ENTREGABLE 2: DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA ÁREA DE INVESTIGACIÓN Y PLANEACIÓN © República de Colombia - Derechos Reservados Bogotá, D.C., Octubre de 2008 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA FORMATO PRELIMINAR AL DOCUMENTO Título: ENTREGABLE 2: DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Fecha elaboración aaaa-mm-dd: 3 – Octubre – 2008 Sumario: Este documento correponde al entregable número 2. Diagnóstico Situación Actual Palabras Claves: Diagnóstico, estándares internacionales, compromisos, mapa interrelación, aspectos legales, habeas data, protección individuo, calidad, MECI, CSIRT, Seguridad Informática, Incidentes, sensibilización. Formato: Dependencia: Código: Lenguaje: Castellano Investigación y Planeación Versión: 1 Estado: Categoría: Autor (es): Equipo consultoría Digiware Revisó: Juan Carlos Alarcon Aprobó: Ing. Hugo Sin Firmas: Información Adicional: Ubicación: Página 2 de 197 Documento para revisión por parte del Supervisor del contrato DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA CONTROL DE CAMBIOS VERSIÓN 0 1 FECHA 30/09/ 2008 03/10/2008 No. SOLICITUD RESPONSABLE Equipo del Proyecto Equipo del Proyecto DESCRIPCIÓN Entregable 2: Diagnóstico de la Situación Actual Revisión interna conjunta equipo consultoría Digiware Página 3 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA TABLA DE CONTENIDO 1. AUDIENCIA ................................................................................................................................................. 20 2. INTRODUCCIÓN .......................................................................................................................................... 21 3. RESUMEN EJECUTIVO.................................................................................................................................. 22 4. DIAGNÓSTICO SITUACIÓN ACTUAL.............................................................................................................. 23 4.1. DIAGNÓSTICO 1: SEGURIDAD DE LA INFORMACIÓN – ESTÁNDARES Y MEJORES PRÁCTICAS ..................................... 23 4.1.1. INTRODUCCIÓN ......................................................................................................................................................23 4.1.2. RELACIÓN DOCUMENTADA DE ESTÁNDARES Y MEJORES PRÁCTICAS NACIONALES E INTERNACIONALES EN SEGURIDAD DE LA INFORMACIÓN.....................................................................................................................................................................23 4.1.3. MAPA DE INTERRELACIÓN DE ESTÁNDARES Y MEJORES PRÁCTICAS NACIONALES E INTERNACIONALES EN SEGURIDAD DE LA INFORMACIÓN.....................................................................................................................................................................38 4.1.3.1. Objetivo...........................................................................................................................................................38 4.1.3.2. Estándares de Seguridad de la Información por categoría.............................................................................38 4.1.3.3. Criterios de selección de Estándares de Seguridad de la Información. ..........................................................40 4.1.3.4. Mapa de Interrelación de Estándares de Seguridad de la Información .........................................................44 4.1.3.5. Conclusiones ...................................................................................................................................................44 4.2. DIAGNÓSTICO 2: COMPROMISOS Y AVANCES DE COLOMBIA EN MATERIA DE SEGURIDAD DE LA INFORMACIÓN – NORMATIVA Y PROTECCIÓN DE INFORMACIÓN DEL INDIVIDUO............................................................................... 47 4.2.1. INTRODUCCIÓN ......................................................................................................................................................47 4.2.1.1. Relación documentada compromisos internacionales de Colombia en materia de seguridad informática..47 4.2.1.1.1. Comercio Electrónico ...................................................................................................................................47 4.2.1.1.2. Legislación Interna en Materia de Comercio Electrónico ............................................................................49 4.2.1.1.3. Compromisos Internacionales de Colombia en Materia de Gobierno en Línea..........................................53 4.2.1.1.4. Legislación interna en Materia de Gobierno en Línea.................................................................................54 4.2.1.1.5. Compromisos Internacionales en Materia de Seguridad Informática.........................................................59 4.2.1.2. Relación documentada de avances de Colombia en materia de protección de información del individuo y Habeas Data ....................................................................................................................................................................61 4.2.1.2.1. Legislación interna en Materia de Protección de Información del Individuo y Habeas Data......................61 4.2.1.2.2. Jurisprudencia Colombiana en Materia de Protección de Información del Individuo y Habeas Data ........74 4.2.1.3. Relación documentada de avances de Colombia en materia normativa en seguridad informática..............80 4.2.1.4. Relación documentada de iniciativas y experiencias nacionales e internacionales en protección de información del individuo y habeas data........................................................................................................................82 4.3. DIAGNÓSTICO 3: INICIATIVAS Y EXPERIENCIAS NACIONALES E INTERNACIONALES EN CSIRTS ............................................ 86 4.3.1. INTRODUCCIÓN ......................................................................................................................................................86 Página 4 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.2. QUÉ ES UN CSIRT ................................................................................................................................................87 4.3.3. ANTECEDENTES ..................................................................................................................................................88 4.3.4. BENEFICIOS DE CONTAR CON UN CSIRT .............................................................................................................89 4.3.5. ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL MUNDO....................................................................89 4.3.5.1. FIRST - Forum for Incident Response and Security Teams..............................................................................93 4.3.5.1.1. Antecedentes ...............................................................................................................................................93 4.3.5.1.2. Servicios Ofrecidos.......................................................................................................................................94 4.3.5.1.3. Estructura.....................................................................................................................................................94 4.3.5.1.4. Área de Influencia ........................................................................................................................................95 4.3.5.2. ENISA - European Network and Information Security Agency .....................................................................101 4.3.5.2.1. Antecedentes .............................................................................................................................................101 4.3.5.2.2. Servicios Ofrecidos.....................................................................................................................................102 4.3.5.2.3. Estructura...................................................................................................................................................103 4.3.5.2.4. Área de Influencia ......................................................................................................................................103 4.3.5.3. APCERT - Asia Pacific Computer Emergency Response Team.......................................................................104 4.3.5.3.1. Antecedentes .............................................................................................................................................104 4.3.5.3.2. Servicios Ofrecidos.....................................................................................................................................104 4.3.5.3.3. Estructura...................................................................................................................................................104 4.3.5.3.4. Área de Influencia ......................................................................................................................................105 4.3.5.4. CERT - Coordination Center de la Universidad Carnegie Mellon..................................................................106 4.3.5.4.1. Antecedentes .............................................................................................................................................106 4.3.5.4.2. Servicios Ofrecidos.....................................................................................................................................106 4.3.5.4.3. Estructura...................................................................................................................................................107 4.3.5.4.4. Área de Influencia ......................................................................................................................................108 4.3.5.5. TERENA - Trans-European Research and Education Networking Association..............................................108 4.3.5.5.1. Antecedentes .............................................................................................................................................108 4.3.5.5.2. Servicios Ofrecidos.....................................................................................................................................108 4.3.5.5.3. Estructura...................................................................................................................................................109 4.3.5.5.4. Área de Influencia ......................................................................................................................................109 4.3.5.6. Alemania - CERT-Bund (Computer Emergency Response Team für Bundesbehörden) ...............................110 4.3.5.6.1. Antecedentes .............................................................................................................................................110 4.3.5.6.2. Servicios Ofrecidos.....................................................................................................................................110 4.3.5.6.3. Área de Influencia ......................................................................................................................................111 4.3.5.7. Arabia Saudita - CERT-SA (Computer Emergency Response Team - Saudi Arabia) ......................................111 4.3.5.7.1. Antecedentes .............................................................................................................................................111 4.3.5.7.2. Servicios Ofrecidos.....................................................................................................................................112 4.3.5.7.3. Área de Influencia ......................................................................................................................................113 4.3.5.8. Argentina - ArCERT (Coordinación de Emergencias en Redes Teleinformáticas).........................................113 4.3.5.8.1. Antecedentes .............................................................................................................................................113 4.3.5.8.2. Servicios Ofrecidos.....................................................................................................................................114 4.3.5.8.3. Estructura...................................................................................................................................................115 4.3.5.8.4. Área de Influencia ......................................................................................................................................115 4.3.5.9. Australia - AusCERT (Australia Computer Emergency Response Team).......................................................115 4.3.5.9.1. Antecedentes .............................................................................................................................................115 4.3.5.9.2. Servicios Ofrecidos.....................................................................................................................................116 4.3.5.9.3. Área de Influencia ......................................................................................................................................116 4.3.5.10. Austria - CERT.at (Computer Emergency Response Team Austria) ............................................................117 4.3.5.10.1. Antecedentes ...........................................................................................................................................117 Página 5 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.10.2. Servicios Ofrecidos...................................................................................................................................117 4.3.5.10.3. Área de Influencia ....................................................................................................................................117 4.3.5.11. Brasil - CERT.br (Computer Emergency Response Team Brazil) .................................................................118 4.3.5.11.1. Antecedentes ...........................................................................................................................................118 4.3.5.11.2. Servicios Ofrecidos...................................................................................................................................118 4.3.5.11.3. Área de Influencia ....................................................................................................................................118 4.3.5.12. Canadá - PSEPC (Public Safety Emergency Preparedness Canada).............................................................119 4.3.5.12.1. Antecedentes ...........................................................................................................................................119 4.3.5.12.2. Servicios Ofrecidos...................................................................................................................................119 4.3.5.12.3. Área de Influencia ....................................................................................................................................120 4.3.5.13. Chile – CSIRT-GOV.......................................................................................................................................120 4.3.5.13.1. Antecedentes ...........................................................................................................................................120 4.3.5.13.2. Servicios Ofrecidos...................................................................................................................................120 4.3.5.13.3. Estructura.................................................................................................................................................121 4.3.5.13.4. Área de Influencia ....................................................................................................................................121 4.3.5.14. Chile - CLCERT (Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional) ........................121 4.3.5.14.1. Antecedentes ...........................................................................................................................................121 4.3.5.14.2. Servicios Ofrecidos...................................................................................................................................121 4.3.5.14.3. Estructura.................................................................................................................................................122 4.3.5.14.4. Área de Influencia ....................................................................................................................................122 4.3.5.15. China - CNCERT/CC (National Computer Network Emergency Response Technical Team) .......................122 4.3.5.15.1. Antecedentes ...........................................................................................................................................122 4.3.5.15.2. Servicios Ofrecidos...................................................................................................................................123 4.3.5.15.3. Estructura.................................................................................................................................................124 4.3.5.15.4. Área de Influencia ....................................................................................................................................125 4.3.5.16. Corea del Sur - KrCERT/CC (CERT Coordination Center Korea)...................................................................126 4.3.5.16.1. Antecedentes ...........................................................................................................................................126 4.3.5.16.2. Servicios Ofrecidos...................................................................................................................................126 4.3.5.16.3. Estructura.................................................................................................................................................126 4.3.5.16.4. Área de Influencia ....................................................................................................................................128 4.3.5.17. Dinamarca – DK.CERT (Danish Computer Emergency Response Team).....................................................128 4.3.5.17.1. Antecedentes ...........................................................................................................................................128 4.3.5.17.2. Servicios Ofrecidos...................................................................................................................................128 4.3.5.17.3. Estructura.................................................................................................................................................129 4.3.5.17.4. Área de Influencia ....................................................................................................................................129 4.3.5.18. Emiratos Árabes Unidos – aeCERT (The United Arab Emirates Computer Emergency Response Team)...129 4.3.5.18.1. Antecedentes ...........................................................................................................................................129 4.3.5.18.2. Servicios Ofrecidos...................................................................................................................................129 4.3.5.18.3. Estructura.................................................................................................................................................130 4.3.5.18.4. Área de Influencia ....................................................................................................................................130 4.3.5.19. España - ESCERT (Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas).....130 4.3.5.19.1. Antecedentes ...........................................................................................................................................130 4.3.5.19.2. Servicios Ofrecidos...................................................................................................................................131 4.3.5.19.3. Estructura.................................................................................................................................................131 4.3.5.19.4. Área de Influencia ....................................................................................................................................131 4.3.5.20. España – IRIS-CERT (Servicio de seguridad de RedIRIS)..............................................................................132 4.3.5.20.1. Antecedentes ...........................................................................................................................................132 4.3.5.20.2. Servicios Ofrecidos...................................................................................................................................133 Página 6 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.20.3. Estructura.................................................................................................................................................133 4.3.5.20.4. Área de Influencia ....................................................................................................................................133 4.3.5.21. España - CCN-CERT (Cryptology National Center - Computer Security Incident Response Team).............134 4.3.5.21.1. Antecedentes ...........................................................................................................................................134 4.3.5.21.2. Servicios Ofrecidos...................................................................................................................................134 4.3.5.21.3. Estructura.................................................................................................................................................135 4.3.5.21.4. Área de Influencia ....................................................................................................................................135 4.3.5.22. España - INTECO-CERT (Centro de Respuestas a Incidentes en TI para PYMES y Ciudadanos)..................135 4.3.5.22.1. Antecedentes ...........................................................................................................................................135 4.3.5.22.2. Servicios Ofrecidos...................................................................................................................................136 4.3.5.22.3. Área de Influencia ....................................................................................................................................137 4.3.5.23. Estados Unidos - US-CERT (United States - Computer Emergency Readiness Team).................................137 4.3.5.23.1. Antecedentes ...........................................................................................................................................137 4.3.5.23.2. Servicios Ofrecidos...................................................................................................................................137 4.3.5.23.3. Estructura.................................................................................................................................................138 4.3.5.23.4. Área de Influencia ....................................................................................................................................138 4.3.5.24. Estonia – CERT-EE (Computer Emergency Response Team of Estonia)......................................................138 4.3.5.24.1. Antecedentes ...........................................................................................................................................138 4.3.5.24.2. Servicios Ofrecidos...................................................................................................................................138 4.3.5.24.3. Área de Influencia ....................................................................................................................................139 4.3.5.25. Filipinas - PH-CERT (Philippines Computer Emergency Response Team) ...................................................139 4.3.5.25.1. Antecedentes ...........................................................................................................................................139 4.3.5.25.2. Servicios Ofrecidos...................................................................................................................................139 4.3.5.25.3. Área de Influencia ....................................................................................................................................140 4.3.5.26. Francia-CERTA (Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques)...............................................................................................................................................................140 4.3.5.26.1. Antecedentes ...........................................................................................................................................140 4.3.5.26.2. Servicios Ofrecidos...................................................................................................................................141 4.3.5.26.3. Estructura.................................................................................................................................................141 4.3.5.26.4. Área de Influencia ....................................................................................................................................141 4.3.5.27. Hong Kong - HKCERT (Hong Kong Computer Emergency Response Coordination Centre)........................142 4.3.5.27.1. Antecedentes ...........................................................................................................................................142 4.3.5.27.2. Servicios Ofrecidos...................................................................................................................................142 4.3.5.27.3. Área de Influencia ....................................................................................................................................143 4.3.5.28. Hungría - CERT (CERT-Hungary) ..................................................................................................................143 4.3.5.28.1. Antecedentes ...........................................................................................................................................143 4.3.5.28.2. Servicios Ofrecidos...................................................................................................................................143 4.3.5.28.3. Área de Influencia ....................................................................................................................................145 4.3.5.29. India - CERT-In (Indian Computer Emergency Response Team) .................................................................145 4.3.5.29.1. Antecedentes ...........................................................................................................................................145 4.3.5.29.2. Servicios Ofrecidos...................................................................................................................................145 4.3.5.29.3. Estructura.................................................................................................................................................147 4.3.5.29.4. Área de Influencia ....................................................................................................................................147 4.3.5.30. Japan - JPCERT/CC (JP CERT Coordination Center) .....................................................................................147 4.3.5.30.1. Antecedentes ...........................................................................................................................................147 4.3.5.30.2. Servicios Ofrecidos...................................................................................................................................148 4.3.5.30.3. Área de Influencia ....................................................................................................................................149 4.3.5.31. México – UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo) ............................149 Página 7 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.31.1. Antecedentes ...........................................................................................................................................149 4.3.5.31.2. Servicios Ofrecidos...................................................................................................................................150 4.3.5.31.3. Estructura.................................................................................................................................................150 4.3.5.31.4. Área de Influencia ....................................................................................................................................150 4.3.5.32. Nueva Zelandia – CCIP (Centre for Critical Infrastructure Protection) .......................................................151 4.3.5.32.1. Antecedentes ...........................................................................................................................................151 4.3.5.32.2. Servicios Ofrecidos...................................................................................................................................151 4.3.5.32.3. Estructura.................................................................................................................................................151 4.3.5.32.4. Área de Influencia ....................................................................................................................................151 4.3.5.33. Holanda – GOVCERT.NL ..............................................................................................................................152 4.3.5.33.1. Antecedentes ...........................................................................................................................................152 4.3.5.33.2. Servicios Ofrecidos...................................................................................................................................152 4.3.5.33.3. Área de Influencia ....................................................................................................................................152 4.3.5.34. Polonia - CERT Polska (Computer Emergency Response Team Polska)......................................................153 4.3.5.34.1. Antecedentes ...........................................................................................................................................153 4.3.5.34.2. Servicios Ofrecidos...................................................................................................................................153 4.3.5.34.3. Estructura.................................................................................................................................................153 4.3.5.34.4. Área de Influencia ....................................................................................................................................153 4.3.5.35. Qatar - Q-CERT (Qatar CERT).......................................................................................................................154 4.3.5.35.1. Antecedentes ...........................................................................................................................................154 4.3.5.35.2. Servicios Ofrecidos...................................................................................................................................154 4.3.5.35.3. Estructura.................................................................................................................................................155 4.3.5.35.4. Área de Influencia ....................................................................................................................................155 4.3.5.36. Reino Unido - GovCertUK (CESG´s Incident Response Team).....................................................................155 4.3.5.36.1. Antecedentes ...........................................................................................................................................155 4.3.5.36.2. Servicios Ofrecidos...................................................................................................................................156 4.3.5.36.3. Área de Influencia ....................................................................................................................................156 4.3.5.37. Singapur – SingCERT (Singapore CERT) .......................................................................................................157 4.3.5.37.1. Antecedentes ...........................................................................................................................................157 4.3.5.37.2. Servicios Ofrecidos...................................................................................................................................157 4.3.5.37.3. Estructura.................................................................................................................................................157 4.3.5.37.4. Área de Influencia ....................................................................................................................................157 4.3.5.38. Sri Lanka – SLCERT (Sri Lanka Computer Emergency Response Team) ......................................................158 4.3.5.38.1. Antecedentes ...........................................................................................................................................158 4.3.5.38.2. Servicios Ofrecidos...................................................................................................................................158 4.3.5.38.3. Área de Influencia ....................................................................................................................................159 4.3.5.39. Túnez - CERT-TCC (Computer Emergency Response Team - Tunisian Coordination Center).....................160 4.3.5.39.1. Antecedentes ...........................................................................................................................................160 4.3.5.39.2. Servicios Ofrecidos...................................................................................................................................161 4.3.5.39.3. Estructura.................................................................................................................................................163 4.3.5.39.4. Área de Influencia ....................................................................................................................................164 4.3.5.40. Venezuela CERT.ve (VenCERT – Equipo de Respuesta para Emergencias Informáticas)............................164 4.3.5.40.1. Antecedentes ...........................................................................................................................................164 4.3.5.40.2. Servicios Ofrecidos...................................................................................................................................165 4.3.5.40.3. Estructura.................................................................................................................................................165 4.3.5.40.4. Área de Influencia ....................................................................................................................................165 4.3.6. EXPERIENCIAS O ANTECEDENTES EN COLOMBIA .............................................................................................166 Página 8 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.6.1. CIRTISI – Colombia (Centro de Información y Respuesta Técnica a Incidentes de Seguridad Informática de Colombia) ......................................................................................................................................................................166 4.3.6.1.1. Antecedentes .............................................................................................................................................166 4.3.6.1.2. Servicios Ofrecidos.....................................................................................................................................167 4.3.6.1.3. Estructura...................................................................................................................................................168 4.3.6.1.4. Área de Influencia ......................................................................................................................................170 4.3.6.2. CSIRT Colombia (COL CSIRT) .........................................................................................................................171 4.3.6.2.1. Antecedentes .............................................................................................................................................171 4.3.6.2.2. Servicios Ofrecidos.....................................................................................................................................172 4.3.6.2.3. Estructura...................................................................................................................................................172 4.3.6.2.4. Área de Influencia ......................................................................................................................................172 4.3.6.3. Comité Interamericano Contra el Terrorismo de la OEA (CICTE)..................................................................172 4.3.6.3.1. Antecedentes .............................................................................................................................................172 4.4. DIAGNÓSTICO 4: INICIATIVAS Y PROGRAMAS NACIONALES DE SENSIBILIZACIÓN A LA COMUNIDAD PARA EL USO ADECUADO DE LOS SERVICIOS ELECTRÓNICOS .......................................................................................................................................174 4.4.1. INTRODUCCIÓN ....................................................................................................................................................174 4.4.2. RELACIÓN DOCUMENTADA .....................................................................................................................................174 4.4.3. CONCLUSIONES ....................................................................................................................................................175 5. TERMINOLOGÍA .........................................................................................................................................176 6. APÉNDICES ................................................................................................................................................191 7. BIBLIOGRAFÍA............................................................................................................................................197 Página 9 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA LISTA DE FIGURAS ILUSTRACIÓN 1: PAÍSES CON CSIRTS MIEMBROS DE FIRST ILUSTRACIÓN 2: ESTRUCTURA DE ENISA ILUSTRACIÓN 3: CERT APOYADOS POR EL CENTRO DE COORDINACIÓN DE LA UNIVERSIDAD CARNEGIE MELLON ILUSTRACIÓN 4: ESTRUCTURA CNCERT/CC ILUSTRACIÓN 5: SISTEMA DE LA RED PÚBLICA NACIONAL DE RESPUESTA A EMERGENCIAS DE SEGURIDAD CHINA ILUSTRACIÓN 6: ESTRUCTURA CIRTISI COLOMBIA Página 10 de 197 96 103 108 124 125 168 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA DERECHOS DE AUTOR • Portal www.iso27000.es http://www.iso27000.es/avisolegal.html Permisos obtenidos del autor. Respuesta obtenida al correo electrónico enviado 02/10/2008, permitiendo el uso, reproducción y traducción de los contenidos. • CERT-CC, Tomado de http://www.cert.org: External use and translations: You must request our permission to use our documents or prepare derivative works for external use, or to make translations. Requests should be addressed to the SEI Licensing Agent through email to [email protected] or surface mail to SEI Licensing Agent, Software Engineering Institute,Carnegie Mellon University, Pittsburgh PA 15213. Se solicita autorización. • SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx: No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • FIRST. Tomado de: http://www.first.org/ Copyright © 1995 - 2006 by FIRST.org, Inc. No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • ENISA. Tomado de: http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf. Reproduction of material published on this web site is authorized, provided the source is acknowledged, unless it is stated otherwise. Where prior permission must be obtained for the reproduction or use of material published on this web site the above mentioned permission shall be cancelled and restrictions shall be imposed through a legal notice as appropriate published on that specific material. No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • APCERT. http://www.apcert.org/. Página 11 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Copyright(C) 2008 APCERT. All rights reserved No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Terena. http://www.terena.org/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Alemania - CERT-Bund. http://www.bsi.bund.de/certbund/ © Federal Office for Information Security (BSI). All rights reserved No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Arabia Saudita - CERT-SA. http://www.cert.gov.sa/ Copyright © 2006 - 2007 | Disclaimer. All Rights Reserved No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Argentina – ArCERT No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Australia – AusCERT. http://www.auscert.org.au/ The material on this web site is covered by copyright. Apart from any use permitted under the Copyright Act 1968, no part may be reproduced or distributed by any process or means, without the prior written permission of AusCERT. AusCERT acknowledges all instances where copyright is held by, or shared with, another organisation. In such cases, each copyright owner should be contacted regarding reproduction or use of that material. Se solicita autorización. Respuesta: Date: Wed, 1 Oct 2008 03:43:58 +0000 CC: [email protected] Subject: RE: RE: (AUSCERT#200869d4a) Re: Permission to use and to make translations about AusCert To: [email protected] From: [email protected] -----BEGIN PGP SIGNED MESSAGE----Página 12 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Hash: RIPEMD160 Hi Fernando, We are happy for you to translate the sections of our website that you have highlighted. Additionally we have in the last week assisted New Zealand via a workshop to aid them in the creation of a National CERT, and we also provide training for the purpose of creating National CERT teams. Please do not hesitate to contact us further regarding the possibility of training and further collaboration. Regards, - -- Jonathan Levine – Computer Security Analyst | Hotline: +61 7 3365 4417 AusCERT, Australia's National CERT | Fax: +61 7 3365 7031 The University of Queensland | WWW: www.auscert.org.au QLD 4072 Australia | Email: [email protected] • Austria - CERT.at. www.cert.at No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Brasil - CERT.br. http://www.cert.br No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Canadá – PSEPC. http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Chile – CSIRT-GOV. http://www.csirt.gov.cl/ La información presentada en este portal tiene finalidad informativa, especialmente dirigida a los responsables de seguridad, administradores de redes y sistemas, personal informático y en general cualquier individuo que cumpla labores al interior de la Administración del Estado. El mal uso de la información entregada puede ser sancionado en conformidad al estatuto administrativo. Como el acceso a este portal es público, en los casos en que se detecte uso malicioso de la información, o intentos de quebrantar la seguridad del sistema, CSIRT Chile se reserva el derecho de ejercer todas las acciones legales correspondientes contra quien resulte responsable de dichos actos, amparado en la Ley General de Telecomunicaciones y la Ley de Delito Informático. Página 13 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Queda estrictamente prohibido utilizar la información presentada en este portal sin el conocimiento y consentimiento formal por parte de CSIRT Chile, en especial para efectos contrarios a los buscados por este equipo. Se solicita autorización. • Chile – CLCERT. http://www.clcert.cl No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • China - CNCERT/CC. http://www.cert.org.cn/english_web/. No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Corea del Sur - KrCERT/CC. http://www.krcert.or.kr/ COPYRIGHT KRCERT.OR.KR. ALL RIGHTS RESERVED. All materials released by Internet Incident Response Support Center are protected under the copyright law and copyrights of all released materials are owned by the center. Accordingly, it is prohibited to copy or distribute them partially and entirely. If you seek for economic profits or benefits equivalent of it, a prior consultation with the center or prior approval from the center is required. In case those materials are quoted partially or entirely after prior consent or approval, it shall clearly state that the source of quoted contents belongs to the center. The hyperlink from other web sites to the main web page of the center is allowed but not to the other web pages (sub domain). Also, before setting a hyperlink to the main web page of the Center, it should be notified to the center in advance. In case data posted at a web site of the Center is used for the purpose of positing at the other Internet sites in a due manner, the arbitrary change of data except simple error correction is prohibited. The violation of this act is subject to criminal punishment. For the purpose of news report, criticism, education and study activities, data posted in the web page can be quoted as long as they satisfy fair practices within a legal boundary. However, in this case, the quotation of materials is limited to less than 10% of the whole contents. The violation of this act is regarded as infringement on copyright. As long as the data provided by the center is used for individual purpose (not commercial purpose) or within a boundary of household and equivalent boundary, it can be copied for use. However, even if a specific company, non-profit organization, intends to copy them for the purpose of internal use only, it is not allowed to copy materials. The illegal copy and distribution of materials provided by the center falls under infringement on copyright property law and the violator is sentenced to imprisonment not exceeding 5 years and a fine not exceeding 50 Mio.won. Página 14 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA For more detailed information, you can contact the Internet Incident Response Support Center (Tel : 118 / [email protected];[email protected]). Se solicita autorización. • Dinamarca – DK.CERT. https://www.cert.dk/ Información sobre estas páginas pueden ser protegidas por los derechos de autor No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Emiratos Árabes Unidos – aeCERT. http://www.aecert.ae/ © 2007-2008 aeCERT . All rights reserved No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • España – ESCERT. http://escert.upc.edu/index.php/web/es/index.html Los textos, diseños, imágenes, bases de datos, logotipos, estructuras, marcas y otros elementos de esCERT-UPC, incluido todo lo referente a ALTAIR, están protegidos por la normativa de aplicación respecto a la propiedad intelectual e industrial. esCERT-UPC autoriza a los usuarios a reproducir, copiar, distribuir, transmitir, adaptar o modificar exclusivamente los contenidos de la web de esCERT-UPC, siempre que se especifique la fuente y/o los autores. • España – IRIS-CERT. http://www.rediris.es/cert/ RedIRIS © 1994-2008 No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • España - CCN-CERT. https://www.ccn-cert.cni.es/ © 2008 Centro Criptológico Nacional - C/Argentona s/n 28023 MADRID No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • España - INTECO-CERT. http://www.inteco.es/rssRead/Seguridad/INTECOCERT Todos los elementos que forman el sitio Web, así como su estructura, diseño y código fuente de la misma, son titularidad de INTECO y están protegidos por la normativa de propiedad intelectual e industrial. Se prohíbe la reproducción total o parcial de los contenidos de este sitio Web, así como su modificación y/o distribución sin citar su origen o solicitar previamente autorización. Página 15 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA INTECO no asumirá ninguna responsabilidad derivada del uso por terceros del contenido del sitio Web y podrá ejercitar todas las acciones civiles o penales que le correspondan en caso de infracción de estos derechos por parte del usuario. • Estados Unidos - US-CERT. http://www.us-cert.gov You are permitted to reproduce and distribute documents on this web site in whole or in part, without changing the text you use, provided that you include the copyright statement or "produced by" statement and use the document for noncommercial or internal purposes. For commercial use or translations, send your email request to [email protected]. Se solicita autorización. • Estonia – CERT-EE. http://www.ria.ee/?id=28201 No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Filipinas - PH-CERT. http://www.phcert.org/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Francia-CERTA. http://www.certa.ssi.gouv.fr/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Hong Kong – HKCERT. http://www.hkcert.org/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Hungría – CERT. http://www.cert-hungary.hu/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • India - CERT-In. http://www.cert-in.org.in/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Japan - JPCERT/CC. http://www.jpcert.or.jp/ Copyright © 1996-2008 JPCERT/CC All Rights Reserved No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • México – UNAM-CERT. http://www.cert.org.mx/index.html Página 16 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Copyright® Todos los derechos reservados, cert.org.mx. DSC/UNAM-CERT DGSCA No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Nueva Zelandia – CCIP. http://www.ccip.govt.nz/ Except where specifically noted, all material on this site is © Crown copyright. Material featured on this site is subject to Crown copyright protection unless otherwise indicated. The Crown copyright protected material may be reproduced free of charge in any format or media without requiring specific permission, provided that the material is reproduced accurately and is not further disseminated in any way, and on condition that the source of the material and its copyright status are acknowledged. The permission to reproduce Crown copyright protected material does not extend to any material on this site that is identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained from the copyright holders concerned. No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Holanda - GOVCERT.NL. http://www.govcert.nl/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Polonia - CERT Polska. http://www.cert.pl/ Copyright © 2004 NASK No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Qatar - Q-CERT. http://www.qcert.orgv No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Reino Unido – GovCertUK. www.govcertuk.gov.uk Crown Copyright 2008 No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Reino Unido – GovCertUK. www.govcertuk.gov.uk The material featured on this site is subject to Crown Copyright protection unless otherwise indicated. The Crown Copyright protected material (other than CPNI logo and website design) may be reproduced free of charge in any format or medium provided it is reproduced accurately and not used in a misleading context. Where any of the Página 17 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Crown Copyright items on this site are being republished or copied to others, the source of the material must be identified and the copyright status acknowledged. The permission to reproduce Crown protected material does not extend to any material on this site which is identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained from the copyright holders concerned. For further information on Crown copyright policy and licensing arrangements, please refer to the guidance on OPSI's website at www.opsi.gov.uk/advice/crown-copyright/copyright-guidance/index.htm. No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Singapur – SingCERT. http://www.singcert.org.sg/ 1. SingCERT Security Alerts (such as advisories and bulletins): Permission is granted to reproduce and distribute SingCERT security alerts in their entirety, provided the SingCERT PGP signature or the PGP signature of the original creator of the alerts is included and provided the alert is used for noncommercial purposes with the intent of increasing the awareness of the Internet community. 