgar la información sobre las amenazas, vulnerabilidades e
incidentes de la seguridad del ciberespacio.
•
Fomentar el establecimiento de nuevos CSIRTs.
21
Tomado de: http://www.aecert.ae/. U.A: 2008/09/26. Publicado por: aeCERT. Autor: No determinado.
Página 68 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Coordinar las operaciones entre CSIRTs doméstico, internacionales y organizaciones relacionadas.
2.1.18.3. Estructura
Ha sido establecido por la Autoridad Reguladora de Telecomunicaciones (TRA) de los Emiratos Árabes
Unidos como un cuerpo consultivo que debe recomendar buenas prácticas, políticas, procedimientos y
tecnologías, sin embargo sin ejercer ninguna autoridad sobre su adopción ni responsabilidad sobre la
administración de los riesgos de la ciberseguridad.
2.1.18.4. Área de Influencia
Emiratos Árabes Unidos
2.1.19.
ESPAÑA - ESCERT22 (EQUIPO DE SEGURIDAD PARA LA COORDINACIÓN DE
EMERGENCIAS EN REDES TELEMÁTICAS)
2.1.19.1. Antecedentes
A principios de la década de los noventa surge en Europa una iniciativa dispuesta a crear Equipos de
Respuestas a Incidentes de Seguridad en Computadores. Gracias al apoyo del programa técnico TERENA
se empiezan a crear CSIRT europeos, es entonces cuando aparece, concretamente a finales de 1994,
esCERT-UPC (Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas Universidad Politécnica de Cataluña) como primer centro español dedicado a asesorar, prevenir y resolver
incidencias de seguridad en entornos telemáticos.
esCERT - UPC ayuda y asesora en temas de seguridad informática y gestión de incidentes en redes
telemáticas.
Los principales objetivos son:
•
Informar sobre vulnerabilidades de seguridad y amenazas.
•
Divulgar y poner a disposición de la comunidad información que permita prevenir y resolver incidentes
de seguridad.
•
Realizar investigaciones relacionadas con la seguridad informática.
•
Educar a la comunidad en general sobre temas de seguridad.
22Tomado
de: http://escert.upc.edu/index.php/web/es/index.html. U.A: 2008/09/26. Publicado por: Equipo de Seguridad para la
Coordinación de Emergencias en Redes Telemáticas. Autor: No determinado.
Página 69 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
De esta forma esCERT pretende mejorar la seguridad de los sistemas informáticos y a su vez aumentar el
nivel de confianza de las empresas y de los usuarios en las redes telemáticas.
2.1.19.2. Servicios Ofrecidos
Para llevar a cabo sus objetivos esCERT-UPC ofrece a la comunidad una serie de servicios que van desde la
respuesta a incidentes a la definición de una política de seguridad para las empresas, pasando por la
formación.
•
Respuesta a Incidentes
•
Altair (Servicio de Avisos de Vulnerabilidades)
•
Formación
2.1.19.3. Estructura
esCERT es miembro de TF-CSIRT (Task Force-Collaboration of Incident Response Teams) y junto con otros
equipos de seguridad como los de las compañías Telia o British Telecom.
Forma parte de EPCI (European Private CERT Initiative) una agrupación de CERTs europeos privados.
Dentro de EPCI se encuentran compañías como BT, Alcacel o Siemens.
esCERT en el ámbito mundial participa en el FIRST, principal foro de coordinación de los diferentes CERTs
de todo el mundo.
2.1.19.4. Área de Influencia
España
2.1.20.
ESPAÑA – IRIS-CERT23 (SERVICIO DE SEGURIDAD DE REDIRIS)
2.1.20.1. Antecedentes
El servicio de seguridad de RedIRIS (IRIS-CERT) tiene como finalidad la detección de problemas que
afecten a la seguridad de las redes de centros de RedIRIS, así como la actuación coordinada con dichos
centros para poner solución a estos problemas. También se realiza una labor preventiva, avisando con
tiempo de problemas potenciales, ofreciendo asesoramiento a los centros, organizando actividades de
acuerdo con los mismos, y ofreciendo servicios complementarios.
23Tomado
de: http://www.rediris.es/cert/. U.A: 2008/09/26. Publicado por: IRIS - CERT. Autor: No determinado.
Página 70 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
IRIS-CERT es miembro del FIRST desde el 11 de Febrero de 1997. Además ha sido contribuidor al piloto
EuroCERT desde el 25 de Marzo de 1997 hasta la finalización del mismo en Septiembre de 1999.
Actualmente participa activamente en el Task Force auspiciado por TERENA, TF-CSIRT, para promover la
cooperación entre CSIRTs en Europa.
Los usuarios del servicio de seguridad son de tres tipos:
•
Instituciones afiliadas a RedIRIS: Incluye universidades y otros centros de investigación. Estos usuarios
tienen derecho a todos los servicios (por definición) y pueden participar en la coordinación de los
mismos.
•
Otros servicios de seguridad nacionales e internacionales: IRIS-CERT actúa como punto de contacto y
de coordinación de incidentes para otros servicios de seguridad. El ámbito de coordinación es toda
España. El ámbito de representación es todo el mundo. IRIS-CERT es miembro de FIRST, fue
contribuyente del proyecto EuroCERT y actualmente participa en el Task Force de TERENA TF-CSIRT,
para promover la cooperación entre CSIRTs en Europa. IRIS-CERT también puede actuar de enlace con
las fuerzas de seguridad del Estado (Policía y Guardia Civil), aunque no tomará acción judicial en
nombre de terceros, y limitará su participación en tales procesos a la asesoría técnica.
•
Proveedores y usuarios de Internet en España: El servicio ofrecido a éstos, fuera de las instituciones de
RedIRIS, se limita a lo siguiente:
•
Uso de los recursos públicos de IRIS-CERT (Servidor web, FTP, listas de correo).
•
Atención de incidentes de seguridad. El servicio de atención de incidentes se ofrece a todos por igual,
según los criterios y prioridades establecidos aquí.
2.1.20.2. Servicios Ofrecidos
IRIS-CERT ofrece una serie de servicios principalmente orientados a las instituciones afiliadas a RedIRIS.
Algunos de estos servicios se ofrecen, así mismo, a la comunidad de Internet.
•
Comunidad RedIRIS
•
Asesoramiento instituciones afiliadas
•
Auditoría en línea
•
Comunidad de Internet
•
Gestión de incidentes.
•
Listas de Seguridad de RedIRIS
Página 71 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Otros Servicios de Seguridad (Servicios no específicos de IRIS-CERT)
•
Infraestructura de Clave Pública para la comunidad RedIRIS (RedIRIS-PKI)
•
Servidor de claves públicas PGP
•
Red de Sensores AntiVirus de la Comunidad Académica (RESACA)
EL servicio no tiene costo para quien tenga derecho a usar el servicio. No se presta servicio a nadie más. El
Plan Nacional de I+D financia una red para los investigadores, y un servicio de seguridad que garantice la
integridad de la misma. La coordinación de incidentes ajenos a RedIRIS es una tarea adicional, necesaria
para llevar a cabo ese servicio.
2.1.20.3. Estructura
IRIS-CERT funciona bajo el auspicio y con la autoridad delegada del director de RedIRIS.
El IRIS-CERT espera trabajar cooperativo con los administradores y los usuarios de sistema en las
instituciones conectadas RedIRIS, evitando relaciones autoritarias.
2.1.20.4. Área de Influencia
España
2.1.21.
ESPAÑA - CCN-CERT24 (CRYPTOLOGY NATIONAL CENTER - COMPUTER SECURITY
INCIDENT RESPONSE TEAM)
2.1.21.1. Antecedentes
Este servicio se creo a principios de 2007 como CERT gubernamental español y está presente en los
principales foros internacionales en los que se comparte objetivos, ideas e información sobre la seguridad
de forma global.
Su principal objetivo es contribuir a la mejora del nivel de seguridad de los sistemas de información de las
tres administraciones públicas existentes en España (general, autonómica y local).
Su misión es convertirse en el centro de alerta nacional que coopere y ayude a todas las administraciones
públicas a responder de forma rápida y eficiente a los incidentes de seguridad que pudieran surgir y
afrontar de forma activa las nuevas amenazas a las que hoy en día están expuestas.
24
Tomado de: https://www.ccn-cert.cni.es/. U.A: 2008/09/26. Publicado por: Centro Criptológico Nacional. Ministerio
de Defensa de España. Autor: No determinado.
Página 72 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.21.2. Servicios Ofrecidos
Para contribuir a esta mejora del nivel de seguridad, el CCN-CERT ofrece sus servicios a todos los
responsables de Tecnologías de la Información de las diferentes administraciones públicas a través de
cuatro grandes líneas de actuación:
•
Soporte y coordinación para la resolución de incidentes que sufra la Administración General,
Autonómica o Local. El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actúa
rápidamente ante cualquier ataque recibido en los sistemas de información de las administraciones
públicas.
•
Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los
miembros de las administraciones públicas. En este sentido, las citadas Series CCN-STIC elaboradas por
el CCN ofrecen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los
Sistemas TIC en la Administración.
•
Formación a través de los cursos STIC, destinados a formar al personal de la Administración
especialista en el campo de la seguridad de las TIC e impartidos a lo largo de todo el año. Su principal
objetivo, aparte de actualizar el conocimiento del propio equipo que forma el CCN-CERT, es el de
permitir la sensibilización y mejora de las capacidades del personal para la detección y gestión de
incidentes.
•
Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de
información, recopiladas de diversas fuentes de reconocido prestigio (incluidas las propias)
El CCN-CERT ofrece información, formación y herramientas para que las distintas administraciones puedan
desarrollar sus propios CERTs, permitiendo a este equipo actuar de catalizador y coordinador de CERTs
gubernamentales.
2.1.21.3. Estructura
El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro
Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI).
2.1.21.4. Área de Influencia
España
Página 73 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.22.
ESPAÑA - INTECO-CERT25 (CENTRO DE RESPUESTAS A INCIDENTES EN TI PARA PYMES
Y CIUDADANOS)
2.1.22.1. Antecedentes
El Centro de Respuesta a Incidentes en Tecnologías de la Información para PYMEs y Ciudadanos sirve de
apoyo al desarrollo del tejido industrial nacional y ofrece los servicios clásicos de un Centro de Respuesta a
Incidentes, dando soluciones reactivas a incidentes informáticos, servicios de prevención frente a posibles
amenazas y servicios de información, concienciación y formación en materia de seguridad a la PYME y
ciudadanos españoles. Para todo el proceso de definición y creación de INTECO-CERT se han seguido las
directrices propuestas por ENISA (European Network and Information Security Agency, Agencia Europea
de Seguridad de las Redes y de la Información).
El centro de respuesta surge como iniciativa pública con los siguientes objetivos:
•
Proporcionar información clara y concisa acerca de la tecnología, su utilización y la seguridad que
mejore su comprensión.
•
Concienciar a las PYMEs y ciudadanos de la importancia de contemplar y abordar adecuadamente todos
los aspectos relacionados con la seguridad informática y de las redes de comunicación.
•
Proporcionar guías de buenas prácticas, recomendaciones y precauciones a tener en cuenta para
mejorar la seguridad.
•
Proporcionar mecanismos y servicios de divulgación, formación, prevención y reacción ante incidencias
en materia de seguridad de la información.
•
Actuar como enlace entre las necesidades de PYMEs y ciudadanos y las soluciones que ofertan las
empresas del sector de la seguridad de las tecnologías de la información.
2.1.22.2. Servicios Ofrecidos
Para llevar a cabo la misión de concienciación, formación, prevención y reacción en materia de seguridad
en tecnologías de la información, INTECO-CERT ofrece un catálogo de servicios a los usuarios:
•
Servicios de información sobre Actualidad de la Seguridad:
•
Suscripción a boletines, alertas y avisos de seguridad.
25Tomado
de: http://www.inteco.es/rssRead/Seguridad/INTECOCERT. U.A: 2008/09/26. Publicado por: Instituto Nacional de
Tecnologías de la comunicación S.A.. Autor: No determinado.
Página 74 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Actualidad, noticias y eventos de relevancia.
•
Avisos sobre nuevos virus, vulnerabilidades y fraude. Estadísticas.
•
Servicios de Formación en seguridad y en la legislacón vigente para Pyme y ciudadanos,
proporcionando guías, manuales, cursos online y otros recursos a los usuarios.
•
Servicios de Protección y prevención: catálogo de útiles gratuitos y actualizaciones de software.
•
Servicios de Respuesta y Soporte:
•
Gestión y soporte a incidentes de seguridad.
•
Gestión de malware y análisis en laboratorio del INTECO-CERT.
•
Lucha contra el fraude.
•
Asesoría Legal en materia de seguridad en las tecnologías de la información.
•
Foros de Seguridad.
•
Cooperación y coordinación con otras entidades de referencia en el sector, tanto a nivel nacional como
internacional.
INTECO-CERT como servicio público e intermediario INTECO-CERT tiene vocación de servicio
ánimo de lucro. El Centro surge con la vocación de servir de apoyo preventivo y reactivo en
seguridad en tecnologías de la información y la comunicación a una tipología de usuarios, la
Mediana Empresa (PYME) y ciudadanos, que no disponen de la formación, sensibilización
suficientes en dicho campo.
público sin
materia de
Pequeña y
y recursos
INTECO-CERT no vende soluciones tecnológicas o de consultoría. Si en su labor de apoyo a PYME y
ciudadanos, entiende que debe aconsejar alguno de ellos, facilita un directorio de entidades que prestan
esos servicios, para que el usuario elija según su criterio.
El Centro de Respuesta quiere, en este contexto, erigirse como un puente entre las necesidades de la
demanda (PYMEs y ciudadanos) y las soluciones de la oferta (entidades del sector de la seguridad de las
tecnologías de la información).
2.1.22.3. Área de Influencia
España
Página 75 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.23.
ESTADOS UNIDOS - US-CERT26 (UNITED STATES - COMPUTER EMERGENCY READINESS
TEAM)
2.1.23.1. Antecedentes
Establecido en 2003 para proteger la infraestructura del Internet de la nación, US-CERT coordina la
defensa contra y respuestas a los ataques del ciberespacio a través de la nación.
US-CERT es cargado con la protección de la infraestructura del Internet coordinando la defensa y la
respuesta a los ataques del ciberespacio.
2.1.23.2. Servicios Ofrecidos
US-CERT es responsable de
•
Analizar y reducir amenazas y vulnerabilidades del ciberespacio.
•
Divulgar información y advertencias de amenaza del ciberespacio.
•
Coordinar la respuesta a incidente.
•
US-CERT obra recíprocamente con las agencias federales, industria, la comunidad de investigación, el
estado y los gobiernos locales, y otros para divulgar la información de la seguridad del ciberespacio
entre el público.
2.1.23.3. Estructura
El equipo de la Preparación para Emergencias Computacionales de Estados Unidos (US-CERT) es una
sociedad entre Departamento de la seguridad de la patria y los sectores públicos y privados
2.1.23.4. Área de Influencia
Estados Unidos
26
Tomado de: http://www.us-cert.gov. U.A: 2008/09/26. Publicado por: Department of Homeland Security - USA.
Autor: No determinado.
Página 76 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.24.
ESTONIA – CERT-EE 27 (COMPUTER EMERGENCY RESPONSE TEAM OF ESTONIA)
2.1.24.1. Antecedentes
El Equipo de la Respuesta a Emergencias Computacionales de Estonia (CERT Estonia), se establece en
2006. Su tarea es asistir a usuarios estonios del Internet en la puesta en práctica de medidas preventivas
para reducir los daños posibles de incidentes de la seguridad y ayudarles a responder a las amenazas de la
seguridad. El CERT Estonia se ocupa de los incidentes de la seguridad que ocurren en redes estonias.
Los incidentes de la seguridad se atienden acorde con una prioridad definida según su severidad y alcance
potenciales considerando el número de usuarios afectados, el tipo de un incidente, la blanco del ataque,
así como el origen del ataquey los recursos requeridos para manejar el incidente. Los incidentes prioritarios
incluyen, por ejemplo: ataques que pueden comprometer la vida de la gente, ataques en la infraestructura
del Internet (servidores de nombres, nodos de red importantes y ataques automáticos en grande en los
servidores de la red), etc.
2.1.24.2. Servicios Ofrecidos
El CERT Estonia ofrece los servicios siguientes:
•
Orientación en el incidente
•
Recepción de informes de incidente
•
Asignación de prioridades a los incidentes según su nivel de la severidad
•
Análisis del incidente
•
Respuesta a los incidentes.
2.1.24.3. Área de Influencia
Estonia
27Tomado
de: http://www.ria.ee/?id=28201. U.A: 2008/09/26. Publicado por: Department for Handling Information Security
Incidents - Estonia. Autor: No determinado.
Página 77 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.25.
FILIPINAS - PH-CERT28 (PHILIPPINES COMPUTER EMERGENCY RESPONSE TEAM)
2.1.25.1. Antecedentes
El Equipo de Respuesta a Emergencias Computacionales de Filipinas (PH-CERT) es una organización sin
ánimo de lucro que pretende brindar un punto confiable de contacto para emergencias computacionales,
de internet y otras emergencias relacionadas de la tecnología de información.
2.1.25.2. Servicios Ofrecidos
•
Proporcione ayuda legal y consultiva.
•
Opera como punto central para divulgar vulnerabilidades de la seguridad computacional y
proporcionará ayuda coordinada en respuesta a tales informes.
•
Genera informes técnicos de análisis referentes a código malévolo.
•
Proporciona información sobre la futura tecnología que puede plantear amenazas de la seguridad.
•
Proporciona entrenamiento para promover el conocimiento de la seguridad.
•
Genera alarmas sobre medidas a tomar contra amenazas existentes o próximas de la seguridad.
•
Proporciona pautas en el uso y la combinación eficaces de las herramientas de la seguridad para
detección y prevención del incidente.
2.1.25.3. Área de Influencia
Filipinas
28
Tomado de: http://www.phcert.org/. U.A: 2008/09/26. Publicado por: Philippines Computer Emergency Response
Team. Autor: No determinado.
Página 78 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.26.
FRANCIA-CERTA29 (CENTRE D'EXPERTISE GOUVERNEMENTAL DE RÉPONSE ET DE
TRAITEMENT DES ATTAQUES INFORMATIQUES)
2.1.26.1. Antecedentes
El Primer Ministro anunció la creación del CERTA, tras la decisión del Comité Interministerial para la
Sociedad de la Información (CISI), en enero de 1999 e inaugurado en febrero de 2000, con el fin de
reforzar la protección de las redes del Estado contra los ataques. A fin de reforzar y coordinar la lucha
contra las intrusiones en los sistemas informáticos de las administraciones del Estado, el Gobierno decide la
creación de una estructura de alerta y de asistencia en la Internet encargada de la misión de vigilar y
responder a los ataques informáticos.
Los dos principales objetivos del CERTA son:
•
Garantizar la detección de las vulnerabilidades y la resolución de incidentes relativos a la seguridad de
los sistemas de información
•
Asistir en la instalación de medios que permitan prevenir futuros incidentes.
Para alcanzar estos dos objetivos, deben llevarse a cabo en paralelo las tres misiones siguientes:
•
Llevar a cabo una vigilancia tecnológica.
•
Organizar la instalación de una red de confianza.
•
Administrar la resolución de un incidente (si es necesario en relación con la red mundial de los CERT).
El CERTA es miembro del FIRST desde el 12 de setiembre de 2000 y participa en la actividad TF-CSIRT
(Computer Security Incident Response Team) que es la coordinación de los CERT europeos.
En la actualidad existen varios CERT en Francia. Esta es la lista de los equipos miembros del FIRST o de la
TF-CSIRT:
•
El CERTA es el CERT dedicado al sector de la administración francesa.
•
El Cert-IST es el CERT dedicado al sector de la Industria, de los Servicios y del Terciario (IST). Fue
creado a finales del año 1998 por cuatro socios: ALCATEL, el CNES, ELF y France Telecom.
29Tomado
de: http://www.certa.ssi.gouv.fr/. U.A: 2008/09/26. Publicado por: Premier Ministre / Secrétariat Général de la
Défense Nationale / Direction centrale de la sécurité des systèmes d'information. Autor: No determinado.
Página 79 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
El CERT-RENATER es el CERT dedicado a la comunidad de los miembros del GIP RENATER (Red
Nacional de telecomunicaciones para la tecnología, la Enseñanza y la Investigación).
2.1.26.2. Servicios Ofrecidos
Las tareas prioritarias del CERT son las siguientes:
•
Centralización de las solicitudes de asistencia tras los incidentes de seguridad (ataques) en las redes y
sistemas de informaciones: recepción de las solicitudes, análisis de los síntomas y eventual correlación
de los incidentes.
•
Tratamiento de las alertas y reacción a los ataques informáticos: análisis técnico, intercambio de
informaciones con otros CERT, contribución a estudios técnicos específicos.
•
Establecimiento y mantenimiento de una base de datos de las vulnerabilidades.
•
Prevención por difusión de informaciones sobre las precauciones que tomar para minimizar los riesgos
de incidente o, por lo menos, sus consecuencias.
•
Coordinación eventual con las demás entidades (fuera del campo de acción): centros de competencia
en redes, operadores y proveedores de acceso a Internet, CERT nacionales e internacionales.
2.1.26.3. Estructura
Dicha estructura depende de la Secretaría General de la Defensa Nacional y trabajará en red con los
servicios encargados de la seguridad de la información en todas las administraciones del Estado.
Participará en la red mundial de los CERT (Computer Emergency Response Team).
El CERTA depende de la Dirección Central de la Seguridad de Sistemas de Información (DCSSI) en la
Secretaría General de la Defensa Nacional (SGDN), y se encarga de asistir a los organismos de la
administración en la instalación de medios de protección y en la resolución de los incidentes o las
agresiones informáticas de las cuales son víctimas. Constituye el complemento indispensable para las
acciones preventivas ya aseguradas por la DCSSI y que son anteriores en el procedimiento de seguridad de
los sistemas de información.
2.1.26.4. Área de Influencia
Francia
Página 80 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.27.
HONG KONG - HKCERT30
COORDINATION CENTRE)
(HONG
KONG
COMPUTER
EMERGENCY
RESPONSE
2.1.27.1. Antecedentes
En respuesta a las necesidades de hacer frente a amenazas de la seguridad, el gobierno ha financiado al
consejo de la productividad de Hong Kong para poner a funcionar el Centro de Coordinación del Equipo de
Respuesta a Emergencias Computacionales de Hong Kong (HKCERT). El objetivo de HKCERT es
proporcionar un contacto centralizado en la divulgación de incidentes y seguridad computacionales y de la
red y brindar la respuesta para las empresas locales y los usuarios del Internet en el caso de los incidentes
de la seguridad. Coordinará las acciones de respuesta y recuperación para los incidentes divulgados, ayuda
a supervisar y a divulgar la información sobre seguridad y proporciona asesoría en medidas preventivas
contra amenazas de la seguridad. El HKCERT también organiza seminarios del conocimiento y cursos de en
asuntos relacionados seguridad de la información.
2.1.27.2. Servicios Ofrecidos
•
Respuesta a Incidentes: HKCERT proporciona respuesta durante 24 horas al día, 7 días a la semana.
Acepta incidentes por teléfono, fax y e-mail. HKCERT asiste y coordina las acciones de recuperación
para los incidentes.
•
Alarma de la Seguridad: HKCERT supervisa de cerca la información sobre temas relacionadas con la
seguridad tales como últimos virus, debilidades de la seguridad y divulga la información al público.
•
Publicación: HKCERT publica pautas, listas de comprobación, alarmas y artículos relacionados con la
seguridad. Estos documentos incluyen la información sobre vulnerabilidades de la seguridad,
estrategias de defensa y detección temprana de ataques probables. HKCERT también publica un boletín
de noticias mensual que proporciona la información más reciente en seguridad computacional y de la
red.
•
Entrenamiento y educación: Para elevare el conocimiento de la seguridad de la información y para
mejorar la comprensión pública, HKCERT organiza seminarios libres y brinda a los informes a las
asociaciones comerciales regularmente. HKCERT también organiza los cursos que proporcionan
conocimiento profundizado en asuntos del específico de la seguridad de la información.
•
Investigación y desarrollo: HKCERT conduce estudios en asuntos seleccionados seguridad de la
información y la situación en Hong Kong referente ataques de la computadora, pérdida, contramedidas,
etc.
2.1.27.3. Área de Influencia
Hong Kong
30Tomado
de: http://www.hkcert.org/. U.A: 2008/09/26. Publicado por: HKCERT. Autor: No determinado.
Página 81 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.28.
HUNGRÍA - CERT31 (CERT-HUNGARY)
2.1.28.1. Antecedentes
CERT-Hungría es el centro húngaro de la seguridad de la red y de la información del gobierno. Su tarea es
proporcionar la ayuda de la seguridad de la red y de la información al público húngaro entero, a los
negocios y a los sectores privados. El centro tiene un papel vital en la protección crítica de la
infraestructura de la información de Hungría. CERT-Hungría también actúa como base de conocimiento
para profesionales y público húngaro.
CERT-Hungría fue fundada en 2004 en la fundación de Theodore Puskas con la ayuda del Ministerio de la
Informática y de las Comunicaciones.
Los servicios públicos de la organización se ofrecen al gobierno, a los municipios, y a los negocios
húngaros, con la atención especial a la protección de los sistemas informáticos del gobierno húngaro.
CERT-Hungría es lista abordar problemas de la seguridad 24 horas al día 365 días al año. Proporciona
alarmas sobre amenazas nuevamente que emergen. Es responsable de manejar compromisos de la
seguridad en los sistemas informáticos del gobierno húngaro. Proporciona la dirección para reducir
boquetes de la seguridad, y aumenta conocimiento social sobre la información y seguridad de la
computadora a través de varios foros.
2.1.28.2. Servicios Ofrecidos
CERT-Hungría ofrece los servicios siguientes:
•
Alarmas y advertencias: Este servicio implica que CERT-Hungría divulgue la información que describe
los ataques de intrusos, vulnerabilidades de la seguridad, alarmas de intrusión, virus informáticos,
bromas, proporcionando una línea de conducta recomendada a corto plazo para ocuparse del
problema. La alarma, la advertencia o la asesoría se envían como reacción a un problema existente
para notificar los componentes de la actividad y para proporcionar la orientación para proteger los
sistemas o recuperar cualquier sistema que fuera afectado.
•
Avisos: Los avisos incluyen, pero no se limitan a las alarmas de la intrusión, las advertencias de la
vulnerabilidad y las recomendaciones de seguridad. Los avisos permiten proteger sistemas y redes
contra problemas encontrados antes de que puedan explotar.
•
Difusión de la información relacionada con la Seguridad: Este servicio provee una recopilación de
información útil para mejorar la seguridad. Tal información puede incluir:
•
Información de contactos para CERT-Hungría y pautas de divulgación.
31Tomado
de: http://www.cert-hungary.hu/. U.A: 2008/09/26. Publicado por: CERT Hungary. Autor: No determinado.
Página 82 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Archivos de alarmas, de advertencias y de otros avisos
•
Documentación sobre mejores prácticas actuales
•
Orientación general de la seguridad computacional
•
Políticas, procedimientos y listas de comprobación
•
Información del desarrollo y distribución de correcciones
•
Ajustes de proveedores
•
Estadística y tendencias actuales en la divulgación del incidente
•
Otra información que puede mejorar seguridad total
•
Dirección del incidente: CERT-Hungría se ocupa solamente de incidentes de la seguridad informática.
Estos incidentes de la seguridad pueden ser acceso desautorizado a los datos sobre un sistema
informático, negación de los ataques del servicio, virus contra un sistema informático, las
vulnerabilidades, o cualquier otra actividad o programa que amenacen la seguridad de un sistema
informático. Durante su incidente los expertos de CERT-Hungría reciben, dan la prioridad, y responden
a los incidentes y a los informes y analizan incidentes y acontecimientos. Las actividades particulares de
la respuesta pueden incluir:
•
Acción a tomar para proteger los sistemas y las redes afectadas o amenazadas por el intrusos
•
Proveer soluciones y estrategias de mitigación de o de alarmas relevantes
•
Filtración de tráfico de la red
•
Dirección de la vulnerabilidad: Las vulnerabilidades están basadas en errores de la configuración que
crean los agujeros de seguridad en los sistemas informáticos y redes. La dirección de la vulnerabilidad
implica recibir información sobre vulnerabilidades del hardware y del software. CERT-Hungría analiza la
naturaleza, mecanismos y efectos de las vulnerabilidades y desarrollan las estrategias de la respuesta
para detectar y reparar las vulnerabilidades.