2. All materials produced by SingCERT except as noted in Section 1, "SingCERT security alerts": Requests for permission to reproduce documents or Web pages or to prepare derivative works or external and commercial use should be addressed to SingCERT through email to [email protected] e-mail address is being protected from spam bots, you need JavaScript enabled to view it. Se solicita autorización. • Sri Lanka – SLCERT. http://www.cert.lk/ Copyright Reserved. Sri Lanka CERT. Website Material: All material on this website is covered by copyright. No part may be re-produced or distributed by any process or means. Requests for permission to reproduce documents or Web pages or to prepare derivative works for external and commercial use should be addressed to Sri Lanka CERT through email to [email protected]. Security Alerts: Permission is granted to reproduce and distribute Sri Lanka CERT security alerts such as advisories and bulletins in its entirety, provided the signature of the original creator of the alerts is included and provided the alert is used for non-commercial purposes. Se solicita autorización. • Túnez - CERT-TCC. http://www.ansi.tn/en/about_cert-tcc.htm Copyright © 2006 ANSI No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • Venezuela CERT.ve. http://www.cert.gov.ve/ Página 18 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • CIRTISI COLOMBIA. http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de %202007%202.pdf No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. • CSIRT Colombia. http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Solicitud de Autorización de uso y traducción presentada a los diferentes organismos que así lo requieren: Título: Permission to use and to make translations about CSIRT Solicitud: In order to design a CSIRT for the program “Gobierno en Línea” (e-government) of Colombia, we want to identify a documented relation of national and international initiatives and experiences in CSIRTs. Then we request authorization to translate and to reproduce available information in your web page relating to precedents, offered services, structure of the CSIRT and area of coverage. The results will be compiled and presented in a technical paper "Design of a CSIRT for the Program Gobierno en Linea of Colombia " in the chapter " Documented Relation of National and International Experiences and Initiatives in CSIRTs ". Cordial greeting, Fernando Gaona Organizations Team Leader Project "Model of the Computer Security Management for e-Government" Telephone (+57 3164720780) Program "Agenda de Conectividad": http://www.agenda.gov.co/ Digiware: http://www.digiware.com.co/Digiware/index1.html Página 19 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 1. AUDIENCIA Este documento está dirigido a todo el equipo que interviene en el proyecto “Modelo de Seguridad Informática para la Estrategia de Gobierno en Línea” de parte tanto del contratista como del contratante, y tiene como propósito, lograr la ambientación y comprensión de los objetivos y expectativas del proyecto en mención con la estrategia de Gobierno en Línea, para que una vez teniendo claro el marco de referencia, se pueda involucrar a la comunidad nacional e internacional relacionada con el tema de la seguridad de la información, a las entidades públicas y privadas, así como a la comunicad académica en general. Página 20 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 2. INTRODUCCIÓN El interés y la preocupación por la seguridad de la información se han incrementado durante los últimos años, puesto que nuevas amenazas surgen cada día con el uso de los servicios y tecnologías informáticas, las telecomunicaciones, el acceso a Internet y el comercio electrónico. Es así, como las diferentes entidades del país son cada vez más dependientes del uso de redes públicas, volviendo crítica la prestación de servicios, la estabilidad y productividad de las infraestructuras nacionales que componen esta nueva eeconomía emergente que es necesario de igual forma, urgente proteger. Bajo la óptica y alcance de los principios definidos en la Estrategia de Gobierno en Línea, existen dos que corresponden a: "Protección de la información del individuo" y "Credibilidad y confianza en el Gobierno en Línea". Para lograr el cumplimiento de estos objetivos, se requiere que tanto los Servicios de Gobierno en Línea como la Intranet Gubernamental cumplan con los tres elementos fundamentales de la Seguridad de la Información, a saber: disponibilidad de la información y los servicios; integridad de la información y los datos; y, confidencialidad de la información. Para la correcta administración de la Seguridad Informática, se deben establecer y mantener programas y mecanismos que busquen cumplir con los tres requerimientos mencionados, no únicamente bajo la perspectiva tecnológica de las mejores prácticas y estándares internacionales en seguridad de la información, sino también es necesario, abordar la problemática de la seguridad desde la perspectiva organizacional y jurídica, con el fin de consolidar una buena práctica en el Estado Colombiano, en lo referente a la prestación segura de los Servicios de Gobierno en Línea. Todo lo anterior debe estar acompañado de los instrumentos normativos que eliminen las barreras de implementación, así como de los elementos de divulgación y capacitación que apoyen la implementación del proyecto de seguridad para que le den confianza al usuario final y a los prestadores de servicios de Gobierno en Línea. Página 21 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 3. RESUMEN EJECUTIVO En materia de seguridad de la información existe un amplio panorama de normas técnicas, estándares y mejores prácticas que han sido emitidas por entidades gubernamentales, grupos de interés, institutos de normalización, organizaciones independientes y comunidad académica, de las cuales se elaboró una relación documentada, que sin ser exhaustiva, refleja el estado del arte en lo referente a los Sistemas de Gestión de Seguridad de la Información - SGSI. En Colombia, las normas internacionales en seguridad de la información, han sido adoptadas por el Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, por otra parte, el Gobierno Colombiano ha generado normativas de control interno como el MECI 1000 y de calidad como la NTCGP 1000 apoyado por estándares internacionales (COSO, ISO9001 respectivamente). Las organizaciones de distintos sectores, ven en la implementación de sistemas de gestión, ventajas competitivas que apoyan sus procesos misionales. En el componente jurídico, además de haber compilado la normatividad existente en seguridad informática, habeas data y protección de información del individuo, se ha logrado un compendio de normas que vinculan al Estado Colombiano o actualmente están vigentes en materia de Gobierno en Línea, comercio electrónico y manejo legal de la información, describiendo una a una cada norma haciendo énfasis en su vigencia y aplicación, incluyendo las normas de derecho comparado más relevantes. A nivel de Centros de Respuesta a Incidentes de Seguridad Computacional – CSIRT (por las siglas en inglés de Computer Security Incident Response Teams), se incluye una relación documental de algunas experiencias nacionales e internacionales relacionadas, considerando sus antecedentes, servicios ofrecidos, su estructura y área de influencia, con el fin de identificar mejores prácticas para la constitución de un CSIRT para el Estado Colombiano. En cuanto a las iniciativas y programas nacionales de sensibilización a la comunidad para el uso adecuado de los servicios electrónicos, se incluye una relación documental de algunas pocas iniciativas en este sentido y que denotan lo importante que es para Gobierno en Línea prever esta actividad como una de las más importantes a desarrollar para que el modelo de seguridad informática propuesto sea una realidad. Página 22 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4. DIAGNÓSTICO SITUACIÓN ACTUAL 4.1. DIAGNÓSTICO 1: SEGURIDAD DE LA INFORMACIÓN – ESTÁNDARES Y MEJORES PRÁCTICAS 4.1.1. Introducción El interés y la preocupación por la seguridad de la información se han incrementado durante los últimos años, puesto que nuevas amenazas surgen cada día con el uso de las tecnologías informáticas, las telecomunicaciones, el acceso a Internet y el comercio electrónico. Es así como organizaciones de diferentes sectores, grupos de interés, organismos gubernamentales, instituciones de normalización y profesionales de diferentes disciplinas, han apoyado e impulsado la continua creación y actualización de estándares y mejores prácticas para la seguridad de la información. La relación documentada de estándares y mejores prácticas del numeral 4.1.2 presenta, sin ser una relación exhaustiva, el estado del arte en estándares, guías y mejores prácticas para la seguridad de la información orientada hacia los requerimientos tanto generales como a nivel técnico que todo modelo y sistema de gestión en seguridad de la información –SGSI debe tener para ser aceptado a todo nivel, tanto nacional como internacional y que Colombia debe acoger para cumplir con sus compromisos internacionales en materia de seguridad en la información. 4.1.2. Relación documentada de estándares y mejores prácticas nacionales e internacionales en seguridad de la Información La siguiente tabla hace mención a los principales estándares y mejores prácticas nacionales e internacionales organizadas por tipo de organismo: (último acceso = ú.a; toda la tabla 30/09/2008) Nombre Documento NTC ISO-IEC 5411-1 Tecnología de la información. Técnicas de Seguridad. Gestión de la Seguridad de la Tecnología de la Información y las comunicaciones. Parte 1: Conceptos y modelos para la gestión de la tecnología de la Resumen Enlace documento La parte 1 presenta una visión general http://www.icontec.org/Catalogo.asp de los conceptos y modelos fundamentales usados para describir la gestión de la seguridad de las TICs. Es una adopción idéntica por traducción respecto a la norma Página 23 de 197 Vigencia y Aplicación Fuente 2006-03-22 ICONTEC DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente información y las comunicaciones. ISO/IEC 13335-1:2004. NTC-ISO/IEC 27001 Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. Especifica los requerimientos para http://www.icontec.org/Catalogo.asp establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestión de seguridad de la información documentado dentro del contexto de los riesgos de negocio de las organizaciones. Es una adopción idéntica por traducción respecto a la norma ISO/IEC 27001. 2006-03-22 ICONTEC NTC- ISO/IEC 17799 Tecnología de la Información. Técnicas de Seguridad. Código de Práctica para la gestión de seguridad de la información. Establece guías y principios generales http://www.icontec.org/Catalogo.asp para iniciar, implementar, mantener y mejorar un sistema de gestión de seguridad de la información en una organización. Es una adopción idéntica por traducción respecto a la norma ISO/IEC 17799:2005. 2006-09-22 ICONTEC GTC 176 Sistema de Gestión de Presenta un modelo para establecer, http://www.icontec.org/Catalogo.asp Continuidad del Negocio implementar, operar, hacer seguimiento, revisar, mantener y mejorar un sistema de gestión de la continuidad del negocio (SGCN). 2008-05-28 ICONTEC NTC 5244 Gestión del Riesgo 2006-08-30 ICONTEC Manual Directrices de Gestión del Este manual ayuda a entender la http://www.icontec.org/Catalogo.asp Riesgo/Complementa la NTC forma como se debe interpretar la 5254:2006 NTC 5254 gestión del riesgo. 2008 ICONTEC The Standard for Good Practice for Enfoca la seguridad de la información https://www.isfsecuritystandard.com/ Information Security desde una perspectiva del negocio y SOGP07/index.htm proporciona a una base práctica para evaluar los acuerdos en seguridad de 2007 ISF, Information Security Forum Presenta unos requisitos generales http://www.icontec.org/Catalogo.asp para el establecimiento e implementación del proceso de gestión del riesgo, que involucra la determinación del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y monitoreo regular de los riesgos. Página 24 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente 2007 ISM3 Consortium Septiembre de 1996 NIST Abril de 1998 NIST Febrero de 2006 NIST NIST SP 800 – 30 Risk Management Presenta definiciones y una guía http://csrc.nist.gov/publications/nistp Guide for Information Technology práctica para evaluar y mitigar riesgos ubs/800-30/sp800-30.pdf Systems identificados en los sistemas de TI. Julio de 2002 NIST NIST SP 800 – 34 Contingency Proporciona instrucciones, http://csrc.nist.gov/publications/nistp Planning Guide For Information recomendaciones y consideraciones ubs/800-34/sp800-34.pdf Technology Systems para la planeación de contingencias en el gobierno de TI. Junio de 2002 NIST la información de una organización. ISM3, Information Security Extiende los principios de gestión de http://www.ism3.com/ Management Maturity Model v2.00 calidad de la ISO9001 a sistemas de gestión de seguridad de la información (ISM). Se enfoca no tanto en controles sino en los procesos comunes de seguridad de información. NIST SP 800-14 Generally Accepted Proporciona una base para revisar los http://csrc.nist.gov/publications/nistp Principles and Practices for Securing programas de seguridad de TI. ubs/800-14/800-14.pdf Information Technology Systems Permite ganar un entendimiento de los requerimientos básicos de seguridad para los sistemas de TI. Describe 8 principios y 14 prácticas de seguridad. NIST SP 800-16 Technology Security Information Provee un marco de referencia http://csrc.nist.gov/publications/nistp integrado para identificar necesidades ubs/800-16/800-16.pdf de entrenamiento para la fuerza de trabajo y asegurar que se recibe Training Requirements: A Role- and entrenamiento apropiado. Performance-Based Model NIST SP 800 – 18 Guide Developing Security Plans Federal Information Systems for Presenta un conjunto de actividades y http://csrc.nist.gov/publications/nistp for conceptos para desarrollar un plan de ubs/800-18-Rev1/sp800-18-Rev1final.pdf seguridad de la información. Página 25 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente Diciembre de 2007 NIST 2004-02-04 NIST Esta guía se compone de una serie de http://www.asisonline.org/guidelines/ procesos y actividades inter- inprogress_published.htm relacionadas para apoyar la creación, prueba y mantenimiento de un plan a nivel de la toda la organización que pueda usarse en el evento de una crisis que amenace la viabilidad y continuidad de la organización. 2005 Asis International General Security Risk Assessment Consiste en una guía de 7 pasos para http://www.asisonline.org/guidelines/ Guideline evaluar los riesgos de seguridad. inprogress_published.htm 2003 Asis International Chief Security Officer Guideline Herramienta que permite definir una http://www.asisonline.org/guidelines/ arquitectura de seguridad inprogress_published.htm caracterizada por conciencia apropiada, prevención, alistamiento y respuesta a cambios en situaciones de amenaza. 2008 Asis International Protection Proporciona unos principios guías para http://www.asisonline.org/guidelines/ desarrollar una política de protección inprogress_published.htm de activos de información en una organización. 2007 Asis International 2007 ITGI e ISACA NIST SP 800 – 53 Recommended Proporciona guía para seleccionar y http://csrc.nist.gov/publications/nistp Security Controls for Federal especificar controles de seguridad ubs/800-53-Rev2/sp800-53-rev2Information Systems para sistemas de información que final.pdf apoyan las agencias ejecutivas del Gobierno Federal. Toma como base el FIPS 200. System Protection Profile Industrial Control Systems - Incluye requerimientos funcionales de http://www.isd.mel.nist.gov/projects/ seguridad y requerimientos de processcontrol/SPP-ICSv1.0.pdf aseguramiento para sistemas de control industrial (ICS). Está basado en la ISO15408. Business Continuity Guideline. A Practical Approach For Emergency Preparedness, Crisis Management, And Disaster Recovery Information Guideline Asset Cobit 4.1 Control Objectives For Marco de Referencia para el Gobierno http://www.itgi.org/ Information And Related y control de TI. Se presenta como un Technology. modelo de procesos que se subdivide en 4 dominios, 34 procesos y 215 objetivos de control. Para cada uno de los procesos de TI se presenta un Página 26 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente Proporciona a la Junta Directiva y a www.isaca.org ejecutivos Senior un enfoque racional y reconocido para proteger los activos vitales de información que apoyan los procesos del negocio. 2006 ISACA Information Security Governance – Discute cómo desarrollar una www.isaca.org Guidance for Information Security estrategia de seguridad de la managers información dentro del marco de referencia de gobierno de una organización y cómo direccionar la estrategia mediante un programa de seguridad de la información. Provee una guía para determinar los objetivos de la seguridad de la información y cómo medir el progreso hacia el logro de los mismos. 2008 ISACA Cobit Security Baseline An Esta guía de supervivencia se centra www.isaca.org Information Security Survival Kit en los riesgos específicos de seguridad de la información en una forma sencilla de seguir e implementar tanto para el usuario en casa como para el usuario de pequeñas, medianas o grandes empresas, e igualmente para ejecutivos y miembros de juntas directivas de grandes organizaciones. 2007 ISACA ITIL Conjunto de mejores prácticas para la http://www.best-managementadministración y garantía de alta practice.com/ calidad en la prestación de los servicios de TI, independiente de los proveedores de hardware y software. 2007 OGG(British Office of Government Commerce) Risk Provee una guía general para el http://www.saiglobal.com/shop/Script establecimiento y la implantación de /details.asp?docn=AS0733759041AT procesos de administración del riesgo e involucra establecer el contexto, identificación, análisis, evaluación, tratamiento, comunicación y monitoreo de los riesgos. 2004 Standards Australia modelo de madurez cuyo propósito es identificar el desempeño actual, compararse con la industria, determinar dónde quiere estar y qué necesita para mejorar. Information Security Governance – Guidance for Boards of Directors and Executive Management Second Edition. ASNZ 4360: Management 2004: Página 27 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente Magerit versión 2 Metodología de Ofrece un método sistemático para http://www.csi.map.es/csi/pg5m20.h Análisis y gestión de Riesgos de los analizar los riesgos de los sistemas de tm sistemas de Información información. 2006-06-20 Consejo Superior de Administración Electrónica Directrices De La OCDE Para La Define 9 principios complementarios http://www.csi.map.es/csi/pdf/ocde_ Seguridad De Sistemas Y Redes De entre sí y son de interés general tanto directrices_esp.pdf Información. Hacia Una Cultura De en el ámbito político como técnico. Seguridad 2004 OCDE(Organiz ación de Cooperación y desarrollo Económico) Criterios de Seguridad, Proporciona un conjunto de medidas http://www.csi.map.es/csi/criterios/p Normalización y Conservación organizativas y técnicas de seguridad, df/criterios.pdf normalización y conservación para garantizar el cumplimiento de los requisitos legales para la validez y eficacia de los procedimientos administrativos de la Administración General del Estado, que utilicen los medios 2004-06-24 Ministerio de Administracion es Públicas NFPA 75 Standard for the Protection Establece los requerimientos mínimos http://www.nfpa.org/aboutthecodes/ of Information Technology para la protección de los equipos de AboutTheCodes.asp?DocNum=75&coo Equipment, 2009 Edition tecnología de información y las áreas kie%5Ftest=1 de equipos de TI contra daños causados por el fuego o sus efectos asociados (humo, corrosión, calor y agua). Septiembre 5 de 2008 NFPA(National Fire Protection Association) NFPA 76 Standard Protection A partir de Octubre 10 de 2008 NFPA(National Fire Protection Association) 2005 TIA (Telecommuni cations Industry Association) electrónicos, informáticos y telemáticos en el ejercicio de sus potestades. for the Fire Provee los requerimientos para la http://www.nfpa.org/aboutthecodes/ protección contra el fuego de las AboutTheCodes.asp?DocNum=76 instalaciones de telecomunicaciones que prestan servicios al público. of Telecommunications Facilities, 2009 Edition ANSI/CSA/EIA/TIA-942 Telecommunications Infrastructure Standard Define un estándar de infraestructura www.tiaonline.org de telecomunicaciones para centros de datos. for Data Página 28 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente Centers Network Security Model Provee una forma de enseñar e http://www.sans.org/reading_room/w implementar medidas básicas de hitepapers/modeling/32843.php seguridad de red y dispositivos así como identificar las causas de ataques exitosos. 2008-08-03 SANS Programming wireless security Introduce algunas de las técnicas de http://www.sans.org/reading_room/w programación necesarias para hitepapers/wireless/32813.php construir herramientas inalámbricas seguras. 2008-06-18 SANS Developing a security awareness Examina las facetas importantes de http://www.sans.org/reading_room/w culture – Improving Security individuos y grupos que toman hitepapers/awareness/1526.php Decision Making decisiones y provee una guía descriptiva para mejorar la calidad de los procesos de toma de decisiones guiando hacia la toma de mejores decisiones de seguridad. 2004-07-23 SANS Unique User Identification(GIAC) Discute la implementación de http://www.sans.org/score/hipaa/hip identificación de usuario único que es aa1.pdf parte de la regulación de seguridad HIPAA. 2004 SANS Página de listas de chequeo Permite descargar listas de chequeo http://www.sans.org/score/macosxch para evaluar la seguridad de algunos ecklist.php sistemas operativos, bases de datos, dispositivos inalámbricos, firewall, etc. Varía según el documento SANS ISO/IEC 17799:2005 Information technology -- Security techniques -Code of practice for information security management Establece guías y principios generales http://www.iso.org/iso/iso_catalogue. para iniciar, implementar, mantener htm un sistema de gestión de seguridad en una organización. 2005-06-10 ISO ISO/IEC 27002:2005 Information Establece guías y principios generales http://www.iso.org/iso/iso_catalogue. technology -- Security techniques -- para iniciar, implementar, mantener htm Code of practice for information un sistema de gestión de seguridad en una organización. Su contenido es 2005-06-15 ISO Página 29 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente security management idéntico a la ISO/IEC 17799:2005. ISO/IEC 27001:2005 Information technology -- Security techniques -Information security management systems -- Requirements especifica los requisitos para http://www.iso.org/iso/iso_catalogue. implantar, operar, vigilar, mantener, htm evaluar un sistema de seguridad informática explícitamente 2005-10-14 ISO ISO/IEC 27005:2008 Information technology - Security techniques Information security risk management Proporciona una guía para la gestión http://www.iso.org/iso/iso_catalogue. de riesgos de seguridad de la htm información. Soporta los conceptos generales definidos en la ISO/IEC 27001 y apoya en la implementación de la seguridad de la información basada en un enfoque de gestión de riesgos. 2008-06-04 ISO ISO/IEC 12207:2008 Systems and Establece un marco común para los http://www.iso.org/iso/iso_catalogue. 2008-03- 18 software engineering - Software life procesos del ciclo de desarrollo del htm cycle processes software. Contiene procesos, actividades y tareas a ser aplicadas en la adquisición de un producto o servicio de software y durante el ciclo de vida de los productos de software. ISO ISO/IEC19790:2006 Information Especifica cuatro niveles de seguridad http://www.iso.org/iso/iso_catalogue. technology -- Security techniques -- para módulos criptográficos. htm Security requirements for cryptographic modules Entre los objetivos funcionales de seguridad están: 2006-03-09 ISO 2008-06-26 ISO • • • • • • • • • • Especificación de módulo Puertos e interfaces Roles, servicios y autenticación Modelo de estado finito Seguridad Física Ambiente Operacional Administración de llaves criptográficas Auto tests Aseguramiento del diseño Mitigación de otros ataques ISO/IEC 19790:2006 es derivado del NIST Federal Information Processing Standard PUB 140-2 May 25, 2001. ISO/IEC 24759:2008 Information Especifica los métodos a ser utilizados http://www.iso.org/iso/iso_catalogue. technology -- Security techniques -- en las pruebas de laboratorio para Test requirements for cryptographic probar si un módulo criptográfico es Página 30 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente modules conforme con los requerimientos htm especificados en la ISO/IEC 19790:2006. ISO/IEC 18043:2006 Information technology -- Security techniques -Selection, deployment and operations of intrusion detection systems Describe “el cómo” para los http://www.iso.org/iso/iso_catalogue. administradores y usuarios que htm desean: entender los beneficios y limitaciones de los IDS; desarrollar una estrategia y un plan de implementación para IDS; administrar efectivamente los IDS; integrar la intrusión y detección en las prácticas de seguridad de la organización; entender los riesgos y problemas legales generados con el deployment de los IDS. 2006-06-19 ISO ISO/IEC TR 18044:2004 Information technology -- Security techniques -- Information security incident management Es una guía de administración de http://www.iso.org/iso/iso_catalogue. incidentes de seguridad de la htm información para administradores de seguridad de la información y para administradores de sistemas de información. 2004-10-12 ISO ISO/TR 13569:2005 Financial Es una guía para el desarrollo de un http://www.iso.org/iso/iso_catalogue. services -- Information security programa de seguridad de htm guidelines información para instituciones financieras. Incluye discusión de políticas, organización y estructura, componentes legales y normativos. 2005-11-22 ISO ISO/IEC 18033-2:2006 Information Especifica los sistemas de encriptación http://www.iso.org/iso/iso_catalogue. technology -- Security techniques -- (cifrado) para propósitos de htm Encryption algorithms -- Part 2: confidencialidad de datos. 