•
Manejo de artefactos: Un artefacto es cualquier archivo u objeto encontrado en un sistema que
impacta en sistemas y redes, que atacan o que se esté utilizando para destruir medidas de seguridad.
CERT-Hungría analiza la naturaleza, mecanismos, versión y el uso de los artefactos y desarrolla (o
sugiere) las estrategias de respuesta para detectar, quitar y defender contra estos artefactos.
•
Educación y entrenamiento: Con seminarios, los talleres, los cursos y clases particulares, CERT-Hungría
educa sobre soluciones de seguridad computacional. Los temas pueden ser:
Página 83 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Incidente y pautas
•
Métodos apropiados de respuesta
•
Herramientas de respuesta del incidente
•
Métodos para la prevención del incidente
•
Otra información necesaria para proteger, detectar, divulgar y responder a los incidentes de la
seguridad computacional.
2.1.28.3. Área de Influencia
Hungría
2.1.29.
INDIA - CERT-IN32 (INDIAN COMPUTER EMERGENCY RESPONSE TEAM)
2.1.29.1. Antecedentes
El propósito del CERT-In es convertirse en la agencia de confianza de la comunidad india para responder a
los incidentes de la seguridad de computacional. CERT-In asiste a los miembros de la comunidad india para
ejecutar medidas proactivas para reducir los riesgos de los incidentes de la seguridad informática.
2.1.29.2. Servicios Ofrecidos
•
Servicios Reactivos
•
Proporciona un solo punto del contacto para divulgar problemas locales.
•
Asiste al gobierno y a la comunidad general en la prevención y la manipulación de incidentes de la
seguridad computacional.
•
Comparte la información y las lecciones aprendidas con el CERT/CC, otros CERTs y las organizaciones.
•
Respuesta del incidente
•
Proporciona el servicio de una seguridad 24 x 7.
32Tomado
de: http://www.cert-in.org.in/. U.A: 2008/09/26. Publicado por: Department of Information Technology. Ministry
of Communications & Information Technology, Government of India. Autor: No determinado.
Página 84 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Procedimientos de recuperación
•
Análisis de artefactos
•
Trazo del incidente
•
Servicios Proactivos
•
Publica las pautas de la seguridad, las recomendaciones y consejos oportunos.
•
Análisis y respuesta de la vulnerabilidad
•
Análisis del riesgo
•
Evaluación de producto relacionados con la seguridad
•
Colaboración con los proveedores
•
Perfilar atacantes.
•
Entrenamiento, investigación y desarrollo de la conducta.
•
Funciones
•
Divulgación
•
Punto central para divulgar incidentes
•
Base de datos de incidentes
•
Análisis
•
Análisis de tendencias y patrones de la actividad del intruso
•
Desarrollo de las estrategias preventivas
•
Respuesta
•
La respuesta del incidente es un proceso dedicado a restaurar sistemas afectados a la operación
•
Envío de recomendaciones para la recuperación y la contención del daño causada por los incidentes.
Página 85 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Ayuda a los administradores de sistemas a tomar la acción de seguimiento para prevenir la repetición
de incidentes similares
•
2.1.29.3. Estructura
CERT-In funciona bajo auspicios y con la autoridad delegada del Departamento de Tecnología de
Información, del Ministerio de Comunicaciones y Tecnología de Información, del gobierno de la India.
CERT-In trabaja cooperativamente con los oficiales de información y los administradores de sistema de
varias redes sectoriales y de gobierno.
2.1.29.4. Área de Influencia
India
2.1.30.
JAPAN - JPCERT/CC33 (JP CERT COORDINATION CENTER)
2.1.30.1. Antecedentes
JPCERT/CC es el primer CSIRT establecido en Japón. Se coordina con los proveedores de servicios de red,
vendedores de productos de seguridad, agencias estatales, así como las asociaciones gremiales de la
industria. En la región Pacífica de Asia, JPCERT/CC ayudó a formar APCERT (Equipo de Respuesta a
Emergencias Computacionales de Asia Pacífico) y ejerce la función de secretaría para APCERT. Es miembro
del Foro de Equipos de Respuesta y Seguridad del Incidente (FIRST).
Los objetos de JPCERT/CC son:
•
Proporcionar respuestas a incidente de seguridad computacionales.
•
Coordinar la acción con CSIRTs locales e internacional y organizaciones relacionadas.
•
Ayudar al establecimiento de nuevos CSIRTs y promover la colaboración entre CSIRTs
•
Divulgar información técnica sobre incidentes de seguridad computacional y las vulnerabilidades y
ajustes a la seguridad, generar alarmas y advertencias.
•
Generar investigación y análisis de incidentes de la seguridad computacional.
•
Conducir investigaciones sobre tecnologías relacionadas con la seguridad.
33
Tomado de: http://www.jpcert.or.jp/. U.A: 2008/09/26. Publicado por: JPCERT/CC. Autor: No determinado.
Página 86 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Aumentar el entendimiento de la seguridad de la información y del conocimiento técnico, con
educación y entrenamiento.
2.1.30.2. Servicios Ofrecidos
•
Incidente Respuesta y análisis: JPCERT/CC proporciona ayuda técnica para divulgar problemas de la
seguridad de la siguiente manera:
•
Con base en información proporcionada por los sitios afectados, JPCERT/CC determina los daños.
•
Identifica las vulnerabilidades.
•
Proporciona información técnica relevante.
•
Adicionalmente genera un informe semanal y trimestral sobre respuestas y análisis de incidentes y otra
información relevante a la seguridad computacional.
•
Alertas de Seguridad: JPCERT/CC recopila la información relacionada con seguridad computacional y
genera alarmas y mensaje para prevenir ataques contra redes locales de las organizaciones, así como
para evitar que el impacto de tales ataques llegue a ser extenso. Un informe semanal, contiene
amenazas potenciales y mensajes de cómo evitarlos o reducir al mínimo el daño causado por incidentes
o las vulnerabilidades.
•
Coordinación con otros CSIRTs: Siendo el primer CSIRT formado en Japón, mantiene relaciones
cercanas establecidas con mucho CSIRTs no sólo en la Asia y la región pacífica, sino también en otras
regiones. La coordinación y la colaboración con esos CSIRTs es crucial para el uso seguro de la
tecnología del Internet en todo el mundo.
•
Coordinación de Proveedores: Con el fin de evitar, reduce al mínimo o recupera del daño con eficacia y
eficiencia, la coordinación con los proveedores que pudieron afectar la seguridad del Internet es
importante. JPCERT/CC comparte la información con los proveedores locales y distribuyen la
información de la vulnerabilidad de manera oportuna.
•
Educación y entrenamiento: JPCERT/CC proporciona la educación y el entrenamiento relacionados con
la seguridad de la red, incidentes de seguridad, vulnerabilidad y las tendencias y ayudas de seguridad a
partir de seminarios y talleres. Además, vario informes técnicos y otros documentos están disponibles
en el web site.
•
Investigación y análisis: Los incidentes de la computadora se están convirtiendo en un problema cada
vez más difícil de identificar. JPCERT/CC ejerce investigación y análisis para encontrar mejores maneras
de prevenir ataques o de limitar su daño.
Página 87 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.30.3. Área de Influencia
Japón
2.1.31.
MÉXICO – UNAM-CERT34 (EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD EN
CÓMPUTO)
2.1.31.1. Antecedentes
El UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo) es un equipo de
profesionales en seguridad en cómputo localizado en el Departamento de Seguridad en Cómputo (DSC) de
la Dirección General de Servicios de Cómputo Académico (DGSCA), de la UNAM.
El UNAM-CERT se encarga de proveer el servicio de respuesta a incidentes de seguridad en cómputo a
sitios que han sido víctimas de algún "ataque", así como de publicar información respecto a
vulnerabilidades de seguridad, alertas de la misma índole y realizar investigaciones de la amplia área del
cómputo y así ayudar a mejorar la seguridad de los sitios.
El DSC (Departamento de Seguridad en Cómputo) de la DGSCA, UNAM, es un punto de encuentro al cual
puede acudir la comunidad de cómputo para obtener información, asesorías y servicios de seguridad, así
como para intercambiar experiencias y puntos de vista, logrando con ello, establecer políticas de seguridad
adecuadas, disminuir la cantidad y gravedad de los problemas de seguridad y difundir la cultura de la
seguridad en cómputo.
2.1.31.2. Servicios Ofrecidos
El DSC pone a la disposición de los Institutos, Facultades y organizaciones externas su portafolio de
servicios de Seguridad en Tecnologías de la Información:
•
Análisis de Riesgos.
•
Test de Penetración.
•
Análisis Forense.
•
Auditorias de Seguridad.
•
Administración de Infraestructura de Seguridad en TI.
34Tomado
de: http://www.cert.org.mx/index.html. U.A: 2008/09/26. Publicado por: UNAM-CERT. Autor: Jefe del
Departamento de Seguridad en Cómputo: Juan Carlos Guel. Líder del Proyecto: Alejandro Núñez Sandoval.
Página 88 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Tecnologías de Seguridad.
•
Desarrollo de Soluciones.
•
Asesorías.
2.1.31.3. Estructura
El UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo) es un equipo de
profesionales en seguridad en cómputo localizado en el Departamento de Seguridad en Cómputo (DSC) de
la Dirección General de Servicios de Cómputo Académico (DGSCA), de la UNAM.
2.1.31.4. Área de Influencia
México
2.1.32.
NUEVA ZELANDIA – CCIP35 (CENTRE FOR CRITICAL INFRASTRUCTURE PROTECTION)
2.1.32.1. Antecedentes
El Centro para la Protección de la infraestructura Crítica (CCIP) es la agencia de estatal dedicada al trabajo
con las organizaciones, la industria y el gobierno relacionados con la infraestructura crítica de Nueva
Zelandia, para mejorar la protección y la seguridad computacional de amenazas.
2.1.32.2. Servicios Ofrecidos
•
Proporcionar un servicio de asesoría 7*24 hacia dueños y operadores de la Infraestructura Crítica
Nacional y del gobierno de Nueva Zelandia.
•
Investigar y analizar los incidentes del ciberespacio que ocurren contra la Infraestructura Crítica
Nacional.
•
Trabajar con las agencias de protección de la Infraestructura Crítica Nacional tanto de manera local
como internacionalmente para mejorar el conocimiento de la seguridad del ciberespacio en Nueva
Zelandia.
35
Tomado de: http://www.ccip.govt.nz/. U.A: 2008/09/26. Publicado por: Centre for Critical Infrastructure Protection.
Autor: No determinado.
Página 89 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.32.3. Estructura
El Centro para la Protección de la Infraestructura Crítica (CCIP) es una unidad de negocio dentro de la
oficina de Seguridad de Comunicaciones del Gobierno (GCSB).
La persona responsable del CCIP y de GCSB es el Primer Ministro de Nueva Zelandia.
2.1.32.4. Área de Influencia
Nueva Zelandia
2.1.33.
HOLANDA – GOVCERT.NL36
2.1.33.1. Antecedentes
GOVCERT.NL es el Equipo de Respuesta a Emergencias Computacionales para el gobierno holandés. Desde
2002 apoya al gobierno en la prevención y atención de incidentes relacionados con la seguridad.
2.1.33.2. Servicios Ofrecidos
•
Coordinación: Actúa como punto central de la emergencia de incidentes relacionados con la seguridad,
tales como virus informáticos y detección de vulnerabilidades.
•
Información: Proporciona la información correspondiente a temas de seguridad a las partes apropiados.
•
Asiste a oficiales del gobierno en la prevención de incidentes de seguridad.
•
Intercambio internacional del conocimiento: mantiene la cooperación e intercambio de información a
nivel internacional.
•
Banco de datos: GOVCERT. NL es un centro de información. Proporciona acceso al conocimiento y a la
experiencia de su personal y organizaciones que participan. Además, promueve el intercambio de
información entre estas organizaciones. El banco de datos facilita el intercambio por medio de listas de
distribución, de archivos de documentos relevantes y de mejores prácticas.
•
Paneles: Organizamos reuniones periódicas para dar la oportunidad de intercambiar conocimiento e
ideas en temas de actualidad.
•
Ayuda en caso de incidentes: Ofrece ayuda haciendo frente a todas las clases de incidentes,
extendiéndose al correo Spam, a los ataques de la red de la escala grande, con un soporte 7*24.
36
Tomado de: http://www.govcert.nl/. U.A: 2008/09/26. Publicado por: GOV-CERT.NL. Autor: No determinado.
Página 90 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.33.3. Área de Influencia
Holanda
2.1.34.
POLONIA - CERT POLSKA37 (COMPUTER EMERGENCY RESPONSE TEAM POLSKA)
2.1.34.1. Antecedentes
El CERT Polska es el nombre oficial del equipo desde el enero de 2001. Era conocido antes como CERT
Nask. Desde el febrero de 1997 el CERT Polska ha sido un miembro del Foro Mundial de Equipos de
Respuesta y Seguridad del Incidente - FIRST. El CERT Nask fue establecido en marzo de 1996 según la
disposición del director de Nask (Red Académica y de Investigación en Polonia).
Sus objetivos son constituir un único punto confiable de atención a incidentes y prevención en Polonia para
los clientes de la comunidad Nask y otras redes en Polonia, responder por los incidentes de seguridad,
proveer información referente a la seguridad y advertencias de los ataques en cooperación con otros
equipos de respuesta a incidentes por todo el mundo
2.1.34.2. Servicios Ofrecidos
•
El CERT Polska registra las peticiones, alertas y proporcionará datos e informes estadísticos de
incidentes.
•
Proporciona ayuda a los sitios que tienen problemas de seguridad.
•
El CERT Polska brinda información actual sobre problemas de seguridad y su solución (vía web y lista
de suscripción).
2.1.34.3. Estructura
El equipo lo conforma la Red Académica y de Investigación en Polonia, con la ayuda de expertos de
universidades polacas.
2.1.34.4. Área de Influencia
Polonia
37
Tomado de: http://www.cert.pl/. U.A: 2008/09/26. Publicado por: CERT Polska. Autor: No determinado.
Página 91 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.35.
QATAR - Q-CERT38 (QATAR CERT)
2.1.35.1. Antecedentes
Como Equipo Nacional de Respuesta a Incidente de Seguridad Computacional de Qatar, Q-CERT coordinará
el sistema de actividades de la ciber - seguridad necesarias para mejorar la protección de infraestructura
crítica en la nación y en la región.
Para alcanzar esta meta, Q-CERT trabajará con las agencias y la industria estatal para formar una
estrategia de la gerencia de riesgo para la seguridad del ciberespacio que incluye los siguientes frentes:
•
Planeamiento, medición y evaluación
•
Disuasión
•
Protección
•
Supervisión, detección y análisis
•
Respuesta
•
Reconstitución y recuperación
•
Investigación y desarrollo
Q-CERT cubre todas las organizaciones autorizadas para utilizar el dominio del código de país.qa, así como
la población en general de Qatar que utiliza el Internet. Incluye al gobierno de Qatar, a los negocios e
instituciones educativas que utilizan el Internet para sus operaciones. Los socios estratégicos incluyen la
industria petrolera del aceite, la industria de servicios financieros, la industria de las telecomunicaciones, y
los ministerios del estado de Qatar. Q-CERT trabajará con los institutos educativos en Qatar para aumentar
conocimiento de la seguridad de la información y para mejorar prácticas de seguridad de la información.
2.1.35.2. Servicios Ofrecidos
•
Talleres, seminarios, y cursos diseñados para aumentar el conocimiento acerca de la seguridad del
ciberespacio.
•
Provee un Web site para brindar información sobre las amenazas que emergen, nuevas
vulnerabilidades y otros temas de seguridad.
38
Tomado de: http://www.qcert.org. U.A: 2008/09/26. Publicado por: Supreme Council of Information &
Comunication Technology. Autor: No determinado.
Página 92 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Explorar la información de la seguridad de sistemas de fuente abierta para prevenir amenazas
emergentes.
•
Genera nuevas alarmas y estrategias de mitigación.
•
Analiza vulnerabilidades y código malévolo para desarrollar estrategias de la mitigación.
•
Analizar incidentes de la seguridad e identifica contramedidas.
•
Coordina a través de las organizaciones internacionales el manejo de atención a incidentes e
investigaciones.
•
Ayuda en la determinación del alcance y de la magnitud de incidentes de seguridad e identifica
estrategias de la recuperación
2.1.35.3. Estructura
Q-CERT es un organismo nacional patrocinado del Consejo Supremo para la Tecnología de Información y
de Comunicaciones (ictQATAR) del estado de Qatar en asocio con el programa CERT que es parte de
Instituto de Ingeniería de Software de la Universidad Carnegie - Mellon en Pittsburgh, Estados Unidos.
2.1.35.4. Área de Influencia
Gobierno y sector privado en Qatar y en la región cercana del golfo.
2.1.36.
REINO UNIDO - GOVCERTUK39 (CESG´S INCIDENT RESPONSE TEAM)
2.1.36.1. Antecedentes
GovCertUK nace en febrero de 2007, como la autoridad técnica nacional para el aseguramiento de la
información y proporciona la función de CERT al gobierno británico. Asiste a organizaciones del sector
público en la respuesta a los incidentes de seguridad computacional y proporciona asesoría para reducir la
exposición a la amenaza.
Este papel incluye disponer de una capacidad de respuesta a emergencias de las organizaciones del sector
público que pueden requerir la ayuda técnica y la asesoría durante períodos de ataque electrónico o de
otros incidentes de la seguridad de la red.
El equipo GovCertUK presta ayuda técnica y asesoría al Centro para la Protección de la Infraestructura
Nacional (Centre for the Protection of National Infrastructure – CPNI40), que proporcionará un papel similar
39
Tomado de: www.govcertuk.gov.uk. U.A: 2008/09/26. Publicado por: CESG GovCertUK Incident Response Team.
Autor: No determinado.
Página 93 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
de ayuda a la infraestructura nacional crítica, a las organizaciones del sector público y privado, protegiendo
la seguridad nacional ayudando así a reducir la vulnerabilidad de la infraestructura nacional al terrorismo y
a otras amenazas.
2.1.36.2. Servicios Ofrecidos
•
Publicaciones orientadas a la protección general de la seguridad.
•
Informes de seguridad de la información destacando los riesgos frente a la infraestructura nacional.
•
Notas técnicas de la Seguridad de la Información.
•
Vulnerabilidades de la Seguridad de la Información.
•
Investigación en vulnerabilidades computacionales para determinar las amenazas, identificar problemas
y se trabaja de la mano con proveedores de tecnología para suministrar patches de software.
•
Promueven las mejores prácticas entre los operadores de la infraestructura nacional, compartiendo la
información.
•
Descripción de tecnologías emergentes.
•
Intercambios de información sobre los riesgos.
2.1.36.3. Área de Influencia
Reino Unido e Irlanda del Norte
2.1.37.
SINGAPUR – SINGCERT41 (SINGAPORE CERT)
2.1.37.1. Antecedentes
El Equipo de Respuesta a Emergencias Computacionales de Singapur (SingCERT) fue instalado para
facilitar la detección, la resolución y la prevención de incidentes relacionados con la seguridad en Internet.
Sus objetivos son:
40
Tomado de: www.cpni.gov.uk. U.A: 2008/09/26. Publicado por: Centre for the Protection of National Infrastructure
– CPNI. Autor: No determinado.
41
Tomado de: http://www.singcert.org.sg/. U.A: 2008/09/26. Publicado por: Singapur – SingCERT. Autor: No
determinado.
Página 94 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Ser un punto de contacto confiable.
•
Facilitar la resolución de las amenazas de la seguridad.
•
Aumente la capacidad nacional en seguridad.
2.1.37.2. Servicios Ofrecidos
•
Genera alarmas, recomendaciones y patches de seguridad.
•
Promueve el conocimiento de la seguridad a través de cursos, seminarios y talleres de seguridad.
•
Colabora con los proveedores y otros CERTs para encontrar soluciones a los incidentes de la seguridad
2.1.37.3. Estructura
SingCERT fue establecido inicialmente en octubre de 1997 como programa de la autoridad del desarrollo
de Infocomm de Singapur, en colaboración con el Centro para la Investigación del Internet de la
Universidad Nacional de Singapur.
2.1.37.4. Área de Influencia
Singapur
2.1.38.
SRI LANKA – SLCERT42 (SRI LANKA COMPUTER EMERGENCY RESPONSE TEAM)
2.1.38.1. Antecedentes
El Equipo de Respuesta a Emergencia Computacionales de Sri Lanka (SLCERT) es el centro para la
seguridad del ciberespacio, designado por mandato para proteger la infraestructura de la información de la
nación y para coordinar medidas protectoras y respuestas a las amenazas y a las vulnerabilidades de la
seguridad informática.
Un CERT nacional actúa como punto focal para la seguridad de Ciberespacio para una nación. Es la única
fuente confiable para asesorar sobre las amenazas y las vulnerabilidades más recientes que afectan los
sistemas informáticos y las redes y para asistir al gobierno en responder y recuperarse de Ataques
computacionales.
42
Tomado de: http://www.cert.lk/. U.A: 2008/09/26. Publicado por: Sri Lanka – SLCERT. Autor: No determinado.
Página 95 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.1.38.2. Servicios Ofrecidos
SLCERT ofrece tres categorías de servicio:
•
Servicios de Respuesta: Son los servicios que son activados por los acontecimientos que son capaces
de causar efectos nocivos sobre los sistemas de información. Los ejemplos son ataques de Spam, virus
y acontecimientos inusuales de intrusos.
•
Dirección en incidentes: Este servicio implica responder a una petición o a una notificación asociada a
la detección de un acontecimiento inusual, que puede afectar el funcionamiento, la disponibilidad o la
estabilidad de los servicios o sistemas informáticos.
•
SLCERT realizará pasos para identificar el incidente y para clasificar la severidad del incidente,
asesorando en cómo contener el incidente y suprimir la causa. Una vez los sistemas se recuperan
completamente, SLCERT genera un informe de incidente detallando su naturaleza, medidas tomadas
para recuperarse de incidente y medidas preventivas recomendadas para el futuro.
•
Servicios del Conocimiento: Se diseñan para educar en la importancia de la seguridad de la información
y de los asuntos relacionados y las mejores prácticas.
•
Alarmas: Este servicio se utiliza para divulgar la información en relación con virus informáticos, bromas
y vulnerabilidades de la seguridad, y en lo posible, para proporcionar recomendaciones a corto plazo
para ocuparse de las consecuencias de tales ataques.
•
Seminarios y conferencias: Estos servicios tienen la intención de aumentar el conocimiento sobre la
seguridad de la información, seguridad estándares y mejores prácticas. Se busca ayudar a reducir
perceptiblemente la probabilidad de ser atacado.
•
Talleres: Estos servicios son dirigido para aumentar el conocimiento acerca de la seguridad de la
información. Se orientan a los profesionales más técnicos, que realizan tareas diarias relacionadas con
la seguridad de la información.
•
Base de Conocimiento: La base de conocimiento es un servicio pasivo ofrecido por SLCERT a los
interesados con documentos, artículos, noticias, etc., publicado en el Web site de SLCERT y los medios.
Se busca proporcionar una gama de recursos del conocimiento que permitan a cualquier persona
encontrar información útil para ayudar a aumentar su comprensión de la seguridad de la información.
•
Servicios de la Consulta: Estos servicios se orientan a proveer medios de toma de decisiones con
respecto a la seguridad de la información, y para tomar las medidas necesarias para consolidar las
defensas.
•
Soporte Técnico: Este servicio de revisión y análisis está dirigido a la infraestructura y procedimientos
de la seguridad adoptados dentro de las organizaciones, de acuerdo con la experiencia en seguridad de
la información del SLCERT y de ciertos parámetros predefinidos. El resultado final es un identificación
Página 96 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
detallada de las debilidades de la infraestructura, las mejoras que deben llevarse a cabo y cómo tales
las mejoras deben ser puestas en ejecución.
•
Soporte Consultivo para Política Nacional: Éste es un servicio realizado por SLCERT como obligación
con la nación. Como autoridad primaria en seguridad de la información en Sri Lanka, SLCERT es
responsable de generar y de hacer cumplir estándares de seguridad de la información a nivel nacional.
2.1.38.3. Área de Influencia
Sri Lanka
2.1.39.
TÚNEZ - CERT-TCC43 (COMPUTER EMERGENCY RESPONSE TEAM - TUNISIAN
COORDINATION CENTER)
2.1.39.1. Antecedentes
A partir de 2002 se establece el núcleo de un CSIRT en Túnez, que condujo en 2004 al lanzamiento oficial
del CERT-TCC (Computer Emergency Response Team - Centro Tunecino de Coordinación), un CSIRT
público gestionado por la Agencia Nacional para la Seguridad Computacional.
El CERT-TCC tiene los siguientes objetivos:
•
Aumentar el conocimiento y entendimiento acerca de la seguridad de la información y de la seguridad
de la computadora a través de medidas proactivas.
•
Proporcionar un soporte confiable7*24, con un solo punto de contacto para las emergencias, para
ayudar a manejar incidentes de la seguridad y para asegurar la protección del Ciberespacio nacional y
la continuidad de servicios críticos nacionales a pesar de ataques.
•
Proporcionar el entrenamiento y la certificación de alto nivel para los aprendices y los profesionales.
•
Informar sobre las mejores prácticas y sobre aspectos de organización de la seguridad, con un foco
especial en la gerencia de la intervención y de riesgo.
•
Informar sobre vulnerabilidades y respuestas correspondientes y sirve como un punto confiable de
contacto para recopilar e identificar vulnerabilidades en sistemas informáticos.
•
Informar sobre mecanismos y herramientas de la seguridad y asegurar que la tecnología apropiada y
las mejores prácticas de gerencia sean utilizadas.
43Tomado
de: http://www.ansi.tn/en/about_cert-tcc.htm. U.A: 2008/09/26. Publicado por: National Agency for Computer
Security - Tunez. Autor: No determinado.
Página 97 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Poner en ejecución los mecanismos que permitan alertar y dar respuesta a organizaciones y a
instituciones, para desarrollar sus propias capacidades de la gerencia del incidente
•
Facilitar la comunicación entre el profesional y los expertos que trabajan en estructuras de seguridad y
estimular la cooperación entre y a través de los negocios públicos y privados de las agencias estatal y
de las organizaciones académicas.
•
Colaborar con la comunidad internacional y nacional en incidentes de detección y de resolución de la
seguridad computacional.
•
Promover o emprende el desarrollo de los materiales educativos, de conocimiento y de entrenamiento
apropiados para mejorar las habilidades y el conocimiento técnico de los usuarios y los profesionales de
la seguridad.
2.1.39.2. Servicios Ofrecidos
•
Actividades del conocimiento
•
Publicaciones: Como material del conocimiento, se desarrollan y distribuyen folletos y guías que
explican a los usuarios de una manera simple y clara las amenazas y cómo proteger sus sistemas.
También distribuyen libremente los CDs con las herramientas de seguridad y de control parental, libres
para el uso doméstico, pero también los patches.
•
Presentaciones: Co-organizan e intervienen en conferencias nacionales y talleres relacionados con la
seguridad, con demostraciones en vivo de ataques, para sensibilizar a la gente con la realidad de los
riesgos y la importancia de las mejores prácticas.
•
Juventud y padres: Referente a conocimiento de la juventud y de los padres, preparan material del
conocimiento. Un manual “Pasaporte de la seguridad para la familia” incluyendo concursos, historietas
y juego pedagógico, que explican a los niños de una manera divertida, los riesgos (pedofilia, virus,
etc…) y las reglas básicas de protección.
•
Prensa: Participa en emisiones semanales en medios nacionales, creando un posicionamiento.
•
Información y actividades de alertas: Una de las principales tareas es detectar y analizar amenazas y
transmitir esa información a los administradores de sistema y a la comunidad de usuarios. CERT-TCC
divulga regularmente información y alarmas sobre vulnerabilidades críticas y actividades malévolas a
través de sus listas de distribución y con su web site. Analiza las vulnerabilidades potenciales,
recogiendo la información, trabajando con otros CSIRTs y proveedores de software para conseguir las
soluciones a estos problemas.
•
Entrenamiento y educación: CERT-TCC está actuando para la construcción de un grupo de trabajo de
los multiplicadores y e la creación de diplomados especializados en seguridad, junto con el estímulo de
los profesionales para obtener certificación internacional. Para solucionar eficientemente el problema de
la carencia del entrenamiento especializado en seguridad, el CERT-TCC organiza entrenamientos para
Página 98 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
los multiplicadores que estarán en cargo de reproducir esos cursos en una escala mayor. Los primeros
asuntos identificados son los siguientes:
•
Técnicas de seguridad del perímetro de la red: Arquitecturas seguras, firewall, identificaciones,
servidores de marcado manual seguros.
•
Organización y técnicas internas: Desarrollo de política de la seguridad, desarrollo del plan de
seguridad, herramientas de seguridad de la red (Firewall, entradas distribuidos contra-virus, PKI.).
•
Tecnologías de supervivencia de la información: Planes de recuperación de desastres.
•
Base técnica para la prevención de la intrusión: Identifica y previene intrusiones y defectos de
seguridad.
•
Fundamentos en la orientación del manejo del incidente.
•
Metodologías de la autovaloración de la seguridad.
•
ISO 17799 e ISO 27000.
•
Curso de CBK, para la preparación a la certificación de CISSP.
•
Cursos especializados para el personal judicial y de investigación.
•
También desarrollan un programa de entrenamiento para la certificación de personas del sector
privado, que permite la obtención de la certificación nacional de interventor de la seguridad, además, al
entrenamiento para los administradores de los sistemas de e-gobierno, y como motivación para la
certificación de CISSP, los entrenamientos que cubren todos los capítulos del CBK.
•
CERT-TCC trabaja con profesionales e instituciones académicas para desarrollar planes de estudios en
seguridad de la información y se tiene el proyecto para lanzar un centro de entrenamiento regional en
seguridad en sociedad con el sector privado.
•
Prepara adicionalmente los entrenamientos especiales para los jueces, y periodistas.
•
Educación: En colaboración con dos instituciones académicas, se lanzó la primera maestría en
seguridad en 2004 y ahora tres universidades públicas y cuatro privadas, proponen programas de
maestría similares. Para motivar a estudiantes a atender a esos cursos, se les ofrece la posibilidad de
postular a la certificación nacional del interventor de la seguridad. De otro lado, consideran que todos
los estudiantes deben ser preparados para obtener conocimiento apropiado sobre riesgos y la
existencia de las mejores prácticas y de herramientas de seguridad para la protección. Con ese
propósito, comenzaron sesiones del conocimiento de verano para los nuevos profesores de las escuelas
secundarias y están motivando a todas las entidades de educación para la introducción de los cursos
básicos del conocimiento dentro de programas académicos, desde las escuelas secundarias hasta la
Página 99 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
universidad. CERT-TCC comenzó el desarrollo del material y de los programas del conocimiento para las
escuelas secundarias.
•
Dirección y ayuda del incidente: Según la ley relacionado con la seguridad computacional, las
corporaciones privadas y públicas deben informar al CERT-TCC sobre cualquier incidente, que pueda
tener impacto en otros sistemas de información nacionales, con la garantía de confidencialidad ala que
están obligados los empleados del CERT-TCC y los interventores de la seguridad, bajo sanciones
penales. Las organizaciones tanto privadas como públicas deben confiar en el CERT-TCC por lo cual se
obligan a guardar confidencial sobre sus identidades y la información sensible proporcionada. También
deben ser neutrales, que permita trabajar con las entidades y las entidades sin predisposición.
•
Se establecieron teléfonos 7*24 que permiten a los profesionales y a los ciudadanos divulgar y llamar
para solicitar ayuda en caso de incidentes de la seguridad computacional y también para solicitar la
información y/o la ayuda en cualquier tema relacionado a la seguridad.
•
En las actividades de dirección de la vulnerabilidad y del incidente se asigna una prioridad más alta a
los ataques y a las vulnerabilidades que afectan directamente el ciberespacio nacional. En este sentido
se comenzó a desarrollar un sistema llamado “Saher” que permite determinar y predecir amenazas
grandes y potenciales a la infraestructura de telecomunicación sensibles y al Ciberespacio local, basado
en código abierto que permite supervisar la seguridad del Ciberespacio nacional en tiempo real para la
detección temprana de ataques masivos. El primer prototipo fue desplegado en noviembre de 2005.
•
Para asegurar una respuesta rápida y correcta en caso de ataques grandes contra el Ciberespacio, se
ha desarrollado un plan global de la reacción basado en el establecimiento de células de crisis
coordinadas a nivel de varios agentes del Ciberespacio nacional ( ISPs, IDCs, proveedores de acceso,
redes corporativas grandes) con CERT-TCC actuando como coordinador entre ellos.
•
Colaboración con asociaciones: Co-organizan regularmente talleres del conocimiento y entrenamiento
buscando sinergia entre los profesionales y los agentes nacionales. Animan la creación de dos
asociaciones especializadas en el campo de la seguridad informática: Una asociación académica
lanzada en 2005 (“Asociación Tunecina para la Seguridad Numérica”) y durante 2006 (“Asociación
Tunecina de Expertos en Seguridad Computacional”). Con el propósito de motivar la agregación técnica
de esas asociaciones, las están motivando para la creación de equipos de trabajo técnicos.
•
Colaboración internacional: CERT-TCC se ha establecido como miembro de pleno derecho de FIRST en
mayo de 2007 y busca colaborar con otros CSIRTs para lograr un apoyo mayor y colaboración en
investigaciones. También intentan ser activos a nivel regional en África y en organizaciones
internacionales.
2.1.39.3. Estructura
Cuenta con dos equipos:
•
Equipo Amen: A cargo del análisis del incidente y coordinación y respuesta en sitio y en caso de
emergencia nacional.
Página 100 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Equipo Saherel: A cargo de la detección del incidente y del artefacto, que desarrolla y maneja un
sistema de supervisión para el ciberespacio nacional, basado en soluciones de código abierto. Está
también a cargo de dar asistencia técnica y ayuda para el despliegue de las soluciones de código
abierto.
•
2.1.39.4. Área de Influencia
Túnez
2.1.40.
VENEZUELA CERT.VE44 (VENCERT – EQUIPO DE RESPUESTA PARA EMERGENCIAS
INFORMÁTICAS)
2.1.40.1. Antecedentes
El Ministerio de Ciencia y Tecnología, cumpliendo su competencia en materia de Tecnologías de
Información y Comunicación, pone en marcha el proyecto parea conformar un Equipo de Respuesta para
Emergencias Informáticas a través de la Superintendencia de Servicios de Certificación Electrónica SUSCERTE. Este equipo en conjunto con la academia, centralizará y coordinará los esfuerzos para el
manejo de incidentes que afecten oi puedan afectar los recursos informáticos de la Administración Pública,
así como difundir información de cómo neutralizar incidentes, tomar precauciones para las amenazas de
virus que puedan comprometer la disponibilidad y confiabilidad de las redes.
Además centralizará los reportes sobre incidentes de seguridad ocurridos en la Administración Pública y
facilitará el intercambio de información para afrontarlos, provee documentación y asesoría sobre la
seguridad informática.
Sus objetivos son combinar esfuerzos con la comunidad internet nacional e internacional para facilitar y
proporcionar respuesta a los problemas de seguridad informática que afecten o puedan afectar a los
sistemas centrales, así como elevar la conciencia colectiva sobre temas de seguridad informática y llevar a
cabo tareas de investigación que tengan como finalidad mejorar la seguridad de los sistemas existentes.
Coordinar las acciones de monitoreo, detección temprana y respuesta ante incidentes de seguridad de
informática entre los órganos del Poder Público, así como el tratamiento formal de estos incidentes y su
escalamiento ante las instancias correspondientes.
La Superintendencia debe promocionar y divulgar el uso de Políticas de Seguridad, la firma electrónica y
certificado electrónico apoyándose en los centros educativos, planteándose programas académicos que
apoyen a dichos centros en las carreras jurídicas para dar a conocer la Ley sobre mensaje de Datos y
Firma Electrónica, los reglamentos y las resoluciones de la superintendencia. Así se pretende lograr que la
Administración Pública venezolana identifique sus requisitos de seguridad y aplique medidas para
alcanzarlos, mediante el uso de tres fuentes principales:
44
Tomado de: http://www.cert.gov.ve/. U.A: 2008/09/26. Publicado por: Venezuela CERT.ve. Autor: No determinado.
Página 101 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Valoración de los riesgos de cada uno de los Entes Gubernamentales. Con ello se identifican las
amenazas a los activos, se evalúa la vulnerabilidad y la probabilidad de su ocurrencia y se estima su
posible impacto.
•
Determinación de requisitos legales, estatutarios y regulatorios que deberían satisfacer los entes de la
Administración Pública, sus usuarios, contratistas y proveedores de servicios.
•
Establecimiento de los principios, objetivos y requisitos que forman parte del tratamiento de la
información que el Gobierno Nacional ha desarrollado para apoyar sus operaciones.
Para ello el VenCERT (Centro de Respuestas ante incidentes telemáticos del Sector Público) implementará
un conjunto de políticas, prácticas, y procedimientos y los controles que garanticen el cumplimiento de los
objetivos específicos de seguridad. Asimismo, orientará y asesorará en la definición de estructuras
organizativas, funciones de software y necesidades de formación.
El VenCERT deberá igualmente constituirse en eje central de un sistema de investigación científica aplicada
a la seguridad telemática, convirtiéndose en demandante principal de sus productos y proveedor
permanente de nuevos temas de investigación.
2.1.40.2. Servicios Ofrecidos
•
Proveer un servicio especializado de asesoramiento en seguridad de redes
•
Promover la coordinación entre los organismos de la Administración Pública para prevenir, detectar,
manejar y recuperar incidentes de seguridad.
•
Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administración Pública y facilitar
el intercambio de información para afrontarlos.
•
Crear listas de correo con el fin de mantener informados a los directores de informática sobre las
noticias más recientes en materia de seguridad.
2.1.40.2.1. Estructura
El VenCERT hace parte de la Superintendencia de Servicios de Certificación Electrónica de Venezuela –
SUSCERTE.
2.1.40.3. Área de Influencia
Administración Pública de Venezuela
Página 102 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.2. EXPERIENCIAS O ANTECEDENTES EN COLOMBIA
2.2.1. CIRTISI – COLOMBIA45 (CENTRO DE INFORMACIÓN Y RESPUESTA TÉCNICA A
INCIDENTES DE SEGURIDAD INFORMÁTICA DE COLOMBIA)
2.2.1.1.
Antecedentes
En colaboración de varías entidades gubernamentales se desarrolló una primera propuesta para la
constitución de un Centro de Información y Respuesta Técnica a Incidentes de Seguridad Informática de
Colombia – CIRTISI.
Según esta propuesta, CIRTISI Colombia buscaría propender por la prevención, detección y reacción frente
a incidentes de seguridad informática que amenacen y/o desestabilicen la normal operación de entidades
gubernamentales e incluso la seguridad nacional, mediante apoyo tecnológico, entrenamiento y generación
de una cultura global de manejo de la información.
Sus objetivos generales serían:
•
Brindar apoyo a las entidades gubernamentales para la prevención y rápida detección, identificación,
manejo y recuperación frente a amenazas a la seguridad informática.
•
Interactuar con los entes de policía judicial generando un espacio de consulta frente a las amenazas de
seguridad e investigaciones informáticas.
•
Proporcionar información especializada y conocimiento a las autoridades de policía judicial durante los
procesos investigativos relacionados con la seguridad informática.
•
Construir un laboratorio de detección e identificación, control y erradicación de amenazas informáticas
para los diferentes organismos gubernamentales.
•
Consolidar el capitulo HTCIA (High Technology Crime Investigation Association) Colombia y adelantar
las actividades necesarias para su permanencia y crecimiento
Sus objetivos específicos serían:
•
45
Proporcionar alertas tempranas frente a amenazas informáticas que puedan desestabilizar la tecnología
y la seguridad nacional.
Documento: CIRTISI COLOMBIA, Tomado de
http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de%202007%202.pdf.
2008/09/26. Publicado por: Gobierno en Línea. Autor: No determinado.
Página 103 de 192
U.A:
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Fomentar la investigación y desarrollo de estrategias de seguridad informática.
•
Brindar una adecuada respuesta a incidentes de seguridad informática, con un enfoque metodológico
que propenda por la eficiencia de las investigaciones realizadas.
•
Establecer canales de comunicación nacionales expeditos de manera que sea posible ofrecer una
atención a incidentes en forma efectiva.
•
Generar redes de apoyo temáticas en materia de seguridad de la información.
•
Promover la coordinación nacional con otras entidades pertinentes del orden regional
•
Fortalecer la cooperación con organismos intergubernamentales en el ámbito subregional, regional e
internacional.
•
Impulsar la cooperación internacional con organismos de similar naturaleza y propósito.
•
Participar en el Forum of Incident Response and Security Teams (FIRST)
•
Consolidar, mantener y liderar el capitulo HTCIA Colombia
•
Fomentar una conciencia global de seguridad informática
•
Proveer un servicio especializado de asesoramiento en seguridad de redes.
2.2.1.2.
Servicios Propuestos
•
Investigación técnica de amenazas informáticas existentes e identificación de tendencias.
•
Generación de alertas tempranas frente a las amenazas existentes, conocidas y potenciales.
•
Entrenamiento local, nacional o internacional en materia de seguridad informática y procedimientos de
computación forense para los organismos de policía judicial colombiana.
•
Respuesta efectiva a incidentes de seguridad informática que se presenten en cualquier órgano
gubernamental, brindando apoyo técnico para la recolección, análisis, preservación y presentación de
evidencia digital en incidentes que den lugar a investigaciones informáticas.
•
Promover la cultura de la seguridad informática y la estandarización de protocolos de seguridad.
•
Establecer contactos con equipos de similar naturaleza o propósito y con organizaciones que agrupen
estos equipos, tanto a nivel nacional como internacional.
Página 104 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
El CIRTISI - Colombia propone desarrollar sus actividades dentro de los siguientes ejes estratégicos:
•
Desarrollo de Políticas: Promover la formulación de políticas que contribuyan con la prevención,
detección, identificación, manejo y recuperación frente a amenazas a la seguridad informática así como
con la adopción de legislación para adecuar y actualizar la tipificación de las conductas conocidas por el
CIRTISI.
•
Actividad Operacional: Obtener diagnósticos reales sobre las diferentes amenazas informáticas que se
generan a partir de una cobertura de servicios y sectores definida y, de la permanente capacitación y
optimización tecnológica.
•
Impacto Social: Generación de una cultura global de manejo de la información y fomento de la
conciencia frente a la seguridad informática mediante la permanente socialización de las amenazas
conocidas y nuevas y su impacto sobre la seguridad informática en Colombia.
2.2.1.3.
Estructura Sugerida
La conformación del CIRTISI involucraría cinco áreas o divisiones con liderazgo propio de manera que se
puedan cubrir diversos aspectos de la seguridad informática nacional.
Ilustración 6: Estructura CIRTISI Colombia
•
División de Infraestructura y Asesoría: Esta división será la encargada de todo el planeamiento logístico
y estratégico necesario para la conformación y puesta en operación del CIRTISI - Colombia, apoyando
directamente a la dirección general y junta directiva que se designe.
•
División de Alertas Tempranas y Coordinación: Esta división se concentrará en el monitoreo de
amenazas y coordinación con CERT’s nacionales e internacionales, generando las alertas tempranas
Página 105 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
frente a amenazas potenciales. En conjunto con la investigación y desarrollo son el corazón del CIRTISI
en la medida que se convierte en el punto de detección de amenazas globales. Adicionalmente, esta
división está encargada de mantener una base estadística de amenazas a la seguridad de la
información.
•
División de Investigación y Desarrollo: La división de Investigación y Desarrollo estará encargada del
laboratorio de amenazas, proporcionadas por la división de alertas tempranas, con el fin de identificar
riesgos efectivos. Esta división afinará la base estadística de amenazas convirtiéndolas en riesgos y
generando las alertas acerca de aquellos riesgos que podrían impactar de mayor manera la seguridad
nacional. Estos estudios contribuirán con la elaboración de diagnósticos sobre la situación real del país
en materia de seguridad informática. Adicionalmente, esta División se encargará todo lo relacionado
con capacitación y entrenamiento tanto al interior del CIRTISI como hacia los diferentes entes del
Gobierno. Asimismo, administrará y distribuirá entre las entidades nacionales competentes las ofertas
de cooperación, asistencia y capacitación en nuevas tecnologías y manejo de incidentes de seguridad
informática.
•
División de Respuesta a Incidentes: La División de Respuesta a Incidentes será el grupo de reacción
frente a cualquier incidente de seguridad de la información que se presente en el sector Gobierno. Esta
división estará a cargo de los mecanismos de comunicación únicos nacionales que atenderían y
manejarían los requerimientos de incidentes. Adicionalmente, los funcionarios de esta división podrán
interactuar con las entidades con funciones de policía judicial en el desarrollo de investigaciones
informáticas ofreciendo apoyo técnico y especializado. Asimismo, el CIRTISI pondría a disposición de
dichas entidades las estadísticas sobre investigaciones informáticas a nivel nacional. Inicialmente,
contará con la infraestructura necesaria para brindar asistencia de lunes a viernes de 9:00 a 18:00
horas, y en el mediano plazo, a medida que aumente la capacidad y la demanda, entraría a operar en
el modelo 24 horas al día, 7 días a la semana (7/24).
•
División de Divulgación y Concienciación: Esta División será la única encargada de proporcionar la
información oficial que se derive de las actividades del CIRTISI hacia los medios de comunicación y la
comunidad en general. Adicionalmente y, como parte de la misión social del CIRTISI, promoverá la
generación de conciencia en el adecuado manejo de la seguridad de la información.
Las entidades involucradas en su constitución serían:
•
Ministerio del Interior y de Justicia
•
Ministerio de Defensa Nacional
•
Ministerio de Relaciones Exteriores
•
Ministerio de Comunicaciones
•
Ministerio de Comercio, Industria y Turismo
•
Departamento Administrativo de Seguridad (DAS)
Página 106 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Policía Nacional (DIPOL, DIJIN)
•
Comisión de Regulación de Telecomunicaciones (CRT)
•
Dirección Nacional de Planeación (DNP)
•
Fiscalía General de la Nación
•
Cuerpo Técnico de Investigación (CTI)
•
Procuraduría General de la Nación
2.2.1.4.
Área de Influencia
El CIRTISI Colombia tendría un alcance nacional que abarca el sector Gobierno y brindaría apoyo a las
entidades gubernamentales para la prevención y rápida detección, identificación, manejo y recuperación
frente a amenazas a la seguridad informática.
También brindaría apoyo técnico y proporcionaría información especializada a los cuerpos de policía judicial
y de control en aspectos relacionados con la seguridad informática. En estos casos, manteniendo reserva
en la información reportada a los organismos y teniendo en cuenta las responsabilidades y controles que el
manejo de este tipo de información requiere.
El CIRTISI establecería canales de interlocución con usuarios del sector privado y la academia con el
propósito de ampliar la información en materia de tendencias e investigación. En este sentido, hará
seguimiento a los principales dispositivos, aplicaciones y herramientas (hardware, software), a fin de
conocer las vulnerabilidades de los sistemas operativos, alertar y obrar en consecuencia. Adicionalmente,
mantendrá una base de datos de incidentes de seguridad, la cual servirá para consulta, seguimiento, y
permitirá llevar un registro histórico de los mismos.
El CIRTISI brindaría capacitación especializada a las áreas técnicas de las diferentes entidades nacionales.
Teniendo en cuenta que la cooperación e intercambio de información entre equipos de esta naturaleza está
basada en la confianza, el CIRTISI - Colombia estaría llamado a constituirse en el punto focal confiable
para organismos similares en el ámbito internacional. El CIRTISI entraría en contacto con otros Equipos de
Seguridad existentes en el mundo, y con las organizaciones que los agrupan, y establecería canales
comunicación permanente para facilitar el intercambio de información técnica, experiencias, metodologías,
procesos, buenas prácticas y otros servicios que ofrecen dichas organizaciones.
Página 107 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.2.2. CSIRT COLOMBIA46 (COL CSIRT)
2.2.2.1.
Antecedentes
El COL-CSIRT es un grupo de investigación de la Universidad Distrital Francisco José de Caldas que
pretende un marco de operación nacional y cuyo constituyente estará dado por entidades de educación
superior y entidades oficiales del estado.
Su objetivo es ofrecer un servicio de soporte a las entidades estatales y de educación superior, para la
prevención, detección y corrección de los incidentes de seguridad informáticos, con los siguientes objetivos
específicos.
•
Desarrollar una Base de Datos que contenga la información concerniente a los diferentes incidentes de
seguridad informáticos existentes y las preguntas más frecuentemente contestadas (FAQ's).
•
Prestar el soporte sobre Sistemas Operativos Windows y Linux (Unix).
•
Utilizar la clasificación taxonómica de los incidentes y ataques con código malicioso propuesta en el
proyecto de maestría en Teleinformática titulado "ANÁLISIS DE INCIDENTES RECIENTES DE
SEGURIDAD EN INTERNET 1995 a 2003" para ofrecer una respuesta oportuna, eficaz y eficiente a los
distintos reportes y alertas que se reciban diariamente en el centro de respuesta.
•
Establecer detalladamente los servicios que prestará el centro de respuesta con respecto a los
incidentes de seguridad informáticos.
•
Integrar la base de datos del Centro de Respuesta a incidentes y ataques con código malicioso, al
portal WEB del COL-CSIRT que está siendo desarrollado por el grupo de investigación ARQUISOFT de
la Universidad Distrital Francisco José de Caldas.
46
Tomado de: http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt. U.A: 2008/09/26. Publicado por:Universidad Distrital
Francisco José de Caldas. Autores: Coordinadora: MsC. Zulima Ortiz Bayona. Docentes asistentes: Ing. Claudia Liliana Bucheli, María del Pilar
Bohorquez. Estudiantes coordinadores: Erika Tatiana Luque Melo, Jeffrey Steve Borbón Sanabria, Anthony Molina. Estudiantes investigadores:
Lina Rocio Infante, Diego Alfonso Barrios Contreras, Ivon Carolina Rodríguez Parra, Laura Patricia Ortiz Ortiz, Diego Iván Arango, Jorge
Eduardo Ibáñez Sepúlveda, Edwin Giovanny Gutierrez Ramírez, Jairo Andrés Gómez Monrroy, Rene Alejandro Rangel Segura, Alvaro
Hernando Talero Niño, Daniel Arturo Acosta, Camilo Andrés Alfonso Vargas, Mónica Patricia Basto Guevara, Wilmer Daniel Galvis, Saira
Carvajal, Diana Marcela Cotte Corredor, Luis Francisco Fontalvo Romero, Cristian Camilo Betancourt Lemus, Rodrigo Cruz Hernández, Julián
Bonilla M, Jorge Gamba V, Giulio Leonardo Aquite Pinzón, Nidia Marcela Corcovado B, Jorge Andrés Diab, Daniel Felipe Rentería Martínez
Página 108 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.2.2.2.
Servicios Ofrecidos
Prestará el servicio de manejo de incidentes de seguridad informáticos, a través del análisis de incidentes,
respuesta a los incidentes en lí-nea, soporte a la respuesta del incidente y la coordinación de la respuesta
del incidente.
2.2.2.3.
Estructura
El grupo está compuesto por una coordinación, docentes asistentes, estudiantes coordinadores y
estudiantes investigadores.
2.2.2.4.
Área de Influencia
Colombia
2.2.3. COMITÉ INTERAMERICANO CONTRA EL TERRORISMO DE LA OEA (CICTE)
En junio de 2004 se llevó a cabo un taller para practicantes en materia de seguridad cibernética del CICTE
sobre la estrategia integral de seguridad cibernética de la OEA47, y sirvió como marco para establecer una
Red Interamericana CSIRT de vigilancia y alerta.
Su objetivo era crear una red hemisférica de puntos nacionales de contacto entre equipos de respuesta a
incidentes de seguridad en computadoras (Computer Security Incident Response Teams: CSIRT) con
responsabilidad nacional (CSIRT nacionales), en los Estados Miembros de la OEA, con el mandato y la
capacidad de responder debida y rápidamente a las crisis, incidentes y peligros relacionados con la
seguridad cibernética.
Estos equipos podrían comenzar simplemente como puntos de contacto oficiales en cada uno de los
Estados y estarían a cargo de recibir información sobre seguridad cibernética. En el futuro se convertirían
en un CSIRT.
Reviste importancia creciente la colaboración mundial y la capacidad de respuesta en tiempo real entre los
equipos. Dicha colaboración debe permitir lo siguiente:
•
El establecimiento de CSIRT en cada uno de los Estados Miembros
•
El fortalecimiento de los CSIRT hemisféricos
•
La identificación de los puntos de contacto nacionales
47Tomado
de: http://www.cicte.oas.org/Rev/en/Documents/OAS_GA/AG-RES.%202004%20(XXXIV-O-04)_SP.pdf. U.A: 2008/09/26.
Publicado por: Comité Interamericano Contra el Terrorismo de la OEA. Autor: No determinado.
Página 109 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
La identificación de los servicios críticos
•
El diagnóstico rápido y preciso del problema
•
El establecimiento de protocolos y procedimientos para el intercambio de información
•
La pronta diseminación regional de advertencias sobre ataques
•
La pronta diseminación regional de advertencias sobre vulnerabilidades genéricas
•
a difusión de un alerta regional sobre actividades sospechosas y la colaboración para analizar y
diagnosticar tales actividades
•
El suministro de información sobre medidas para mitigar y remediar los ataques y amenazas
•
La reducción de duplicaciones de análisis entre los equipos
•
El fortalecimiento de la cooperación técnica y la capacitación en materia de seguridad cibernética para
establecer los CSIRTs nacionales
•
La utilización de los mecanismos subregionales existentes.
En mayo de 2008 se llevó a cabo en la ciudad de Bogotá una capacitación en “Fundamentos para creación
y manejo de un CSIRT” organizada por la Secretaría del CICTE en coordinación con la Cancillería y la
Policía Nacional de Colombia (DIJIN), con la participación de representantes de Bolivia, Chile, Ecuador,
Paraguay, Perú, República Dominicana, y Colombia, con responsabilidades técnicas y/o políticas relativas al
desarrollo de su infraestructura nacional de seguridad cibernética, incluida la creación y desarrollo de
Computer Security Incident Response Teams (CSIRT).
2.3. EN RESUMEN
A modo de resumen de la revisión documental acerca de las iniciativas y experiencias de CSIRT nacionales
e internacionales y en concordancia con los comentarios recibidos de la firma Suárez Beltrán & Asociados
por medio del Programa Gobierno en Línea, se identifica una tipificación de los CSIRT acorde con sus
estructuras, objetivos y funciones.
2.3.1. CSIRTs PÚBLICOS
El carácter público de los CSIRT suelen ser los responsables por la seguridad de la información para las
entidades gubernamentales, enfocándose en servir como punto único y de coordinación para el manejo de
incidentes de la información relacionados con la infraestructura crítica nacional. Así mismo, son
responsables por la definición de estándares y buenas prácticas e impulsan la formación y difusión del
conocimiento en temas de seguridad de la información. Se identifican dos tipos de estructuras: Unidades
públicas independientes o unidades dependientes de entidades existentes.
Página 110 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Unidades públicas independientes: Tiene su área de influencia limitada al país y a las entidades
públicas, pero cuentan con plena autoridad para impulsar medidas y tomar acciones preventivas a lo
largo de los sectores económicos y administrativos. Dentro de los beneficios de contar con un CSIRT
dentro de la estructura del gobierno se pueden considerar el permitir identificar un punto único de
contacto central, así como la capacidad de tener un equipo capaz de instrumentar y conducir una
rápida respuesta para contener un incidente de seguridad de la información que pueda poner en riesgo
la infraestructura crítica nacional.
•
Unidades dependientes de entidades existentes. Estas dependencias suelen estar asociadas a las áreas
de inteligencia, sector de las comunicaciones, la ciencia y tecnología, directamente vinculadas a
gabinetes de gobierno o a las entidades policiales o militares. Suelen tener autoridad compartida con
otras instancias para el manejo del incidente informático.
2.3.2. CSIRTs PRIVADOS
•
Organismos consultivos sin ánimo de lucro: Despliegan gran parte de sus servicios y actividades a favor
de sus miembros inscritos, quienes pagan una suma por la afiliación para el mantenimiento de la
estructura del CSIRT. Tiene un papel consultivo y no tiene ninguna autoridad para ordenar o realizar
tareas por parte de sus miembros o el área de influencia. Son fuentes generalizadas de buenas
prácticas, documentos técnicas compartidos con la comunidad y creación de estándares de mercado.
De igual forma, promueven foros para la creación y difusión de conocimiento técnico.