2006-05-08 ISO Suministra información sobre los beneficios que se obtienen y los aspectos claves asociados a un buen enfoque de gestión de incidentes de seguridad de información. Presenta ejemplos de incidentes de seguridad de información y posibles causas. Presenta una descripción del proceso de administración de incidentes de seguridad de información. Página 31 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente Asymmetric ciphers ISO/IEC 27002:2005 Information technology -- Security techniques -Code of practice for information security management Establece guías y principios generales http://www.iso.org/iso/iso_catalogue. para iniciar, implementar, mantener y htm mejorar un sistema de gestión de seguridad de la información en una organización. 2005-06-15 ISO ISO/IEC 18028-1:2006 Information technology -- Security techniques -IT network security -- Part 1: Network security management Presenta una guía detallada de http://www.iso.org/iso/iso_catalogue. aspectos de seguridad en la htm administración, operación y uso de redes de TI y sus interconexiones. Amplia las guías de administración de seguridad de los estándares ISO/IEC 13335 e ISO/IEC 17799 detallando las operaciones específicas y mecanismos necesarios para implementar controles de seguridad de red en ambientes de red de rango amplio. 2006-07-04 ISO ISO/IEC 27006:2007 Information technology -- Security techniques -Requirements for bodies providing audit and certification of information security management systems Especifica los requerimientos y http://www.iso.org/iso/iso_catalogue. proporciona guía para las entidades htm de auditoria y certificación de los SGSI. 2007-02-13 ISO ISO/IEC 27799:2008 Health Presenta una guía de mejores http://www.iso.org/iso/iso_catalogue. informatics -- Information security prácticas para la seguridad de la htm management in health using información en el área de la salud. ISO/IEC 27002 Aplica para la información de salud en todos sus aspectos; en todas las formas posibles de presentación de la información (palabras, números, registros de sonidos, dibujos, video, imágenes, etc.) 2008-06-12 ISO ISO/IEC 18045:2008 Information technology -- Security techniques -Methodology for IT security evaluation 2008-08-19 ISO Es un complemento al ISO/IEC 15408 http://www.iso.org/iso/iso_catalogue. Information technology - Security htm techniques - Evaluation criteria for IT security. Define las acciones mínimas que desarrolla un evaluador al conducir una evaluación de la ISO/IEC 15408, utilizando los criterios y evidencia de la evaluación planteado en dicho estándar. Página 32 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Vigencia y Aplicación Fuente Diseñado para confirmar mediante un http://www.iso.org/iso/iso_catalogue. sistema de numeración y htm procedimiento de registro, las identidades tanto del proveedor de la aplicación de salud como del dueño de la tarjeta de salud para el intercambio de información. 2006-12-01 ISO ISO 20301:2006 Health informatics Regula la información visual escrita en http://www.iso.org/iso/iso_catalogue. -Health cards -General las tarjetas de salud. Se enfoca en htm characteristics tarjetas tipo ID-1 definidas en la ISO/IEC 7810 generadas por los servicios de salud que se prestan en un área que abarca las fronteras nacionales entre dos o más países o áreas. 2006-10-31 ISO ISO 22857:2004 Health informatics -- Guidelines on data protection to facilitate trans-border flows of personal health information Proporciona una guía en los http://www.iso.org/iso/iso_catalogue. requerimientos de protección de los htm datos para facilitar la transferencia de los datos de salud entre fronteras nacionales. 2004-03-17 ISO ISO/IEC 15444-8:2007 Information Especifica el marco de referencia, los http://www.iso.org/iso/iso_catalogue. technology -- JPEG 2000 image conceptos y metodología para htm coding system: Secure JPEG 2000 asegurar cadenas de datos JPEG 2000. 2007-04-04 ISO ISO/TR 22221:2006 Health informatics - Good principles and practices for a clinical data warehouse Define principios y prácticas para la http://www.iso.org/iso/iso_catalogue. creación, uso, mantenimiento y htm protección de una DWH clínica e incluye aspectos éticos; requerimientos de protección de datos y recomendaciones de políticas para el gobierno de la seguridad de la información. 2006-10-25 ISO ISO/IEC 19785-2:2006 Information technology -- Common Biometric Exchange Formats Framework -Part 2: Procedures for the operation of the Biometric Registration Authority Especifica los requerimientos para la http://www.iso.org/iso/iso_catalogue. operación de la Autoridad de Registro htm Biométrico dentro del marco de referencia de los formatos de intercambio biométrico (CBEFF). 2006-05-04 ISO ISO 20302:2006 Health informatics -- Health cards -- Numbering system and registration procedure for issuer identifiers Resumen Enlace documento Página 33 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente ISO 19092:2008 Financial services Describe el marco de referencia para http://www.iso.org/iso/iso_catalogue. -- Biometrics -- Security framework el uso de la biometría en la htm autenticación de los clientes en el sector de los servicios financieros. 2008-01-07 ISO ISO 17090-1:2008 Health informatics -Public key infrastructure -- Part 1: Overview of digital certificate services Define los conceptos básicos sobre el http://www.iso.org/iso/iso_catalogue. uso de certificados digitales en el área htm de la salud y proporciona un esquema de requerimientos de interoperabilidad para establecer comunicaciones seguras de la información de salud mediante certificados digitales. 2008-02-14 ISO ISO/IEC 11770-1:1996 Information technology -- Security techniques -Key management -- Part 1: Framework Define un modelo general de http://www.iso.org/iso/iso_catalogue. administración de claves htm independiente del algoritmo criptográfico que se use. Identifica el objetivo, los conceptos básicos y los servicios de la administración de claves. 1996-12-26 ISO ISO/IEC 13888-1:2004 IT security Presenta un modelo general para http://www.iso.org/iso/iso_catalogue. techniques -- Non-repudiation -- especificar mecanismos de no repudio htm Part 1: General utilizando técnicas criptográficas. 2004-06-10 ISO ISO/IEC 9075-1:2008 Information Define en conjunto con las ISO/IEC http://www.iso.org/iso/iso_catalogue. technology -- Database languages - 9075-2:2008 e ISO/IEC 9075- htm - SQL -- Part 1: Framework 11:2008 los requerimientos mínimos (SQL/Framework) del lenguaje SQL. Especifica el marco de referencia conceptual usado en otras partes de ISO/IEC 9075. 2008-07-17 ISO ISO/IEC 9075-2:2008 Information Define las estructuras de datos y http://www.iso.org/iso/iso_catalogue. technology -- Database languages - operaciones básicas en SQL. Provee htm - SQL -- Part 2: Foundation capacidades funcionales para crear, (SQL/Foundation) acceder, mantener, controlar y proteger datos en SQL. 2008-07-17 ISO ISO/IEC 9075-3:2008 Information Define las estructuras y funciones que http://www.iso.org/iso/iso_catalogue. technology -- Database languages - deben usarse para ejecutar las htm - SQL -- Part 3: Call-Level Interface declaraciones del lenguaje SQL dentro de una aplicación escrita en un lenguaje estándar de programación de 2008-07-17 ISO Página 34 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente (SQL/CLI) manera que las funciones utilizadas sean independientes de las declaraciones SQL a ser ejecutadas. ISO/IEC 9075-4:2008 Information technology -- Database languages - SQL -- Part 4: Persistent Stored Modules (SQL/PSM) Especifica la sintaxis y semántica de http://www.iso.org/iso/iso_catalogue. las declaraciones para agregar mayor htm capacidad procedimental al lenguaje SQL en las funciones y procedimientos. 2008-07-17 ISO ISO/IEC 9075-9:2008 Information technology -- Database languages - SQL -- Part 9: Management of External Data (SQL/MED) Define extensiones a SQL para http://www.iso.org/iso/iso_catalogue. soportar la administración de datos htm externos mediante el uso de tipos de datos wrapper y datalink. 2008-07-17 ISO ISO/IEC 9075-10:2008 Information technology -- Database languages - SQL -- Part 10: Object Language Bindings (SQL/OLB) Define las extensiones al lenguaje http://www.iso.org/iso/iso_catalogue. SQL para soportar declaraciones de htm SQL embebidas en programas escritos en Java. 2008-07-17 ISO ISO/IEC 9075-11:2008 Information Especifica un esquema de información http://www.iso.org/iso/iso_catalogue. technology -- Database languages - y un esquema de definición. htm - SQL -- Part 11: Information and Definition Schemas (SQL/Schemata) 2008-07-17 ISO ISO/IEC9075-13:2008 Information technology -- Database languages - SQL -- Part 13: SQL Routines and Types Using the Java TM Programming Language (SQL/JRT) 2008-07-17 ISO Define la capacidad de invocar http://www.iso.org/iso/iso_catalogue. métodos estáticos escritos en htm lenguaje JAVA como rutinas invocadas de SQL y utiliza clases definidas en JAVA como tipos estructurados definidos por el usuario en SQL. ISO/IEC9075-14:2008 Information Define la forma en que el lenguaje http://www.iso.org/iso/iso_catalogue. technology -- Database languages - SQL puede usarse en conjunto con htm - SQL -- Part 14: XML-Related XML. Specifications (SQL/XML) ISO/IEC 18014-1:2008Information Describe un marco de referencia y http://www.iso.org/iso/iso_catalogue. technology -- Security techniques -- define la noción básica, las htm Time-stamping services -- Part 1: estructuras de datos, y protocolos que deben ser usados por las técnicas de time stamping o estampación Página 35 de 197 ISO 2008-08-26 ISO DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Vigencia y Aplicación Fuente ISO/IEC 11770-3:2008 Information Define mecanismos de administración http://www.iso.org/iso/iso_catalogue. technology -- Security techniques -- de claves basados en técnicas htm Key management -- Part 3: criptográficas asimétricas. Mechanisms using asymmetric techniques 2008-07-02 ISO ISO/IEC 15408-1:2005 Information technology -- Security techniques -Evaluation criteria for IT security -Part 1: Introduction and general model Define dos formas para expresar la http://www.iso.org/iso/iso_catalogue. seguridad funcional de TI y los htm requerimientos de aseguramiento (Protection Profile y Security Target). 2005-09-22 ISO ISO/IEC 15408-2:2008 Information technology -- Security techniques -Evaluation criteria for IT security -Part 2: Security functional components Define el contenido y presentación de http://www.iso.org/iso/iso_catalogue. los requerimientos funcionales de htm seguridad que van a ser evaluados en una evaluación de seguridad utilizando ISO/IEC 15408. Contiene un catálogo de componentes funcionales de seguridad predefinidos que cubrirán las necesidades más comunes de seguridad del mercado. 2008-08-19 ISO ISO/IEC 15408-3:2008 Information technology -- Security techniques -Evaluation criteria for IT security -Part 3: Security assurance components Define el contenido y presentación de http://www.iso.org/iso/iso_catalogue. los requerimientos de aseguramiento htm en la forma de clases, familias y componentes y provee guía en la organización de nuevos requerimientos de aseguramiento. 2008-08-19 ISO ISO/IEC TR 19791:2006 Information technology -- Security techniques -- Security assessment of operational systems Provee guía y criterio para evaluar la http://www.iso.org/iso/iso_catalogue. seguridad de los sistemas htm operacionales. Proporciona un complemento al alcance de la evaluación ISO/IEC 15408 considerando varios aspectos críticos no contemplado en dicho estándar. 2006-05-15 ISO ISO/IEC 21827:2002 Information Describe las características de los http://www.iso.org/iso/iso_catalogue. technology -- Systems Security procesos de ingeniería de seguridad htm Engineering -- Capability Maturity de una organización. Model (SSE-CMM®) 2002-10-17 ISO Framework Resumen Enlace documento electrónica. Página 36 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente ISO/IEC 13335-1:2004 Information technology -- Security techniques -Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management Presenta los conceptos y un modelo http://www.iso.org/iso/iso_catalogue. fundamental para un entendimiento htm de la seguridad de las TIC y se enfoca en los aspectos administrativos que son esenciales para la planeación, la implementación y operación exitosa de la seguridad de las TIC. 2004-11-19 ISO ISO/IEC TR 15443-2:2005 Information technology -- Security techniques -- A framework for IT security assurance -- Part 2: Assurance methods Describe una variedad de métodos http://www.iso.org/iso/iso_catalogue. para garantizar la seguridad de TI y htm los relaciona con el marco de referencia ISO/IEC TR 15443-1. Esta orientado a los profesionales de seguridad de TI para un entendimiento en como obtener aseguramiento en el ciclo de vida de un producto o servicio. 2005-09-19 ISO ISO/IEC 11770-4:2006 Information technology -- Security techniques -Key management -- Part 4: Mechanisms based on weak secrets Define mecanismos para establecer http://www.iso.org/iso/iso_catalogue. claves basados en secretos débiles, htm que pueden ser fácilmente memorizados por un humano. 2006-05-04 ISO ISO/IEC TR 15443-1:2005 Information technology -- Security techniques -- A framework for IT security assurance -- Part 1: Overview and framework Es una guía para el profesional de http://www.iso.org/iso/iso_catalogue. seguridad en la selección del método htm de aseguramiento más apropiado cuando especifica, selecciona o implementa un servicio o producto o factor de ambiente tal como una organización o el personal. 2005-02-08 ISO ISO/IEC 24762:2008 Information technology -- Security techniques -Guidelines for information and communications technology disaster recovery services Proporciona guías para la provisión de http://www.iso.org/iso/iso_catalogue. los servicios de recuperación y htm desastres de las tecnologías de la información y las comunicaciones como parte de la gestión de continuidad del negocio aplicable a proveedores de servicio de facilidades y servicios físicos internos o contratados. 2008-01-31 ISO Página 37 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.1.3. Mapa de interrelación de estándares y mejores prácticas nacionales e internacionales en seguridad de la Información Para facilitar la toma de decisiones sobre qué estándares seleccionar, se han generado en la industria, mapas de interrelación de un estándar con respecto a otros. Por supuesto, el estándar de referencia queda mejor librado con respecto a los otros según los criterios de comparación que se seleccionen. No obstante, estos mapas representan una buena ilustración sobre la estructura y componentes de los estándares comparados. Para la estrategia de Gobierno en línea, es importante identificar y relacionar los principales estándares de seguridad de la información y compararlos con la norma NTCGP 1000:2004 y el Modelo Estándar de Control Interno, MECI. Surge una pregunta: ¿Qué estándares seleccionar para la comparación? En el numeral 4.1.3.3, se especifican los aspectos que se tuvieron en cuenta para seleccionar los estándares, así como los criterios de comparación. En el numeral 4.1.3.4, se presenta un mapa de interrelación de los estándares seleccionados y finalmente, en el numeral 4.1.3.5, se definen algunas conclusiones del proceso de comparación realizado. 4.1.3.1. Objetivo La presente relación documentada pretende dar una orientación sobre el grado de alineación entre los estándares y mejores prácticas para la seguridad de la información y su Interrelación con respecto a la norma NTCGP 1000:2004 y el Modelo MECI. 4.1.3.2. Estándares de Seguridad de la Información por categoría. A continuación, se relacionan los principales estándares organizados por categorías: Normas de gestión de seguridad: • ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security management systems – Requirements. La norma equivalente en Colombia es la NTCISO/IEC 27001 Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información (SGSI) Requisitos. • ISM3 v2.00 Information Security Management Maturity Model. Fue desarrollada por el ISM3 Consortium. La versión 2.00 está vigente a partir del 2007. La nueva versión (2.10) sólo está disponible actualmente en forma impresa. Mejores prácticas para Seguridad de Información: • ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for information security management. La norma equivalente en Colombia es la NTC-ISO/IEC 17799 Tecnología de la Información. Técnicas de Seguridad. Código de Práctica para la gestión de la Seguridad de la Información, la cual corresponde a una traducción idéntica de la ISO/IEC 17799:2005. Página 38 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • The Standard of Good Practice for Information Security 2007. Ha sido desarrollada por el Information Security Forum, ISF. La versión disponible actualmente corresponde al año 2007. • NIST SP 800-14 Generally Accepted Principles and Practices for Securing Information Technology Systems. Esta guía fue desarrollada por el National Institute of Standards and Technology, NIST y la fecha de su publicación corresponde a septiembre de 2006. Mejores prácticas de Gobierno y Control en Tecnología de Información: • • • • Cobit 4.1 Control Objectives for Information and related Technology (COBIT®). IT Control Objectives for Sarbanes Oxley CONCT- Control Objectives for Net Centric Technologies. NIST SP 800 – 53 Recommended Security Controls for Federal Information Systems Mejores prácticas para la prestación de servicios de TI: • Service Management - ITIL® Version 3. Conjunto de mejores prácticas para la prestación del servicio de TI. Desarrollado por La Oficina de Gobierno de Comercio del Reino Unido. • ISO/IEC 20000-1:2005 Information technology -- Service management -- Part 1: Specification • ISO/IEC 20000-2:2005 Information technology -- Service management -- Part 2: Code of practice Normas de Administración de Riesgos: • AS/NZ 4360:2004 Risk Management, Standards Australia/Standards New Zealand • ISO/IEC 27005:2008 Information technology - Security techniques - Information security risk management • NIST SP 800-30 Risk Management Guide for Information Technology Systems Metodologías de Administración de Riesgos: • MAGERIT • Octave • General Security Risk Assessment Guidelines, ASIS International. Normas para planeación de continuidad del negocio: • • • • BS 25999-1:2006 Gestión de Continuidad de Negocio. Parte 1: Códigos de Práctica. BS 25999-2:2007 Especificaciones para la continuidad del negocio. NFPA 1600:2007 Standard on Disaster/Emergency Management and Business Continuity Programs Página 39 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • • • ISO/IEC 24762:2008 Information technology -- Security techniques -- Guidelines for information and communications technology disaster recovery services NIST SP 800 – 34 Contingency Planning Guide For Information Technology Systems GTC 176 Sistema de Planeación de Continuidad del Negocio 4.1.3.3. Criterios de selección de Estándares de Seguridad de la Información. Para seleccionar los estándares o mejores prácticas a ser comparados, se tuvo en cuenta su propósito primario, el grado de reconocimiento a nivel mundial y la alineación con la estrategia de Gobierno en Línea, además se tienen presente los principios y ejes de acción de la estrategia de Gobierno en línea: Principios: o o o o o o Gobierno centrado en el ciudadano; Visión unificada del Estado; Acceso equitativo y multi-canal; Gobierno en Línea es más que tecnología; Protección de la información del individuo; Credibilidad y confianza en el Gobierno en Línea. Ejes de Acción: o Mejores servicios (respuesta a necesidades, calidad, ahorro, atención unificada, satisfacción, simplificación de trámites, acceso multicanal); o Transparencia y participación (visibilidad, conocimiento, confianza, participación, control social, interacción y retroalimentación); o Eficiencia del Estado (información de calidad, oportuna y estandarizada, racionalización y optimización de recursos); Al analizar los requerimientos de Gobierno en Línea y considerando fundamental la necesidad de desarrollar un marco de gestión para el gobierno de la seguridad de la información en el Estado Colombiano, se seleccionaron los siguientes estándares cuyo propósito y principios intrínsecos, se alinean con la estrategia de Gobierno en Línea de manera general: NTC ISO/IEC 27001:2005 ISM3 v 2.00 The Standard of Good Practice for Information Security - ISF-SOGP COBIT 4.1 ITIL v 3 AS/NZ 4360 Risk Management Criterios de Comparación. Página 40 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Para comparar los estándares y mejores prácticas requerimientos generales y requerimientos técnicos. seleccionados, se establecieron Como requerimientos generales se identificaron: • • • • • • • • • • • Propósito Principios Modelo PHVA Niveles de Madurez Establecimiento del Sistema de Gestión Gestión de riesgos Requisitos de documentación Responsabilidad y compromiso de la dirección Gestión de recursos Monitoreo Mejoramiento Como requerimientos técnicos se identificaron: • • • • • • • • • • • • Política de Seguridad Organización de la Seguridad de la Información Gestión de activos Seguridad de los recursos humanos Seguridad física y del entorno Seguridad en la operación y soporte de TI Seguridad del ciclo de desarrollo de los Sistemas de Información Seguridad de las aplicaciones Control de acceso Gestión de incidentes de seguridad de la información Gestión de continuidad del negocio Cumplimiento Descripción de los Estándares y Mejores Prácticas Seleccionados NTC ISO/IEC 27001 La norma NTC ISO/IEC 27001 fue liberada por el Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC en el año 2006 y es una copia idéntica por traducción de la norma ISO/IEC 27001. Esta norma permite diseñar una herramienta para la implementación del sistema de gestión de seguridad de la información teniendo en cuenta la política, la estructura organizativa, los procedimientos y los recursos. La norma adopta el modelo de procesos “Planificar-Hacer-Verificar-Actuar” (PHVA) para estructurar los procesos del Sistema de Gestión de Seguridad de la Información, SGSI. Página 41 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA En el anexo A de la norma se define una tabla detallada de objetivos de control y controles, los cuales quedan agrupados y numerados de la siguiente forma: A.5 Política de seguridad A.6 Organización de la información de seguridad A.7 Administración de recursos A.8 Seguridad de los recursos humanos A.9 Seguridad física y del entorno A.10 Administración de las comunicaciones y operaciones A.11 Control de accesos A.12 Adquisición de sistemas de información, desarrollo y mantenimiento A.13 Administración de los incidentes de seguridad A.14 Administración de la continuidad de negocio A.15 Cumplimiento (legales, de estándares, técnicas y auditorías) ISM3 v 2.00 El modelo de madurez para la administración de la seguridad de la información extiende los principios de gestión de calidad de la norma ISO 9001 para sistemas de gestión de seguridad de la información. ISM3 está orientado a procesos y utiliza niveles de madurez de capacidad y de cubrimiento. Define los procesos de seguridad organizados por nivel estratégico, táctico y operativo, e incorpora en su descripción los siguientes elementos: • • • • • • El nivel de la organización responsable por cada conjunto de procesos (estratégico, táctico y operacional) La justificación del proceso Entradas del proceso, Productos del proceso Dueño del proceso Métricas Página 42 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA ISM3 alinea los objetivos de negocio con los objetivos de seguridad y requiere que la organización defina sus objetivos de seguridad, los cuales se constituyen en base para el diseño, implementación y monitoreo del sistema de gestión de seguridad. ISM3 ha sido desarrollado por ISM3 Consortium y representa los esfuerzos de profesionales de la seguridad, académicos y la industria para proponer alternativas que procuren una mejor gestión de la seguridad de la información. The Standard of Good Practice for Information Security El estándar de buenas prácticas para seguridad de la información del Information Security Forum (ISF) está basado en la investigación y experiencia práctica de sus miembros. Enfoca la seguridad de la información desde una perspectiva del negocio y proporciona a una base práctica para evaluar los acuerdos en seguridad de la información de una organización. El estándar divide la seguridad en seis componentes: • • • • • • Administración de la seguridad Aplicaciones críticas del negocio Instalación de computadores Redes Desarrollo de sistemas Ambiente de usuario final La primera versión del estándar fue liberada en 1996 y se actualiza y mejora cada 2 años con la finalidad de responder a las necesidades de organizaciones líderes internacionales, refinar las mejores prácticas en seguridad de información y mantener alineamiento con otros estándares relacionados con seguridad de la información tales como la ISO 27002 y Cobit 4.1. Cobit 4.1 Cobit (Objetivos de Control para la Información y tecnología Relacionada) consiste en un conjunto de documentos clasificados como buenas prácticas generalmente aceptadas para el gobierno de la tecnología de información, el control y el aseguramiento. La primera versión fue liberada por Information Systems Audit. And Control Foundation (ISACF) en 1996. En el año 1998 se liberó la segunda versión con objetivos de control adicionales y las herramientas de implementación. En el año 2000 el IT Governance Institute (ITGI) liberó la tercera versión que incluía las guías administrativas y nuevos objetivos de control. En el 2005 el ITGI publicó Cobit 4.0 con un enfoque al gobierno de TI. La versión actual Cobit 4.1 fue liberada en el 2007. Cobit 4.1 se compone de 4 dominios, 34 procesos y 215 objetivos de control. En la descripción de cada proceso además de los objetivos de control se identifican los criterios de información impactados por el proceso, los recursos de TI utilizados, la alineación del proceso con las áreas de gobierno de TI, las entradas, salidas y actividades del proceso, el diagrama RACI, las metas y métricas de proceso y el modelo de madurez para evaluar el proceso. Página 43 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA ITIL v 3 ITIL Service Management versión 3 es una serie de 6 libros considerados como mejores prácticas para la administración y garantía de alta calidad en la prestación de servicios de TI. Los libros se titulan: • • • • • • Estrategia del servicio Diseño del servicio Transición del servicio Operación del servicio Mejoramiento continuo del servicio Introducción Oficial al ciclo de vida del servicio La primera versión de ITIL fue creada en los ochentas por la oficina de Gobierno de Comercio del Reino Unido (OGC). La segunda versión en los 90 y la versión 3 fue liberada a mediados del 2007 con un enfoque orientado al proceso y al ciclo de vida del servicio. AS/NZ 4360 Risk Management El estándar australiano AS/NZ 4360 es una guía para el establecimiento e implementación del proceso de administración de riesgos involucrando las siguientes etapas: • • • • • • • Comunicación y consulta Establecimiento del contexto Identificación de los riesgos Análisis de los riesgos Evaluación de los riesgos Tratamiento de los riesgos Monitoreo y revisión La primera versión fue liberada en 1999 y posteriormente se liberó una nueva versión en el 2004. 