•
Organismo con ánimo de lucro: Identificados como proveedores, el mercado ofrece los servicios de los
CSIRT a través de varias alternativas:
o
Centros de Análisis, que se concentran en la agrupación y análisis de datos desde varias fuentes
para determinar las tendencias y patrones en la actividad de incidentes.
o
Equipos de Proveedores, que manejen informes de vulnerabilidades en sus productos de software o
hardware.
o
Proveedores de Respuesta a Incidentes, que ofrecen servicios de manejo de incidentes para otras
organizaciones.
No tienen ningún tipo de autoridad para la mitigación o tratamiento en los incidentes informáticos.
•
Iniciativas Académicas: Bajo este esquema universitario, se generan equipos con énfasis en la
investigación y el análisis de la seguridad informática. Se elaboran publicaciones, foros y talleres,
cursos de capacitación y boletines periódicos.
2.3.3. CSIRTs INTERNOS
Estos equipos sólo responden a las necesidades de las organizaciones privadas a las que pertenecen,
imparte instrucciones, políticas y reglas de aplicación. Su principal actividad es la gestión de incidentes en
sus propias entidades.
Página 111 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
2.3.4. CSIRTs DE COORDINACIÓN
Estas organizaciones coordinan y facilitan el manejo de incidentes de seguridad de la informaciñon con el
apoyo de todas las entidades relacionadas con el tema a nivel nacional y a través de varios CSIRTs
nacionales e internacionales.
2.3.5. ESQUEMA ASOCIATIVO ENTRE EL SECTOR PÚBLICO Y EL PRIVADO
Esta alianza se organiza con el fin de proteger la infraestructura de internet del país, ante ataques que
pongan en juego su seguridad de la información, beneficiándose del patrocinio económico del sector
privado.
Página 112 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
3.
DEFINICIÓN DE LA ORGANIZACIÓN CSIRT PARA COLOMBIA
3.1. TIPO DE ENTIDAD
Iniciando el proceso de definición y diseño de un CSIRT48 en Colombia, es muy importante tener en cuenta
la naturaleza de la estrategia de Gobierno en Línea en el cual se enmarca este proyecto.
El CSIRT entra a apoyar el modelo de Seguridad de la Información definido para el estrategia de Gobierno
en Línea, facilitando la rápida y efectiva acción para el manejo estratégico de incidentes de seguridad de la
información, e interactuando con el Grupo Técnico de Apoyo que tiene entre sus responsabilidades los
estudios técnicos y el soporte técnico - jurídico para la preparación de los documentos, políticas, objetivos
de control y controles recomendados que son avalados por la Comisión. Asesora a las entidades en su
implementación, verifica su cumplimiento y proporciona apoyo técnico y jurídico para la operatividad del
modelo.
Ilustración 3: Modelo Detallado del Sistema Administrativo Nacional de Seguridad de la Información
48
CSIRT: Computer Security Incident Response Team (Equipo de Respuesta a Incidentes de Seguridad
Computacional)
Página 113 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Si bien es cierto que en el marco de este proyecto, el CSIRT que se constituya se orientará a los aspectos
de seguridad de la información para la Estrategia de Gobierno en Línea, con el ánimo de hacerlo auto
sostenible en el tiempo, es necesario considerar un amplio portafolio de servicios orientados tanto al sector
público como privado, para lo cual se han considerado 3 alternativas de tipo de entidad, cada una con
ventajas y desventajas respectivamente:
Ventajas Consideradas:
MODELO 1
(Como Dirección del
Ministerio de
Comunicaciones)
Está sometida al control fiscal y
social que verifica que los fondos
públicos sean utilizados de
acuerdo con la Ley y la eficiencia
administrativa - competitividad.
Brinda mayor transparencia a su
operación.
MODELO 2
(Como Asociación Pública
sin ánimo de lucro)
Está sometida al control fiscal
y social que verifica que los
fondos públicos sean
utilizados de acuerdo con la
Ley y la eficiencia
administrativa competitividad. Brinda mayor
transparencia a su operación.
Toma de decisiones depende de La adopción de decisiones se
un único actor
hace de manera coordinada,
por cuanto ellas suponen un
ejercicio colegiado, y opera
según lo que el acto
constitutivo establezca.
No pueden suspender sus
No pueden suspender sus
funciones por voluntad de las
funciones por voluntad de las
personas que están a su cargo.
personas que están a su
Los órganos de la administración cargo. Los órganos de la
y los servicios que se han
administración y los servicios
establecido deben continuar
que se han establecido deben
mientras la Ley no autorice la
continuar mientras la Ley no
suspensión o supresión de ellos, autorice la suspensión o
con lo cual se garantiza la
supresión de ellos, con lo cual
continuidad del servicio.
se garantiza la continuidad del
servicio.
Los resultados de un
Los resultados de un
establecimiento público no se
establecimiento público no se
miden en términos de utilidades miden en términos de
o ganancias que se reparten en
utilidades o ganancias que se
beneficio de particulares sino por reparten en beneficio de
el grado de eficiencia del servicio particulares sino por el grado
que se le lleva a la comunidad y de eficiencia del servicio que
la seguridad es un tema de alto
se le lleva a la comunidad y la
impacto en el que todas las
seguridad es un tema de alto
entidades deben involucrarse.
impacto en el que todas las
entidades deben involucrarse.
Página 114 de 192
MODELO 3
(Como Asociación con
Participación Mixta)
Foco de la entidad en el objeto
misional del CSIRT.
La adopción de decisiones se hace de
manera coordinada por cuanto ellas
suponen un ejercicio colegiado, y
opera según lo que el acto constitutivo
establezca.
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
MODELO 1
(Como Dirección del
Ministerio de
Comunicaciones)
MODELO 2
(Como Asociación Pública
sin ánimo de lucro)
MODELO 3
(Como Asociación con
Participación Mixta)
Foco de la entidad en el
objeto misional del CSIRT.
Mayor credibilidad por parte de la
comunidad.
Desventajas Consideradas:
MODELO 1
(Como Dirección del
Ministerio de
Comunicaciones)
En la comunidad Colombiana
existe una baja confianza en la
efectividad de las instituciones
públicas.
El CSIRT no tendría jerarquía
como centro de respuesta.
Limitado a la estructura
organizacional y funcional del
Ministerio.
La constitución y los actos de una
entidad pública se rigen por leyes
y decretos de función pública.
Todos sus actos son
reglamentados y están
encaminados a la prestación de
servicios de interés general para
la sociedad, sin embargo esto
puede hacer más lenta su
operación.
Limitaciones presupuestales para
contar con personal altamente
especializado para cubrir los
frentes de trabajo del CSIRT,
aunque podría acudirse a
contrataciones de prestación de
servicios.
MODELO 2
(Como Asociación Pública
sin ánimo de lucro)
MODELO 3
(Como Asociación con
Participación Mixta)
Se debe entrar a negociar la
participación de los
integrantes de la sociedad.
Se debe entrar a negociar la
participación de los integrantes de la
sociedad.
La constitución de la
asociación supone la
elaboración de actos de
constitución que se deben
concertar con cada uno de los
miembros, lo cual toma
tiempo.
La constitución de la asociación
supone la elaboración de actos de
constitución que se deben concertar
con cada uno de los miembros, lo cual
toma tiempo.
Página 115 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
MODELO 1
MODELO 2
(Como Dirección del
(Como Asociación Pública
Ministerio de
sin ánimo de lucro)
Comunicaciones)
Sujeción a las reglas de
Sujeción a las reglas de
ejecución presupuestal. Rigidez y ejecución presupuestal.
problemas operativos.
Rigidez y problemas
operativos.
MODELO 3
(Como Asociación con
Participación Mixta)
La seguridad de la información nacional es un punto crítico del Estado y se convierte en soporte básico
para la seguridad nacional, siendo la seguridad nacional y la seguridad de su infraestructura crítica una
responsabilidad del mismo Estado, que no puede dejarse en manos de particulares. Por esta razón, se
recomienda el establecimiento de una Asociación de carácter público sin ánimo de lucro, adscrita al
Ministerio de Comunicaciones, que favorezca los intereses de seguridad nacional sobre intereses
particulares y que garantice la transparente e igualitaria gestión de sus servicios. La composición de esta
sociedad puede establecerse con la participación del Ministerio de Comunicaciones ya que es la entidad
encargada de definir y promover la política del sector de las Tecnologías de la información y la
comunicación en Colombia (50%), los entes policivos (DAS y Policía Nacional por su responsabilidad sobre
la Seguridad Nacional, y adicionalmente la Fiscalía como unidad especializada en delitos de
telecomunicaciones y la administración pública, todas ellas con el 25%) y la academia (25%), representada
por el Instituto Colombiano para el Desarrollo de la Ciencia y la Tecnología, ‘Francisco José de Caldas’,
Colciencias (ahora constituido como Departamento Administrativo), debido a la capacidad investigativa de
la academia y en particular Colciencias como organización líder en la generación de políticas y capacidades
que permiten incorporar la Ciencia la Tecnología y la Innovación.
La participación accionaria se distribuye asignando un 50% al Ministerio de Comunicaciones como ente
gestor y responsable por la estrategia de Gobierno en Línea, pero se distribuye el otro 50% entre las
entidades que permiten la investigación y desarrollo de las ciencias relacionadas con la seguridad de la
información y con las entidades responsables por la seguridad nacional de la información.
Algunas de las ventajas de contar con un CSIRT como entidad pública son:
•
Puede dar prioridad a incidentes relacionados con la seguridad de la información de la infraestructura
crítica nacional.
•
Contar con un adecuado, seguro, transparente e igualitario manejo de la información confidencial de
cada organización cuando se presente un incidente de seguridad de la información.
•
Contar con un grupo de personal especializado, certificado y entrenado en aspectos técnicos a los
cuales muchas entidades públicas no tendrían acceso de manera individual.
•
Establecer canales y acuerdos de intercambio de información de manera oficial con otros CSIRT de
carácter gubernamental, policivo y privado así como con organizaciones que agrupan equipos de
seguridad de la información a nivel internacional (por ejemplo, el FIRST y la Red Interamericana de
Respuesta a Incidentes de Seguridad Cibernética de la Organización de Estados Americanos).
Página 116 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
3.2. RELACIÓN CON LAS ENTIDADES
El CSIRT entra a apoyar el Modelo de Seguridad de la Información definido para la Estrategia de Gobierno
en Línea y como tal, su relación con las entidades corresponderá a la definida en el Sistema Administrativo
Nacional de Seguridad de la Información (ver entregable 5 Sistema de Gestión de Seguridad de la
Información, numeral 3 – Estructura Institucional). Así mismo, en el capítulo de definición de los Procesos
y Procedimientos, en el numeral 5, se detallará la relación con las diferentes entidades.
3.3. MISIÓN
El CSIRT es el órgano técnico que lidera y coordina los procesos de aseguramiento de la información en el
ámbito Colombiano, para prevenir, detectar, proteger y reaccionar frente a amenazas, vulnerabilidades e
incidentes de seguridad de la información, en entidades públicas y privadas, mediante apoyo tecnológico,
entrenamiento y generación de una cultura e higiene para el manejo adecuado de la seguridad de la
información.
3.4. VISIÓN
El CSIRT se consolidará como referente a nivel regional en temas de prevención, detección, coordinación y
respuesta a incidentes de seguridad de la información buscando el mejoramiento continuo y coordinando el
trabajo de grupos de apoyo nacionales e internacionales.
3.5. OBJETIVOS ESTRATÉGICOS
Perspectiva
SEGURIDAD DE
LA
INFORMACIÓN
NACIONAL
Objetivos Estratégicos
Brindar apoyo para optimizar la
seguridad de la información en las
entidades públicas y privadas.
Consolidar la marca CSIRT Colombia,
con base en la credibilidad de los
usuarios.
FINANCIERA
Ser una entidad auto sostenible.
Página 117 de 192
Definición
Brindar apoyo a las entidades públicas y
privadas para la prevención, rápida
detección, identificación, manejo,
coordinación y recuperación frente a
incidentes relacionados con la seguridad de
la información, proporcionando servicios
preventivos y reactivos frente a las
amenazas y vulnerabilidades potenciales.
Consolidar actuaciones que posicionen al
CSIRT Colombia, de acuerdo con su objeto
misional a nivel nacional, así como reforzar la
nueva marca, fundamentado en la
credibilidad generada en la población
objetivo, por los resultados obtenidos.
Ofrecer productos y servicios que garanticen
la auto sostenibilidad de la organización.
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Perspectiva
PROCESOS
INTERNOS
Objetivos Estratégicos
Lograr la cultura, excelencia
operacional y la competitividad.
Definición
Hacer de manera correcta los procesos
internos y hacer que estos se traduzcan en
mejores resultados en la satisfacción de
clientes y estados financieros.
Gestionar el Conocimiento.
Identificar, registrar y administrar el
conocimiento esencial con el cual se dará un
eficiente y eficaz cumplimiento a las ideas
rectoras del CSIRT.
Tener el Mejor Talento Humano.
Contar con el mejor Talento Humano en
técnicas de seguridad de la información,
personal profesional con certificaciones y/o
especializaciones en seguridad de la
información.
APRENDIZAJE Y
CRECIMIENTO
3.6. OBJETIVOS ESPECÍFICOS
•
Impulsar la cooperación e interactuar con organismos nacionales e internacionales de similar naturaleza
y propósito, con entidades públicas, privadas, la academia y las instituciones policivas generando un
espacio de trabajo conjunto frente a las amenazas e investigaciones y redes de apoyo temáticas en
materia de seguridad de la información.
•
Proporcionar alertas tempranas frente a amenazas de la seguridad de la información que puedan
desestabilizar la seguridad nacional relacionada con la información.
•
Fomentar la investigación y desarrollo de estrategias de seguridad de la información.
•
Brindar una adecuada respuesta a incidentes de seguridad de la información, con un enfoque
metodológico.
•
Fomentar una conciencia nacional de seguridad de la información.
•
Proveer un servicio especializado de asesoramiento en seguridad de la información.
Por defecto, todos los usuarios de información en Colombia, tanto personas jurídicas como naturales,
entidades públicas o privadas, podrán ser apoyados por el CSIRT.
Página 118 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
4.
PORTAFOLIO DE SERVICIOS
Para el CSIRT, la adecuada selección de servicios se convierte en una decisión relevante para su definición,
fortalecimiento, sostenimiento y continuidad. A continuación, se presenta una recopilación de los
principales tipos de servicios que podría llegar a ofrecer el CSIRT partiendo de la experiencia de otros
CSIRT a nivel mundial. De manera general, los posibles servicios se agrupan así:
Servicios Preventivos
Servicios Reactivos
Análisis de riesgos
Observatorio de tecnología
Planificación de la
continuidad de la
operación y recuperación
tras un desastre
Evaluaciones de la
seguridad
Auditorías de la seguridad
Alertas y advertencias
Configuración y
mantenimiento de la
seguridad
Desarrollo de
herramientas de seguridad
Sensibilización
Difusión de información
relacionada con la
seguridad
Tratamiento de incidentes
Análisis de incidentes
Recopilación de pruebas
forenses
Seguimiento o rastreo
Coordinación de la respuesta a
incidentes
Apoyo a la respuesta a
incidentes
Coordinación del Manejo de
evidencias
Respuesta a incidentes in situ
Gestión de la Seguridad de la
información
Consultoría de seguridad
Publicaciones
Educación / Formación
Formación Comunitaria
Evaluación y graduación de
Entidades
Evaluación y graduación de
Establecimientos.
Alquiler de Software
Alquiler equipos forenses
Centro de interacción
multimedia.
Estandarización pliegos de
seguridad informática para el
sector gobierno.
Es importante anotar que a pesar de que todos los servicios ofrecidos serán responsabilidad del CSIRT, su
labor principal será la de coordinación de todas las acciones y entidades involucradas en el manejo de
incidentes de la información a nivel nacional y el desarrollo de muchas actividades serán objeto de
tercerización, buscando el beneficio de las mejores experiencias y conocimientos a nivel nacional e
internacional. En este sentido, ejercerá las funciones de coordinador de otros CSIRT nacionales o
internacionales, las entidades públicas y privadas involucradas en los incidentes de seguridad de la
información, los proveedores de servicios relacionados con la seguridad de la información, los proveedores
de hardware y software y la academia. En particular con los entes policivos, su responsabilidad llegará
hasta la entrega de los casos y sus insumos correspondientes para su posterior judicialización. A
continuación, se detalla cada uno de los servicios que puede brindar con el apoyo de las entidades
coordinadas.
Página 119 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
4.1. SERVICIOS PREVENTIVOS
Aquellos servicios que proveen asistencia y atención para ayudar a preparar, proteger y asegurar activos
de información, anticipándose a futuros ataques, problemas o eventos. Llevar a cabo este tipo de servicios
reducirá directamente el número de incidentes en el futuro.
•
Análisis de riesgos: Este servicio busca diagnosticar y evaluar los posibles riesgos sobre los activos
críticos relacionados con la información, para mejorar así o determinar las estrategias de protección y
respuesta.
•
Observatorio de la tecnología: Busca que a través del análisis del entorno de su injerencia, el
CSIRT observe y haga seguimiento a nuevos desarrollos técnicos, actividades de intrusos y tendencias
en identificación de futuras amenazas, incluyendo las disposiciones jurídicas y legislativas, las
amenazas sociales o políticas y las nuevas tecnologías. Todo lo anterior se deberá desarrollar mediante
diferentes actividades tales como: lectura de listas de correo de seguridad, sitios web de seguridad y
noticias y artículos periodísticos de carácter científico, tecnológico, político y público, con lo cual se
logrará una buena retroalimentación en información relacionada con la seguridad de los sistemas y las
redes de los clientes. Adicionalmente y con el objeto de obtener y validar la información e
interpretación exacta, se deberán buscar alianzas o conexiones con otros CSIRT o partes consideradas
autoridades en este ámbito. El producto de este servicio podrá materializarse a través de comunicados,
directrices o unas recomendaciones centradas en las cuestiones de seguridad a medio o largo plazo.
•
Planificación de la continuidad de la operación y la recuperación tras un desastre: Teniendo
en cuenta que cada vez serán más los incidentes potenciales que provoquen una degradación grave de
los operaciones, se ofrece este servicio que permite aprovechar el conocimiento y experiencia del
CSIRT, para la planificación de la continuidad de la operación y la recuperación tras un desastre en los
eventos relacionados con los ataques y las amenazas a la seguridad de la información.
•
Evaluaciones de la seguridad: Estudio y evaluación de la infraestructura de seguridad de una
organización, basados en los requisitos establecidos por ésta o por otras normas nacionales o
internacionales aplicables. Existen varios tipos entre las que se destacan:
o
Revisión de la infraestructura: Con el fin de asegurar las políticas, mejores prácticas y las
configuraciones estándar, se revisan los dispositivos informáticos que intervengan o prevengan
un incidente informático, entre los que se destacan de manera general el hardware, software,
redes, enrutadores, firewall, servidores, etc. y se generan las recomendaciones para la
configuración y correcta instalación de los recursos relacionados con la infraestructura
tecnológica.
o
Revisión de las mejores prácticas: Con el objeto de determinar si las prácticas de seguridad
se adaptan a las políticas establecidas y definidas por la organización u otras normas
establecidas, se realizaran entrevistas con los empleados y con los administradores de los
sistemas y las redes.
o
Escaneo: Uso de detectores de vulnerabilidades o de malware para averiguar qué sistemas y
redes son vulnerables.
Página 120 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
o
Pruebas de penetración: Con esta evaluación o auditoria, se busca comprobar la seguridad
de la información de una entidad a través de un ataque deliberado y autorizado a sus sistemas
y redes.
•
Auditorías de la seguridad: Las auditorías de seguridad pueden ser técnicas, que se centran en los
riesgos existentes en los sistemas de información de la organización y en la calidad técnica de las
medidas de protección introducidas y no técnicas o procedimentales, que estudian el cumplimiento
efectivo de la Política de Seguridad de la organización y de sus procedimientos.
•
Alertas y advertencias: Servicio que difunde información, por medio de la cual se describe el ataque
49
de un intruso, vulnerabilidades de seguridad, alertas de intrusos, virus informáticos o hoaxes ,
malware, etc. Este a su vez recomienda acciones a corto plazo para la atención o solución a problemas
consecuentes.
•
Configuración y mantenimiento de herramientas, aplicaciones, infraestructura y servicios
de seguridad: Este servicio, tiene como objeto principal la identificación y orientación para configurar
y mantener de un modo seguro las herramientas, las aplicaciones y la infraestructura informática
general que usan los clientes atendidos por el CSIRT. El alcance a este servicio será cualquier cuestión
o problema que surja con las configuraciones o con el uso de herramientas y aplicaciones que el CSIRT
considere podría dejar a un sistema, vulnerable a un ataque. Dentro de este servicio, se podrá
actualizar la configuración y realizar el mantenimiento de herramientas y servicios de seguridad, como
los sistemas de control de acceso y de detección de intrusos, el escaneo de la red o el control de los
sistemas, filtros, firewall, redes privadas virtuales (VPN) y mecanismos de autenticación. Incluso se
podrá configurar los servidores, los computadores personales y portátiles, los asistentes digitales
personales (PDA) y otros dispositivos de acuerdo con las políticas de seguridad, así como encargarse de
su propio mantenimiento.
•
Desarrollo de herramientas de seguridad: Este servicio ofrece desarrollar herramientas específicas
para necesidades particulares o generales de sus clientes o propias del CSIRT relacionadas con la
seguridad de la información. Como por ejemplo, desarrollo de actualizaciones correctivas de seguridad
para la plataforma utilizada por el grupo de clientes o la generación de recomendaciones para
reconstruir los sistemas comprometidos. Así mismo, se podrá desarrollar herramientas o secuencias de
comandos que amplíen la funcionalidad de las herramientas de seguridad existentes, tales como un
nuevo plug-in para una vulnerabilidad o escáner de red, secuencias de comandos que faciliten el uso
de la tecnología de encripción o mecanismos de distribución automática de actualizaciones correctivas.
•
Difusión de información relacionada con la seguridad: Servicio que proporciona de manera fácil
y completa, información útil para mejorar la seguridad de la información. Este servicio busca informar
de manera proactiva a sus clientes, nuevas vulnerabilidades o amenazas recientemente detectadas.
Dicha información puede incluir:
o
49
Advertencias de vulnerabilidad y amenazas.
Mensajes de correo electrónico engañosos que se distribuyen en cadenas de correo.
Página 121 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
o
Avisos sobre seguridad.
o
Directrices de comunicación e información de contacto del CSIRT.
o
Alertas, advertencias y otros comunicados.
o
Estadísticas y tendencias actuales de los incidentes de seguridad de la información.
o
Recolección, análisis y publicación de estadísticas de seguridad de la información para Colombia
por medio de redes de investigación abiertas.
o
Asesoramiento general sobre seguridad de la información.
o
Documentación acerca de las mejores prácticas principales.
o
Políticas, procedimientos y listas de comprobación.
o
Desarrollo de actualizaciones correctivas y difusión de información.
o
Enlaces con proveedores de seguridad de la información.
o
Información adicional que pueda mejorar las prácticas generales de seguridad de la
información.
Esta información podrá proceder de fuentes externas tales como otros CSIRT, proveedores, y
expertos en seguridad.
•
Sensibilización: Buscando que los grupos de clientes atendidos y/o potenciales, desarrollen sus
labores cotidianas de manera más segura, así como también de mejorar el grado de entendimiento de
las temáticas relacionadas con seguridad, se ofrece un servicio que intenta reducir el número de
ataques con éxito y aumentar la probabilidad que se detecten y comuniquen ataques. Lo anterior, por
medio de la sensibilización de incidentes de seguridad de la información a través de artículos y
desarrollando afiches, folletos, boletines, sitios web u otros recursos informativos que explican las
mejores prácticas en seguridad de la información y consejos sobre las precauciones que conviene
tomar. Durante este proceso de sensibilización, también se incluyen reuniones o seminarios de
actualización.
4.2. SERVICIOS REACTIVOS
Aquellos servicios que se provocan o se desencadenan por un evento o requerimiento. Este tipo de
servicios, son un componente clave para un trabajo de atención de incidentes.
Página 122 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
•
•
Tratamiento de incidentes: Servicio que abarca la recepción, evaluación, priorización y respuesta a
peticiones y comunicaciones, así mismo al análisis de incidentes y acontecimientos en seguridad de la
información. Las actividades de respuestas pueden ser entre otras, las siguientes:
o
Acciones para proteger sistemas y redes afectadas o amenazadas por la actividad de intrusos.
o
Aporte de soluciones y estrategias de mitigación a partir de avisos o alertas.
o
Generación de recomendaciones para la reconstrucción de los sistemas comprometidos.
o
Análisis del tráfico de la red relacionado con el incidente.
o
Búsqueda de actividad de intrusos en otras partes de la red.
o
Desarrollo de otras estrategias de respuesta o provisionales.
Análisis de Incidentes: Este servicio busca definir el alcance del daño e incidentes causados, su
naturaleza, así como también la estrategia definitiva o temporal de respuesta. Este análisis es un
examen general de la información disponible y de las pruebas o instancias relacionadas con un
incidente o evento. Existen muchos niveles de análisis de incidentes y numerosos subservicios, que
dependen del servicio mismo, objetivos y procesos del CSIRT. A continuación se detallan dos
subservicios.
o
Recopilación de pruebas forenses: Acción que incluye la recolección, la conservación, la
documentación y análisis de las pruebas procedentes de un sistema informático comprometido,
para determinar cambios en el sistema y ayudar a reconstruir los eventos que han
desembocado en el compromiso. Las actividades de recopilación de pruebas forenses incluyen,
entre otras cosas, la realización de una copia bit a bit del disco duro de los sistemas afectados,
la búsqueda de cambios en el sistema, tales como nuevos programas, archivos, servicios y
usuarios, el examen de los procesos en ejecución y los puertos abiertos, y la búsqueda de
troyanos y juegos de herramientas. Es usual que las personas que tengan a cargo este tipo de
responsabilidades, declaren como testigos periciales en actos judiciales.
o
Seguimiento o rastreo: Busca rastrear los orígenes de una intrusión o identificar sistemas a
los que se haya tenido acceso. Con este servicio, además de incluir la posible identificación del
intruso, se podrá en los sistemas afectados y redes relacionadas, incluir el seguimiento al
acceso del intruso.
Coordinación de la respuesta a incidentes: Servicio que busca coordinar tareas de respuesta entre
las partes implicadas en el incidente. Dentro de estos se incluye, la víctima del ataque, los sitios
relacionados con el ataque y cualquier otro sitio necesario de asistencia para el análisis del ataque. Este
se hace extensivo inclusive, a aquellas áreas de soporte (IT) de la víctima, tales como proveedores de
servicio de internet, administradores del sistema y la red, así como también a otros CSIRT. La
recolección de información sobre contactos, la notificación a los sitios de su implicación potencial (como
víctimas o como orígenes de un ataque), la recolección de datos estadísticos sobre el número de sitios
Página 123 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
implicados y tareas dirigidas a facilitar el intercambio y el análisis de la información, así como el reporte
del incidente a departamentos internos o externos, serán entre otras, las tareas de coordinación que
puede abarcar este servicio. Este no incluye una respuesta a los incidentes directa e in situ.
•
Apoyo respuesta a incidentes: Servicio proporcionado a través de orientación remota, para que el
personal in situ de la entidad afectada realice por si mismo, las tareas de recuperación. La función del
CSIRT será la de orientar y ayudar al grupo víctima del ataque, a recuperarse del incidente, pero lo
hará por medios telefónicos, correo electrónico, fax o documentación. Dentro del servicio, se podrá
incluir, entre otros, la interpretación de los datos recogidos, la entrega de información sobre contactos
o la orientación en cuanto a estrategias de mitigación y recuperación.
•
Coordinación del Manejo de evidencias: Con fines policivos, se coordina la labor de recopilación y
manejo de evidencias en casos de incidentes de la información, con el fin de garantizar el debido
proceso en el manejo de evidencias digitales (Servicios Forenses).
•
Respuesta a incidentes in situ: Asistencia directa, que busca ayudar a los clientes del grupo
atendido a recuperarse de un incidente. El CSIRT se encargará de analizar los sistemas afectados y de
generar recomendaciones para su reparación y recuperación.
4.3. GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Son servicios establecidos y muy conocidos, diseñados para mejorar la seguridad general de una
organización. Estos servicios están diseñados para tener en cuenta los comentarios recibidos y las lecciones
aprendidas basándose en los conocimientos adquiridos al responder a incidentes, vulnerabilidades y
ataques. Lo anterior hace que se oferten productos que permitan a terceros ayudar a mejorar toda la
seguridad de una organización, identificar riesgos, amenazas y debilidades del sistema. Son servicios
generalmente no técnicos pero preventivos en naturaleza, contribuyendo indirectamente a la reducción en
el número de incidentes.
•
Consultoría sobre seguridad: Este servicio busca asesorar y orientar, a los grupos de clientes
atendidos en las mejores prácticas de seguridad. Por lo cual el CSIRT participará en las
recomendaciones o identificación de requisitos de compra, instalación o protección de nuevos sistemas,
aplicaciones de software, dispositivos de red entre otros. Así mismo, se ofrece asistencia y orientación
en la definición de políticas de seguridad.
•
Publicaciones: Se busca elaborar y distribuir folletos que expliquen de manera simple, las diferentes
amenazas, acciones preventivas y correctivas para el tratamiento de riesgos informáticos. Estas
publicaciones podrán tener adjuntos discos compactos de libre uso doméstico de herramientas de
seguridad y de control parental50.
50
Programas (software) que tienen la capacidad de bloquear, restringir o filtrar el acceso a determinada
información ofensiva para los niños o personas susceptibles.
Página 124 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Sensibilización: Buscando que los grupos de clientes atendidos y/o potenciales, desarrollen sus
labores cotidianas de manera más segura, así como también de mejorar el grado de entendimiento de
las temáticas relacionadas con seguridad de la información, se ofrece un servicio que intenta reducir el
número de ataques con éxito y aumentar la probabilidad que se detecten y comuniquen ataques. Lo
anterior, por medio de la sensibilización de incidentes de seguridad de la información a través de
artículos y desarrollando afiches, folletos, boletines, sitios web u otros recursos informativos que
explican las mejores prácticas en seguridad de la información y consejos sobre las precauciones que
conviene tomar. Durante este proceso de sensibilización, también se incluyen reuniones o seminarios
de actualización.
•
Prensa: Participar en emisiones periódicas en los principales medios nacionales, creando así un
posicionamiento del CSIRT.
•
Educación / Formación: Este servicio busca capacitar tanto al primer respondiente en las entidades,
como a los grupos de clientes atendidos y/o potenciales, entre otros temas en la comunicación de
incidentes, métodos de respuesta adecuados, herramientas de respuesta a incidentes, métodos de
prevención de incidentes y otras temáticas necesarias para protegerse de incidentes de seguridad de la
información, detectarlos, comunicarlos y responder adecuadamente a ellos. El servicio podrá ofrecerse
a través de seminarios, talleres, cursos y/o tutoriales. Incluso, podrá crearse diplomados especializados
en seguridad. Teniendo en cuenta la importancia de la seguridad de la información dentro de cualquier
organización, su amplio campo de acción laboral y el incremento a la demanda de personal capacitado,
se pueden crear y ofrecer con colaboración de la academia programas de capacitación. Estos servicios
se enfocarán y desarrollarán teniendo en cuenta las necesidades propias de cada uno de los sectores
públicos y privados, sin embargo este servicio será cobrado únicamente al sector privado.
•
Formación Comunitaria: Este servicio podría enfocarse y ofrecerse a la sociedad en general y
específicamente a la familia a través de entidades estatales que lo promuevan. El objeto principal será
el de explicar de manera didáctica en especial a los niños, los riesgos y reglas básicas de la protección,
en diferentes temas que afecten su vida cotidiana. Este servicio busca inculcar, a edades tempranas,
una cultura de protección y mitigación de cualquier tipo de riesgo, incluidos los informáticos. Lo
anterior podrá ser ofrecido a través de concursos, historietas, obras de teatro, juegos pedagógicos, etc.
•
Graduación, Evaluación y Registro: El CSIRT otorgará el registro de cumplimiento del Modelo de
Seguridad de la Información para la Estrategia de Gobierno en Línea a las entidades destinatarias que
lo implementen acorde con las condiciones establecidas en el sistema SANSI. Lo anterior, se realizará a
través de una auto-evaluación del grado de madurez del desarrollo de la seguridad de la información
en los diferentes tipos de entidades, lo cual generará un registro del grado de cumplimiento del Modelo
de Seguridad -RSI, que será validado nacionalmente como un sello de seguridad en la información a las
empresas que cumplan con el. Así mismo, podrá facultar a terceros para que actúen como empresas
certificadoras basándose en sus competencias, conocimiento, características técnicas, de
infraestructura y know how entorno a la seguridad de la información, para que certifiquen de manera
directa, a las entidades públicas y privadas que cumplan con el Modelo de Seguridad de la Información
para la Estrategia de Gobierno en Línea.
Página 125 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Graduación, Evaluación y Registro: El CSIRT otorgará el grado de cumplimiento del Modelo de
Seguridad de la Información para las entidades de la Estrategia de Gobierno en Línea a través del
“Registro de Seguridad de la Información -RSI” en los tres grados siguientes: RSI Grado 1,
Grado 2 y Grado 3, siendo el RSI Grado 1 el más básico y el RSI Grado 3 el más avanzado, en lo
concerniente con la madurez de los controles de seguridad implementados en la entidad (Ver
documento “Modelo Seguridad – SANSI – SGSI”, numeral 6.5.3.). El CSIRT generará un registro RSI
del grado que será otorgado a las entidades y establecimientos como sello de seguridad en la
información, facilitando a los usuarios identificar que establecimientos son seguros para realizar sus
trámites electrónicos. Así mismo, el SANSI a través del CSIRT, podrá facultar a terceros para que
corroboren el grado de la entidad, basándose en sus competencias, conocimiento, características
técnicas, de infraestructura y know how en torno a la seguridad de la información, para que avalen de
manera directa a las entidades públicas y privadas que cumplan con el Modelo de Seguridad de la
Información para la Estrategia de Gobierno en Línea. A continuación, se detallan los tipos de
graduación otorgadas por los terceros facultados:
o
o
Graduación de entidades: Graduación otorgada a las entidades públicas y privadas que
cumplan con los requerimientos plasmados en el Modelo de Seguridad de la Información para la
Estrategia de Gobierno en Línea, evidenciando el mejoramiento y evolución de su sistema de
gestión en seguridad de la información -SGSI. Esta graduación se otorga teniendo en cuenta los
siguientes criterios:
La graduación es renovada anualmente.
La graduación provee un sello RSI que puede ser usado tanto en páginas web como en
las firmas de los empleados.
La graduación no es renovada cuando la Entidad no evidencie el mejoramiento de su
sistema de gestión en seguridad de la información SGSI o cuando una auditoría
encuentre no conformidades mayores con el Modelo. (Ver documento “Modelo
Seguridad – SANSI – SGSI”, numeral 6.5.3.).
Graduación de establecimientos: Graduación otorgada a los establecimientos que
pertenezcan a la cadena de prestación de servicios para la Estrategia de Gobierno en Línea
(ISP, Telecentros, Compartel, centros de acceso comunitario, cafés Internet, entre otros), que
cumplan con los requerimientos plasmados en el Modelo de Seguridad de la Información para la
Estrategia de Gobierno en Línea, evidenciando la implementación de sus controles y
recomendaciones. Estas graduaciones se otorgan con períodos de renovación de un año.
•
Alquiler de Software: Este servicio permite que el CSIRT, tenga la posibilidad de cobrar el uso de sus
licencias de software de seguridad de la información (por internet), a través del pago de una cuota
periódica. Entre las ventajas para el cliente, están entre otras: dedicar el dinero que destinaría a las
licencias y al proyecto, a su actividad principal, ahorro de costos, reducir el riesgo de obsolescencia del
software, libertad de continuidad en caso de que el software no cumpla con las expectativas, etc.
•
Alquiler de Equipo Forense: Permite al CSIRT la generación de ingresos provenientes de la
plataforma instalada y su óptimo aprovechamiento.
Página 126 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Centro de interacción multimedia: Línea de atención a nivel de seguridad, que tendrá como
función, facilitar la comunicación entre el CSIRT y sus clientes a través de cualquier medio interactivo
(Ej, internet, chat, teléfono, SMS, etc), permitiendo que estos últimos contacten o sean contactados
para solución de problemas e inquietudes de seguridad de la información. Este servicio será fuente de
información que podrá materializarse en estadísticas y diseño de nuevos servicios.
•
Estandarización de pliegos de seguridad de la información del sector gobierno: Con el objeto
de apoyar la contratación pública, y dar un acompañamiento a las interventorías de seguridad de la
información, el CSIRT con su experiencia, normalizará parámetros que permitan a las entidades del
Gobierno, de acuerdo con sus necesidades de seguridad de la información, realizar contrataciones
públicas con estándares mínimos exigibles para cada caso.
4.4. CARACTERÍSTICAS DE LOS SERVICIOS
Todos los servicios propuestos serán responsabilidad del CSIRT, sin embargo algunos de ellos tendrán la
posibilidad de ser ofrecidos por firmas externas (terceros) que tengan la competencia necesaria, para
soportar las actividades del CSIRT. Todas las compañías públicas y privadas que usen servicios del CSIRT,
deberán estar matriculados por medio de una membrecía periódica pagada, la cual le otorga el uso de
algunos de esos servicios que se incluyen en el valor de la membresía. Existen otros servicios que se
excluyen de esta membresía y deberán ser pagados de manera independiente, así como algunos servicios
que se ofrecen gratuitamente. A continuación se resumen los servicios de acuerdo con lo anterior.
Del total de servicios ofrecidos, solo el 32% serán ejecutados directamente por el CSIRT, el 68% restante
serán responsabilidad de este mismo, pero ejecutados por Terceros. Así mismo el 94% de los servicios
ofrecido, traerá para este ente técnico retribuciones de tipo económico.
4.4.1. SERVICIOS PREVENTIVOS
Servicios Preventivos
Tipo de Oferta
Tarifa
Directa
Incluida en la Membresía
Tercerizada
Costo
Comunicados
Análisis de riesgos
Observatorio de tecnología
Directa
Incluida en la Membresía
Continuidad de la operación y recuperación tras un desastre
Tercerizada
Costo
Evaluaciones de seguridad
Tercerizada
Costo
Página 127 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Tipo de Oferta
Tarifa
Auditorías de la seguridad
Servicios Preventivos
Tercerizada
Costo
Alertas y advertencias
Tercerizada
Incluida en la Membresía
Configuración y mantenimiento de la seguridad
Tercerizada
Costo
Desarrollo de herramientas de seguridad
Tercerizada
Costo
Directa
Incluida en la Membresía
Difusión de información relacionada con la seguridad
4.4.2. SERVICIOS REACTIVOS
Tipo de Oferta
Tarifa
Tratamiento de incidentes
Servicios Reactivos
Tercerizada
Incluida en la Membresía
Análisis de incidentes
Tercerizada
Incluida en la Membresía
Recopilación de pruebas forenses
Tercerizada
Incluida en la Membresía
Seguimiento o rastreo
Tercerizada
Incluida en la Membresía
Coordinación de la respuesta a incidentes
Directa
Incluida en la Membresía
Apoyo a la respuesta a incidentes
Directa
Incluida en la Membresía
Coordinación del Manejo de evidencias
Directa
Incluida en la Membresía
Tercerizada
Incluida en la Membresía
Tipo de Oferta
Tarifa
Respuesta a incidentes in situ
4.4.3. GESTIÓN DE LA CALIDAD DE LA SEGURIDAD
Gestión de la Calidad de la Seguridad
Consultoría en seguridad
Tercerizada
Costo
Publicaciones
Directa
Gratis para toda la comunidad
Sensibilización
Tercerizada
Costo
Prensa
Directa
Gratis para toda la comunidad
Educación / Formación sector publico
Tercerizada
Incluida en la Membresía
Educación / Formación sector privado
Tercerizada
Costo
Formación Comunitaria
Tercerizada
Directa
Gratis para toda la comunidad
Costo para los grados 2 y 3,
subsididado para grado 1.
Graduación a terceros para entidades
Graduación a terceros para productos
Directa
Costo
Alquiler Software
Tercerizada
Costo
Alquiler equipos forenses
Tercerizada
Costo
Centro de interacción multimedia
Tercerizada
Incluida en la Membresía
Directa
Incluida en la Membresía
Estandarización pliegos de seguridad de la información
Página 128 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
5.
PROCESOS Y PROCEDIMIENTOS
5.1. DELIMITACIÓN SISTÉMICA
Para entender una organización en términos de procesos es fundamental delimitar con precisión los bordes
de la institución creada o a crear, identificando los procesos y los diferentes actores o agentes que definen
el quehacer de la entidad. En la gráfica siguiente se muestra dicha delimitación, partiendo del nemónico
TASCOI que permite precisar seis elementos necesarios para esta tarea: Transformación (Misión de la
entidad), Actores (Quienes participan directamente en la transformación que adelanta la entidad),
Suministradores (Proveedores), Clientes (Beneficiarios o usuarios), Organizadores (Quien dirige y orienta el
curso de la entidad) e Intervinientes (Aunque no hacen parte de la entidad regulan su propósito).51
Ilustración 4: Delimitación Sistemática de la Entidad
51
Basado en: Guia para la implementación del modelo estandar de control interno con enfoque sistemico. Veeduria Distrital. 2007
y Organizational trasnforming and leaning, Espejo Raul. Chichester:Willey 1996.
Página 129 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
La grafica anterior ilustra de manera general el comportamiento de la entidad en términos de su proceso
de transformación y quienes intervienen en él, permitiendo abordar con más precisión el análisis de
procesos a continuación.
5.2. PROCESOS
Con este diseño se pretende promover la integración de actividades en una estructura organizacional por
procesos, que permita identificar las relaciones de estos (interacción) y su secuencia lógica para maximizar
el valor a ofertar al usuario final del producto institucional, para el efecto se ha partido de identificar un
modelo tecnológico de procesos y un modelo de segmentación por servicios, después de esto se cruzan los
dos modelos y se despliegan los procesos para al final caracterizar los mismos.
El Modelo Tecnológico o Mapa de Procesos permite identificar 4 niveles de procesos a saber:
Direccionamiento estratégico, misionales, de evaluación o medición, análisis y mejora y los procesos de
apoyo, permitiendo visualizar de manera grafica el comportamiento de los mismos y un primer
acercamiento a las necesidades de herramientas tecnológicas de información para apoyarlos. Es el mapa
de procesos de la entidad, como se ilustra a continuación, detallando más adelante los procesos
misionales:
Ilustración 5: Modelo Tecnológico del CSIRT, detallando los procesos misionales
El Modelo de Segmentación permite un acercamiento de manera general a los servicios que puede prestar
la nueva institución, de tal forma que pueda ir previendo la estructura funcional, los cargos y competencias
requeridas para operar.
Página 130 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Ilustración 6: Modelo de Segmentación del CSIRT
En seguida se cruzan los dos modelos y esto permite establecer de qué manera se despliegan los procesos
en la entidad, base para poder iniciar el proceso de caracterización, es decir, de identificación de los rasgos
diferenciadores de cada proceso:
Página 131 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – SISTEMA DE GESTIÓN DE CALIDAD –
ESTRATEGIA DE GOBIERNO EN LÍNEA
Ilustración 7: Despliegue de Procesos
Página 132 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – SISTEMA DE GESTIÓN DE CALIDAD –
ESTRATEGIA DE GOBIERNO EN LÍNEA
Debido a que la razon de ser del CSIRT se concentra en sus procesos misionales, el alcance de este
documento se enfoca en la definición y diseño de dichos procesos.
Con esta información se define el catálogo final de procesos misionales y se inicia la caracterización de los
mismos, disponible en el documento ANEXO A – CARACTERIZACIÓN DE PROCESOS Y PROCEDIMIENTOS.
Ilustración 8: Catálogo de Procesos Misionales
5.3. PROCEDIMIENTOS
Los procedimientos representan la forma especificada de llevar a cabo los procesos, en otras palabras,
cómo se adelanta de manera operativa la tarea. Basados en el esquema del numeral anterior, se ha
definido el siguiente catalogo de procedimientos:
Ilustración 9: Catálogo de Procedimientos
Página 133 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
El catálogo se desarrolla en el documento ANEXO A – CARACTERIZACIÓN DE PROCESOS Y
PROCEDIMIENTOS.
Página 134 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
6.
ANÁLISIS DEL MERCADO
En este análisis se busca identificar las influencias externas generadas por tres diferentes niveles del
entorno, que afectan directa o indirectamente al CSIRT. Todo el análisis en su conjunto permitirá a los
directivos de esta nueva Entidad, entender que factores pueden influir en el éxito o fracaso de las
estrategias a implementar.
Ilustración 10: de Análisis del Mercado
El análisis propuesto, resulta efectivo en la medida que se haga una periódica retroalimentación a cada uno
de los niveles, ya que el entorno tiene como características, su amplia diversidad, complejidad y alta
velocidad de cambio. A continuación se describe brevemente cada uno de los tres niveles y su metodología
de análisis.
Página 135 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
6.1. MACRO ENTORNO
Detalla los factores generales del entorno que afectan en mayor o menor medida al CSIRT. El marco PEST
(Político, Económico, Social y Tecnológico) permite identificar como pueden afectar a la organización las
tendencias políticas, económicas, sociales, tecnológicas.
Ilustración 11: Marco Político, Económico, Social y Tecnológico del CSIRT
Dentro de este abanico de factores externos, se resalta el tema regulatorio, las tendencias informacionales
a nivel mundial y el compromiso del Gobierno por garantizar la seguridad nacional y allí la seguridad de la
seguridad de la información en Colombia. A continuación se mostrara en más detalle la descripción de
algunos de estos factores.
6.1.1. POLITICOS
6.1.1.1.
Estabilidad Política
El 2008 a nivel mundial podría ser considerado como un año en el que se ajustaron temas trascendentales,
con lo que se espera que el 2009 sea un año de florecimiento. En este año en curso se deberán corregir
Página 136 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
errores, derroches y malas decisiones, que hicieron que empresas y economías consolidadas se fueran a
pique.
En Colombia, la reforma política y la posibilidad de una segunda reelección presidencial inmediata serán
tema de discusión en la agenda política de 2009. Para el Gobierno, un tema critico, será la reforma política.
Este proyecto expuesto, se ocupa de dos temas principales: 1) la elección y calidades de los magistrados y
otros altos funcionarios de control, y 2) el procedimiento para juzgar a los congresistas y otros altos
funcionarios. Temas que Impactan de manera general o particular, a las altas cortes, organismos de
control, administración de la rama judicial, fuero de altos funcionarios, libertad de voto en reformas
constitucionales y juicios a congresistas. Así mismo, proyectos como el de la Ley de Víctimas, que busca
reparar integralmente a afectados por los crímenes cometidos por grupos armados ilegales o por acciones
de las Fuerzas Militares, espera la correspondiente plenaria en la Cámara.
Actualmente uno de los principales acuerdo comerciales con los EEUU, el Tratado de Libre Comercio, se
encuentra en duda y análisis de aprobación por el gobierno americano, entre los principales argumentos
esgrimidos por la oposición a la firma del tratado, se menciona la violencia contra los sindicalistas y el
atropello constante a los derechos laborales y humanos. El TLC entre estas dos naciones le generará al
sector tecnológico colombiano nuevas y mayores oportunidades de crecimiento y desarrollo, generando un
mayor intercambio de conocimientos nacionales e internacionales, así como una mayor internacionalización
de la economía y del sector.
6.1.1.2.
Regulación
En los últimos años se ha perfilado en el ámbito internacional un cierto consenso en las valoraciones
político-jurídicas de los problemas derivados del mal uso que se hace de las computadoras, lo cual ha dado
lugar a que, en algunos casos, se modifiquen los derechos penales nacionales e internacionales. Todos
estos cambios hacen que una posible normalización de políticas de seguridad informática, deban presentar
flexibilidad a los constantes cambios que se generan a nivel mundial en este entorno. Y del mismo modo
como organización estar preparados para asumir estos cambios.
6.1.2. ECONOMICOS
6.1.2.1.
Política Monetaria
La TRM después de cinco años de bajas constantes, tuvo en el último trimestre del 2008 una fuerte
tendencia alcista como reflejo de la crisis financiera internacional. Tras caer a niveles de casi 1.600 pesos a
mediados del año, al final la divisa se recuperó para cerrar por encima en 2.243,59 pesos. De todas
maneras, la moneda estadounidense está lejos de llegar a los niveles máximos históricos alcanzados en
febrero del 2003 cuando el precio estuvo muy de los 3.000 pesos. El alza del dólar de finales del año
pasado no tuvieron nada que ver con medidas tomadas por el Gobierno o el Banco de la República, pues
todo obedeció a la crisis mundial, que afectó a todos los mercados del planeta. Gracias a ello se apagaron
las voces de los exportadores que venían pidiendo medidas extraordinarias para acabar con la revaluación.
El 31 de diciembre de 2009, la Tasa Representativa del Mercado (TRM) cerró en 2.243,59 pesos.
Página 137 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
La TRM promedio anual, desde el año 2003, muestra una tendencia decreciente, sin embargo para el año
2009 se espera mejore levemente. El 31 de diciembre pasado, el peso Colombiano terminó con una
devaluación de 11,36 por ciento frente al dólar
Las tasas de interés tuvieron el año pasado una tendencia al alza como reflejo de la política de restricción
monetaria aplicada por el Banco de la República para controlar la inflación. Con ese contexto, la tasa DTF
(que mide los intereses que paga la banca por las captaciones vía CDT a 90 días de plazo) registró
aumentos, lo que también se reflejó en el costo de los créditos. El aumento de intereses y la
desaceleración de la economía han hecho que el deterioro de la calidad de la cartera bancaria se acelere,
especialmente en la modalidad de consumo. Para el 2009 se prevén reducciones de tasas de interés,
siempre y cuando la inflación baje.
Todos estos cambios pueden generar un impacto destacado en las negociaciones que se encuentran
sujetas al dólar.
6.1.2.2.
Situación Económica
Luego de las cifras descendentes con las que cerró el 2008, que obligaron a ajustar metas, se busca
cumplir con lo previsto este año. Con excepción de los precios del café y las señales de recuperación de las
acciones que se transan en la Bolsa de Valores de Colombia, la mayoría de los indicadores claves para el
sector productivo ratificaron las señales de bajo desempeño y los nubarrones que enfrenta el país en
materia económica para el 2009. Aumento de la inflación, bajos precios del petróleo, descenso en la
producción industrial y altas tasas de interés hacen parte de los retos que enfrentan las autoridades
económicas para el año que comienza y cuya primera misión será detener su deterioro.
La situación económica del país, obviamente repercutirá en los resultados operativos y financiero de las
diferentes compañías, así consecuentemente en los recursos dirigidos a fortalecer la seguridad informática
de las organizaciones.
6.1.2.3.
Seguridad Física
Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de
vista de ataques externos, Hackers, virus, etc. la seguridad de la misma será nula si no se ha previsto
como combatir por ejemplo un incendio, inundación, etc.
La Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como
medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial"52. Se
refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los
medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de
almacenamiento de datos.
52
HUERTA, Antonio Villalón. "Seguridad en Unix y Redes". Versión 1.2 Digital - Open Publication License v.10 o Later. 2 de
Octubre de 2000.
Página 138 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Las principales amenazas que se prevén en la seguridad física son:
•
Desastres naturales, incendios accidentales tormentas e inundaciones.
•
Amenazas ocasionadas por el hombre.
•
Disturbios, sabotajes internos y externos deliberados.
Todo lo anterior y de acuerdo a las diferentes condiciones empresariales y climáticas en Colombia, pone al
descubierto un riesgo latente que de no ser mitigado mediante diferentes planes de contingencia, la
posible pérdida irrecuperable de información en las organizaciones, siendo este uno de los activos más
preciados en estos últimos tiempos.
6.1.3. SOCIALES
Cuando hablamos del impacto social de la tecnología nos estamos refiriendo a su influencia sobre la vida
de los hombres, sus relaciones, sus conductas, sus preferencias y su bienestar.
Algunos analistas considera que tanto la tecnología como la innovación tecnológica son en sí mismas
ambivalentes, ya que producen tanto efectos positivos como negativos. En ese sentido se señala que el
científico no sabe qué va a descubrir con su investigación, mientras que el tecnólogo sabe de antemano
qué es lo que va a producir y a quienes beneficiará, por lo cual es moralmente responsable. También
propone que el control sobre la tecnología debe provenir de una asociación entre las esferas de decisión
tecnológica y política.
Lo anterior hace pensar que tanto los cambios sociales, culturales, de educación tendrán un impacto
significativo en la manera como variaran las actitudes y opiniones de los consumidor, modas y modelos a
seguir las cuales traerán consigo ajustes en los planteamientos previamente establecidos, especialmente
en los tecnológicos.
6.1.4. TECNOLOGICOS
6.1.4.1.
Cambios en información y tecnología
Un estado sin fronteras será el predominante en el sector de las tecnologías de la información y las
comunicaciones (TIC) en el año 2015. El pronóstico pertenece a la consultora Gartner, que predice que las
organizaciones, incluyendo a los gobiernos, obtendrán los servicios tecnológicos alrededor del mundo, sin
importar el país de origen o la sede del fabricante de la solución, o si es software, hardware,
telecomunicaciones, servicios TIC o trabajadores.
Los avances en las TIC y el crecimiento de la comunicación digitalizada suponen un gran impulso para el
sistema económico general. La intensidad y duración de este impulso vienen determinadas por las políticas
que se adopten desde el sector público durante los próximos años, ya que el pleno desarrollo del potencial
de las TIC requiere un aumento importante de las inversiones en infraestructuras de telecomunicaciones y
en los servicios e instalaciones relacionados con ellas.
Página 139 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Obviamente todos estos cambios van a afectar el modelo de seguridad de información de los diferentes
países, así como también las herramientas usadas para aplicar sus propios propósitos.
6.1.4.2.
Cambios Internet
Según un estudio denominado el Pew Internet & American Life Project y la Elon University, en el que
preguntaron a 742 especialistas en Internet acerca de cómo será la Red en el 2020, se concluyeron entre
otras los siguientes:
•
Las personas confiarán cada vez más en la tecnología y dispondrán agentes tecnológicos que se
ocuparán de hacer tareas diversas. Se advierte que los peligros y la dependencia en la tecnología
crecerán más allá de la habilidad de controlarla.
•
La realidad virtual ayudará a mejorar la productividad pero a su vez propiciará la aparición de nuevas
adicciones.
•
Surgimiento de un grupo cultural (Refuseniks) caracterizado por su opción radical de vivir fuera de la
Red, con dos tendencias, una cuyo propósito será simplemente evitar la sobrecarga de información y
otra, interesada en realizar actos de violencia y terrorismo para afectar a los usuarios de Internet.
•
La gente consciente e inconscientemente entregará más información personal para obtener beneficios,
al mismo tiempo que perderán mucha más privacidad.
Todos estos pronósticos advierte las grandes oportunidades y amenazas que deberán ser analizados
durante los próximos anos, para que además de gozar de nuevos beneficios se eviten nuevos riegos.
6.1.4.3.
Obsolescencia Tecnológica
Los diferentes proyectos se caracterizan por una utilización intensiva de diversas tecnologías que permitan
desarrollar los productos, procesos o servicios objeto de cada uno de estos. En muchos casos, si no existe
el conocimiento tecnológico suficiente no se podrá realizar el proyecto e implicará previamente acceder y
disponer de la misma con el nivel de conocimiento adecuado.
Debido a ello, las empresas dedicadas fundamentalmente a la realización de proyectos deben disponer de
las tecnologías adecuadas que permitan su desarrollo. Ello implica disponer de los procesos de gestión
adecuados para su identificación, evaluación, selección, adquisición, incorporación a la empresa,
optimización y mejora continua.
Todo lo anterior hace pensar que las inversiones hechas en tecnología tiene un ciclo de vida y que tras un
periodo en saturación, esta se hace obsoleta porque el rendimiento comparativo con otra posible
tecnología competidora la convierte en perdedora.
Página 140 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
6.1.4.4.
Tecnologías Sustitutas
Ninguna empresa se encuentra aislada hoy del vertiginoso desarrollo tecnológico. Las empresas
tradicionalmente han limitado sus esfuerzos tecnológicos a sus necesidades de producción, más no han
visionado ventajas anexas al uso de tecnologías más apropiadas y desarrolladas que se han originado con
el continuo cambio. Los cambios tecnológicos pueden derrumbar, fusionar o construir empresas, para lo
cual la gerencia debe prepararse, la clave radica en la capacidad para aprovechar esta ventaja sostenible y
competitiva en el mercado.