4.1.3.4. Mapa de Interrelación de Estándares de Seguridad de la Información En el anexo 1 se presenta el mapa de interrelación de estándares seleccionados y su alineamiento frente a la norma NTCGP 1000:2004 y el Modelo Estándar de Control Interno, MECI. 4.1.3.5. Conclusiones El uso de la tecnología, las comunicaciones e Internet en las prácticas comerciales y las nuevas amenazas de seguridad que surgen cada día han generado un continuo interés por parte de las organizaciones, Gobierno, industria y comunidad en general por administrar la seguridad de la Página 44 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA información, lo cual ha apalancado la continua creación y actualización de estándares y mejores prácticas para la seguridad de la información. Las organizaciones líderes están haciendo un uso efectivo de mejores prácticas para optimizar el uso de los recursos de TI y reducir la ocurrencia de riesgos significativos tales como: • • • • • Fallas de los proyectos Inversiones perdidas Brechas de seguridad Fallas de los sistemas críticos Fallas de los proveedores de servicios para entender y cumplir con los requerimientos de los clientes Una forma de entender cómo se alinean e integran los estándares y mejores prácticas se ilustra en el siguiente gráfico: COSO es un marco de referencia para el control interno en las organizaciones. Las entidades del estado adoptaron el MECI, modelo de control interno el cual está basado en COSO. Cobit es un marco de referencia para el Gobierno y control de TI basado en un modelo de procesos de TI que puede ser adaptado a cualquier tipo de organización. Cobit se enfoca en el qué se necesita hacer no en el cómo, por eso, la audiencia objetivo es la gerencia de negocio senior, la gerencia senior de TI y los auditores. Cobit está alineado con COSO, con la ISO9000 y con la ISO27002. El IT Governance Institute, ITGI, ha desarrollado y mantiene actualizados los Página 45 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA mapas de Cobit con diferentes estándares y mejores prácticas para identificar armonización y alineamiento, La ISO 9000 es el estándar para gestión de calidad en las organizaciones. En las entidades del estado, se adoptó la NTCGP1000 el cual representa la norma técnica de calidad en la gestión pública. ITIL se basa en definir procesos de mejores prácticas para el soporte y la gerencia del servicio de TI. Provee un contexto estratégico y de negocio para la toma de decisiones sobre TI y describe el mejoramiento continuo del servicio como una actividad de toda la empresa para mantener la entrega de valor a los clientes. ITIL tiene gran aplicabilidad para empresas que prestan servicios de TI. De la familia ISO27000, el estándar ISO/IEC 27001 especifica los requerimientos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestión de seguridad. Este estándar se encuentra alineado con la ISO 9000 y su adopción en empresas colombianas se está incrementando cada vez más por las exigencias de la economía globalizada y necesidades de certificación de sus productos y servicios. En las empresas del estado, también se ha incrementado la necesidad de implementar iniciativas para la seguridad de la información basadas en la ISO27001 y utilizando como guía de implementación los controles para la confidencialidad, integridad y disponibilidad de la información definidos en la ISO27002. El ISF-SGOP representa una base práctica para evaluar los acuerdos en seguridad de la información de una organización. Las prácticas detalladas de este estándar pueden ser adoptadas en los acuerdos de seguridad de la información por parte de: los administradores de seguridad de la información, los administradores de negocio, los administradores de TI, los auditores de TI, el personal de terceras partes encargado de administrar y soportar la infraestructura de TI. El ISM3 representa una buena base para definir, establecer, implementar y monitorear los procesos de gestión de seguridad de la información. El marco de referencia de NIST para seguridad de computadores que está conformado por una serie de documentos denominados NIST SP 800, si bien no se incluyó en la comparación de estándares del Anero 1, representa una valiosa herramienta de mejores prácticas para implementar seguridad de la información. La comparación de algunos estándares y mejores prácticas con la norma NTCGP1000:2004 y el modelo de control interno permite identificar alineamiento entre sí. En ese sentido y considerando que existe una creciente adopción del modelo de seguridad basado en la ISO27001 por parte de entidades del estado, para la Estrategia de Gobierno en Línea se puede recomendar este estándar como la base para implementar un sistema de gestión de seguridad de la información apoyado con otros estándares que proporcionan mayor nivel de detalle en la implementación de los procesos de seguridad de la información y los controles y aseguramiento requeridos. Página 46 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.2. DIAGNÓSTICO 2: COMPROMISOS Y AVANCES DE COLOMBIA EN MATERIA DE SEGURIDAD DE LA INFORMACIÓN –NORMATIVA Y PROTECCIÓN DE INFORMACIÓN DEL INDIVIDUO 4.2.1. Introducción Relación documental, con descripción temática, enlace, vigencia y fuente de la normatividad e iniciativas jurídicas nacionales, internacionales y extranjeras, en materia de comercio electrónico, gobierno en línea, seguridad informática, protección de información del individuo y habeas data. La información se encuentra organizada en tablas temáticas que albergan un orden cronológico, acorde a la entrada en vigencia o en su defecto, a la formulación del respectivo instrumento. 4.2.1.1. Relación documentada de compromisos internacionales de Colombia en materia de seguridad informática 4.2.1.1.1. Comercio Electrónico Nombre Documento Resumen Enlace documento Vigencia y Aplicación Convenio de París para la protección de la propiedad intelectual (Particularmente el artículo 10bis), aprobada mediante ley 178 de 1994. Art. 10bis, Competencia Desleal: “1. Los países de la Unión están obligados a asegurar a los nacionales de los países de la Unión una protección eficaz contra la competencia desleal http://www.secretariasenado. gov.co/leyes/L0178_94.HTM A partir de la fecha de publicación de la ley aprobatoria, Ley 178 de 1994, esto es diciembre 29 de 1994. (ú.a. 24/09/08). Fuente Organización Mundial de la Propiedad Intelectual. “2. Constituye acto de competencia desleal todo acto de competencia contrario a los usos honestos en materia industrial o comercial”. De lo cual se concluye que la información secreta de una empresa no puede ser develada, so pena de incurrir en un acto de competencia desleal (En la medida que la violación de secretos es un acto consagrado como competencia desleal en la ley colombiana número 256 de 1996 “Por la cual se dictan normas sobre competencia desleal”). RESOLUCIÓN A/RES/51/162 “Ley modelo sobre comercio electrónico aprobada por la comisión de las Naciones Unidas para el derecho mercantil internacional Recomendaciones generales en materia de comercio electrónico, tendientes al logro de su tratamiento uniforme a nivel internacional. Aspectos reflejados en la Ley 527 de http://www.uncitral.org/pdf/sp anish/texts/electcom/05- Página 47 de 197 A partir de diciembre 16 de 1996. Asamblea General de la Organización DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen (CNUDMI)”, incluye el anexo “Guía para la incorporación al derecho interno de la ley modelo de la CNUDMI sobre comercio electrónico” agosto 18 de 1999: “Por medio de la cual se define y reglamente el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones”. TRATADO INTERNET DE LA OMPI SOBRE DERECHOS DE AUTOR (TODA) –Propiamente los artículos 11, 12 y 14-Aprobado mediante Ley 565 de 2000. Enlace documento Faculta a los Estados miembros para que adopten las medidas jurídicas tendientes a la protección a la gestión de los derechos de autor, así como la sanción efectiva sobre las conductas evasivas de las medidas tecnológicas de protección establecidas por los autores. Vigencia y Aplicación 89453_S_Ebook.pdf Fuente de las Naciones Unidas. (ú.a. 24/09/08). http://www.cecolda.org.co/ind ex.php?option=com_content&t ask=view&id=193&Itemid=46 A partir de Febrero 2 de 2000. Organización Mundial de la Propiedad Intelectual. Diciembre 09 de 1999 Organización para la Cooperación y el Desarrollo Económico Rige a partir de julio 24 de 2002. Organización Mundial de la Propiedad Intelectual. A partir de diciembre 12 de 2001. Asamblea General de la Organización de las Naciones Unidas. A partir de 2005. Asamblea General de la Organización de las Naciones (ú.a. 24/09/08). Recomendaciones del Consejo de la Organización para la Cooperación y el Desarrollo Económico, Relativa a los Lineamientos para la Protección al Consumidor en el Contexto del Comercio Electrónico Estos lineamientos sólo aplican al comercio electrónico entre empresarios y consumidores, y no a las transacciones empresa – empresa. http://www.oecd.org/dataoecd /18/27/34023784.pdf (ú.a. 29/09/08). Tratado de la OMPI, Organización Mundial de la Propiedad Intelectual, sobre Derechos de Autor (WCT)", promulgado mediante decreto 1474 de 2002. RESOLUCIÓN A/RES/56/80 “Ley modelo sobre las firmas electrónicas de la comisión de las Naciones Unidas para el derecho mercantil internacional”, incluye el anexo “Guía para la incorporación al derecho interno de la ley modelo de la CNUDMI para las firmas electrónicas (2001) al derecho interno”. Convención de las Naciones Unidas sobre la Utilización de las Comunicaciones Electrónicas en los Contratos Internacionales. Protección en materia de programas de ordenador (Software), bases de datos, y derechos de autor en general, para el entorno tradicional y electrónico (Reconociendo cabalmente la aplicación de los aspectos sustanciales al medio tecnológico), en consonancia con el régimen de derechos de autor contenido en el convenio de Berna “para la protección de las obras literarias y artísticas”. Pautas referentes a la firma electrónica, analizando su funcionalidad, aspectos técnicos, y relación con la “Ley modelo sobre comercio electrónico aprobada por la comisión de las Naciones Unidas para el derecho mercantil internacional (CNUDMI)”. Aspectos reflejados en el Decreto reglamentario 1747 de septiembre 11 de 2000 “Por el cual se reglamenta parcialmente la Ley 527 de 1999, en lo relacionado con las entidades de certificación, los certificados y las firmas digitales”. Aspectos prácticos relativos a las normas aplicables a los contratos internacionales, comerciales y civiles, excluyendo los efectuados con fines personales, familiares, o domésticos, cuya formación ha sido lograda mediante el empleo de comunicaciones electrónicas (Mensajes de datos). http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=6076#1 (ú.a. 24/09/08). http://www.uncitral.org/pdf/sp anish/texts/electcom/mlelecsig-s.pdf (ú.a. 24/09/08). http://www.uncitral.org/pdf/sp anish/texts/electcom/0657455_Ebook.pdf Página 48 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente Unidas. (ú.a. 24/09/08). Decisión comunitaria andina 691 sobre “Estadísticas sobre tecnologías de la información y la comunicación”. “Artículo 1.- Objeto y finalidad Establecer un marco normativo común para la producción de estadísticas sobre el uso de las tecnologías de la información y la comunicación con la finalidad de garantizar la armonización en la recopilación, procesamiento, transmisión y análisis de los principales indicadores en la Comunidad Andina”. http://www.comunidadandina. org/normativa/dec/d691.htm A partir de agosto 13 de 2008. Comunidad Andina de Naciones. (ú.a. 24/09/08). 4.2.1.1.2. Legislación Interna en Materia de Comercio Electrónico Nombre Documento Resumen Enlace documento Ley 527 de 1999. http://www.secretariasenado. gov.co/leyes/L0527_99.HTM Norma de aplicación transversal, toda vez que se aplica a todos los mensajes de datos sin importar su naturaleza, temática o sector, “Por medio de la cual se define y reglamente el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones” y el Decreto reglamentario 1747 de septiembre 11 de 2000 “Por el cual se reglamenta parcialmente la Ley 527 de 1999, en lo relacionado con las entidades de certificación, los certificados y las firmas digitales”. Sentencia C-662 de 2000 Acción pública de Constitucionalidad contra algunos apartados de la ley 527 de 1999, declarando su exequibilidad. Decreto 1747 de 2000. “Por el cual se reglamenta parcialmente la Ley 527 de 1999, en lo relacionado con las entidades de certificación, los certificados y las firmas digitales” (ú.a. 24/09/08). http://web.minjusticia.gov.co/ jurisprudencia/CorteConstituci onal/2000/Constitucionalidad/ C-662-00.htm Vigencia y Aplicación Fuente A partir de su publicación, en el diario oficial, agosto 21 de 1999. Congreso de la República de Colombia. Junio 08 de 2000. Corte Constitucional de Colombia. A partir de su promulgación, septiembre 11 de 2000. Congreso de la República de Colombia. (ú.a. 24/09/08). http://www.mincomercio.gov. co/eContent/documentos/nor matividad/decretos/decreto_1 747_2000.pdf (ú.a. 24/09/08). Página 49 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Ley 599 de 2000, y sus posteriores modificaciones, Código Penal Colombiano Los delitos consagrados en el Código Penal Colombiano, tienen plena aplicación, bajo el entendido en que se cumplan las condiciones establecidas para cada acto criminal, sin importar si se comete en medios tradicionales o electrónicos. Ley 598 de 2000. “Por la cual se crean el Sistema de Información para la Vigilancia de la Contratación Estatal, SICE, el Catálogo Único de Bienes y Servicios, CUBS, y el Registro Único de Precios de Referencia, RUPR, de los bienes y servicios de uso común en la Administración Pública y se dictan otras disposiciones”. Decreto 1524 de 2000. http://www.alcaldiabogota.gov .co/sisjur/consulta_tematica.js p Congreso de la República de Colombia. A partir de su promulgación, julio 18 de 2000. Congreso de la República de Colombia. A partir de su publicación, en el diario oficial, julio 30 de 2002. Presidencia de la República de Colombia. A partir de su promulgación, diciembre 5 de 2003. Presidencia de la República de Colombia. (ú.a. 24/09/08). http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=6252 (ú.a. 24/09/08). http://www.dafp.gov.co/leyes/ D1524002.HTM Establece un régimen de responsabilidades para los proveedores de servicio de internet y prestadores de servicio de hospedaje de contenido en un servidor para un sitio Web en relación con el objeto de la norma, a saber: Un año después de su promulgación, julio 24 de 2001. (ú.a. 24/09/08). “ARTÍCULO 1o. OBJETO. El presente decreto tiene por objeto reglamentar el artículo 5o. de la Ley 679 de 2001, con el fin de establecer las medidas técnicas y administrativas destinadas a prevenir el acceso de menores de edad a cualquier modalidad de información pornográfica contenida en Internet o en las distintas clases de redes informáticas a las cuales se tenga acceso mediante redes globales de información. “Así mismo a propender para que estos medios no sean aprovechados con fines de explotación sexual infantil u ofrecimiento de servicios comerciales que impliquen abuso sexual con menores de edad”. Decreto 3512 de 2003. “Por el cual se reglamenta la organización, funcionamiento y operación del Sistema de información para la Vigilancia de la Contratación Estatal, SICE, creado mediante la Ley 598 de 2000, y se dictan otras disposiciones”. http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=10935 (ú.a. 24/09/08). Página 50 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Decreto 2178 de 2006 Por medio del cual se crea el Sistema Electrónico para la Contratación Directa. Ley 1065 de 2006. Señala que la administración de registros, así como la planeación, regulación y control, del nombre de dominio .co estará a cargo del Estado, por medio del Ministerio de Comunicaciones, quien podrá delegarlo, mediante convenio, a un particular hasta por 10 años con posibilidad de prórroga, involucrando un término igual, por una sola vez, toda vez que se trata de un recurso del sector de las telecomunicaciones, de interés público. http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=20808 A partir de su promulgación, junio 30 de 2006. Presidencia de la República de Colombia. (ú.a. 24/09/08). http://www.secretariasenado. gov.co/leyes/L1065006.HTM A partir de su promulgación, julio 29 de 2006. Congreso de la República de Colombia. (ú.a. 24/09/08). Congreso de la República. Ley 1150 de 2007. El artículo tercero de la citada norma, introduce el tema de la contratación pública electrónica. http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=25678 Enero 16 de 2008. (ú.a. 24/09/08). Resolución 999 de 2007. Crea un Comité de Apoyo para la implementación de la administración del dominio.co por el Ministerio de Comunicaciones. http://www.mincomunicacione s.gov.co/mincom/src/user_doc s/Archivos/normatividad/2007 /Resolucion/R999de2007.pdf 28 de marzo de 2007. Ministerio de Comunicacione s. (ú.a. 24/09/08). Presidencia de la República. Decreto 1929 de 2007. Por el cual se reglamenta la utilización de la factura electrónica y los documentos equivalentes a la factura de venta. http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=25311 A partir de su promulgación, mayo 29 de 2007. (ú.a. 24/09/08). Resolución 1732 de 2007. Se expide el Régimen Protección de los Derechos los Suscriptores y/o Usuarios los Servicios de de de de http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=26684 Página 51 de 197 A partir de su promulgación, septiembre 19 de 2007. Comisión de Regulación de Telecomunicac iones. DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Telecomunicaciones. (ú.a. 24/09/08). Presidencia de la República. Decreto 4510 de 2007. Por el cual se modifica parcialmente el Decreto 1929 de 2007, factura electrónica. Dicho decreto coexiste con la Ley 1231 de 2008, en la medida en que tratan temas distintos pero complementarios. El decreto permite que los antiguos contribuyentes asuman su facturación por el medio que venían empleando, mientras que la ley consagra el pleno reconocimiento de la factura electrónica como un título valor. Resolución 1764 de 2007. Por la cual se modifica parcialmente la resolución CRT1732 de 2007, en materia de protección de derechos de suscriptores y/o usuarios de los servicios de Telecomunicaciones. http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=27589 A partir de su promulgación, noviembre 23 de 2007. (ú.a. 24/09/08). http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=27909&iu=0#1 A partir de su promulgación, diciembre 07 de 2007. Comisión de Regulación de Telecomunicac iones. (ú.a. 24/09/08). Decreto 2474 de 2008. El artículo 8 del Decreto reglamenta el Sistema Electrónico para la Contratación Pública –SECOP-. http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=31185#0 A partir de su promulgación, julio 07 de 2008. Presidencia de la República de Colombia. (ú.a. 24/09/08). Ley 1221 de 2008. http://www.secretariasenado. gov.co/leyes/L1221008.HTM Norma de promoción y regulación al teletrabajo, tendiente al reconocimiento de sus bondades y aplicación integral de sus prerrogativas, en consonancia con el derecho sustancial preexistente. A partir de su promulgación, julio 16 de 2008. Congreso de la República de Colombia. A partir de su promulgación, Septiembre 03 de 2008. Ministerio de Comunicacione s de la República de Colombia. (ú.a. 24/09/08). Es importante indicar que el Gobierno Nacional cuenta con un plazo de 6 meses a partir de la promulgación de la referida ley, para su reglamentación. Resolución 1652 de 2008 Regula la administración del ccTLD .co y se establece la http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=32350 (ú.a. 24/09/08). Página 52 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA política de nombres de ccTLD .co delegación de dominio bajo el Ley 1231 de 2008. http://www.secretariasenado. gov.co/leyes/L1231008.HTM Régimen de la factura electrónica como título valor, unificando los postulados existentes en el contexto tributario y comercial tendientes a su funcionalidad eficaz y adecuado mecanismo de financiación para la micro, pequeña, y mediana empresa. (ú.a. 24/09/08). Tres meses posteriores a su promulgación (Octubre 17 de 2008). Congreso de la República de Colombia. El Gobierno Nacional debe reglamentar la puesta en circulación de la factura electrónica como título valor. 4.2.1.1.3. Compromisos Internacionales de Colombia en Materia de Gobierno en Línea Nombre Documento Resumen Enlace documento Vigencia y Aplicación http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=17079#0 A partir de la publicación de la Ley aprobatoria 970 de 2005, en el diario oficial, julio 15 de 2005. Fuente “Artículo 10 Convención de las Naciones Unidas contra la Corrupción, aprobada mediante Ley 970 de 2005. “Información pública “Habida cuenta de la necesidad de combatir la corrupción, cada Estado Parte, de conformidad con los principios fundamentales de su derecho interno, adoptará las medidas que sean necesarias para aumentar la transparencia en su administración pública, incluso en lo relativo a su organización, funcionamiento y procesos de adopción de decisiones, cuando proceda. Esas medidas podrán incluir, entre otras cosas: (ú.a. 24/09/08). “a) La instauración de procedimientos o reglamentaciones que permitan al público en general obtener, cuando proceda, información sobre la organización, el funcionamiento y los procesos de adopción de decisiones de su administración pública y, con el debido respeto a la protección de la intimidad y de los datos personales, sobre las decisiones y actos jurídicos que incumban al público; “b) La simplificación de los procedimientos administrativos, cuando proceda, a fin de facilitar el acceso del público a las autoridades encargadas de la adopción de decisiones, y “c) La publicación de información, lo que podrá incluir informes periódicos Página 53 de 197 Asamblea General de la Organización de las Naciones Unidas. DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente Vigencia y Aplicación Fuente sobre los riesgos de corrupción en su administración pública”. 4.2.1.1.4. Legislación interna en Materia de Gobierno en Línea Nombre Documento Decreto 1900 de 1990 Resumen Enlace documento Tiene como objeto el ordenamiento general de las telecomunicaciones y de las potestades del Estado en relación con su planeación, regulación y control, así como el régimen de derechos y deberes de los operadores y de los usuarios. http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=2581 Rige a partir de su promulgación, agosto 19 de 1990. Presidencia de la República de Colombia. Febrero 9 de 2000. Departamento Nacional de Planeación y Ministerio de Comunicacione s de Colombia. Un año después de su promulgación, julio 24 de 2000. Congreso de la República de Colombia. (ú.a. 24/09/08). Documento CONPES 3072. Ley 599 de 2000, y sus posteriores modificaciones, Código Penal Colombiano El Ministerio de Comunicaciones y el Departamento Nacional de Planeación ponen a consideración del Comité Nacional de Política Económica y Social el programa “Agenda de Conectividad” con la finalidad de promover las bondades de las tecnologías de la información (Y actualmente se adhieren las de comunicación) en el sector público, así la competitividad del sector productivo, postulados concebidos en consonancia con el Plan Nacional de Desarrollo 1998 – 2002 “Cambio para Construir la Paz”. http://www.agenda.gov.co/do cuments/files/CONPES%20307 2.pdf Es importante garantizar la veracidad y suficiencia de la información contenida en las respectivas páginas Web, so pena de llegar a afectar bienes jurídicos tutelados tales como el Orden Económico-Social. http://www.secretariasenado. gov.co/leyes/L0599000.HTM (ú.a. 24/09/08). (ú.a. 24/09/08). En ese orden de ideas, el código penal colombiano consagra el delito de pánico económico, a saber: “Artículo 302. Pánico económico. El que divulgue al público o reproduzca en un medio o en un sistema de comunicación público información falsa o inexacta que pueda afectar la confianza de los clientes, usuarios, inversionistas o accionistas de una institución vigilada o controlada por Página 54 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente http://www.secretariasenado. gov.co/leyes/L0588000.HTM Rige a partir de su promulgación, julio 06 de 2000 Congreso de la República de Colombia. Rige a partir de su promulgación, febrero 15 de 2002 Alcaldía Mayor de Bogotá D.C. Abril 09 de 2003 Congreso de la República de Colombia. Rige a partir de la fecha de su promulgación, Congreso de la República de la Superintendencia Bancaria o por la Superintendencia de Valores o en un Fondo de Valores, o cualquier otro esquema de inversión colectiva legalmente constituido incurrirá, por ese solo hecho, en prisión de dos (2) a ocho (8) años y multa de cincuenta (50) a quinientos (500) salarios mínimos legales mensuales vigentes. “En las mismas penas incurrirá el que utilice iguales medios con el fin de provocar o estimular el retiro del país de capitales nacionales o extranjeros o la desvinculación colectiva de personal que labore en empresa industrial, agropecuaria o de servicios. “La pena se aumentará hasta en la mitad, si como consecuencia de las conductas anteriores se produjere alguno de los resultados previstos”. Ley 588 de 2000. Notarias y Consulados pueden convertirse en entidades de certificación, a la vez que utilizar todos los medios magnéticos o electrónicos que requieran para el archivo de la información. (ú.a. 24/09/08). Decreto Distrital 055 de 2002 El Sistema de Declaración y Pago de Impuestos Distritales a través de medios electrónicos. http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=4604 (ú.a. 24/09/08). Permite la realización de actos procesales por medios electrónicos Ley 794 de 2003 http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=6922 (ú.a. 24/09/08). Acto Legislativo 01 de 2003 El artículo 11 del mencionado Acto Legislativo modificó el artículo 258 de la Constitución Política, previendo que se pueda hacer uso de medios electrónicos e informáticos para el ejercicio del derecho al sufragio. http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp Página 55 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento ?i=8620#0 Vigencia y Aplicación Fuente julio 03 de 2003. Colombia. Rige a partir de su promulgación, enero 13 de 2004 Presidencia de la República de Colombia. A partir de su publicación, en el diario oficial, enero 2 de 2004. Congreso de la República de Colombia. Rige a partir de su promulgación, julio 07 de 2004. Congreso de la República de Colombia. Rige a partir de su promulgación, septiembre 23 de 2004. Congreso de la República. (ú.a. 24/09/08). Decreto 3816 de 2003 Crea la Comisión Intersectorial de Políticas y de Gestión de la Información para la Administración Pública. http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=11233 (ú.a. 24/09/08). Ley 872 de 2003. “Por la cual se crea el sistema de gestión de la calidad en la Rama Ejecutiva del Poder Público y en otras entidades prestadoras de servicios”. http://www.secretariasenado. gov.co/leyes/L0872003.HTM (ú.a. 24/09/08). Ley 892 de 2004 Por medio del cual se establecen mecanismos electrónicos de votación e inscripción candidatos http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=14145 (ú.a. 24/09/08). Ley 909 de 2004 “Artículo 33. Mecanismos de publicidad. La publicidad de las convocatorias será efectuada por cada entidad a través de los medios que garanticen su conocimiento y permitan la libre concurrencia, de acuerdo con lo establecido en el reglamento. http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=14861 “La página web de cada entidad pública, del Departamento Administrativo de la Función Pública y de las entidades contratadas para la realización de los concursos, complementadas con el correo electrónico y la firma digital, será el medio preferente de publicación de todos los actos, decisiones y actuaciones relacionadas con los concursos, de recepción de inscripciones, recursos, Página 56 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente http://www.ramajudicial.gov.c o/csj_portal/assets/DECRETO %204110%20DE%202004.pdf A partir de la fecha de publicación, en el diario oficial, diciembre 13 de 2004. Presidencia de la República de Colombia. A partir de la fecha de publicación, en el diario oficial, mayo 23 de 2005. Presidencia de la República de Colombia. Rige a partir de su promulgación, julio 08 de 2005. Congreso de la República de Colombia. http://www.ram ajudicial.gov.co/ csj_portal/jsp/fr ames/index.jsp?i dsitio=6&idsecci Consejo Superior de la Judicatura reclamaciones y consultas. “La Comisión Nacional del Servicio Civil publicará en su página web la información referente a las convocatorias, lista de elegibles y Registro Público de Carrera”. Decreto Reglamentario 4110 de 2004. “Por el cual se reglamenta la Ley 872 de 2003 y se adopta la Norma Técnica de Calidad en la Gestión Pública”. (ú.a. 24/09/08). Decreto 1599 de 2005. “Por el cual se adopta el Modelo Estándar de Control Interno para el Estado Colombiano (MECI) http://www.anticorrupcion.gov .co/marco/normas_ci_publico/ D.1599de2005.pdf “Artículo 1º. Adóptase el Modelo Estándar de Control Interno para el Estado Colombiano MECI 1000:2005, el cual determina las generalidades y la estructura necesaria para establecer, documentar, implementar y mantener un Sistema de Control Interno en las entidades y agentes obligados conforme al artículo 5º de la Ley 87 de 1993. (ú.a. 24/09/08). 