Todo lo anterior está muy ligado a la obsolescencia y tendrá un impacto financiero en las inversiones
hechas, así como en el mejoramiento de la productividad de las compañías.
6.2. INDUSTRIAS Y SECTORES
Grupo de entidades que prestan similares o iguales servicios, que son sustitutos cercanos a los ofertados
por el nuevo CSIRT. El modelo de las cinco fuerzas de Porter resulta útil para comprender los cambios de
la dinámica competitiva dentro y fuera del sector de seguridad de TIC. A continuación se detalla su
análisis.
Ilustración 12: Análisis de Competitividad de Porter
Página 141 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Por su naturaleza es una industria con bastante competencia, en la cual se ofertan varios tipos de servicios
y productos focalizados en la seguridad de la información, los usuarios tienen un buen poder de
negociación, ya que además de tener acceso a información, poseen una variedad de posibilidades que les
permiten hacer procesos de selección variados y ajustados a cada unas de sus realidades informáticas. Por
lo cual no existe una dependencia a los proveedores de estos servicios o productos, sino más bien infinidad
de los mismos, los cuales podrán ser sustituidos en su gran mayoría.
Es importante resaltar que existen barreras de entradas, para entidades que busquen incurrir en negocios
de seguridad TIC’s, tales como los grandes capitales de inversión en el desarrollo y oferta de servicios y
productos, así como también una insipiente regulación en términos de seguridad de la información los
cuales se espera se concreten en el mediano plazo. No se evidencia en el país, casos generales a nivel
nacional (solo algunos casos, especialmente en universidades), en la que tanto entidades públicas como
privadas presenten una oferta variada de servicios integrados, dirigidos a cubrir servicios de seguridad de
la información, a nivel departamental o nacional.
6.3. ALIADOS ESTRATÉGICOS Y MERCADOS
Dentro de este sector existen varias organizaciones con distintas características, participando del mercado
sobre bases diferentes. El principal objetivo será el de identificar este tipo de proveedores directos e
indirectos, con el fin de crear alianzas estratégicas que permitan el cumplimiento de los objetivos
misionales del nuevo CSIRT.
Es importante considerar iniciativas y actuales modelos de seguridad de la información, como aliados
estratégicos en el propósito mismo del nuevo CSIRT, el cual está enfocado principalmente a la
coordinación de incidentes computacionales a través de proveedores que faciliten esta gran
responsabilidad. Lo anterior abarcará de igual forma alianzas con proveedores de servicios informáticos, de
software y hardware, la academia, sectores públicos y privados así como gremios, que se ajusten a los
objetivos institucionales de esta Entidad y al portafolio de servicio y productos, que se busca ofertar.
Los conceptos analizados en los tres anteriores niveles ayudan a comprender los factores
macroeconómicos, de la industria y el mercado del CSIRT. Sin embargo, lo verdaderamente importante son
las implicaciones que se derivan de esta comprensión general para las decisiones y elecciones estratégicas.
Por lo cual se hace necesario comprender a detalle cómo puede influir este conjunto de factores sobre el
éxito o fracaso estratégico. Para lo anterior se realiza un análisis DOFA.
Página 142 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
OPORTUNIDADES
-Desarrollar relaciones comerciales de
largo plazo con clientes en el mercado
regional latinoamericano.
DEBILIDADES
-Experiencia y reconocimiento del nuevo
CSIRT.
-Búsqueda de alianzas con terceros en
mercados objetivo.
-El sector público y privado no tienen la
prioridad ni la costumbre de asesorarse
por un ente nacional en cuestiones de
seguridad informática.
-Gran necesidad de coordinación de
incidentes de seguridad computacional.
-Infraestructura de Tics débil con respecto
a otros competidores de la región.
-Proyecto de interés nacional en sectores
publico y privados.
- Incipiente regulación.
- No existe centralización en la medición
y seguimiento de la seguridad informática
del país.
FORTALEZAS
AMENAZAS
-El CSIRT tiene el respaldo del gobierno a
través de la agenda de conectividad
- Desaceleración de la economía mundial y
nacional.
-Calidad y cantidad de la oferta
colombiana, con un número importante
de compañías proveedoras de productos
de software y servicios relacionados con
seguridad informática, con madurez y
estándares de calidad a nivel
internacional.
-Rápida obsolescencia de los equipos
informáticos.
-Disponibilidad de personal técnico
calificado y actualizado.
-Competidores ya establecidos en el
mercado de la seguridad computacional.
-Respaldo financiero con limitaciones.
-Bajos incidentes de seguridad
informática, pueden acarrear dificultad en
el auto sostenimiento del negocio.
Ilustración 13: Matriz DOFA
6.3.1. DEBILIDADES
•
En las entidades nacionales no se cuenta con una amplia experiencia en el tema de seguridad de la
información, por lo cual será importante posicionar el modelo como una iniciativa en la búsqueda de la
competitividad del país, el cual deberán desarrollarse y afinarse en el tiempo. Lo anterior busca que los
participes del modelo, vean esta iniciativa como herramienta que ayuda al incremento de la
productividad de las entidades, y no solo como un nuevo modelo que trae consigo atender nuevas
responsabilidades o obligaciones.
•
Aunque Colombia ha venido presentando avances importantes en el desarrollo de su infraestructura de
TIC, el gobierno reconoce que existe aún un camino importante por recorrer, en la búsqueda del
mejoramiento de variables competitivas del sector, las cuales se esperan alcanzar con el “Plan Nacional
de Tecnologías de la Información y las Comunicaciones”.
Página 143 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Se observa de manera general que Colombia aún no tiene una regulación específica en temas de
seguridad de la información, a pesar que el gobierno a través de nuevas leyes busca desarrollar un
entorno jurídico y político más estable en esta competencia. En el informe jurídico de esta consultoría,
se detallan los actuales avances en la materia.
6.3.2. OPORTUNIDADES
•
Las oportunidades son extensas en el sentido de que existen diferentes y exitosos modelos en el
mundo, y el tema de la seguridad de la información es de interés mundial lo que promueve la
colaboración internacional en este frente.
•
Actualmente no existe un modelo en el estado colombiano, que regule, lidere, coordine y promueva la
seguridad de la información del país, convirtiéndose en un plan necesario, novedoso y útil para las
entidades colombianas. Lo anterior permitirá dinamizar el mercado de las TIC como consecuencia de
que dentro del planteamiento del modelo, los terceros privados participaran activamente, trayendo
consigo el incremento de demanda de sus servicios, lo cual se materializara en mayores beneficios
económicos y oferta de empleo.
•
Así mismo se observa gran interés por parte del sector privado y público en la definición de un buen
modelo, que aporte al desarrollo competitivo del país, el cual se vislumbra en la iniciativa propia del
gobierno y la participación activa de los diferentes sectores en la construcción del mismo.
•
Dentro de la región latinoamericana se observa incluso que algunos países, desarrollan modelos
similares que ayudarían a fortalecer en conocimiento y experiencia al nuevo modelo. Con lo cual se
podrían crear alianzas en el intercambio de conocimiento y soporte. Incluso se podría entrar a aportar
en aquellos países que no contemplan aún crear este tipo de iniciativas y que al final deberán
implementar.
6.3.3. FORTALEZAS
•
A nivel interno se destaca el apoyo brindado por el gobierno al Sistema Administrativo Nacional de
Seguridad de la Información. Adicionalmente en el mercado se encuentra una gran variedad de
proveedores de productos y servicios que garantizan la demanda y calidad del portafolio de servicios
propuesto.
•
La experiencia específica de la mano de obra requerida en el modelo, así como la oferta educacional
actual, garantiza la consecución del recurso humano competente para asumir los diferentes cargos que
se crean dentro del modelo.
6.3.4. AMENAZAS
•
Se considera como amenaza la actual desaceleración en la economía global y local, lo cual es ya todo
un reto para el sostenimiento y desarrollo de muchos negocios, adicionalmente se pronostica que
existirán reducciones en los recursos de nuevas inversiones.
Página 144 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
El tercerizar una gran cantidad de servicios, permite al CSIRT que se blinde en cierta medida de los
riesgos que acarrean invertir grandes sumas de dinero en equipos especializados y con riesgo de
pronta obsolescencia.
•
Actualmente en el mercado se presentan de manera descentralizada mucho de los servicios que busca
ofrecer el CSIRT, sin embargo el modelo planteado permitiría ver a esos posibles competidores como
aliados estratégicos, en la prestación de los servicios.
Página 145 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
7.
INDICADORES Y METAS
La propuesta planteada a través de este documento no podrá quedarse solo en planes, sino que deberá
ser implementada y sus resultados deberán evaluarse y medirse. Por lo cual será responsabilidad de este
nuevo CSIRT, la implementación y control estratégico de su accionar.
Como mecanismo de control y seguimiento, se propone un modelo integral de gestión, basado en la
filosofía Balanced Scorecard (BSC) o Cuadro de Mando Integral53, con lo cual se busca que el nuevo CSIRT,
sea una organización enfocada en su estrategia. Este alineamiento estratégico se divide en planeación,
difusión, revisión y ajuste, con lo que se busca entre otros lo siguiente:
•
Movilizar el cambio a través del liderazgo ejecutivo,
•
Traducir la estrategia en términos operativos: Definir los mapas estratégicos, los objetivos, indicadores
y metas,
•
Alinear la organización con una única estrategia,
•
Hacer de la estrategia un trabajo de todos: Proporcionar formación, comunicación, definición de metas,
compensación por incentivos y capacitación del personal,
•
Hacer de la estrategia un proceso continuo: integrar la estrategia en la planificación, el presupuesto, la
generación de informes y las revisiones de gestión,
53
KAPLAN, Robert, NORTON, David. “Cuadro de Mando Integral”.
Página 146 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Ilustración 14: Modelo de Gestión54
Este conjunto de elementos ayudará como instrumento de planificación, información y control simultaneo
de las diversas partes de esta organización, al mismo tiempo que:
•
Proveerá una clara definición de lo que el nuevo CSIRT debe medir,
•
Alineará los elementos ya estructurados en la fase de formulación estratégica,
•
Establecerá indicadores cuantitativos en cada una de sus perspectivas,
•
Mantendrá las métricas financieras tradicionales e introducirá nuevos componentes como guía para los
nuevos elementos de gestión empresarial,
•
Traducirá las directrices del nuevo CSIRT en un conjunto equilibrado de indicadores de desempeño,
•
Comunicará los objetivos estratégicos a través de toda la organización,
•
Alineará las iniciativas individuales y organizacionales,
54
SERNA GOMEZ, Humberto. “Índices de Gestión”.
Página 147 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Mejorará el aprendizaje y la retroalimentación estratégica del CSIRT.
Esta herramienta tiene un conjunto de componentes que es importante conocer y definir. El Cuadro de
Mando propuesto se divide en cuatro perspectivas, que representan de manera general las áreas más
relevantes del nuevo CSIRT.
Ilustración 15: Alineación de la Visión y la Estrategia
•
Perspectiva Seguridad de la información Nacional: Esta perspectiva es la razón de ser del CSIRT,
buscando minimizar el impacto de fallos informáticos con base en la prevención y protección frente a
amenazas, vulnerabilidades e incidentes computacionales a usuarios de la tecnología de información,
logrando una permanente incorporación y retención de clientes, con base en su satisfacción,
garantizándoles el soporte efectivo y eficiente.
•
Perspectiva Financiera: Garantizar la auto sostenibilidad de la operación del CSIRT, generando
rentabilidad a sus accionistas.
•
Perspectiva Interna: Lograr un excelente desempeño ante el cliente que se deriva de procesos,
decisiones y acciones basadas en las mejores prácticas mundiales en seguridad de la información. Así
como también crear e inculcar una cultura propia para el eficiente y efectivo desarrollo de las
actividades de esta nueva organización.
Página 148 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Perspectiva de Aprendizaje y Crecimiento: A partir del mejor talento humano y el permanente
desarrollo de las personas, el CSIRT estará en capacidad de crear conocimiento en torno a la seguridad
de la información, aprender de su propio actuar, lanzar nuevos productos y servicios, crear más valor
para los clientes y mejorar la eficiencia operativa continuamente. El aprendizaje organizacional se
convierte en una ventaja competitiva y se integra al mejoramiento continuo de esta nueva
organización.
Estas cuatro perspectivas deberán interrelacionarse, por medio de algunos orientadores estratégicos, tales
como: posicionamiento, calidad, servicio al cliente, motivación y cultura y serán la base y propósito de la
gestión del CSIRT. A continuación se detallan los principales objetivos por cada una de las perspectivas,
con sus indicadores y metas, así como su interacción con los orientadores estratégicos, a través del
esquema de un mapa estratégico.
Ilustración 16: Mapa Estratégico
Página 149 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Ilustración 17: Perspectivas y Orientadores Estratégicos
7.1. PERSPECTIVA SEGURIDAD DE LA INFORMACIÓN NACIONAL
•
Cobertura del CSIRT en entidades a nivel nacional: Con este indicador se pretende medir el apoyo
brindado en seguridad de la información al mayor número de entidades a nivel nacional, de manera
periódica no menor a 1 año. Se separa en entidades públicas y en entidades privadas.
•
Cobertura del CSIRT en departamentos a nivel nacional: Este indicador busca definir porcentualmente
el número de departamentos al que se espera llegar con el alcance del CSIRT, de manera periódica no
menor a 1 año.
•
Porcentaje de incidencia de seguridad declarada con impacto negativo. Este indicador busca definir
porcentualmente para los diferentes grupos de clientes, de manera periódica no mayor a 3 meses, el
total de incidencias ocurridas a nivel nacional, las cuales se discriminen por incidencias ocurridas,
incidencias prevenidas y incidencias de impacto. Entre las incidencias a definir se podrá incluir: la
denegación de servicios, troyanos, recepción de correo no deseado, virus informático, software espía o
Página 150 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
spyware, instrucciones remotas de computadores, intrusiones en su correo electrónico, intrusiones en
otras cuentas de servicio web, bombas lógicas, robos de información, fraudes, robo de ancho de
banda, etc.
•
Posicionamiento (Top of Mind): Este indicador busca entender la dinámica de la marca CSIRT en
Colombia, se recomienda hacerse de manera periódica no menor a un año. Con este indicador la
compañía podrá darse cuenta a través del mercado objetivo, si existe o se tiene un bajo o alto grado
de recordación de la marca CSIRT. Este índice es una relación entre el numero de menciones de marca
sobre el total de entrevistados.
•
Índice de Satisfacción de Usuarios: Mediante encuestas, se pretende determinar la satisfacción de los
usuarios basada en la calidad percibida como medición de una satisfacción general, el cumplimiento de
expectativas y la cercanía a la compañía perfecta acorde con el estándar internacional del Índice
Americano de Satisfacción de Clientes (ACSI – American Customer Satisfaction Index)55
7.2. PERSPECTIVA FINANCIERA
•
Gasto versus Punto de Equilibrio: El nuevo CSIRT deberá verificar en el volumen de venta que, luego
de deducidos los costos variables, queda un excedente suficiente para cubrir los costos fijos. Este
punto umbral de rentabilidad será el punto en el que el CSIRT ingresa a una zona de ganancias,
mientras que por debajo, no cubrirá sus costos. Por esta razón el CSIRT debe operar a un nivel
superior al punto de equilibrio para poder reponer sus equipos y tomar provisiones para su expansión.
Este indicador se recomienda sea teniendo en cuenta sólo para un periodo de tiempo definido por la
propia organización (no mayor a un año), este después deberá ser remplazado por uno que mida y
exija beneficios monetarios ascendentes. Este indicador busca medir la auto sostenibilidad financiera y
de crecimiento del CSIRT para que pueda ofrecer servicios sostenibles a los diferentes mercados
objetivos. Se deberá observar en este una tendencia de crecimiento y diversificación sana y sostenida
de la oferta de servicios, con una muy buena calidad de cartera y adecuados niveles de eficiencia y
rentabilidad. Así mismo busca medir como mínimo en un periodo inferior a 6 meses. Se medirá como
mínimo, con base en el cubrimiento de los costos fijos de la operación (punto de equilibrio), teniendo
en cuenta el margen bruto de rentabilidad.
7.3. PERSPECTIVA PROCESOS INTERNOS
•
55
Promedio de la Evaluación de 360 grados: La Evaluación de 360 grados o evaluación integral es una
herramienta que permite medir el desempeño de los funcionarios y sus competencias, y de esta forma
diseñar programas de desarrollo para individuales y colectivos. La evaluación de 360 grados pretende
dar a los empleados una perspectiva de su desempeño desde el punto de vista de sus jefes, sus
compañeros, subordinados, clientes internos, etc. El propósito de aplicar esta evaluación es brindar al
funcionario la retroalimentación necesaria para mejorar su desempeño, su comportamiento o ambos y
dar a la dirección la información necesaria para tomar decisiones oportunas. Se recomienda aplicarse
semestralmente.
The American Customer Satisfaction Index (ACSI). http://www.theacsi.org/
Página 151 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Certificaciones obtenidas: Este indicador busca garantizar la calidad de los procesos del CSIRT. El
término se refiere a una serie de normas universales basadas inicialmente en la norma NTGCP 1000 y
la norma ISO 27000. Una certificación indica a los clientes que el CSIRT ha implementado un sistema
para garantizar que cualquier producto o servicio que ofrezca cumplirá constantemente con las normas
internacionales de calidad.
7.4. PERSPECTIVA APRENDIZAJE Y CRECIMIENTO
•
La principal función de la gestión del conocimiento es que el CSIRT no deba pasar dos veces por un
mismo proceso para resolver de nuevo el mismo problema, sino que ya disponga de mecanismos para
abordarlo utilizando información guardada sobre situaciones previas. Este indicador busca transformar
el conocimiento tácito en conocimiento explícito, se recomienda se logre alcanzar este objetivo en no
menos a seis meses. Para este fin pueden emplearse herramientas, como las bases de datos, las
intranets, revistas o manuales, que en su conjunto forman la denominada "memoria organizacional"
que permite organizar el conocimiento de la entidad. Existen diferentes técnicas para representar y
gestionar el conocimiento, codificado desde áreas diferentes: La inteligencia artificial, los sistemas de
gestión de bases de datos, como text mining, la ingeniería del software, y otras técnicas empleadas
desde la perspectiva del estudio de los sistemas de información. Esta tendencia se denomina
“orientación al conocimiento”, y es la que el CSIRT deberá tener como objetivo en el desarrollo al
propósito de crear un sistema de gestión documental.
La Gestión del Conocimiento contribuye a:
•
o
Mejorar la rapidez de respuesta en un entorno, tanto interno como externo, en continua
evolución (Tiempo promedio de atención de incidentes)
o
Mejorar la calidad de los productos o servicios desarrollados por la propia entidad y reducir los
errores en el proceso productivo (Número de errores en el proceso productivo).
o
Publicación y difusión de conocimiento concerniente al tema de seguridad de la información
(Número de Investigaciones publicadas al año)
o
Protección y registro de Derechos de Propiedad Intelectual.
Porcentaje de funcionarios directivos y técnicos certificados en CISSP o CISM: El Talento Humano será
el elemento de mayor participación dentro del nuevo CSIRT, siendo ésta la base para crear valor
agregado intangible que le permita sobresalir en un mercado competitivo y exigente. Debido a lo
anterior será importante el proceso de selección de cada uno de los empleados, en el que se deberán
contemplar las aptitudes, conocimiento y habilidades técnicas / gerenciales definidas a través de este
documento. El objetivo será el de cumplir con el mayor numero de requerimientos establecidos para
cada cargo y del mismo modo desarrollarlos o capacitarlos en el total de los mismos.
Algunas de las certificaciones para los perfiles de trabajo en el CSIRT son:
Página 152 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
o
CISSP56: Dominio de conocimiento en tecnología y gerencia en Seguridad de la Información.
o
CISM57: Conocimiento en gerencia de Seguridad de la Información.
o
ABCP o CBCP58: Conocimiento en planes y gestión de la continuidad de la operación.
o
CISA59: Experiencia en auditoría de sistemas.
o
ISO 27001 Lead Auditor: Conocimiento en auditoría de sistemas de gestión en seguridad de la
información SGSI.
7.5. RESUMEN DE LOS INDICADORES
PERSPECTIVA
SEGURIDAD DE
LA
INFORMACIÓN
NACIONAL
OBJETIVOS
ESTRATÉGICOS
Brindar apoyo
para optimizar la
seguridad de la
información en las
entidades públicas
y privadas.
METAS
INDICADOR
UNIVERSO
Año 1
Año 2
Cobertura del CSIRT
en entidades públicas
del orden nacional
(grados 2 y 3)
50
100
182
Cobertura del CSIRT
en entidades privadas
a nivel nacional
50
100
21.210
Cobertura del CSIRT
en departamentos a
nivel nacional
5
15
56
www.isc2.org
57
www.isaca.org
58
www.drii.org
59
www.isaca.org
60
Fuente dato disponible en el programa Gobierno en Línea
61
Fuente: Entidades que reportaron Estados financieros a la Superintendencia de Sociedades durante el año 2007
Página 153 de 192
32
60
61
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
PERSPECTIVA
FINANCIERA
OBJETIVOS
ESTRATÉGICOS
METAS
INDICADOR
Año 1
Año 2
Porcentaje de
incidencia de
seguridad declaradas
con impacto negativo
30%
10%
Total de
incidentes
reportados al
CSIRT
Consolidar la
marca CSIRT
Colombia, con
base en la
credibilidad de los
usuarios.
Posicionamiento (Top
of Mind)
>80%
>80%
Total de
Encuestas
realizadas
Índice de Satisfacción
de Usuarios
>65%
>75%
Total de
Encuestas
realizadas
Ser una entidad
auto sostenible.
Gasto versus Punto de
Equilibrio (P.E.)
Gastos <=
P.E.
Gastos <=
P.E.
Total gastos
80%
85%
Evaluaciones
360 grados al
total de
funcionarios
Certificaciones
obtenidas
NTGCP
1000
NTGCP
1000, ISO
27000
Total de
certificaciones
de calidad
aplicables al
CSIRT
Tiempo promedio de
atención de incidentes
4 horas
1 horas
Total de
incidentes
atendidos
Número de errores en
el proceso productivo
3 errores
por cada 10
incidencias
atendidas
1 error por
cada 10
incidencias
atendidas
Total de errores
registrados y
total de
incidentes
atendidos
10
Total de
investigaciones
publicadas por
el CSIRT
3
Total de
patentes
registradas por
el CSIRT
Promedio de la
Evaluación de 360
grados
PROCESOS
INTERNOS
UNIVERSO
Lograr la cultura y
excelencia
operacional.
APRENDIZAJE Y
CRECIMIENTO
Gestionar el
conocimiento.
Número de
Investigaciones
publicadas al año
Número de patentes
registradas al año
Página 154 de 192
3
1
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
PERSPECTIVA
METAS
OBJETIVOS
ESTRATÉGICOS
INDICADOR
Tener el mejor
Talento Humano.
Porcentaje de
funcionarios directivos
y técnicos certificados
en CISSP o CISM
UNIVERSO
Año 1
> 60%
Año 2
> 80%
Total de
funcionarios
directivos y
técnicos
7.6. CONSIDERACIONES GENERALES
Una vez descrita la formulación a nivel estratégico del posible sistema integrado de medición, a través del
Cuadro de Mando Integral, finalmente es importante tener en cuenta para el diseño e implementación, los
siguientes puntos:
•
El marco previo de referencia al proceso de planeación estratégica, antes de la ejecución de los planes
y control de la gestión, será la formulación del concepto estratégico, formulación del plan estratégico
basado en la estrategia y la formulación de los planes tácticos y operacionales.
•
El presupuesto, el Talento Humano, la tecnología y la operación deben alinearse con la estrategia,
•
El CSIRT deberá crear un contexto positivo para la medición,
•
El enfoque de la medición será la creación de valor,
•
La medición deberá ser integral (horizontal y vertical),
•
La recolección de información y experiencias deberán ser transformadas en estrategias,
•
La medición y control deberá ser parte de la cultura organizacional,
•
Clarificar las condiciones que crearan valor para el cliente,
•
Definir los procesos que transformaran los activos intangibles a resultados financieros y del cliente,
•
Definir los activos intangibles que deben ser alineados e integrados para facilitar la creación de valor,
•
Los componentes del Sistema Integrado de Medición son el direccionamiento estratégico y las
perspectivas,
•
Los indicadores se deberán definir en diferentes niveles organizacionales: Estratégicos (Monitorean y
miden fundamentalmente el desempeño de los macro procesos), tácticos (Monitorean y miden los
Página 155 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
procesos), operativos (Monitorean y miden las actividades) y de frontera o compartidos (Monitorean y
miden el desempeño de los procesos donde existe responsabilidad compartida),
•
Los indicadores deberán tener necesariamente una relación causa efecto,
•
El mapa estratégico hará explicita y comunicable a cualquier nivel la estrategia,
•
La ejecución a este modelo debe ser el elemento central de la cultura de una organización,
•
Comunicación, Implantación y Sistematización: Incluye divulgación, automatización, agenda gerencial
con el Cuadro de Mando Integral, planes de acción para detalles, plan de alineación de iniciativas y
objetivos estratégicos, plan de despliegue a toda la empresa.
Con todo lo anterior se propone y plantea que a partir de los diferentes lineamientos dados en este
documento, se diseñe e implemente esta iniciativa estratégica, la cual permitirá al nuevo CSIRT monitorear
y evaluar su desempeño de una manera integral frente a sus objetivos estratégicos.
Página 156 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
8.
ESTRUCTURA ORGANIZACIONAL
De acuerdo con el Software Engineering Institute en su documento “Organizational Models for Computer
62
Security Incident Response Teams (CSIRTs)” , existen criterios definidos para tres tipos de estructuras
organizacionales para un CSIRT, con lo cual se procederá a determinar cuales de estas, se ajustan a la
realidad de la estrategia de Gobierno en Línea.
Estos grupos son:
•
Equipos de Seguridad
•
CSIRT Coordinado
•
CSIRT Interno
Teniendo en cuenta el modelo de Seguridad de la Información definido para la estrategia de Gobierno en
Línea, el CSIRT propuesto será un ente técnico que funcione como un ente coordinador, que faculte a
terceros en el desarrollo y prestación de los servicios, de este modelo se destaca:
•
Su equipo coordina el esfuerzo de respuesta de incidentes e intercambio de información a través de
muchos CSIRT, equipos de seguridad, terceros u otras organizaciones externas.
•
Su equipo no pertenece a la misma organización de su jurisdicción.
•
El CSIRT, será el responsable de la prestación de servicios ofrecidos por terceros.
Su principal servicio es coordinar intercambio de información y facilitar la discusión de incidentes.
62
Tomado de: http://www.rediris.es/cert/links/csirt.es.html. Fecha de acceso: 2008/10/10. Publicado por
Carnegie Mellon University - Software Engineering Institute. Autores: Georgia Killcrece, Klaus-Peter Kossakowski,
Robin Ruefle, Mark Zajicek.
Página 157 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
8.1. ORGANIGRAMA
Ilustración 18: Estructura Organizacional Propuesta
A continuación se describen cada uno de los principales objetivos de las direcciones que conforman el
CSIRT, y sus principales responsabilidades generales.
8.1.1. ASESOR JURÍDICO
La Asesoría Jurídica tiene por objetivo asesorar a la Dirección General, en todo lo relacionado con temas
legales de competencia del CSIRT, tanto a nivel administrativo y comercial como a nivel de la consultoría,
prestación de servicios y temas forenses de seguridad de la información.
8.1.2. DIRECCIÓN TÉCNICA
8.1.2.1.
Grupo de Incidentes
Grupo que busca proveer a las entidades facultadas o tercerizadas por el CSIRT (en la prestación de los
diferentes servicios), la coordinación, asistencia y atención, para ayudar a preparar, proteger y asegurar
componentes de sistemas de clientes objetivos, en anticipación a futuros ataques, problemas o eventos
derivados de la seguridad de la información.
•
Hacer seguimiento de los principales indicadores y políticas relacionadas con la seguridad de la
información en el ámbito nacional e internacional.
Página 158 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Crear una base de conocimiento que permita el análisis y evaluación de la seguridad de la información.
•
Definir, planificar y fomentar las responsabilidades y respuestas primarias, de carácter operacional,
para el control de cualquier tipo de emergencia de seguridad de información.
•
Promover y velar para que métodos probados internacionalmente, para el control de las emergencias
hechas por terceros, se apliquen eficiente y eficazmente.
•
Definir y fomentar equipos de trabajo que puedan utilizar las técnicas elementales de acción ante
emergencias.