2 El Modelo Estándar de Control Interno para el Estado Colombiano MECI 1000:2005 es parte integrante del presente decreto”. Ley 962 de 2005 Por medio de la cual se incorpora la utilización de medios tecnológicos en el funcionamiento de la administración pública, dentro del esquema de la racionalización de trámites, mediante la incorporación del Sistema Único de Información de Trámites –SUIT-. http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=17004 (ú.a. 24/09/08). ACUERDO No. PSAA06-3334 DE 2006 Reglamentan la utilización de medios electrónicos e informáticos en el cumplimiento de las funciones de administración de justicia Marzo 02 de 2006 Página 57 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente on=167 (ú. a. 30/09/08) Decreto 2870 de 2007 El presente decreto tiene por objeto establecer un marco reglamentario que permita la convergencia en los servicios públicos de telecomunicaciones y en las redes de telecomunicaciones del Estado, asegurando el acceso y uso de las redes y servicios a todos los habitantes del territorio, así como promover la competencia entre los diferentes operadores, a través de títulos habilitantes convergentes. http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=26378 A partir de su promulgación, Julio 31 de 2007 Presidencia de la República de Colombia. Rige a partir de su promulgación, diciembre 28 de 2007. Alcaldía Mayor de Bogotá D.C. A partir de su promulgación, abril 18 de 2008. Presidencia de la República (ú.a. 24/09/08). Sin embargo, el régimen de servicios de telecomunicaciones exceptuados al interior del mismo menoscaba la teleología de la convergencia. Decreto Distrital 619 de 2007 Establece la estrategia de gobierno electrónico de los organismos y entidades de Bogotá D.C. http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=28134#0 (ú.a. 24/09/08). Decreto 1151 de 2008 “Por el cual se establecen los lineamientos generales de la Estrategia de Gobierno en Línea de la República de Colombia, se reglamenta parcialmente la Ley 962 de 2005, y se dictan otras disposiciones”. http://www.superservicios.gov .co/basedoc/decreto_nacional. shtml?x=68236 (ú.a. 24/09/08). Página 58 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.2.1.1.5. Compromisos Internacionales en Materia de Seguridad Informática Nombre Documento Resumen Enlace documento Constitución de la Unión Internacional de Telecomunicaciones, suscrita en Ginebra, a 22 de diciembre de 1992. Particularmente el artículo 37, numeral 1), aprobada mediante Ley 252 de 1995. Art. 37, num. 2. Compromiso de los Estados miembro en lo atinente al SECRETO DE LAS TELECOMUNICACIONES, adoptando las “medidas que permita el sistema de comunicación empleado para garantizar el secreto de la correspondencia internacional”. http://www.superservicios.gov .co/basedoc/leyes.shtml?x=54 979 Vigencia y Aplicación Fuente A partir de diciembre 19 de 1995. Unión Internacional de Telecomunicac iones A partir de julio 19 de 2006. Comunidad Andina de Naciones. A partir de su aprobación en la cuarta sesión plenaria, junio 8 de 2008. Organización de los Estados Americanos (OEA), Comisión Interamerican a de Telecomunicac iones. (ú.a. 24/09/08). Decisión Comunitaria Andina 638 sobre “Lineamientos para la protección del usuario de telecomunicaciones de la comunidad andina”. (Particularmente el artículo 4, numeral 9). AG/ RES. 2004 XXXXIV-O 04. Parámetros de protección al consumidor de las telecomunicaciones que deberán adoptar los Estados Miembros en sus ordenamientos internos. Particularmente, se debe hacer hincapié en las obligaciones de los operadores y proveedores de servicios de telecomunicaciones en lo relativo a seguridad telemática. 1. Adoptar el proyecto de Estrategia Interamericana Integral de Seguridad Cibernética que se adjunta como anexo. 2. Instar a los Estados Miembros a implementar dicha Estrategia. 3. Instar a los Estados Miembros a establecer o identificar grupos nacionales de “vigilancia y alerta”, también conocidos como “Equipos de Respuesta a Incidentes de Seguridad en Computadoras” (CSIRT). 4. Dar renovado énfasis a la importancia de lograr sistemas seguros de información de Internet en todo el Hemisferio. 5. Solicitar al Consejo Permanente que, por medio de la Comisión de Seguridad Hemisférica, siga abordando esta cuestión y continúe facilitando las medidas de coordinación para implementar dicha Estrategia, en particular los esfuerzos de los expertos gubernamentales, el Comité Interamericano contra el Terrorismo (CICTE), la Comisión Interamericana de Telecomunicaciones (CITEL) y el Grupo de Expertos en Materia de Delito Cibernético de la Reunión de http://www.comunidadandina. org/normativa/dec/d638.htm (ú.a. 24/09/08). http://www.cicte.oas.org/Rev/ en/Documents/OAS_GA/AGRES.%202004%20(XXXIV-O04)_SP.pdf (ú.a. 24/09/08). Página 59 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Ministros de Justicia o de Ministros o Procuradores Generales de las Américas (REMJA) y otros órganos pertinentes de la OEA. 6. Instar a los Estados Miembros y a los órganos, organismos y entidades de la OEA a que coordinen sus esfuerzos para incrementar la seguridad cibernética. 7. Solicitar a las Secretarías del CICTE y la CITEL y al Grupo de Expertos Gubernamentales en Materia de Delito Cibernético de la REMJA que asistan a los Estados Miembros, cuando lo soliciten, en la implementación de las respectivas partes de la Estrategia y presenten un informe conjunto al Consejo Permanente, por medio de la Comisión de Seguridad Hemisférica, sobre el cumplimiento de esta resolución, antes del trigésimo quinto período ordinario de sesiones de la Asamblea General. 8. Respaldar la celebración de la segunda Reunión de Practicantes Gubernamentales en Materia de Seguridad Cibernética que convocará el CICTE para el seguimiento oportuno de las recomendaciones sobre el Establecimiento de la Red Interamericana de Alerta y Vigilancia, que figuran en el documento CICTE/REGVAC/doc.2/04 y que forman parte de la Estrategia. 9. Estipular que esa Reunión de Practicantes Gubernamentales en Materia de Seguridad Cibernética se celebre con los recursos asignados en el programa-presupuesto de la Organización y otros recursos, y solicitar que la Secretaría General y la Secretaría del CICTE proporcionen el apoyo administrativo y técnico necesario para esta reunión. 10. Instar a los Estados Miembros a implementar, según corresponda, las recomendaciones de la Reunión Inicial del Grupo de Expertos Gubernamentales en Materia de Delito Cibernético de la REMJA (REMJA-V/doc.5/04) y las recomendaciones relativas a seguridad cibernética de la Quinta Reunión de la REMJA (REMJAV/doc.7/04 rev. 4) como medio de crear un marco para promulgar leyes que protejan los sistemas de información, impidan el uso de computadoras para facilitar actividades ilícitas y sancionen el delito cibernético. 11. Solicitar al Consejo Permanente que informe a la Asamblea General en su trigésimo quinto período ordinario de sesiones sobre la implementación de esta resolución”. Página 60 de 197 Vigencia y Aplicación Fuente DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.2.1.2. Relación documentada de avances de Colombia en materia de protección de información del individuo y Habeas Data 4.2.1.2.1. Legislación interna en Materia de Protección de Información del Individuo y Habeas Data Nombre Documento Ley 23 de 1981 Resumen Enlace documento Cataloga la historia clínica como un documento privado, sometido a reserva, que únicamente puede ser conocido por terceros previa autorización del paciente o en los casos previstos por la Ley http://www.mined ucacion.gov.co/16 21/articles103905_archivo_p df.pdf Vigencia y Aplicación Fuente Rige a partir de su promulgación, febrero de 1981 Congreso de la República de Colombia. A partir de su promulgación, enero 28 de 1982. Congreso de la República de Colombia. Rige a partir de marzo 1 de 1984. Presidencia de la República de Colombia. Rige partir de su promulgación, noviembre 22 de 1985 Congreso de la República de Colombia (ú.a. 24/09/08). Ley 23 de 1982 “Sobre derechos de autor http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=3431 (…) “Artículo 84º.- Las cartas y misivas son propiedad de la persona a quien se envían, pareo no para el efecto de su publicación. Este derecho pertenece al autor de la correspondencia, salvo en el caso de que una carta deba obrar como prueba de un negocio judicial o administrativo y que su publicación sea autorizada por el funcionario competente”. Código Contencioso Administrativo Reglamenta el ejercicio del derecho de petición, Artículo 5, 17 y 19. (ú.a. 24/09/08). http://www.dafp.g ov.co/leyes/C_CO NADM.HTM (ú.a. 24/09/08). Ley 96 de 1985. Tienen carácter reservado las informaciones que reposen en los archivos de la Registraduría, referentes a la identidad de las personas, cómo son sus datos biográficos, su filiación y su fórmula dactiloscópica. De la información reservada sólo podrá hacerse uso http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=14506 Página 61 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento por orden de autoridad competente. Con fines investigativos, los jueces y los funcionarios de policía y de seguridad tendrán acceso a los archivos de la Registraduría. Cualquier persona podrá inspeccionar en todo tiempo los censos electorales, pero en ningún caso se podrá expedir copia de los mismos. Ley 30 de 1986. Determina que los temas tratados en el Consejo Nacional de Estupefacientes son reservados. Adicionalmente, que sus actas tendrán el mismo carácter y, por tanto, solo podrán ser conocidas por el Señor Presidente de la República y por los miembros del Consejo. Vigencia y Aplicación Fuente (ú.a. 28/09/08). http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=2774 Rige a partir de su promulgación, enero 31 de 1986. Congreso de la República de Colombia Rige a partir de su promulgación, marzo 30 de 1989. Congreso de la República A partir de su promulgación, diciembre 13 de 1990. Congreso de la República de Colombia. (ú.a. 28/09/08). Estatuto Tributario, Decreto 624 de 1989. El artículo 583 del Estatuto determina que la información tributaria respecto de las bases gravables y la determinación privada de los impuestos que figuren en las declaraciones tributarias, tendrá el carácter de información reservada; por consiguiente, los funcionarios de la Dirección General de Impuestos Nacionales sólo podrán utilizarla para el control, recaudo, determinación, discusión y administración de los impuestos y para efectos de informaciones impersonales de estadística. http://www.dian.g ov.co/dian/15servi cios.nsf/0108fdc36 39d83ff05256f0b0 06abb3d/7ae1155 d8f61bdeb05256f0 d005e587c?OpenD ocument (ú.a. 28/09/08). El artículo 579 prevé lo concerniente a la presentación de declaraciones tributarias electrónicas. Ley 43 de 1990. “Por la cual se adiciona la ley 145 de 1960, reglamentaria de la profesión de contador público y se dictan otras disposiciones. “Título Quinto “El Secreto Confidencialidad Profesional http://www.mined ucacion.gov.co/16 21/articles104546_archivo_p df.pdf o “ARTICULO 63. El Contador Público está obligado a guardar la reserva profesional en todo aquello que conozca en razón del ejercicio de su profesión, salvo en los casos en que dicha reserva sea levantada por disposiciones legales. (ú.a. 24/09/08). “ARTICULO 64. Las evidencias del Página 62 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente trabajo de un Contador Público, son documentos privados sometidos a reservas que únicamente pueden ser conocidas por terceros, previa autorización del cliente y del mismo Contador Público, o en los casos previstos por la ley. “ARTICULO 65. El Contador Público deberá tomar las medidas apropiadas para que tanto el personal a su servicio como las personas de las que obtenga consejo y asistencia, respeten fielmente los principios de independencia y de confidencialidad. “ARTICULO 66. El Contador Público que se desempeñe como catedrático podrá dar casos reales de determinados asuntos pero sin identificar de quien se trata. “ARTICULO 67. El Contador Público esta obligado, a mantener la reserva comercial de libros, papeles o informaciones de personas a cuyo servicio hubiere trabajado o de los que hubiere tenido conocimiento por razón del ejercicio del cargo o funciones públicas, salvo en los casos contemplados por disposiciones legales. “PARAGRAFO. Las revelaciones incluidas en los Estados Financieros y en los dictámenes de los Contadores Públicos sobre los mismos, no constituyen violación de la reserva comercial, bancaria o profesional”. Ley 52 de 1990. Considera las deliberaciones y actos del Consejo Nacional de Seguridad como reservados y sus actas secretas. http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=3428 Rige a partir de su promulgación, diciembre 28 de 1990. Congreso de la República de Colombia. Rige a partir de la fecha de su promulgación, 04 de julio de 1991. Asamblea Nacional Constituyente (ú.a. 28/09/08). Constitución Política de Colombia Establece el derecho fundamental a la intimidad personal, familiar y al buen nombre, radicando en cabeza del Estado la obligación de respetarlos y hacerlos respetar. “Artículo 15. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=4125 (ú.a. 24/09/08). Página 63 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. “En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. “La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley “(…)”. Igualmente, analiza el derecho fundamental a la información, aspecto que debe ser interpretado tendiente al logro de un equilibrio con el artículo 15, a saber: “ARTICULO 20. Se garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir información veraz e imparcial, y la de fundar medios masivos de comunicación. “Estos son responsabilidad el derecho a condiciones de censura”. libres y tienen social. Se garantiza la rectificación en equidad. No habrá Por otra parte, el artículo 23 reconoce como derecho fundamental el de presentar peticiones respetuosas a la administración. Decreto 2110 de 1992. “Artículo 74. Todas las personas tienen derecho a acceder a los documentos públicos salvo los casos que establezca la ley”. “Por el cual se reestructura el Departamento Administrativo de Seguridad (DAS). (…) “ARTICULO 81. INFORMACIONES.El Departamento Administrativo de Seguridad por intermedio de la Dirección General de Inteligencia podrá solicitar a los funcionarios superiores y subalternos de la administración pública nacional y de las administraciones regionales, departamentales, distritales, metropolitanas y municipales las informaciones que, en razón de sus http://juriscol.ban rep.gov.co:8080/C ICPROD/BASIS/inf juric/normas/norm as/DDW?W%3DLL AVE_NORMAS%3D 'DECRETO+2110+ 1992+DEPARTAME NTO+ADMINISTRA TIVO+DE+SEGURI DADDAS'%26M%3D1 %26K%3DDECRET O+2110+1992+D EPARTAMENTO+A DMINISTRATIVO+ DE+SEGURIDAD- Página 64 de 197 A partir de la fecha de su publicación, en el diario oficial, abril 7 de 1993. Presidencia de la República de Colombia. DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento funciones oficiales hayan recibido, relativas a hechos, circunstancias, actuaciones, personas y organizaciones que puedan menoscabar la seguridad interior o exterior del país, el régimen constitucional o la seguridad pública o puedan ser causa de perturbaciones del orden público, social o económico de la Nación, y ellos deberán atender tales solicitudes. DAS%26R%3DY% 26U%3D1 Vigencia y Aplicación Fuente A partir de su promulgación, octubre 20 de 1993. Congreso de la República de Colombia. (ú.a. 24/08/08). (…) “ARTICULO 85. SECRETO O RESERVA.- Por la naturaleza de las funciones que cumple el Departamento Administrativo de Seguridad, los documentos, mensajes, grabaciones, fotografías y material clasificado de la Dirección General de Inteligencia, de las Divisiones que de ella dependen, de las Unidades Regionales y Grupos de Inteligencia, tiene carácter secreto o reservado. Igual carácter tienen las informaciones originadas en las dependencias de la Institución y el material correspondiente, cuando se relacionen con asuntos de competencia de las Unidades de Inteligencia. En consecuencia, no se podrán compulsar copias ni duplicados, ni suministrar datos relacionados con ellos salvo si precede autorización expresa del Director del Departamento. “El empleado que indebidamente los dé a conocer incurrirá en causal de mala conducta que implica destitución del cargo, sin perjuicio de la sanción penal a que hubiere lugar según lo dispuesto por el artículo 154 del Código Penal”. Ley 79 de 1993. “Por la cual se regula la realización de los Censos de Población y Vivienda en todo el territorio nacional. “ARTÍCULO 5o. Las personas naturales o jurídicas, de cualquier orden o naturaleza, domiciliadas o residentes en el territorio nacional, están obligadas a suministrar al Departamento Administrativo Nacional de Estadística DANE, los datos solicitados en el desarrollo de Censos y Encuestas. http://www.secret ariasenado.gov.co /leyes/L0079_93. HTM (ú.a. 24/09/08). “Los datos suministrados al Departamento Administrativo Nacional de Estadística DANE, en el desarrollo de los censos y encuestas, Página 65 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente no podrán darse a conocer al público ni a las entidades u organismos oficiales, ni a las autoridades públicas, sino únicamente en resúmenes numéricos, que no hagan posible deducir de ellos información alguna de carácter individual que pudiera utilizarse para fines comerciales, de tributación fiscal, de investigación judicial o cualquier otro diferente del propiamente estadístico”. Permitiendo inferir que la información suministrada al Departamento Administrativo Nacional de Estadística (DANE) solo puede ser utilizada para el fin específico de su obtención (ADQUIRIENDO INFORMACIÓN RELEVANTE, QUE OTORGUE VERDADEROS INDICADORES, Y ACORDE A LA FINALIDAD PERSEGUIDA), cual es la realización de los respectivos censos y encuestas. Constitución de la Unión Internacional de Telecomunicaciones, suscrita en Ginebra, a 22 de diciembre de 1992 (Particularmente el artículo 34, numeral 2), aprobada mediante Ley 252 de 1995. Art. 34, num. 2. Consagra una excepción al derecho a la inviolabilidad de las comunicaciones: “Los Miembros, se reservan también el derecho a interrumpir otras telecomunicaciones privadas que puedan parecer peligrosas para la seguridad del Estado o contrarias a sus leyes, al orden público o a las buenas costumbres”. A partir de diciembre 19 de 1995. http://www.supers ervicios.gov.co/ba sedoc/leyes.shtml ?x=54979 Unión Internacional de Telecomunicac iones. (ú.a. 24/09/08). Decreto 229 de 1995. “Por el cual se reglamenta el servicio postal. (…) Ley 190 de 1995. “Artículo 10. Inviolabilidad de la correspondencia. La correspondencia del servicio postal y demás formas de comunicación privada son inviolables. No se podrá atentar contra el secreto que pudiera contener y sólo puede ser interceptada y registrada, mediante orden judicial, en los casos y con las formalidades que establezcan la Constitución y la ley, sin perjuicio de las sanciones penales establecidas por la violación ilícita de la correspondencia”. “Por la cual se dictan normas tendientes a preservar la moralidad en la administración pública y se fijan disposiciones con el fin de erradicar la corrupción administrativa. http://www.adpos tal.gov.co/secs/no rmatividad/decret o_229.htm 58. Todo Presidencia de la República de Colombia. (ú.a. 24/09/08). A partir de su promulgación, junio 6 de 1995. http://www.dafp.g ov.co/leyes/L0190 _95.HTM#58 (…) “ARTÍCULO A partir de su publicación, en el diario oficial, febrero 3 de 1995. ciudadano Página 66 de 197 Congreso de la República de Colombia. DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento tiene derecho a estar informado periódicamente acerca de las actividades que desarrollen las entidades públicas y las privadas que cumplan funciones públicas o administren recursos del Estado”. (ú.a. 24/09/08). Igualmente, en materia de intervención de los medios de comunicación ante la gestión de las autoridades y funcionarios públicos, consagra lo siguiente: “ARTÍCULO 76. Las investigaciones que sobre los actos de las autoridades públicas adelanten los periodistas y los medios de comunicación en general, son manifestación de la función social que cumple la libertad de expresión e información y recibirán protección y apoyo por parte de todos los servidores públicos, y deberán ser ejercidas con la mayor responsabilidad y con el mayor respeto por los derechos fundamentales al debido proceso, honra y buen nombre. Su incumplimiento dará lugar a las acciones correspondientes. “ARTÍCULO 77. Los periodistas tendrán acceso garantizado al conocimiento de los documentos, actos administrativos y demás elementos ilustrativos de las motivaciones de la conducta de las autoridades públicas, sin restricciones diferentes a las expresamente consagradas en la ley. “ARTÍCULO 78. En las investigaciones penales la reserva de la instrucción no impedirá a los funcionarios competentes proporcionar a los medios de comunicación información sobre los siguientes aspectos: “Existencia de un proceso penal, el delito por el cual se investiga a las personas legalmente vinculadas al proceso, la entidad a la cual pertenecen las personas si fuere el caso y su nombre, siempre y cuando se haya dictado medida de aseguramiento, sin perjuicio de lo dispuesto en el artículo 372 del Código de Procedimiento Penal. “Si la medida de aseguramiento no se ha hecho efectiva, el funcionario podrá no hacer pública la Página 67 de 197 Vigencia y Aplicación Fuente DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente información”. Ley 256 de 1996. A partir de su promulgación, enero 15 de 1996. “Ley por la cual se dictas normas sobre competencia desleal” Consagra la violación de secretos como un acto reprochable. A este respecto, es menester indicar que el secreto, en su acepción general, goza de las siguientes características, a saber: • • • Voluntad de detenta para desconocido a Adopción de (Jurídicas y necesarias mantenerlo estado. Información generación comunidad en http://www.secret ariasenado.gov.co /leyes/L0256_96. HTM (ú.a. 24/09/08). quien lo mantenerlo terceros. la medidas Técnicas) para en dicho de difícil por la general. En complemento de lo precedente, el entorno comercial concibe el secreto empresarial, caracterizado por: • • • • • Que la información involucre una efectiva ventaja competitiva para su legítimo poseedor. Que sea susceptible de valoración económica. No se requiere que el infractor sea un competidor directo del legítimo poseedor. Susceptible de ser transferido a un tercero, con deber de reserva. Lo reprochable no es el conocimiento del secreto, sino su acceso por medios ilegales. Es valido que los competidores intentes cifrar el secreto empresarial por medios lícitos. En consonancia con lo anterior, la referida norma de competencia desleal postula: “ARTÍCULO 16. VIOLACIÓN DE SECRETOS. Se considera desleal la divulgación o explotación, sin autorización de su titular, de secretos industriales o de cualquiera otra clase de secretos empresariales a los que se haya tenido acceso Página 68 de 197 Congreso de la República de Colombia. DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente http://juriscol.ban rep.gov.co:8080/C ICPROD/BASIS/inf juric/normas/norm as/DDW?W%3DLL AVE_NORMAS%3D 'DECRETO+300+1 997+MINISTERIO +DE+JUSTICIA+Y +DEL+DERECHO' %26M%3D1%26K %3DDECRETO+30 0+1997+MINISTE RIO+DE+JUSTICI A+Y+DEL+DEREC HO%26R%3DY%2 6U%3D1 Rige a partir de su promulgación, febrero 13 de 