•
Definir técnicas o herramientas que permitan rastrear los orígenes de un incidente o identificar
sistemas a los se haya tenido acceso no autorizado.
•
Definir y fomentar la integración de equipos de trabajo técnico, con roles perfectamente definidos ante
una emergencia.
•
Asistir en la recuperación tras desastres relacionados con los ataques y las amenazas a la seguridad de
información de las Entidades, mediante la coordinación de los diferentes recursos.
•
Mediante actividades de coordinación, velar por la eficiente y eficaz detección, tratamiento, análisis y
respuesta de incidentes de seguridad de la información, hechas por las entidades facultadas por el
CSIRT en esta materia.
•
Gestionar la recopilación de pruebas forenses, en lo que se refiere a la recolección, la conservación, la
documentación y el análisis de las pruebas procedentes del sistema informático comprometido.
8.1.2.2.
Grupo Gestión y Control
Este grupo tiene como fin coordinar y dar soporte a las entidades tercerizadas por el CSIRT, para que
consoliden y apliquen los conocimientos y habilidades requeridas, para administrar, controlar y auditar los
sistemas informáticos.
•
Realizar la validación y monitoreo del modelo de seguridad de la información.
•
Soportar la evaluación de infraestructura de seguridad de la información, a través de evaluaciones y/o
auditorias de seguridad, basados en los requisitos establecidos por el sistema y/o normas nacionales e
internacionales aplicables.
•
Administrar la herramienta de autoevaluación y soportar las auditorias, monitoreos y análisis a la
información, desarrollada por los terceros contratados por el CSIRT.
•
Brindar soporte en lo relacionado con la herramienta de autoevaluación y auditoria.
Página 159 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Desarrollar y complementar las herramientas de auto-evaluación y de auditoría con base en las
necesidades y requisitos actuales y futuros del Modelo de Seguridad.
•
Recopilar las estadísticas, métricas e indicadores que permitan medir el desempeño y evidenciar el
mejoramiento del modelo de seguridad en las Entidades.
•
Centralizar la información enviada por los diferentes terceros contratados por el CSIRT.
8.1.2.3.
Grupo de Investigación y Desarrollo
El Grupo de Investigación y Desarrollo, tiene como principal propósito la investigación científica, el
desarrollo y la innovación de la seguridad de la información. En este grupo se establecen instrumentos y/o
medios que garanticen el cumplimiento del modelo de seguridad de la información. Adicionalmente se
busca el desarrollo y la gestión del conocimiento del CSIRT, a través de eficientes y eficaces vías de
comunicación.
•
Asesorar a las Entidades públicas y privadas en materia de seguridad de la información, así como
apoyar a la elaboración, seguimiento y evaluación de políticas en este ámbito.
•
Difundir información relacionada con la seguridad de la información a todos los actores relacionados.
•
Desarrollar herramientas específicas para necesidades particulares o generales de sus clientes o propias
del CSIRT.
•
Convocar al sector privado y a la academia para obtener apoyo en la investigación en materia de
seguridad de la información.
•
Mantener contacto permanente con los distintos sectores de la industria para la identificación de
necesidades tecnológicas y de seguridad de la información.
•
Recomendar o identificar para las Entidades objetivo, requisitos de compra, instalación o protección de
nuevos sistemas de seguridad, aplicaciones de software, dispositivos de seguridad, entre otros. Así
mismo, ofrecer asistencia y orientación en la implementación de las políticas de seguridad del modelo.
•
Proponer los lineamientos, temas y elementos de sensibilización al Grupo CSIRT – Función de
Capacitación, en lo concerniente a las campañas de Concienciación - sensibilización.
•
Gestionar la información y documentación del CSIRT.
•
Diseñar herramientas de organización y difusión del conocimiento dentro del CSIRT.
•
Gestionar la comunicación interna de la Institución.
•
Gestionar el aprendizaje organizativo del CSIRT.
Página 160 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Gestionar el cambio y la innovación institucional.
•
Adecuar la taxonomía de las piezas de conocimiento conforme se incremente el conjunto de
conocimiento derivado de la experiencia y conocimiento del CSIRT.
•
Generar estrategias de difusión de piezas de conocimiento de interés general.
•
Fomentar la automatización de los procesos relacionados con seguridad de la información.
•
Realizar auditorías anuales de conocimiento a los empleados del CSIRT.
•
Vigilar que el conocimiento fluya de forma ágil a través del CSIRT.
•
Diseñar políticas para el uso de las bases de datos institucionales.
8.1.3. DIRECCIÓN DE COOPERACIÓN Y FOMENTO
8.1.3.1.
Grupo Capacitación
El Grupo de Capacitación tiene como principal objeto, ayudar a sensibilizar, dar a conocer y preparar al
mercado objetivo, en los beneficios y amenazas que se derivan de la seguridad de la información,
desarrollar la capacidad de estos para alcanzar objetivos de desarrollo informático y a promover el uso de
herramientas y procedimientos que prevengan posibles incidentes de seguridad de la información.
•
Promover campañas de capacitación periódicas para el sector público y privado, en temas relacionados
con la seguridad de la información, coordinando los diferentes cursos, charlas y/o conferencias.
•
Buscar convenios con terceros, para soportar, ejecutar y/o fortaleces los diferentes programas de
capacitación, en los que se incluya de manera integrada, la academia, el sector público y privado.
•
Dar lineamientos generales, a los responsables directos de los programas de capacitación, en las
diferentes áreas de seguridad de la información.
•
Soportar a terceros en la capacitación y entrenamiento a las Entidades, en temas relacionados con la
herramienta de autoevaluación y auditoria.
•
Planear el desarrollo de capacitaciones internas para el desarrollo de las competencias y habilidades
técnico/gerenciales para todo el personal del Grupo Técnico de Apoyo y el de la Comisión Nacional de
Seguridad de la Información.
Página 161 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
8.1.3.2.
Grupo Relaciones Públicas y Comunicación
Grupo que tiene como objetivo, gestionar y proyectar de manera integral los sistemas de comunicación e
información del CSIRT, liderar cambios, establecer programas de cultura e identidad corporativa,
diagnosticar y planear estratégicamente y de manera armónica la comunicación según los diferentes
públicos y entornos.
•
Diseñar e implementar el plan de comunicaciones del CSIRT.
•
Mantener la articulación con los entes policivos para la atención de los incidentes de seguridad de la
información.
•
Gestionar la comunicación entre el CSIRT y público clave para construir, administrar y mantener su
imagen positiva.
•
Construir la identidad, la cultura y la reputación del CSIRT, como un camino que facilitará la
construcción de vínculos con los involucrados (Stakeholders), mediante el desarrollo de programas de
identidad corporativa.
•
Definir y diseñar la Política de imagen corporativa que deba adoptar el CSIRT.
•
Crear estrategias de publicidad para lograr difundir y promocionar el programa de capacitación.
•
Posicionar la nueva marca CSIRT en el mercado nacional y regional, por medio de rutinas de campañas
de publicidad.
•
Diseñar métodos y mecanismos que permitan conocer el grado de aceptación de los programas y
proyectos desarrollados por el CSIRT.
•
Sensibilizar a los grupos objetivo en el conocimiento y uso de los temas relacionados con la seguridad
de información.
•
Coordinar la emisión de boletines, revistas y toda clase de documentos relacionados con la acción del
CSIRT.
•
Difundir estudios e informes publicados por otras entidades y organismos nacionales e internacionales,
así como de información sobre la actualidad en materia de la seguridad y confianza de la Información.
•
Propender por las buenas relaciones y comunicaciones, con la prensa local, seccional, nacional e
internacional.
•
Crear alianzas con CSIRT nacionales e internacionales.
Página 162 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Crear alianzas de largo plazo con el sector académico, privado, proveedores de tecnología, etc, las
cuales permitan entre otros crear, gestionar y trasmitir el conocimiento del CSIRT.
•
Diseñar mecanismos y establecer los conductos de divulgación del CSIRT.
8.1.4. DIRECCIÓN ADMINISTRATIVO Y FINANCIERA
Este grupo tiene como principal objeto administrar los recursos financieros, tecnológicos (IT), legales y
humanos del CSIRT.
8.1.4.1.
Financieros
•
Administrar el proceso de elaboración presupuestaria.
•
Controlar y supervisar la ejecución del presupuesto de manera articulada con la planificación
estratégica y el control de gestión de la institución.
•
Realizar la gestión contable, patrimonial y la administración de recursos de la institución, procurando el
estricto cumplimiento en la aplicación de todos los sistemas y procedimientos administrativos
establecidos.
•
Administrar el proceso de compras y contrataciones de bienes y servicios del CSIRT.
•
Intervenir desde el punto de vista presupuestario en el financiamiento de los proyectos.
•
Desarrollar criterios, metodologías e instrumentos de aspectos administrativos, contables y de control.
•
Administrar la gestión de desarrollo de la infraestructura física y la gestión de servicios de
mantenimiento y soporte logístico de las distintas direcciones.
•
Establecer e implantar mecanismos idóneos para la administración de los recursos financieros, de
bienes, materiales y servicios asignados al funcionamiento del CSIRT.
•
Coordinar con la Gerencia de Recursos Humanos las tareas contables, administrativas y financieras
requeridas para la administración del personal de la Institución.
•
Dirigir y supervisar la elaboración de los estados contables del CSIRT.
8.1.4.2.
Tecnológicos
•
Mantener, monitorear y reparar la infraestructura de redes del CSIRT.
•
Implementar y mantener servidores y servicios de red comunes dentro del CSIRT.
Página 163 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Diseñar, implementar y mantener sistemas de monitoreo y respaldo para la infraestructura de redes del
CSIRT.
•
Asegurar la calidad y el desempeño en el funcionamiento de la infraestructura de redes y servicios de la
organización CSIRT.
La gestión de los equipos tecnológicos especializados corresponderá a las entidades consideradas en la
tercerización de los servicios.
8.1.4.3.
Legales
•
Elaborar todo tipo de contratos, actas constitutivas, actas de Asamblea e instrumentos jurídicos de la
competencia del CSIRT.
•
Participar en la negociación, seguimiento y cierre de distintos tipos de operaciones con clientes y
proveedores de naturaleza comercial, de alianza estratégica, societaria, etc.
•
Emitir consultas y opiniones acerca de asuntos que influyan de manera directa en el patrimonio y
responsabilidad de la empresa y sus socios dentro de su operación comercial.
•
Realizar todo tipo de trámites ante dependencias gubernamentales de carácter departamental y
nacional.
8.1.4.4.
•
•
Humanos
Asesorar y participar en la formulación de la política de personal.
Dar a conocer las políticas de personal y asegurar su cumplimiento.
•
Establecer y normalizar el perfil y el rol de cada uno de los puestos de trabajo dentro del CSIRT.
•
Reclutar, seleccionar y contratar al personal del CSIRT.
•
Desarrollar y gestionar la estructura y política salarial.
•
Planear las diferentes capacitaciones internas para promover y desarrollar las competencias y
habilidades técnico/gerenciales para todo el personal del CSIRT.
•
Mantener todos los registros necesarios concernientes al personal.
•
Incentivar la integración y buenas relaciones humanas entre el personal.
•
Recibir quejas, sugerencias y resuelve los problemas de los colaboradores.
Página 164 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Hacer la evaluación del desempeño de los colaboradores.
8.2. PROCESO DE SELECCIÓN
Las competencias laborales generales se establecerán de acuerdo con el Decreto número 2539 de 2005, en
el cual se detallan para los empleos públicos de los distintos niveles jerárquicos de las entidades, las
competencias requeridas. Estas deberán tenerse en cuenta a la hora de realizar los procesos de selección
de los diferentes vacantes creadas para el CSIRT. A continuación se enumeran dichas competencias:
8.2.1. COMPETENCIAS COMUNES
•
Orientación a resultados
•
Orientación al usuario y al ciudadano
•
Transparencia
•
Compromiso con la Organización
Nivel Directivo
•
Liderazgo
•
Planeación
•
Toma de decisiones
•
Dirección y Desarrollo de Personal
•
Conocimiento del entorno
Nivel Asesor
Nivel Profesional
•
Experticia Profesional
•
Aprendizaje Continuo
•
Conocimiento del entorno
•
Experticia profesional
•
Construcción de relaciones
•
Trabajo en Equipo y Colaboración
Página 165 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Iniciativa
•
Creatividad e Innovación
Nivel Técnico
Nivel Asistencial
•
Experticia Técnica
•
Manejo de la Información
•
Trabajo en equipo
•
Adaptación al cambio
•
Creatividad e innovación
•
Disciplina
•
Relaciones Interpersonales
•
Colaboración
8.2.2. COMPETENCIAS COMPORTAMENTALES POR NIVEL JERÁRQUICO
Cuando se tengan personal a cargo, se deberá incluir; liderazgo de grupos de trabajo y toma de decisiones
8.2.3. COMPETENCIAS TÉCNICAS
Estas deberán evaluarse con mayor exigencia dependiendo de las responsabilidades propias del cargo.
•
Principios de seguridad de la información.
•
Amplio conocimiento de la tecnología y los protocolos de Internet y redes.
•
Conocimiento de diversos sistemas operativos tipo Windows, Unix, Linux.
•
Conocimiento de los equipos de infraestructura de redes (enrutador, switches, DNS, proxy, correo,
etc.).
•
Conocimiento de las aplicaciones de Internet.
•
Conocimiento de amenazas a la seguridad (phishing, defacing, sniffing, etc.).
•
Conocimiento de la evaluación del riesgo y las implementaciones prácticas.
•
Servicios y aplicaciones de red.
Página 166 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Habilidades de programación.
•
Habilidades en manejo y análisis de incidentes.
•
Certificaciones.
CISSP63 - Dominio de conocimiento tecnología y gerencia en seguridad de la información.
Obligatoria.
CISM64 - Conocimiento en gerencia de seguridad de la información. Obligatoria.
ABCP o CBCP65 - Conocimiento en planes y gestión de la continuidad de la operación. Opcional.
CISA66 – Experiencia en auditoría de sistemas. Opcional.
ISO27001 Lead Auditor – conocimiento en auditoría de sistemas de gestión en seguridad de la
información SGSI. Opcional.
8.2.4. OTRAS CARACTERÍSTICAS
•
Disponibilidad para viajar a soportar operaciones en lugares diferentes a su ciudad base.
•
Nivel educativo. Dependiendo del cargo se requerirán carreras técnicas profesionales o a nivel de
posgrado.
•
Experiencia laboral en el ámbito de la seguridad de las TI principalmente.
•
Disposición a trabajar por turnos.
Es importante que el tipo de contratación se haga a término indefinido, haciendo un seguimiento por cada
empleado a través de una evaluación de desempeño, la cual evalué de manera general entre otros los
siguientes puntos.
63
www.isc2.org
64
www.isaca.org
65
www.drii.org
66
www.isaca.org
Página 167 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Cumplimiento de objetivos.
•
Competencias técnicas.
•
Competencias Administrativas.
•
Eficiencia en el gerenciamiento de las responsabilidades.
•
Excelencia de servicio.
•
Eficiencia en el liderazgo.
La calificación de estas evaluaciones de desempeño, afectaran individualmente o en grupo, cualquiera que
sea el caso, en las retribuciones, en la promoción, en los concursos, y en las capacitaciones a ofrecer.
8.3. CAPACITACIÓN
Dentro del proyecto se deberá destinar un presupuesto dirigido a la capacitación del personal. Esto como
consecuencia a la dificultad de encontrar personal, con el total de las habilidades anteriormente descritas y
a que constantemente se presentaran avances y mejoras en la practicas informáticas o de soporte, a
utilizar en cada una de las responsabilidades.
Si bien es cierto que el personal a contratar, deberá contar con un conocimiento y experiencia previa a la
mayoría de las habilidades. No se hace necesario que cumpla con el 100% de estas. Por esto se deberá
priorizar para cada uno de los cargos las principales competencia y de las faltantes se suplirán con una
posterior capacitación. Es importante que la relaciones con entes como el sector privado, académico y
publico, ayuden a formalizar este plan de capacitación.
El plan de capacitación deberá fundamentarse en las habilidades anteriormente detalladas y en el dominio
de:
•
Área de cobertura y sistemas y operaciones de su área de cobertura.
•
Políticas y procedimientos estándares de operación.
•
Política sobre revelación de información.
•
Política sobre uso aceptable del equipamiento y de la red.
Página 168 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
9.
ETAPAS PARA LA CONFORMACIÓN DEL CSIRT – COLOMBIA
La constitución del CSIRT en Colombia supone el cumplimiento de ciertas etapas, considerando que iniciar
una nueva etapa supone la estabilización y permanente sostenibilidad y continuidad de las etapas
anteriores. Para la conformación del proyecto CSIRT en Colombia se consideran las siguientes etapas:
•
Etapa I – Alistamiento: Se definirán todos los procesos, procedimientos, roles y responsabilidades
necesarias para poner en operación el CSIRT- Colombia. De la misma manera, se llevaría a cabo el
alistamiento tecnológico, logístico y estratégico para la definición de los alcances visibles e indicadores
de gestión del CSIRT.
•
Etapa II – Capacitación y Entrenamiento Involucra la capacitación y entrenamiento necesarios para
iniciar el proceso. Una vez iniciado, esta capacitación podría gestionarse a través de la cooperación
nacional e internacional, tanto a nivel bilateral como multilateral. En todo caso, la capacitación o
entrenamiento deberá ser permanente a lo largo de la existencia del CSIRT.
•
Etapa III – Generación de Alertas e Investigación: Se busca un servicio de alertas tempranas e
investigación y desarrollo en laboratorio, para comenzar a prestar un servicio informativo a las
entidades de tanto públicas como privadas.
•
Etapa IV - Respuesta a Incidentes y Apoyo en Investigación del Delito: Supone una madurez suficiente
en procesos, procedimientos, capacitación, entrenamiento e información de amenazas y riesgos como
para poder conformar operativamente el grupo de respuesta a incidentes y apoyar las investigaciones
informáticas adelantadas por las autoridades competentes.
•
Etapa V – Operación, Revisión y Mejoramiento Continuo: Involucra la revisión constante de los
procesos, procedimientos, indicadores de gestión y genera la retroalimentación interna para el
mejoramiento continuo.
Página 169 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
10. PRESUPUESTO PRELIMINAR DE INVERSIÓN Y FUNCIONAMIENTO
A continuación se presenta un presupuesto preliminar de Inversión y Funcionamiento, que deberá ser
ajustado de acuerdo con las validaciones que se realicen al modelo con la comunidad.
Costo
Unitario /
Mensual
Unidades
Frecuencia
Anual
1
1
40.000.000
40.000.000
1
1
1
1
1
1
1
1
1
1
20.000.000
20.000.000
25.000.000
15.000.000
50.000.000
20.000.000
20.000.000
25.000.000
15.000.000
50.000.000
1
1
75.000.000
75.000.000
1
1
20.000.000
20.000.000
1
1
5.000.000
5.000.000
1
1
20.000.000
20.000.000
1
1
50.000.000
50.000.000
300.000.000
Muebles
1
1
20.000.000
20.000.000
Seguros de equipos e Infraestructura
1
1
10.000.000
10.000.000
Rubro
Total
Presupuesto de Inversión
Estudios y Diseños
Plataforma Tecnológica
Hardware
Software
Servicios de seguridad
Mantenimiento y reparaciones
Desarrollo Web
Tecnologías de seguridad de la red y de la
información
Gestión de equipos de seguridad (hasta 20
elementos)
Monitoreo de equipos de seguridad (hasta 20
elementos)
Correlación de equipos de seguridad (hasta 20
elementos)
Protección a los sistemas
Total Plataforma Tecnológica
Total Presupuesto de Inversión
370.000.000
Presupuesto de Funcionamiento
Costo de Personal - Salarios
Director General
Directores
1
3
Página 170 de 192
14
14
9.600.000
7.200.000
134.400.000
302.400.000
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
14
14
14
Costo
Unitario /
Mensual
6.000.000
4.800.000
2.400.000
504.000.000
201.600.000
336.000.000
14
1.200.000
16.800.000
Unidades
Frecuencia
Anual
Jefes Grupo
Profesionales Certificados en seguridad
Equipo base
6
3
10
Administrativo
1
Rubro
Total Costo de Personal - Salarios
Total
1.495.200.000
Entrenamiento y Capacitación
1
1
30.000.000
30.000.000
Operación
Logística para Conferencias y talleres
Costos de representación
Suscripciones a medios especializados
Traducciones
Elaboración de Talleres
Publicaciones y materiales informativos
Viáticos
Total Costo de Operación
1
1
1
1
1
1
2
6
1
1
1
1
1
12
20.000.000
20.000.000
2.000.000
5.000.000
20.000.000
20.000.000
2.000.000
120.000.000
20.000.000
2.000.000
5.000.000
20.000.000
20.000.000
48.000.000
235.000.000
Infraestructura
Alquiler del Establecimiento
Servicios Públicos
Mantenimiento
Total Costo Infraestructura
1
1
1
12
12
12
5.000.000
1.900.000
3.000.000
60.000.000
22.800.000
36.000.000
118.800.000
1
1
1
25
13
12
14.666.667
1.600.000
32.000.000
366.666.667
20.800.000
384.000.000
1
3
66.666.667
200.000.000
1
1
1
10
21
3
1.600.000
800.000
4.000.000
16.000.000
16.800.000
12.000.000
1.016.266.667
Costo Variable
Auditorías de la seguridad
Configuración y mantenimiento de la seguridad
Análisis de riesgos
Planificación de la continuidad de la operación y
recuperación tras un desastre
Recopilación de pruebas forenses
Respuesta a incidentes in situ
Evaluación de productos
Total Presupuesto Variable
Total Presupuesto Costo de Funcionamiento Año 1
2.895.266.667
Presupuesto de Ventas
Presupuesto de Ventas de Servicios para miembros y
no miembros
Graduación Nivel 2
Graduación Nivel 3
Auditorías de la seguridad
1
1
1
Página 171 de 192
0
50
25
4.000.000
8.000.000
36.666.667
0
400.000.000
916.666.667
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
13
12
Costo
Unitario /
Mensual
4.000.000
80.000.000
52.000.000
960.000.000
1
3
166.666.667
500.000.000
1
1
1
10
21
3
4.000.000
2.000.000
10.000.000
40.000.000
42.000.000
30.000.000
Rubro
Unidades
Frecuencia
Anual
Configuración y mantenimiento de la seguridad
Análisis de riesgos
Planificación de la continuidad de la operación y
recuperación tras un desastre
Presupuesto de Ventas de Servicios para no miembros
Recopilación de pruebas forenses
Respuesta a incidentes in situ
Evaluación de productos
1
1
Total Presupuesto de Ventas Año 1
Total
2.940.666.667
A continuación se describen algunos de los criterios utilizados para la estimación preliminar del
presupuesto de Inversión y Funcionamiento para el montaje del CSIRT en Colombia.
10.1. PRESUPUESTO DE INVERSIÓN
El Presupuesto de Inversión comprende todo el cuadro de adquisición de maquina y equipo que permitan
asegurar el proceso productivo y ampliar la cobertura del mercado. Los principales componentes
considerados para el Presupuesto de Inversión son:
•
Estudios y Diseños: Los costos de Estudios y Diseños incluyen las evaluaciones de riesgos y
vulnerabilidades de seguridad de la información tanto nacionales como internacionales, que permitan
prevenir la acción de los incidentes y crear una línea base para el desarrollo de los servicios y el
monitoreo de la seguridad nacional de la información en las entidades atendidas por la Estrategia de
Gobierno en Línea.
•
Plataforma Tecnológica: incluye el hardware y software requerido para garantizar la operación y la
seguridad de la información propia del CSIRT así como la necesaria para la prestación de los servicios
ofrecidos.
•
Infraestructura: Incluye la planta física requerida para la operación del CSIRT.
10.2. PRESUPUESTO DE FUNCIONAMIENTO
El presupuesto de funcionamiento incluye las actividades para el período siguiente al cual se elabora (en el
caso de este documento será el ejercicio 2009). Son estimados que en forma directa tienen que ver con la
razón principal de la entidad. Los principales componentes del Presupuesto de Funcionamiento son:
•
Costos de Personal - Salarios: Se considera la estructura organizacional considerada de manera
preliminar en el presente documento, con salarios acordes el mercado laboral y los perfiles requeridos.
Página 172 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
•
Costos de Reclutamiento: Asume la contratación de un tercero para el proceso de búsqueda y
reclutamiento del personal del CSIRT.
•
Entrenamiento: Costos asociados con la preparación técnica del personal para un mejor desempeño en
la operación.
•
Operación: Costos estimados asociados a la operación diaria del CSIRT en la prestación de los servicios
ofrecidos: Atención de incidentes y la sensibilización de la comunidad, entre otros.
•
Costos de Infraestructura, considerando el posible alquiler del espacio físico para la operación, los
servicios públicos y le mantenimiento de la planta y equipos.
•
Costo Variable adicional: Es el costo variable que depende de volumen de ventas. A este costo se
descuenta el costo de personal de planta disponible permanentemente para e desarrollo de proyectos.
•
Presupuesto de ventas: Se estima con base en tarifas y comportamientos esperados del mercado y
considerando que la operación del CSIRT en Colombia comience en mayo de 2009.
Página 173 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – SISTEMA DE GESTIÓN DE CALIDAD –
ESTRATEGIA DE GOBIERNO EN LÍNEA
Detalle Presupuesto - Año 1
Presupuesto de
Ventas:
Ventas
Graduación
Nivel 2
Rango de
Precios
dependiendo
del tamaño
de la
entidad y
alcance del
servicio
May
Jun
Jul
Ago
Sep
Oct
Nov
Dic
Unidades
8.000.000
Graduación
Nivel 3
Precio
Unitario
Ponderado
0
4.000.000
Unidades
15.000.000
Total
8.000.000
0
0
0
0
0
0
0
0
0
2
3
5
6
6
8
11
9
50
40.000.000
48.000.000
48.000.000
64.000.000
88.000.000
72.000.000
400.000.000
2
2
4
4
4
6
25
16.000.000 24.000.000
Presupuesto de
Ventas de
Servicios para
miembros y no
miembros
Auditorías de la
seguridad
Configuración y
mantenimiento
de la seguridad
4.000.000
Unidades
20.000.000 200.000.000
Planificación de
la continuidad
de la operación
y recuperación
tras un desastre
36.666.667
Unidades
1.000.000 10.000.000
Análisis de
riesgos
1
Unidades
5.000.000 100.000.000
80.000.000
2
36.666.667 73.333.333
73.333.333 146.666.667 146.666.667 146.666.667 220.000.000
916.666.667
1
1
1
2
2
2
2
2
13
4.000.000
4.000.000
4.000.000
8.000.000
8.000.000
8.000.000
8.000.000
8.000.000
52.000.000
1
1
1
1
2
2
2
2
12
80.000.000 80.000.000
80.000.000
80.000.000 160.000.000 160.000.000 160.000.000 160.000.000
1
Unidades
50.000.000 166.666.667
400.000.000
73.333.333
0
0
166.666.667
Página 174 de 192
1
0
166.666.667
1
0
166.666.667
960.000.000
3
0
500.000.000
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Presupuesto de
Ventas de
Servicios para
no miembros
Recopilación de
pruebas
forenses
Unidades
1.000.000 10.000.000
Respuesta a
incidentes in
situ
1
1
1
1
1
2
2
10
4.000.000
4.000.000
4.000.000
4.000.000
4.000.000
4.000.000
8.000.000
8.000.000
40.000.000
1
2
3
4
5
6
21
2.000.000
4.000.000
6.000.000
8.000.000
10.000.000
12.000.000
42.000.000
1
1
1
3
Unidades
2.000.000
Evaluación de
productos
4.000.000
1
2.000.000
0
0
Unidades
10.000.000
10.000.000
0
0
0
0
0
10.000.000
10.000.000
10.000.000
30.000.000
1
2
2
2
4
4
4
6
25
29.333.333
29.333.333
58.666.667
58.666.667
58.666.667
88.000.000
366.666.667
Presupuesto de
Costo Variable
de Servicios
para miembros y
no miembros
Auditorías de la
seguridad
Unidades
14.666.667
Configuración y
mantenimiento
de la seguridad
Unidades
1.600.000
Análisis de
riesgos
Unidades
32.000.000
Planificación de
la continuidad
de la operación
y recuperación
tras un desastre
Unidades
66.666.667
14.666.667 29.333.333
1
1
1
2
2
2
2
2
13
1.600.000
1.600.000
1.600.000
3.200.000
3.200.000
3.200.000
3.200.000
3.200.000
20.800.000
1
1
1
1
2
2
2
2
12
32.000.000
32.000.000
64.000.000
64.000.000
64.000.000
64.000.000
384.000.000
32.000.000 32.000.000
0
0
1
0
1
0
1
0
3
0
0
66.666.667
0
66.666.667
0
66.666.667
0
200.000.000
Presupuesto de
Costos Variables
en servicios para
Página 175 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
miembros
Recopilación de
pruebas
forenses
Unidades
1.000.000 10.000.000
Respuesta a
incidentes in
situ
1
1
1
1
1
2
2
10
1.600.000
1.600.000
1.600.000
1.600.000
1.600.000
1.600.000
3.200.000
3.200.000
16.000.000
1
2
3
4
5
6
21
800.000
1.600.000
2.400.000
3.200.000
4.000.000
4.800.000
16.800.000
1
1
1
3
4.000.000
4.000.000
4.000.000
12.000.000
Unidades
2.000.000
Evaluación de
productos
1.600.000
1
800.000
0
0
Unidades
10.000.000
4.000.000
0
0
0
0
Recursos Humanos de la
Entidad
0
Año 1
Bruto
Retención
Seguridad
Social cargo
trabajador
Líquido
Seguridad Social a
cargo Empresa
Importe Seguridad
Social Empresa
Total Coste
Empresa
Director General
112.000.000
10%
8,375%
91.420.000
20%
22.400.000
134.400.000
Director 1
84.000.000
10%
8,375%
68.565.000
20%
16.800.000
100.800.000
Director 2
84.000.000
10%
8,375%
68.565.000
20%
16.800.000
100.800.000
Director 3
84.000.000
10%
8,375%
68.565.000
20%
16.800.000
100.800.000
Jefe de Grupo 1
70.000.000
10%
8,375%
57.137.500
20%
14.000.000
84.000.000
Jefe de Grupo 2
70.000.000
10%
8,375%
57.137.500
20%
14.000.000
84.000.000
Jefe de Grupo 3
70.000.000
10%
8,375%
57.137.500
20%
14.000.000
84.000.000
Jefe de Grupo 4
70.000.000
10%
8,375%
57.137.500
20%
14.000.000
84.000.000
Jefe de Grupo 5
70.000.000
10%
8,375%
57.137.500
20%
14.000.000
84.000.000
Jefe de Grupo 6
70.000.000
10%
8,375%
57.137.500
20%
14.000.000
84.000.000
Profesional Certificado 1
56.000.000
10%
8,375%
45.710.000
20%
11.200.000
67.200.000
Profesional Certificado 2
56.000.000
10%
8,375%
45.710.000
20%
11.200.000
67.200.000
Profesional Certificado 3
56.000.000
10%
8,375%
45.710.000
20%
11.200.000
67.200.000
Profesional 1
28.000.000
10%
8,375%
22.855.000
20%
5.600.000
33.600.000
Profesional 2
28.000.000
10%
8,375%
22.855.000
20%
5.600.000
33.600.000
Profesional 3
28.000.000
10%
8,375%
22.855.000
20%
5.600.000
33.600.000
Profesional 4
28.000.000
10%
8,375%
22.855.000
20%
5.600.000
33.600.000
Profesional 5
28.000.000
10%
8,375%
22.855.000
20%
5.600.000
33.600.000
Conceptos
Página 176 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Profesional 6
28.000.000
10%
8,375%
22.855.000
20%
5.600.000
33.600.000
Profesional 7
28.000.000
10%
8,375%
22.855.000
20%
5.600.000
33.600.000
Profesional 8
28.000.000
10%
8,375%
22.855.000
20%
5.600.000
33.600.000
Profesional 9
28.000.000
10%
8,375%
22.855.000
20%
5.600.000
33.600.000
Profesional 10
28.000.000
10%
8,375%
22.855.000
20%
5.600.000
33.600.000
Secretaria
14.000.000
10%
8,375%
11.427.500
20%
2.800.000
16.800.000
249.200.000
1.495.200.000
Totales
1.246.000.000 141.400.000 118.422.500
1.017.047.500
Página 177 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – SISTEMA DE GESTIÓN DE CALIDAD –
ESTRATEGIA DE GOBIERNO EN LÍNEA
11. TERMINOLOGÍA
A
Acción correctiva: (Inglés: Corrective action). Medida de tipo reactivo orientada a eliminar la causa de una
no-conformidad asociada a la implementación y operación del SGSI con el fin de prevenir su repetición.
Acción preventiva: (Inglés: Preventive action). Medida de tipo pro-activo orientada a prevenir potenciales
no-conformidades asociadas a la implementación y operación del SGSI.
Accreditation body: Véase: Entidad de acreditación.
Aceptación del Riesgo: (Inglés: Risk acceptance). Según [ISO/IEC Guía 73:2002]: Decisión de aceptar un
riesgo.
Activo: (Inglés: Asset). En relación con la seguridad de la información, se refiere a cualquier información o
sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Según [ISO/IEC
13335-1:2004]: Cualquier cosa que tiene valor para la organización.
Alcance: (Inglés: Scope). Ámbito de la organización que queda sometido al SGSI. Debe incluir la
identificación clara de las dependencias, interfaces y límites con el entorno, sobre todo si sólo incluye una
parte de la organización.
Alerta: (Inglés: Alert). Una notificación formal de que se ha producido un incidente relacionado con la
seguridad de la información que puede evolucionar hasta convertirse en desastre.
Amenaza: (Inglés: Threat). Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el
cual puede causar el daño a un sistema o la organización.
Análisis de riesgos: (Inglés: Risk analysis). Según [ISO/IEC Guía 73:2002]: Uso sistemático de la
información para identificar fuentes y estimar el riesgo.
Análisis de riesgos cualitativo: (Inglés: Qualitative risk analysis). Análisis de riesgos en el que se usa una
escala de puntuaciones para situar la gravedad del impacto.
Página 178 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Análisis de riesgos cuantitativo: (Inglés: Quantitative risk analysis). Análisis de riesgos en función de las
pérdidas financieras que causaría el impacto.
Asset: Véase: Activo.
Assets inventory: Véase: Inventario de activos.
Audit: Véase: Auditoría.
Auditor: (Inglés: Auditor). Persona encargada de verificar, de manera independiente, la calidad e
integridad del trabajo que se ha realizado en un área particular.
Auditor de primera parte: (Inglés: First party auditor). Auditor interno que audita la organización en
nombre de ella misma. En general, se hace como mantenimiento del sistema de gestión y como
preparación a la auditoría de certificación.
Auditor de segunda parte: (Inglés: Second party auditor). Auditor de cliente, es decir, que audita una
organización en nombre de un cliente de la misma. Por ejemplo, una empresa que audita a su proveedor
de outsourcing.
Auditor de tercera parte: (Inglés: Third party auditor). Auditor independiente, es decir, que audita una
organización como tercera parte independiente. Normalmente, porque la organización tiene la intención de
lograr la certificación.
Auditor jefe: (Inglés: Lead auditor). Auditor responsable de asegurar la conducción y realización eficiente y
efectiva de la auditoría, dentro del alcance y del plan de auditoría aprobado por el cliente.
Auditoría: (Inglés: Audit). Proceso planificado y sistemático en el cual un auditor obtiene evidencias
objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una
organización.
Autenticación: (Inglés: Authentication). Proceso que tiene por objetivo asegurar la identificación de una
persona o sistema.
Authentication: Véase: Autenticación.
Availability: Véase: Disponibilidad.
B
BS7799: Estándar británico de seguridad de la información, publicado por primera vez en 1995. En 1998,
fue publicada la segunda parte. La parte primera es un conjunto de buenas prácticas para la gestión de la
seguridad de la información -no es certificable- y la parte segunda especifica el sistema de gestión de
Página 179 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
seguridad de la información -es certificable-. La parte primera es el origen de ISO 17799 e ISO 27002 y la
parte segunda de ISO 27001. Como tal estándar, ha sido derogado ya, por la aparición de estos últimos.
BSI: British Standards Institution. Comparable al AENOR español, es la Organización que ha publicado la
serie de normas BS 7799, además de otros varios miles de normas de muy diferentes ámbitos.
Business Continuity Plan: Véase: Plan de continuidad de la operación.
C
CERT (Computer Emergency Response Team): Equipo de Respuesta a Emergencias Computacionales
(Marca registrada por la Universidad Carnegie - Melon).
Certification body: Véase: Entidad de certificación.
CIA: Acrónimo inglés de confidencialidad, integridad y disponibilidad, los parámetros básicos de la
seguridad de la información.
CID: Acrónimo español de confidencialidad, integridad y disponibilidad, los parámetros básicos de la
seguridad de la información.
CCEB: Criterio Común para la Seguridad de Tecnología de Información.
Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los
objetivos de la auditoría, sirve de evidencia del plan de auditoría, asegura su continuidad y profundidad y
reduce los prejuicios del auditor y su carga de trabajo. Este tipo de listas también se pueden utilizar
durante la implantación del SGSI para facilitar su desarrollo.
Clear desk policy: Véase: Política de escritorio despejado.
CobiT: Control Objectives for Information and related Technology. Publicados y mantenidos por ISACA. Su
misión es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnología de
Información rectores, actualizados, internacional y generalmente aceptados para ser empleados por
gerentes de entidades y auditores.
Código malicioso (Malicious Code, Malware): Cubre virus, gusanos, y Troyanos electrónicos. Se pueden
distribuir a través de varios métodos incluyendo el email, Web site, shareware / freeware y de otros
medios tales como material promocional.
Compromiso de la Dirección: (Inglés: Management commitment). Alineamiento firme de la Dirección de la
organización con el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y
mejora del SGSI.
Página 180 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Confidencialidad: (Inglés: Confidenciality). Acceso a la información por parte únicamente de quienes estén
autorizados. Según [ISO/IEC 13335-1:2004]:" característica/propiedad por la que la información no está
disponible o revelada a individuos, entidades, o procesos no autorizados.
Confidenciality: Véase: Confidencialidad.
Contramedida: (Inglés: Countermeasure). Véase: Control.
Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para
mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. (Nota: Control
es también utilizado como sinónimo de salvaguarda o contramedida.
Control correctivo: (Inglés: Corrective control). Control que corrige un riesgo, error, omisión o acto
deliberado antes de que produzca pérdidas. Supone que la amenaza ya se ha materializado pero que se
corrige.
Control detectivo: (Inglés: Detective control). Control que detecta la aparición de un riesgo, error, omisión
o acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige.
Control disuasorio: (Inglés: Deterrent control). Control que reduce la posibilidad de materialización de una
amenaza, p.ej., por medio de avisos disuasorios.
Control preventivo: (Inglés: Preventive control). Control que evita que se produzca un riesgo, error,
omisión o acto deliberado. Impide que una amenaza llegue siquiera a materializarse.
Control selection: Véase: Selección de controles.
Corrective action: Véase: Acción correctiva.
Corrective control: Véase: Control correctivo.
COSO: Committee of Sponsoring Organizations of the Treadway Commission. Comité de Organizaciones
Patrocinadoras de la Comisión Treadway. Se centra en el control interno, especialmente el financiero. En
Colombia este estándar fue utilizado para realizar el estándar de control interno MECI.
Countermeasure: Contramedida. Véase: Control.
CSIRT (Computer Security Incident Response Team): Equipo de Respuesta a Incidentes de Seguridad
Computacional
D
Declaración de aplicabilidad: (Inglés: Statement of Applicability, SOA). Documento que enumera los
controles aplicados por el SGSI de la organización -tras el resultado de los procesos de evaluación y
Página 181 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
tratamiento de riesgos- además de la justificación tanto de su selección como de la exclusión de controles
incluidos en el anexo A de la norma.
Denial of service: Véase: Negación de Servicios.
Desastre: (Inglés: Disaster). Cualquier evento accidental, natural o malintencionado que interrumpe las
operaciones o servicios habituales de una organización durante el tiempo suficiente como para verse la
misma afectada de manera significativa.
Detective control: Véase: Control detectivo.
Deterrent control: Véase: Control disuasorio.
Directiva: (Inglés: Guideline). Según [ISO/IEC 13335-1:2004]: una descripción que clarifica qué debería ser
hecho y cómo, con el propósito de alcanzar los objetivos establecidos en las políticas.
Disaster: Véase: Desastre.
Disponibilidad: (Inglés: Availability). Acceso a la información y los sistemas de tratamiento de la misma por
parte de los usuarios autorizados cuando lo requieran. Según [ISO/IEC 13335-1:2004]: característica o
propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada.
E
Entidad de acreditación: (Inglés: Accreditation body). Un organismo oficial que acredita a las entidades
certificadoras como aptas para certificar según diversas normas. Suele haber una por país. Son ejemplos
de entidades de acreditación: ENAC (España), UKAS (Reino Unido), EMA (México), OAA (Argentina)...
Entidad de certificación: (Inglés: Certification body). Una empresa u organismo acreditado por una entidad
de acreditación para auditar y certificar según diversas normas (ISO 27000, ISO 9000, ISO 14000, etc.) a
entidades usuarias de sistemas de gestión.
ESF: Foro europeo de seguridad, en el que cooperan más de 70 multinacionales fundamentalmente
europeas con el objeto de llevar a cabo investigaciones relativas a los problema comunes de seguridad y
control en TI.
Evaluación de riesgos: (Inglés: Risk evaluation). Según [ISO/IEC Guía 73:2002]: proceso de comparar el
riesgo estimado contra un criterio de riesgo dado con el objeto de determinar la importancia del riesgo.
Evento: (Inglés: information security event). Según [ISO/IEC TR 18044:2004]: Suceso identificado en un
sistema, servicio o estado de la red que indica una posible brecha en la política de seguridad de la
información o fallo de las salvaguardias, o una situación anterior desconocida que podría ser relevante para
la seguridad.
Página 182 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Evidencia objetiva: (Inglés: Objective evidence). Información, registro o declaración de hechos, cualitativa
o cuantitativa, verificable y basada en observación, medida o test, sobre aspectos relacionados con la
confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e implementación
de un elemento del sistema de seguridad de la información.
F
Fase 1 de la auditoría: Fase en la que, fundamentalmente a través de la revisión de documentación, se
analiza en SGSI en el contexto de la política de seguridad de la organización, sus objetivos, el alcance, la
evaluación de riesgos, la declaración de aplicabilidad y los documentos principales, estableciendo un marco
para planificar la fase 2.
Fase 2 de la auditoría: Fase en la que se comprueba que la organización se ajusta a sus propias políticas,
objetivos y procedimientos, que el SGSI cumple con los requisitos de ISO 27001 y que está siendo efectivo.
FIRST (Forum of Incident Response and Security Teams): Foro global de Equipos de Respuesta a
Incidentes y Seguridad.
First party auditor: Véase: Auditor de primera parte.
G
Gestión de claves: (Inglés: Key management). Controles referidos a la gestión de claves criptográficas.
Gestión de riesgos: (Inglés: Risk management). Proceso de identificación, control y minimización o
eliminación, a un coste aceptable, de los riesgos que afecten a la información de la organización. Incluye la
valoración de riesgos y el tratamiento de riesgos. Según [ISO/IEC Guía 73:2002]: actividades coordinadas
para dirigir y controlar una organización con respecto al riesgo.
Guideline: Véase: Directiva.
H
Hacking: Es el término que cubre cualquier tentativa de tener acceso desautorizado a un sistema
informático.
Humphreys, Ted: Experto en seguridad de la información y gestión del riesgo, considerado "padre" de las
normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002.
I
I4: Instituto Internacional para la Integridad de la Información, asociación similar a la ESF, con metas
análogas y con sede principal en los EE.UU. Es manejado por el Instituto de Investigación de Standford.
Página 183 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
IBAG: Grupo asesor de empresas de Infosec, representantes de la industria que asesoran al Comité de
Infosec. Este comité está integrado por funcionarios de los gobiernos de la Comunidad Europea y brinda su
asesoramiento a la Comisión Europea en asuntos relativos a la seguridad de TI.
IEC: International Electrotechnical Commission. Organización internacional que publica estándares
relacionados con todo tipo de tecnologías eléctricas y electrónicas.
IIA: Instituto de Auditores Internos.
Impacto: (Inglés: Impact). El coste para la empresa de un incidente -de la escala que sea-, que puede o
no ser medido en términos estrictamente financieros -p.ej., pérdida de reputación, implicaciones legales,
etc.
Impact: Véase: Impacto.
•
Incidente: Según [ISO/IEC TR 18044:2004]: Evento único o serie de eventos de seguridad de la
información inesperados o no deseados que poseen una probabilidad significativa de comprometer las
operaciones y amenazar la seguridad de la información. Algunos ejemplos comunes son:
•
Spam: Envío de correo masivo no solicitado.
•
Tomar el control de la computadora del alguien diferente usando un virus informático, un error del
software, un Troyano, etc.
•
Negación del servicio de la computadora o de la red.
•
Infracción de copyright: música, películas, programas de computadora, etc.
•
Phishing: Generalmente enviando correos electrónicos que intentan inducir a brindar datos
importantes.
•
Pharming: Redirigir tráfico de la red de un servidor a otra red controlada para descubrir códigos de
acceso o información confidencial.
Information processing facilities: Véase: Servicios de tratamiento de información.
Information Systems Management System: Véase: SGSI.
Information security: Véase: Seguridad de la información.
INFOSEC: Comité asesor en asuntos relativos a la seguridad de TI de la Comisión Europea.
Página 184 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Integridad: (Inglés: Integrity). Mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso. Según [ISO/IEC 13335-1:2004]: propiedad/característica de salvaguardar la exactitud
y completitud de los activos.
Integrity: Véase: Integridad.
Inventario de activos: (Inglés: Assets inventory). Lista de todos aquellos recursos (físicos, de información,
software, documentos, servicios, personas, reputación de la organización, etc.) dentro del alcance del
SGSI, que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos.
IRCA: International Register of Certified Auditors. Acredita a los auditores de diversas normas, entre ellas
ISO 27001.
ISACA: Information Systems Audit and Control Association. Publica CobiT y emite diversas acreditaciones
en el ámbito de la seguridad de la información.
ISACF: Fundación de Auditoría y Control de Sistemas de Información.
ISC2: Information Systems Security Certification Consortium, Inc. Organización sin ánimo de lucro que
emite diversas acreditaciones en el ámbito de la seguridad de la información.
ISMS: Information Systems Management System. Véase: SGSI.
ISO: Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una agrupación de
organizaciones nacionales de normalización cuyo objetivo es establecer, promocionar y gestionar
estándares.
ISO 17799: Código de buenas prácticas en gestión de la seguridad de la información adoptado por ISO
transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio de nomenclatura el
1 de Julio de 2007.
ISO 19011: “Guidelines for quality and/or environmental management systems auditing”. Guía de utilidad
para el desarrollo de las funciones de auditor interno para un SGSI.
ISO 27001: Estándar para sistemas de gestión de la seguridad de la información adoptado por ISO
transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicación en 2005.
ISO 27002: Código de buenas prácticas en gestión de la seguridad de la información (transcripción de ISO
17799). No es certificable. Cambio de oficial de nomenclatura de ISO 17799:2005 a ISO 27002:2005 el 1
de Julio de 2007.
ISO 9000: Normas de gestión y garantía de calidad definidas por la ISO.
Página 185 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
ISO/IEC TR 13335-3: “Information technology. Guidelines for the management of IT Security.Techniques
for the management of IT Security.” Guía de utilidad en la aplicación de metodologías de evaluación del
riesgo.
ISO/IEC TR 18044: „Information technology. Security techniques. Information security incident
management“ Guía de utilidad para la gestión de incidentes de seguridad de la información.
ISSA: Information Systems Security Association.
ISSAP: Information Systems Security Architecture Professional. Una acreditación de ISC2.
ISSEP: Information Systems Security Engineering Professional. Una acreditación de ISC2.
ISSMP: Information Systems Security Management Professional. Una acreditación de ISC2.
ITIL: IT Infrastructure Library. Un marco de gestión de los servicios de tecnologías de la información.
ITSEC: Criterios de evaluación de la seguridad de la tecnología de información. Se trata de criterios
unificados adoptados por Francia, Alemania, Holanda y el Reino Unido. También cuentan con el respaldo
de la Comisión Europea (véase también TCSEC, el equivalente de EEUU).
J
JTC1: Joint Technical Committee. Comité técnico conjunto de ISO e IEC específico para las TI.
K
Key management: Véase: Gestión de claves.
L
Lead auditor: Véase: Auditor jefe.
M
Major nonconformity: Véase: No conformidad grave.
Malware: Véase: Código malicioso.
Management commitment: Véase: Compromiso de la Dirección.
N
Página 186 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
NBS: Oficina Nacional de Normas de los EE.UU.
Negación del Servicio (Denial of Service – DoS): Los ataques de negación del servicio se diseñan
generalmente para obstruir sistemas informáticos de red con una inundación de tráfico en la red. Esta
inundación del tráfico tiene a menudo el efecto de negar el acceso al sistema informático para los usuarios
legítimos. El tráfico indeseado se genera a menudo usando los sistemas informáticos inocentes conocidos
como zombis, que se ha infectado previamente con código malévolo.
NIST: (ex NBS) Instituto Nacional de Normas y Tecnología, con sede en Washington, D.C.
No conformidad: (Inglés: Nonconformity). Situación aislada que, basada en evidencias objetivas,
demuestra el incumplimiento de algún aspecto de un requerimiento de control que permita dudar de la
adecuación de las medidas para preservar la confidencialidad, integridad o disponibilidad de información
sensible, o representa un riesgo menor.
No conformidad grave: (Inglés: Major nonconformity). Ausencia o fallo de uno o varios requerimientos de
la ISO 27001 que, basada en evidencias objetivas, permita dudar seriamente de la adecuación de las
medidas para preservar la confidencialidad, integridad o disponibilidad de información sensible, o
representa un riesgo inaceptable.
Nonconformity: Véase: No conformidad.
O
Objective evidence: Véase: Evidencia objetiva.
Objetivo: (Inglés: Objetive). Declaración del resultado o fin que se desea lograr mediante la
implementación de procedimientos de control en una actividad de TI determinada.
OCDE: Organización de Cooperación y Desarrollo Económico. Tiene publicadas unas guías para la
seguridad de la información.
P
PDCA: Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las actividades de planificar
(establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y
actuar (mantener y mejorar el SGSI).
Plan de continuidad del negocio: (Inglés: Bussines Continuity Plan). Plan orientado a permitir la
continuación de las principales funciones en el caso de un evento imprevisto que las ponga en peligro.
Plan de tratamiento de riesgos: (Inglés: Risk treatment plan). Documento de gestión que define las
acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la información inaceptables
e implantar los controles necesarios para proteger la misma.
Página 187 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Política de seguridad: (Inglés: Security policy). Documento que establece el compromiso de la Dirección y
el enfoque de la organización en la gestión de la seguridad de la información. Según [ISO/IEC
27002:2005]: intención y dirección general expresada formalmente por la Dirección.
Política de escritorio despejado: (Inglés: Clear desk policy). La política de la empresa que indica a los
empleados que deben dejar su escritorio libre de cualquier tipo de informaciones susceptibles de mal uso al
finalizar el día.
Preventive action: Véase: Acción preventiva.
Preventive control: Véase: Control preventivo.
Q
Qualitative risk analysis: Véase: Análisis de riesgos cualitativo.
Quantitative risk analysis: Véase: Análisis de riesgos cuantitativo.
R
Residual Risk: Véase: Riesgo Residual.
Riesgo: (Inglés: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para
causar una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la
probabilidad de un evento y sus consecuencias.
Riesgo Residual: (Inglés: Residual Risk). Según [ISO/IEC Guía 73:2002] El riesgo que permanece tras el
tratamiento del riesgo.
Risk: Véase: Riesgo.
Risk acceptance: Véase: Aceptación del riesgo.
Risk analysis: Véase: Análisis de riesgos.
Risk assessment: Véase: Valoración de riesgos.
Risk evaluation: Véase: Evaluación de riesgos.
Risk management: Véase: Gestión de riesgos.
Risk treatment: Véase: Tratamiento de riesgos.
Página 188 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Risk treatment plan: Véase: Plan de tratamiento de riesgos.
S
Safeguard: Salvaguardia. Véase: Control.
Salvaguardia: (Inglés: Safeguard). Véase: Control.
Sarbanes-Oxley: Ley de Reforma de la Contabilidad de Compañías Públicas y Protección de los Inversores
aplicada en EEUU desde 2002. Crea un consejo de supervisión independiente para supervisar a los
auditores de compañías públicas y le permite a este consejo establecer normas de contabilidad así como
investigar y disciplinar a los contables. También obliga a los responsables de las entidades a garantizar la
seguridad de la información financiera.
Scope: Véase: Alcance.
Second party auditor: Véase: Auditor de segunda parte.
Security Policy: Véase: Política de seguridad.
Segregación de tareas: (Inglés: Segregation of duties). Reparto de tareas sensibles entre distintos
empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por
negligencia.
Segregation of duties: Véase: Segregación de tareas.
Seguridad de la información: Según [ISO/IEC 27002:2005]: Preservación de la confidencialidad, integridad
y disponibilidad de la información, además otras propiedades como autenticidad, responsabilidad, no
repudio y fiabilidad pueden ser también consideradas.
Selección de controles: Proceso de elección de los controles que aseguren la reducción de los riesgos a un
nivel aceptable.
SGSI: (Inglés: ISMS). Sistema de Gestión de la Seguridad de la Información. Según [ISO/IEC 27001:2005]:
la parte de un sistema global de gestión que, basado en el análisis de riesgos, establece, implementa,
opera, monitoriza, revisa, mantiene y mejora la seguridad de la información. (Nota: el sistema de gestión
incluye una estructura de organización, políticas, planificación de actividades, responsabilidades,
procedimientos, procesos y recursos.)
Servicios de tratamiento de información: (Inglés: Information processing facilities). Según [ISO/IEC
27002:2005]: cualquier sistema, servicio o infraestructura de tratamiento de información o ubicaciones
físicas utilizados para su alojamiento.
Página 189 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
Sistema de Gestión de la Seguridad de la Información: (Inglés: Information Systems Management System).
Ver SGSI.
SOA: Statement of Applicability. Véase: Declaración de aplicabilidad.
SSCP: Systems Security Certified Practitioner. Una acreditación de ISC2.
Statement of Applicability: Véase: Declaración de aplicabilidad.
T
TCSEC: Criterios de evaluación de la seguridad de los sistemas de computación, conocidos también con el
nombre de Orange Book (Libro naranja), definidos originalmente por el Ministerio de Defensa de los
EE.UU. Véase también ITSEC, el equivalente europeo.
TERENA (Trans-European Research and Education Networking Association): Una organización europea que
soporta la Internet y las actividades y servicios sobre la infraestructura con la comunidad académica.
TF-CSIRT: Foro internacional para la cooperación en CSIRT a nivel Europeo. Consiste en 2 grupos, uno
cerrado accessible solo para equipos acreditados y uno abierto acesible a cualquier persona interesada en
CSIRT. TF-CSIRT es una de las actividades de la organización internacional TERENA.
Third party auditor: Véase: Auditor de tercera parte.
Threat: Véase: Amenaza.
TickIT: Guía para la Construcción y Certificación del Sistema de Administración de Calidad del Software.
Tratamiento de riesgos: (Inglés: Risk treatment). Según [ISO/IEC Guía 73:2002]: Proceso de selección e
implementación de medidas para modificar el riesgo.
V
Valoración de riesgos: (Inglés: Risk assessment). Según [ISO/IEC Guía 73:2002]: Proceso completo de
análisis y evaluación de riesgos.
Vulnerabilidad: (Inglés: Vulnerability). Debilidad en la seguridad de la información de una organización que
potencialmente permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de
un activo o conjunto de activos que puede ser explotado por una amenaza.
Vulnerability: Véase: Vulnerabilidad.
W
Página 190 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
WG1, WG2, WG3, WG4, WG5: WorkGroup 1, 2, 3, 4, 5. Grupos de trabajo del subcomité SC27 de JTC1
(Joint Technical Committee) de ISO e IEC. Estos grupos de trabajo se encargan del desarrollo de los
estándares relacionados con técnicas de seguridad de la información.
Página 191 de 192
INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
12. ANEXO A – CARACTERIZACIÓN DE PROCESOS Y PROCEDIMIENTOS
Página 192 de 192
Documentos relacionados
Creando y Gestionando un Equipo de Respuesta a Incidentes de
Creando y Gestionando un Equipo de Respuesta a Incidentes de
CSIRTs
CSIRTs
Descargar
Anuncio
Anuncio