1997. Presidencia de la República de Colombia. legítimamente pero con deber de reserva, o ilegítimamente, a consecuencia de algunas de las conductas previstas en el inciso siguiente o en el artículo 18 de esta ley. “Tendrá así mismo la consideración de desleal, la adquisición de secretos por medio de espionaje o procedimientos análogos, sin perjuicio de las sanciones que otras normas establezcan. “Las acciones referentes a la violación de secretos procederán sin que para ello sea preciso que concurran los requisitos a que hace referencia el artículo 2o. de este ley”. (“ARTÍCULO 2o. ÁMBITO OBJETIVO DE APLICACIÓN. Los comportamientos previstos en esta ley tendrán la consideración de actos de competencia desleal siempre que realicen en el mercado y con fines concurrenciales. “La finalidad concurrencial del acto se presume cuando éste, por las circunstancias en que se realiza, se revela objetivamente idóneo para mantener o incrementar la participación en el mercado de quien lo realiza o de un tercero”. “ARTÍCULO 18. VIOLACIÓN DE NORMAS. Se considera desleal la efectiva realización en el mercado de una ventaja competitiva adquirida frente a los competidores mediante la infracción de una norma jurídica. “La ventaja ha de ser significativa”. Decreto 300 de 1997, Aprobatorio del Acuerdo No. 0017 de 1996 del Instituto Nacional Penitenciario y Carcelario (INPEC). El artículo 26 determina la existencia de cierta información como reservada. Y señala que ningún miembro del Consejo Directivo ni funcionario del Instituto Nacional Penitenciario y Carcelario, INPEC, podrá revelar los planes, programas, proyectos y actos de carácter reservado que se encuentren en estudio o en proceso de adopción y que constituyan información confidencial salvo que el Consejo Directivo o el Director General lo autoricen conforme a las disposiciones existentes al respecto. Página 69 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente (ú.a. 29/09/08) Ley 489 de 1998 A partir de su promulgación, diciembre 29 de 1998. “Por la cual se dictan normas sobre la organización y funcionamiento de las entidades del orden nacional, se expiden las disposiciones, principios y reglas generales para el ejercicio de las atribuciones previstas en los numerales 15 y 16 del artículo 189 de la Constitución Política y se dictan otras disposiciones. http://www.dafp.g ov.co/leyes/L0489 _98.HTM#119 Congreso de la República de Colombia. (ú.a. 24/09/08). “ARTICULO 119. PUBLICACION EN EL DIARIO OFICIAL. A partir de la vigencia de la presente ley, todos los siguientes actos deberán publicarse en el Diario Oficial: “a) Los actos legislativos y proyectos de reforma constitucional aprobados en primera vuelta; “b) Las leyes y los proyectos de ley objetados por el Gobierno; “c) Los decretos con fuerza de ley, los decretos y resoluciones ejecutivas expedidas por el Gobierno Nacional y los demás actos administrativos de carácter general, expedidos por todos los órganos, dependencias, entidades u organismos del orden nacional de las distintas Ramas del Poder Público y de los demás órganos de carácter nacional que integran la estructura del Estado. “PARAGRAFO. Únicamente con la publicación que de los actos administrativos de carácter general se haga en el Diario Oficial, se cumple con el requisito de publicidad para efectos de su vigencia y oponibilidad”. Ley 527 de 1999 (Particularmente los artículos 30, numeral 6, y 32, literales c y g). “Artículo 30. Actividades de las entidades de certificación. Las entidades de certificación autorizadas por la Superintendencia de Industria y Comercio para prestar sus servicios en el país, podrán realizar, entre otras, las siguientes actividades: http://www.secret ariasenado.gov.co /leyes/L0527_99. HTM (ú.a. 24/09/08). Página 70 de 197 A partir de su publicación, en el diario oficial, agosto 21 de 1999. Congreso de la República de Colombia. DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente http://www.secret ariasenado.gov.co /leyes/L0555000. HTM A partir de su publicación, en el diario oficial, febrero 7 de 2000. Congreso de la República de Colombia. (…) “6. Ofrecer los servicios de archivo y conservación de mensajes de datos. (…) “Artículo 32. Deberes de las entidades de certificación. Las entidades de certificación tendrán, entre otros, los siguientes deberes: (…) “c) Garantizar la protección, confidencialidad y debido uso de la información suministrada por el suscriptor. (…) “g) Suministrarla información que le requieran las entidades administrativas competentes o judiciales en relación con las firmas digitales y certificados emitidos y en general sobre cualquier mensaje de datos que se encuentre bajo su custodia y administración”. Ley 555 de 2000 “Por la cual se regula la prestación de los Servicios de Comunicación Personal, PCS y se dictan otras disposiciones. (…) ARTICULO 17. REGIMEN PROTECCION AL USUARIO DE (ú.a. 24/09/08). (…) PARAGRAFO 2o. Los operadores de todos los servicios móviles de telecomunicaciones sólo podrán almacenar y registrar datos que, según las normas o pautas que fije la Comisión de Regulación de Telecomunicaciones, y de conformidad con el artículo 15 de la Constitución, se consideren estrictamente relevantes para evaluar el perfil económico de sus Página 71 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente titulares. Los datos personales que recojan y sean objeto de tratamiento deben ser pertinentes, exactos y actualizados de modo que correspondan verazmente a la situación real de su titular. <Aparte subrayado CONDICIONALMENTE exequible> Cualquier daño causado con violación de esta norma dará lugar a la indemnización de perjuicios según las reglas civiles de la responsabilidad, sin perjuicio de la procedencia de la acción de tutela para proteger el derecho fundamental a la intimidad personal (Corte ConstitucionalAparte subrayado declarado CONDICIONALMENTE EXEQUIBLE por la Corte Constitucional mediante Sentencia C-887-02 de 22 de octubre de 2002, Magistrada Ponente Dra. Clara Inés Vargas Hernández, "bajo el entendido que no excluyen la protección de otros derechos fundamentales mediante el ejercicio de la acción de tutela)”. Ley 594 de 2000 Ley General de Archivos, señala las políticas de retención de documentos, los conceptos relacionados con la labor de archivo, así como el carácter vinculante del postulado de unidad documental que debe reflejar todo archivo. http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=4275 A partir de su publicación, en el diario oficial, julio 14 de 2000. Congreso de la República de Colombia. Rige a partir de su promulgación, julio 06 de 2000. Congreso de la República A partir de su promulgación, septiembre 11 de 2000. Congreso de la República de Colombia. (ú.a. 24/09/08). Ley 588 de 2000 Notarias y Consulados pueden convertirse en entidades de certificación, a la vez que utilizar todos los medios magnéticos o electrónicos que requieran para el archivo de la información. http://www.secret ariasenado.gov.co /leyes/L0588000. HTM (ú.a. 24/09/08). Decreto 1747 de 2000 (Particularmente el artículo 25). “ARTÍCULO 25. INFORMACIÓN. Las entidades de certificación estarán obligadas a respetar las condiciones de confidencialidad y seguridad, de acuerdo con las normas vigentes http://www.minco mercio.gov.co/eCo ntent/documentos /normatividad/dec retos/decreto_174 7_2000.pdf (ú.a. 24/09/08). Página 72 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente respectivas. “Salvo la información contenida en el certificado, la suministrada por los suscriptores a las entidades de certificación se considerará privada y confidencial”. Ley 679 de 2001 Estatuto para prevenir y contrarrestar la explotación, pornografía y turismo sexual en menores de edad, para lo cual se crea la Comisión de expertos en redes globales de información y telecomunicaciones. Prevé la posibilidad de que existe un sistema de autorregulación y códigos de conducta eficaces en el manejo y aprovechamiento de redes. http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=18309 Rige a partir de su promulgación, Agosto 04 de 2001. Congreso de la República Rige a partir de su promulgación, agosto 05 de 2002. Congreso de la República de Colombia. Rige a partir de su publicación, diciembre 13 de 2004. Presidencia de la República de Colombia. (ú.a. 24/09/08). Establece un régimen de prohibiciones y deberes para proveedores o servidores, administradores y usuarios de redes globales. Ley 766 de 2002, por medio de la cual se aprueba la Convención sobre Asistencia en caso de accidente nuclear. “Artículo 6. Confidencialidad Declaraciones Públicas. y “1. El Estado solicitante y la parte que preste asistencia deberán proteger el carácter confidencial de toda información confidencial que llegue a conocimiento de cualquiera de los dos en relación con la asistencia en caso de accidente nuclear o emergencia radiológica. Esa información se usará exclusivamente con el fin de la asistencia convenida. http://www.secret ariasenado.gov.co /leyes/L0766002. HTM (ú.a. 24/09/08). “2. La parte que preste la asistencia hará todo lo posible por coordinar con el Estado solicitante antes de facilitar al público información sobre la asistencia prestada en relación con un accidente nuclear o emergencia radio lógica”. Decreto 2004. Reglamentario 4124 de Reglamenta parcialmente la Ley 594 de 2000 “por medio de la cual se dicta la Ley General de Archivos y se dictan otras disposiciones”, así como disposiciones en materia de archivos privados. http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=15442#0 (ú.a. 24/09/08). Página 73 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Ley 964 de 2005 Resumen Enlace documento Vigencia y Aplicación Fuente El artículo séptimo de la ley crea el Sistema Integral de Información del Mercado de Valores. http://web.minjust icia.gov.co/normas /2005/l9642005.ht m A partir de su promulgación, julio 08 de 2005. Congreso de la República de Colombia. Aún no ha entrado en vigencia. Congreso de la República. (ú.a. 24/09/08). Proyecto de Ley Estatutaria 221 de 2006 Cámara, 027 de 2006 Senado. Texto definitivo al proyecto de ley estatutaria 221 de 2006 cámara, 027 de 2006 senado, por la cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. http://www.habea sdata.com.co/pdf/ proyectoactual/Te xtodefinitivo0806-07.pdf (ú.a. 24/09/08). Ley 1236 de 2008, por medio de la cual se modifican algunos artículos del Código Penal, relativos a delitos de abuso sexual. Mediante el artículo 13 de la presente ley, se dispuso la penalización de la conducta consiste en utilización o facilitación de medios de comunicación tales como, el correo tradicional, las redes globales de información, o cualquier otro medio de comunicación para obtener contacto sexual con menores o para ofrecer servicios sexuales con estos. http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=31612 La norma se encuentra en la H. Corte Constitucional surtiendo el trámite de control previo de Constitucionalidad en razón a su jerarquía de ley Estatutaria. Rige a partir de su promulgación, julio 23 de 2008. Congreso de la República (ú.a. 24/09/08). 4.2.1.2.2. Jurisprudencia Colombiana en Materia de Protección de Información del Individuo y Habeas Data Nombre Documento Sentencia T- 414 de 1992 Resumen Enlace documento En cuanto al derecho fundamental al habeas data o a la autodeterminación informática, en diversas oportunidades la jurisprudencia de esta Corporación se ha referido a la naturaleza fundamental de este derecho, el cual comporta un plexo de facultades tales como la de disponer de la http://web.minjust icia.gov.co/jurispr udencia/CorteCons titucional/1992/Tu tela/T-414-92.htm Página 74 de 197 Vigencia y Aplicación Junio 16 de 1992 Fuente Corte Constitucional DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento información sobre sí mismo, la de preservar la propia identidad informática, es decir, permitir, controlar o rectificar los datos concernientes a la personalidad del titular de los mismos y que, como tales, lo identifican e individualizan ante los demás Sentencia T-577 de 1992. Sentencia T-110 de 1993. Sentencia SU-082 de 1995 “La creación y utilización de bancos de datos - entre ellos los financieros - es constitucional siempre que exista una adecuada proporcionalidad entre el medio empleado y sus efectos reales sobre los derechos fundamentales del titular del dato, en particular sobre los derechos a conocer, actualizar y rectificar la información en ellos recogida. Constituye un uso desproporcionado del poder informático y, en consecuencia, un abuso del respectivo derecho, el registro, conservación o circulación cualquiera sea la forma en que se haga - de datos de una persona más allá del término legalmente establecido para ejercer las acciones judiciales con miras al cobro de las obligaciones, causando con ello ingentes perjuicios al deudor como resultado de su exclusión indefinida del sistema financiero, el cual debe respetar la efectividad de los derechos fundamentales de la persona”. “La actualización a que se tiene derecho según la Carta Política significa, en casos como el considerado, que una vez producido voluntariamente el pago, la entidad, que disponía del dato pierde su derecho a utilizarlo y, por tanto, carece de razón alguna que siga suministrando la información en torno a que el individuo es o fue deudor moroso. Cabe la tutela contra particulares para proteger, entre otros, los derechos consagrados en el artículo 15 de la Constitución y de manera expresa contempla la viabilidad de la acción cuando la entidad privada sea aquélla contra quien se hubiere hecho la solicitud en ejercicio del "Habeas data". Analiza la colisión entre el derecho a la información y el derecho al buen nombre, dejando por sentado que en ningún momento son antagónicos pues el buen nombre guarda estrecha relación con los actos de la persona y lo reprochable es que una vez cesada la situación fáctica, ésta continúe en una base de datos. Vigencia y Aplicación Fuente (ú.a. 24/09/08). A partir de su promulgación, octubre 28 de 1992. http://web.minjust icia.gov.co/jurispr udencia/CorteCons titucional/1992/Tu tela/T-577-92.htm Corte Constitucional de Colombia. (ú.a. 24/09/08). A partir de su promulgación, marzo 18 de 1993. Corte Constitucional de Colombia. http://web.minjust icia.gov.co/jurispr udencia/CorteCons titucional/1993/Tu tela/T-110-93.htm (ú.a. 24/09/08). A partir de su promulgación, marzo 1 de 1995. http://www.adalid abogados.com/Se ntenciaNSU08295. pdf Igualmente, se analiza el tema de la caducidad de los datos, manifestando que es un aspecto que corresponde al legislador. Sin embargo, dada la ausencia Página 75 de 197 Corte Constitucional de Colombia. DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento normativa actual, se establece un término de 2 años contados a partir de la terminación de la situación, y tratándose de procesos ejecutivos será de 5 años (Ó 2 años si se sufragó la obligación con el mandamiento de pago). Sentencia T-552 de 1997 “El derecho a la intimidad es un derecho disponible. Ciertas personas, según su criterio, pueden hacer públicas conductas que otros optarían por mantener reservadas. Así mismo, en el desarrollo de la vida corriente, las personas se ven impelidas a sacrificar parte de su intimidad como consecuencia de las relaciones interpersonales que las involucran. En otros casos, son razones de orden social o de interés general o, incluso, de concurrencia con otros derechos como el de la Vigencia y Aplicación Fuente (ú.a. 24/09/08). Octubre 30 de 1997 http://web.minjust icia.gov.co/jurispr udencia/CorteCons titucional/1997/Tu tela/T-552-97.htm Página 76 de 197 Corte Constitucional de Colombia DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento libertad de información o expresión, las que imponen sacrificios a la intimidad personal. Vigencia y Aplicación Fuente (ú. a. 29/08708) “A pesar de que en determinadas circunstancias el derecho a la intimidad no es absoluto, las personas conservan la facultad de exigir la veracidad de la información que hacen pública y del manejo correcto y honesto de la misma. Este derecho, el de poder exigir el adecuado manejo de la información que el individuo decide exhibir a los otros, es una derivación directa del derecho a la intimidad, que se ha denominado como el derecho a la "autodeterminación informativa". Sentencia C-729 de 2000 Sentencia T-729 de 2002 La regulación de aspectos inherentes al ejercicio mismo de los derechos y primordialmente la que signifique consagración de límites, restricciones, excepciones y prohibiciones, en cuya virtud se afecte el núcleo esencial de los mismos, únicamente procede, en términos constitucionales, mediante el trámite de ley estatutaria. Establece los principios en materia de administración de las bases de datos, a saber: “Principio de Libertad: Entendido como aquel postulado que permite la exclusión, valida, de una base de datos. “Principio de Finalidad: La información contenida en una base de datos solo puede ser concebida para un fin específico. http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=14517 Corte Constitucional de Colombia. A partir de su promulgación, septiembre 5 de 2002. Corte Constitucional de Colombia. (ú.a. 24/09/08). http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=9903 (ú.a. 24/09/08). “Principio de Integridad: La información debe ser inalterada en el proceso comunicativo. “Principio de Necesidad: información contenida debe funcional. Junio 21 de 2000 La ser “Clasificación de la Información: La primera gran tipología, es aquella dirigida a distinguir entre la información impersonal y la información personal. A su vez, en esta última es importante diferenciar igualmente la información personal contenida en bases de datos computarizadas o no y la información personal contenida en otros medios, como videos o fotografías, etc. “La segunda gran tipología que necesariamente se superpone con la Página 77 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento anterior, es la dirigida a clasificar la información desde un punto de vista cualitativo en función de su publicidad y la posibilidad legal de obtener acceso a la misma. En este sentido la Sala encuentra cuatro grandes tipos: la información pública o de dominio público, la información semi-privada, la información privada y la información reservada o secreta. “Así, la información pública, calificada como tal según los mandatos de la ley o de la Constitución, puede ser obtenida y ofrecida sin reserva alguna y sin importar si la misma sea información general, privada o personal. Por vía de ejemplo, pueden contarse los actos normativos de carácter general, los documentos públicos en los términos del artículo 74 de la Constitución, y las providencias judiciales debidamente ejecutoriadas; igualmente serán públicos, los datos sobre el estado civil de las personas o sobre la conformación de la familia. Información que puede solicitarse por cualquier persona de manera directa y sin el deber de satisfacer requisito alguno. “La información semi-privada, será aquella que por versar sobre información personal o impersonal y no estar comprendida por la regla general anterior, presenta para su acceso y conocimiento un grado mínimo de limitación, de tal forma que la misma sólo puede ser obtenida y ofrecida por orden de autoridad administrativa en el cumplimiento de sus funciones o en el marco de los principios de la administración de datos personales. Es el caso de los datos relativos a las relaciones con las entidades de la seguridad social o de los datos relativos al comportamiento financiero de las personas. “La información privada, será aquella que por versar sobre información personal o no, y que por encontrarse en un ámbito privado, sólo puede ser obtenida y ofrecida por orden de autoridad judicial en el cumplimiento de sus funciones. Es el caso de los libros de los comerciantes, de los documentos privados, de las historias clínicas o de la información extraída a partir de la inspección del domicilio. “Finalmente, encontramos la información reservada, que por versar igualmente sobre información personal y sobretodo por su estrecha relación con los derechos Página 78 de 197 Vigencia y Aplicación Fuente DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente fundamentales del titular - dignidad, intimidad y libertad- se encuentra reservada a su órbita exclusiva y no puede siquiera ser obtenida ni ofrecida por autoridad judicial en el cumplimiento de sus funciones. Cabría mencionar aquí la información genética, y los llamados 32 "datos sensibles" o relacionados con la ideología, la inclinación sexual, los hábitos de la persona, etc”. Sentencia C-692 de 2003 Derecho a la intimidad, alcance, no es absoluto, disponibilidad, protección constitucional, inviolabilidad e interceptación de comunicación privada, clasificación de la información http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=21852 Agosto 12 de 2003 Corte Constitucional de Colombia A partir de su promulgación, octubre 28 de 2005. Corte Constitucional de Colombia. Mayo 09 de 2007 Corte Constitucional de Colombia. Información publica, definición (ú.a. 24/09/08). Sentencia T-1105 de 2005. Postula que los contratos laborales deben incluir una cláusula en materia de condiciones en que se puede recuperar un archivo de información, debido a la obsolescencia del formato y duración del soporte físico. Es un aspecto que guarda íntima relación con el principio de archivo y conservación presente en el comercio electrónico. http://www.adalid abogados.com//Se ntenciat1105%200 5.pdf (ú.a. 24/09/08). Sentencia C-336 de 2007. La búsqueda selectiva de información confidencial en bases de datos puede afectar los derechos fundamentales a la intimidad y al habeas data. No obstante la Corporación ha reconocido también que el derecho a la intimidad no es absoluto. En este sentido, la Corte ha establecido que el derecho fundamental a la intimidad "puede ser objeto de limitaciones" restrictivas de su ejercicio "en guarda de un verdadero interés general que responda a los presupuestos establecidos por el artículo 1º de la Constitución", sin que por ello se entienda que pueda http://www.alcaldi abogota.gov.co/sis jur/consulta_tema tica.jsp (ú.a. 24/09/08). Página 79 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente desconocerse su núcleo esencial. Sentencia Corte Suprema de Justicia, Sala de Casación Civil, Expediente 05001-22-03-000-2007 00230-01 de septiembre 4 de 2007. Establece el carácter de herramienta de trabajo que ostenta el correo electrónico corporativo. Sin embargo, aclara que la información personal no deja de serlo por estar allí contenida; Razón por la cual empresario y trabajador deben tomar las medidas de protección adecuadas. A partir de su promulgación, septiembre 4 de 2007. http://www.adalid abogados.com/cor tesuprema.pdf Corte Suprema de Justicia, sala de Casación Civil. M.P.: Arturo Solarte Rodríguez (ú.a. 24/09/08). 4.2.1.3. Relación documentada de avances de Colombia en materia normativa en seguridad informática Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente Ley Estatutaria de la Administración de Justicia, 270 de 1996 Mediante el artículo 95 de la mencionada norma, se establece la posibilidad para que la tecnología se ponga al servicio de la administración de justicia, mediante su uso adecuado. http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=6548 A partir de su promulgación, marzo 15 de 1996. Congreso de la República “ARTICULO 95. TECNOLOGIA AL SERVICIO DE LA ADMINISTRACION DE JUSTICIA El Consejo Superior de la Judicatura debe propender por la incorporación de tecnología de avanzada al servicio de la administración de justicia. Esta acción se enfocará principalmente a mejorar la práctica de las pruebas, la formación, conservación y reproducción de los expedientes, la comunicación entre los despachos y a garantizar el funcionamiento razonable del sistema de información. (ú.a. 24/09/08). “Los juzgados, tribunales y corporaciones judiciales podrán utilizar cualesquier medios técnicos, electrónicos, informáticos y telemáticos, para el cumplimiento de sus funciones. “Los documentos emitidos por los citados medios, cualquiera que sea su soporte, gozarán de la validez y eficacia de un documento original siempre que quede garantizada su autenticidad, integridad y el cumplimiento de los requisitos exigidos por las leyes procesales. Página 80 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente “Los procesos que se tramiten con soporte informático garantizarán la identificación y el ejercicio de la función jurisdiccional por el órgano que la ejerce, así como la confidencialidad, privacidad, y seguridad de los datos de carácter personal que contengan en los términos que establezca la ley”. Ley 527 de 1999 Mediante esta ley se incorporó al ordenamiento jurídico interno la ley modelo de UNCITRAL, en materia de acceso y uso de mensajes de datos, comercio electrónico, firmas digitales y el establecimiento de entidades de certificación http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=4276 A partir de la fecha de su promulgación, agosto 21 de 1999 Congreso de la República A partir de su promulgación, septiembre 14 de 2000 Presidencia de la República de Colombia. A partir de su promulgación, octubre 26 de 2000 Superintenden cia de Industria y Comercio A partir de su promulgación, julio 24 de 2002. Presidencia de la República (ú.a. 24/09/08). Decreto Nacional 1747 de 2000 Reglamentario de la ley 527 de 1999, especialmente en lo relacionado con entidades de certificación, certificados y firmas digitales http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=4277#1 (ú.a. 24/09/08). Resolución 26930 de 2000 Establece estándares para la autorización y funcionamiento de las entidades de certificación y sus auditores http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=5793 (ú.a. 24/09/08). Decreto 1524 de 2002 El presente decreto tiene por objeto reglamentar el artículo 5° de la Ley 679 de 2001, con el fin de establecer las medidas técnicas y administrativas destinadas a prevenir el acceso de menores de edad a cualquier modalidad de información pornográfica contenida en Internet o en las distintas clases de redes informáticas a las cuales se tenga acceso mediante redes globales de información. http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=5551 (ú.a. 24/09/08). Así mismo a propender para que estos medios no sean aprovechados con fines de explotación sexual infantil u ofrecimiento de servicios Página 81 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente comerciales que impliquen abuso sexual con menores de edad. Acuerdo Distrital 184 de 2005 Decreto Distrital 317 de 2006. Plan Maestro de Telecomunicaciones de Bogotá D.C. Por medio del cual se dictan normas sobre el funcionamiento de los establecimientos que prestan el servicio de internet en Bogotá, D.C y se establece en cabeza de los mencionados establecimientos la obligación de dotar los equipos de computo con los dispositivos tecnológicos requeridos a fin de proteger la integridad de los menores que hacen uso del servicio, específicamente en cuanto al uso de material pornográfico nocivo. http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=18557 Políticas, objetivos, estrategias, planes, proyectos, metas, entre otros asuntos, relacionados con las TIC en Bogotá D.C. http://www.alcaldi abogota.gov.co/sis jur/consulta_tema tica.jsp A partir de la fecha de su promulgación, diciembre 15 de 2005. Concejo de Bogotá D.C. A partir de la fecha de su promulgación, agosto 18 de 2006. Alcaldía Mayor de Bogotá D.C. (ú.a. 24/09/08). (ú.a. 24/09/08). 4.2.1.4. Relación documentada de iniciativas y experiencias nacionales e internacionales en protección de información del individuo y habeas data Nombre Documento Resumen Enlace documento Declaración Universal de Derechos Humanos Proscribe en el artículo 12 cualquier tipo de injerencia en la vida personal, familiar, honra y reputación de todo ser humano. Estableciendo la obligación de proteger tales derechos por medio de ley http://daccessdds. un.org/doc/RESOL UTION/GEN/NR0/0 46/82/IMG/NR004 682.pdf?OpenElem ent Vigencia y Aplicación Fuente Diciembre 10 de 1948 Organización de las Naciones Unidas –ONU- Noviembre 22 de 1969 Organización de Estados Americanos (ú.a. 24/09/08). Convención Americana sobre Derechos Humanos, Pacto de San José de Costa Rica Estable en el artículo 11 el derecho a la honra y reconocimiento de la dignidad humana, estableciendo que nadie podrá ser objeto de injerencias arbitrarias en su vida privada, o en su correspondencia, ni de ataques ilegales contra su honra http://www.oas.or g/Juridico/spanish /tratados/b32.html Página 82 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente o reputación. (ú.a. 24/09/08). Pacto Internacional Civiles y Políticos de Derechos Establece en el artículo 18 que nadié podrá ser objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación. http://www.unhch r.ch/spanish/html/ menu3/b/a_ccpr_s p.htm Octubre 26 de 1969 Organización de las Naciones Unidas –ONU- Abril 25 de 1976 Asamblea Constituyente 1978. Asamblea Constituyente Diciembre 14 de 1990. Asamblea General de la Organización de las Naciones Unidas (ú.a. 24/09/08). Constitución Portuguesa de 1976 En el artículo 35 de la Carta se reconoce el derecho a todo ciudadano de consultar lo que conste en registros mecanográficos acerca de ellos, pudiendo exigir la actualización y rectificación de datos. http://www.adalid abogados.com/por tuguesa.pdf (ú.a. 24/09/08). Constitución Española de 1978 Mediante el artículo 18 de la Carta se reconoce el derecho al Honor y a la intimidad personal, y el secreto de las comunicaciones, estableciendo en cabeza del legislador la obligación de limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar. http://www.adalid abogados.com/esp anola.pdf (ú.a. 24/09/08). “Directrices para la regulación de los archivos de datos personales informatizados, adoptadas mediante Resolución 45/95 de la Asamblea General de la Organización de las Naciones Unidas”. Establece una serie de postulados aplicables a los archivos, públicos y privados, manuales y automatizados, a saber: “Principios relativos a las garantías mínimas que deben prever las legislaciones nacionales (principio de legalidad, lealtad, exactitud, especificación de la finalidad, acceso de la persona interesada, no discriminación, seguridad). http://www.adalid abogados.com/con venio108.pdf (ú.a. 24/09/08). “Aplicación de la directrices a archivos de datos personales mantenidos por organizaciones Página 83 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente internacionales gubernamentales”. Convenio 108 del Consejo de Europa Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. http://www.apdcat .net/media/246.pd f Enero 28 de 1981 Consejo de Europa Octubre 24 de 1995. Parlamento Europeo y del Consejo de Europa (ú.a. 24/09/08). DIRECTIVA PARLAMENTO CONSEJO. 95/46/CE EUROPEO Y DEL DEL “Relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos http://eurlex.europa.eu/Lex UriServ/LexUriSer v.do?uri=CELEX:3 1995L0046:ES:NO T (…) “Artículo 1. Objeto de la Directiva. (ú.a. 24/09/08). “1. Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales. “2. Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1)”. Ley de Libertad de Información (Freedom of Information Act –FOIA). Régimen en materia de práctica de acceso, uso y preservación de la información, a cargo de las dependencias gubernamentales. http://mexico.use mbassy.gov/bbf/bf dossier_FOIA_acta .pdf Noviembre 1 de 1996. Congreso de los Estados Unidos de América- (ú.a. 24/09/08). Ley 19628 de 1999, Chile. Tratamiento de datos personales en registros o bancos de datos por organismos públicos o particulares http://www.adalid abogados.com/ley 19.pdf Página 84 de 197 Agosto de 1999 Congreso Nacional de Chile DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente (ú.a. 24/09/08). Ley Orgánica 15 de 1999, España. Ley 25326 de 2000, Argentina. Tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. http://www.adalid abogados.com/Ley 15.pdf Principios generales relativos a la protección de datos. Derechos de los titulares de datos. Usuarios y responsables de archivos, registros y bancos de datos. Control. Sanciones. Acción de protección de los datos personales. http://www.adalid abogados.com/ley 25326.pdf Diciembre de 1999 Cortes Generales Octubre de 2000 Poder Legislativo Enero de 2001 Parlamento Europeo y Consejo de la Unión Europea Enero de 2002 Congreso de la Unión. Marzo 15 de 2006. Parlamento Europeo y Consejo de la Unión Europea. (ú.a. 24/09/08). (ú.a. 24/09/08). Reglamento 45 de 2001 del Parlamento Europeo y del Consejo de la Unión Europea de Diciembre de 2000 Ley para regular las sociedades de información crediticia Tratamiento de datos personales por parte de todas las instituciones y organismos comunitarios y libre circulación de los mismos, en la medida en que dicho tratamiento se lleve a cabo para el ejercicio de actividades que pertenecen al ámbito de aplicación del Derecho comunitario http://europa.eu/e urlex/pri/es/oj/dat/2 001/l_008/l_0082 0010112es000100 22.pdf Tiene por objeto regular la constitución y operación de las sociedades de información crediticia. http://www.adalid abogados.com/ley sociedades.pdf (ú.a. 24/09/08). (ú.a. 24/09/08). DIRECTIVA 2006/24/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO. “Sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE”. http://eurlex.europa.eu/Lex UriServ/LexUriSer v.do?uri=OJ:L:200 6:105:0054:0063: ES:PDF (ú.a. 24/09/08). ABREVIATURAS ú.a. = Último Acceso. Página 85 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3. DIAGNÓSTICO 3: INICIATIVAS INTERNACIONALES EN CSIRTs 4.3.1. Y EXPERIENCIAS NACIONALES E Introducción Con el rápido desarrollo de internet, las diferentes entidades del país son cada vez más dependientes del uso de redes públicas, volviendo crítica la productividad y estabilidad de las infraestructuras nacionales que componen esta nueva e-economía emergente y que así mismo, es urgente proteger. Los ataques contra las infraestructuras computacionales están aumentando de frecuencia, en sofisticación y en escala. Esta amenaza cada vez mayor requiere un acercamiento y colaboración con las varias organizaciones públicas, privadas y la academia, que tomen el papel de liderazgo y coordinación con el apoyo total del gobierno tanto a nivel central como territorial. Para tratar esta necesidad urgente, se propone el establecimiento de un grupo llamado CERT Colombia que tendría un foco operacional en la atención de emergencias de seguridad informática para las transacciones en línea del país, con una permanente colaboración nacional e internacional. Cómo consultar este capítulo: Este documento presenta de manera general y práctica como se estructura el CSIRT Colombiano, incluyendo los siguientes aspectos: • Se incluye un marco de referencia donde se define lo que es un CSIRT, los beneficios que trae contar con uno y se hace una relación de algunas iniciativas y experiencias nacionales e internacionales consideradas para el desarrollo de este documento. • Se presenta la definición general del CSIRT, el tipo de entidad que se recomienda constituir, su misión, visión, objeto social, representación legal, la relación con otras entidades y el portafolio de potenciales productos y los objetivos y metas estratégicos definidos para su adecuado control y gestión. • Se considera un potencial portafolio de productos y servicios que hagan auto sostenible la operación el CSIT Colombiano. • Se definen las políticas, procesos y procedimientos que sostengan la operación de la entidad, haciendo una articulación del modelo de seguridad con la NTC-GP 1000, MECI e ISO 9000. • Se desarrolla un plan de mercadeo a cinco años que permita lograr el posicionamiento del CSIRT Colombiano en la industria de la seguridad informática tanto a nivel nacional como internacional. Página 86 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Se incluye un plan de gestión humana considerando una estructura organizacional propuesta, las competencias requeridas para cada rol, el modelo de contratación y Capacitación del talento humano del CSIRT Colombiano. • Se define un plan de tecnología considerando el software, el hardware, las redes y comunicaciones necesarios para soportar la operación de los procesos definidos. • Se establece una estrategia de implementación considerando los diferentes grupos o universos objetivos y las fases requeridas para cada grupo con sus incentivos, cronogramas, costos. • Se define el plan financiero donde se considera una política de inversiones y de financiación, una estrategia de costos, inversiones y funcionamiento y un modelo de ingresos. • Se identifican las oportunidades de exportación de los productos y servicios establecidos, para afianzar el posicionamiento internacional y la auto sostenibilidad del negocio. 4.3.2. QUÉ ES UN CSIRT El término CSIRT significa Computer Security Incident Response Team (Equipo de Respuesta a Incidentes de Seguridad Informática), y ha sido acuñado respondiendo simultáneamente a diferentes abreviaturas usadas para denotar a nivel mundial este tipo de equipos: • CSIRT (Computer Security Incident Response Team / Equipo de Respuesta a Incidentes de Seguridad Informática): Término usado en Europa. • CERT o CERT/CC (Computer Emergency Response Team / Coordination Center, equipo de respuesta a emergencias informáticas / Centro de coordinación): Término registrado en los Estados Unidos de América por el CERT Coordination Center (CERT/CC). • IRT (Incident Response Team / Equipo de respuesta a incidentes). • CIRT (Computer Incident Response Team / Equipo de respuesta a incidentes informáticos). • SERT (Security Emergency Response Team / Equipo de respuesta a emergencias de seguridad). Un CSIRT es un equipo de expertos en seguridad informática que pretenden responder a los incidentes de seguridad relacionados con la tecnología de la información y a recuperarse después de sufrir uno de estos incidentes. Para minimizar los riesgos también se ofrecen servicios preventivos y educativos relacionados con vulnerabilidades de software, hardware o comunicaciones y se informa a la comunidad sobre los potenciales riesgos que toman ventaja de las deficiencias de la seguridad. Página 87 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.3. ANTECEDENTES Durante la segunda mitad de los años ochenta se vio la red Arpanet salir de la fase de I&D y convertirse en una realidad práctica bajo el impulso del mundo universitario y desarrollada por el DoD (el Departamento de Defensa estadounidense). La eficacia y la constante mejora de los distintos servicios, entre los cuales se cuenta el correo electrónico, rápidamente hicieron que esta red sea indispensable para numerosos sitios. En noviembre de 1988, un estudiante de la Universidad de Cornell lanzó en esta red un programa que se propagaba y se replicaba solo. Este programa, conocido con el nombre de “gusano de Internet”, aprovechaba distintos fallos de seguridad del sistema Unix (el sistema operativo de la mayoría de los ordenadores conectados en la red). Aunque no fue programado con malas intenciones, este primer virus informático, se propagó rápidamente obstruyendo al mismo tiempo las máquinas infectadas por múltiples copias del gusano. En ese entonces, la red constaba de aproximadamente 60.000 ordenadores. Con sólo el 3 o 4 % de las máquinas contaminadas, la red estuvo totalmente indisponible durante varios días, hasta que se tomaron medidas cautelares (incluyendo la desconexión de numerosas máquinas de la red). Para eliminar este “gusano de Internet”, se creó un equipo de análisis ad hoc con expertos del MIT, de Berkley, Purdue. Se reconstituyó y analizó el código del virus, lo cual permitió, por una parte, identificar y corregir los fallos del sistema operativo, y por otra parte, desarrollar y difundir mecanismos de erradicación. Después de este incidente, el director de obras de Arpanet, la DARPA (Defense Advanced Research Projects Agency), decidió instalar una estructura permanente, el CERT Coordination Center (CERT/CC) parecido al equipo reunido para resolver el incidente. Este incidente actuó como una alarma e impulsó la necesidad de cooperación y coordinación multinacional para enfrentarse este tipo de casos. En este sentido, la DARPA (Defence Advanced Research Projects Agency / Agencia de Investigación de Proyectos Avanzados de Defensa) creó el primer CSIRT: El CERT Coordination Center (CERT/CC1), ubicado en la Universidad Carnegie Mellon, en Pittsburgh (Pensilvania, USA). Poco después el modelo se adoptó en Europa, y en 1992 el proveedor académico holandés SURFnet puso en marcha el primer CSIRT de Europa, llamado SURFnet-CERT2. El número de CSIRTs continuó creciendo, cada uno con su propio propósito, financiación, divulgación y área de influencia. La interacción entre estos equipos experimentó dificultades debido a las diferencias en lengua, zona horaria y estándares o convenciones internacionales. Siguieron otros muchos equipos, y en la actualidad existen más de 100 1 CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute - Carnegie Mellon University. Autor: No determinado 2 SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx. U.A: 2008/09/26. Publicado por: SURFnet network. Autor: No determinado Página 88 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA equipos reconocidos alrededor del mundo. Con el tiempo, los CERT ampliaron sus capacidades y pasaron de ser una fuerza de reacción a prestadores de servicios de seguridad completos que incluyen servicios preventivos como alertas, avisos de seguridad, formación y servicios de gestión de la seguridad. Pronto el término “CERT” se consideró insuficiente, y a finales de los años noventa se acuñó el término “CSIRT”. En la actualidad, ambos términos (CERT y CSIRT) se usan como sinónimos. Internet comenzó su vertiginoso crecimiento y muchas compañías comenzaron a confiar en Internet sus transacciones diarias. Así mismo, los CSIRTs continuaron creciendo alrededor del globo, soportando gobiernos enteros u organizaciones multinacionales. Desde ese entonces, Internet ha seguido creciendo hasta llegar a ser la red que se conoce actualmente, con una multiplicación rápida de las máquinas conectadas (varios millones) y de las fuentes de agresión. 4.3.4. BENEFICIOS DE CONTAR CON UN CSIRT Disponer de un equipo dedicado a la seguridad de las TI ayuda a las organizaciones a mitigar y evitar los incidentes graves y a proteger su patrimonio. Otros posibles beneficios son: • Disponer de una coordinación centralizada para las cuestiones relacionadas con la seguridad de las TI dentro de la organización (punto de contacto). • Reaccionar a los incidentes relacionados con las TI y tratarlos de un modo centralizado y especializado. • Tener al alcance de la mano los conocimientos técnicos necesarios para apoyar y asistir a los usuarios que necesitan recuperarse rápidamente de algún incidente de seguridad. • Tratar las cuestiones jurídicas y proteger las pruebas en caso de pleito. • Realizar un seguimiento de los progresos conseguidos en el ámbito de la seguridad. • Fomentar la cooperación en la seguridad de las TI entre los clientes del grupo atendido (sensibilización). 4.3.5. ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL MUNDO En la actualidad existen múltiples organizaciones que usan el nombre CERT - Computer Emergency Response Team (Equipo de Respuesta a Emergencias de Computación) o CSIRT (término genérico de significado equivalente). A continuación se presentan algunas de estas experiencias como primer paso fundamental para la definición de una propuesta de creación del CSIRT Colombiano (ú.a = 30/09/2008). Página 89 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre del Documento CSIRT – Handbook CSIRT FAQ Incident Management Capability Metrics Incident Management Mission Diagnostic Method State of the Practice of Computer Security Incident Response Teams The Real Secrets of Incident Management The Real Secrets of Incident Management Incident Response SHight Improving CSIRT Communication Through Standardized and Secured Information Exchange Limits to Effectiveness in Computer Security Incident Response Teams eCSIRT.net Deliverable Common Language Specification & Guideline to Application of the Common Language part (i) eCSIRT.net Deliverable1 Guideline to Application of the Common Language part (ii) Seguridad Informática para Administradores de Redes y Servidores Seguridad Informática para Administradores de Redes y Servidores Helping prevent information security risks in the transition to integrated operations State of the Practice of Computer Security Incident Response Teams (CSIRTs) Expectations for Computer Security Incident Response Site Security Handbook Guidelines for Evidence Collection and Archiving Why do I need a CSIRT? General en temas de Resumen Enlace http://www.cert.org/ CSIRT - Handbook.pdf General en temas de http://www.cert.org/ CSIRT FAQ.doc General en temas de http://www.cert.org/ General en temas de http://www.cert.org/ Teoría General en temas de CSIRT http://www.cert.org/ Teoría CSIRT Teoría CSIRT Teoría CSIRT Teoría CSIRT General en temas de http://www.cert.org/ General en temas de http://www.cert.org/ General en temas de http://www.rediris.es/cert/links/csirt.es.html 07tr008 - Incident Management Capability Metrics Version 0.1.pdf 08tr007 - Incident Management Mission Diagnostic Method, Version 1.0.pdf State of the Practice of Computer Security Incident Response Teams.pdf The Real Secrets of Incident Management.pdf The Real Secrets of Incident Management.MP3 Incident_Response_SHight.pdf General en temas de http://www.tesink.org/thesis.pdf Thesis.pdf Teoría General en temas de CSIRT https://www.cert.org/archive/pdf/Limits-toCSIRT-Effectiveness.pdf Limits-to-CSIRT-Effectiveness.pdf Teoría General en temas de CSIRT http://www.ecsirt.net/cec/service/documents /wp2-common-language.pdf wp2-common-language.pdf Teoría General en temas de CSIRT http://www.ecsirt.net/cec/service/documents /wp2-and-3-guideline.pdf wp2-and-3-guideline.pdf Teoría General en temas de CSIRT http://www.arcert.gov.ar/ncursos/material/S eg-adm-6p.pdf Seg-adm-6p.pdf Teoría General en temas de CSIRT http://www.arcert.gov.ar/cursos/seguridad_ adm/Seguridad%20para%20Administradore s.pdf http://www.telenor.com/telektronikk/volumes /pdf/1.2005/Page_029-037.pdf Seguridad%20para%20Administra dores.pdf Teoría General en temas de CSIRT http://www.rediris.es/cert/links/csirt.es.html Teoría CSIRT Teoría CSIRT Teoría CSIRT Teoría CSIRT General en temas de http://www.ietf.org/rfc/rfc2350.txt General en temas de http://www.ietf.org/rfc/rfc2196.txt 03tr001 - State of the Practice of Computer Security Incident Response Teams.pdf Expectations for Computer Security Incident Response.doc Site Security Handbook.doc General en temas de http://www.ietf.org/rfc/rfc3227.txt General en temas de http://www.terena.org/activities/tfcsirt/meeting9/jaroszewski-assistancecsirt.pdf http://www.enisa.europa.eu/cert_guide/pag es/05_01_04.htm Teoría CSIRT Teoría CSIRT Teoría CSIRT Teoría CSIRT Teoría General en temas de CSIRT Description of the different kinds of CSIRT environments Teoría General en temas de CSIRT Informe del relator del séptimo período ordinario de sesiones del Comité Interamericano Contra el Antecedentes de los CSIRT http://scm.oas.org/pdfs/2007/CICTE00188E .pdf Página 90 de 197 Fuente Page_029-037.pdf Guidelines for Evidence Collection and Archiving.doc jaroszewski-assistance-csirt.pdf Description of the different kinds of CSIRT environments.docs CICTE00188E.pdf DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre del Documento Terrorismo Adopción de una estrategia interamericana integral para combatir las amenazas a la seguridad cibernética: Un enfoque multidimensional y multidisciplinario para la creación de una cultura de seguridad cibernética Puesta en marcha del CSIRT y Gestión de Seguridad de la Información de ANTEL FIRST - Forum for Incident Response and Security Teams ENISA - European Network and Information Security Agency APCERT (Asia Pacific Computer Emergency Response Team) CERT Coordination Center de la Universidad Carnegie Mellon Alemania - CERT-Bund Arabia Saudita - CERT-SA (Computer Emergency Response Team - Saudi Arabia) Argentina - ArCERT (Computer Emergency Response Team of the Argentine Public) Australia - AusCERT (Australia Computer Emergency Response Team) Austria - CERT.at (Computer Emergency Response Team Austria) Brasil - CERT.br (Computer Emergency Response Team Brazil) Canadá - PSEPC (Public Safety Emergency Preparedness Canada) Chile – CSIRT-GOV Chile - CLCERT China - CNCERT/CC (National Computer Network Emergency Response Technical Team) Corea del Sur - KrCERT/CC (CERT Coordination Center Korea) Dinamarca – DK.CERT (Danish Computer Emergency Response Team) Emiratos Árabes Unidos – aeCERT (The United Arab Emirates Computer Emergency Response Team) España - ESCERT (Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas) España – IRIS-CERT (Universidades) Resumen Enlace Fuente Antecedentes de los CSIRT http://dgpt.sct.gob.mx/fileadmin/ccp1/redes/ doc._472-04.doc doc._472-04.doc Antecedentes de los CSIRT http://jiap.org.uy/jiap/JIAP2007/Presentacio nes%20Jiap%202007/ANTEL.pdf Antel.pdf Experiencias en el Mundo http://www.first.org/ Página Web Experiencias en el Mundo Página Web Experiencias en el Mundo http://www.enisa.europa.eu/cert_guide/dow nloads/CSIRT_setting_up_guide_ENISAES.pdf http://www.apcert.org/ Página Web Experiencias en el Mundo http://www.cert.org/ Página Web Experiencias en el Mundo Experiencias en el Mundo http://www.bsi.bund.de/certbund/ http://www.cert.gov.sa/ Página Web Página Web Experiencias en el Mundo http://www.arcert.gov.ar/ Página Web Experiencias en el Mundo http://www.auscert.org.au/ Página Web Experiencias en el Mundo www.cert.at Página Web Experiencias en el Mundo http://www.cert.br Página Web Experiencias en el Mundo http://www.psepcsppcc.gc.ca/prg/em/ccirc/index-en.asp Página Web Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo http://www.csirt.gov.cl/ http://www.clcert.cl http://www.cert.org.cn/english_web/ Página Web Página Web Página Web Experiencias en el Mundo http://www.krcert.or.kr/ Página Web Experiencias en el Mundo https://www.cert.dk/ Página Web Experiencias en el Mundo http://www.aecert.ae/ Página Web Experiencias en el Mundo http://escert.upc.edu/index.php/web/es/inde x.html Página Web Experiencias en el Mundo http://www.rediris.es/cert/ Página Web Página 91 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre del Documento España - CCN-CERT (Cryptology National Center Computer Security Incident Response Team) España - INTECO-CERT (Centro de Respuestas a Incidentes en TI para PYMES y Ciudadanos) Estados Unidos - US-CERT (United States - Computer Emergency Readiness Team) Estonia – CERT-EE Filipinas - PH-CERT (Philippines Computer Emergency Response Team) Francia-CERTA (Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) Hong Kong - HKCERT (Hong Kong Computer Emergency Response Coordination Centre) Hungría - CERT-Hungria India - CERT-In Japan - JPCERT/CC (JP CERT Coordination Center) México – UNAM-CERT Nueva Zelandia – CCIP (Centre for Critical Infrastructure Protection) Holanda - GOVCERT.NL Polonia - CERT Polska (Computer Emergency Response Team Polska) Qatar - Q-CERT (Qatar CERT) Reino Unido - GovCertUK Singapur – SingCERT (Singapore CERT) Sri Lanka – SLCERT Túnez - CERT-TCC (Computer Emergency Response Team Tunisian Coordination Center) Venezuela CERT.ve (VenCERT - Centro de Respuestas ante Incidentes Telemáticos del Sector Público) EXPERIENCIAS o antecedentes EN COLOMBIA Comité Interamericano Contra el Terrorismo de la OEA (CICTE) CSIRT COLOMBIA Resumen Experiencias en el Mundo Enlace https://www.ccn-cert.cni.es/ Fuente Página Web Experiencias en el Mundo http://www.inteco.es/rssRead/Seguridad/IN TECOCERT Página Web Experiencias en el Mundo http://www.us-cert.gov Página Web Experiencias en el Mundo Experiencias en el Mundo http://www.ria.ee/?id=28201 http://www.phcert.org/ Página Web Página Web Experiencias en el Mundo http://www.certa.ssi.gouv.fr/ Página Web Experiencias en el Mundo http://www.hkcert.org/ Página Web Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo http://www.cert-hungary.hu/ http://www.cert-in.org.in/ http://www.jpcert.or.jp/ Página Web Página Web Página Web Experiencias en el Mundo Experiencias en el Mundo http://www.cert.org.mx/index.html http://www.ccip.govt.nz/ Página Web Página Web Experiencias en el Mundo Experiencias en el Mundo http://www.govcert.nl/ http://www.cert.pl/ Página Web Página Web Experiencias Experiencias Experiencias Experiencias http://www.qcert.org www.govcertuk.gov.uk www.cpni.gov.uk http://www.singcert.org.sg/ Página Página Página Página Experiencias en el Mundo Experiencias en el Mundo http://www.cert.lk/ http://www.ansi.tn/en/about_cert-tcc.htm Página Web Página Web Experiencias en el Mundo http://www.cert.gov.ve/ Página Web Experiencias en el Mundo http://www.udistrital.edu.co/comunidad/grup os/arquisoft/colcsirt/?q=colcsirt http://www.cicte.oas.org/Rev/ES/Events/Cy ber_Events/CSIRT%20training%20course_ Colombia.asp http://www.udistrital.edu.co/comunidad/grup os/arquisoft/colcsirt/?q=colcsirt http://www.securityfocus.com/infocus/1592 Página Web http://www.cic.uiuc.edu/groups/ITSecurityW orkingGroup/archive/Report/ICAMPReport1 .pdf http://www.cic.uiuc.edu/groups/ITSecurityW orkingGroup/archive/Report/ICAMPReport2 .pdf http://www.cert.org/ ICAMPReport1.pdf en en en en el el el el Mundo Mundo Mundo Mundo Experiencias en el Mundo Experiencias en Colombia Developing an Effective Incident Cost Analysis Mechanism Incident Cost Analysis and Modeling Project Aspectos Financieros de un CSIRT Incident Cost Analysis and Modeling Project I-CAMP II Defining Incident Aspectos Financieros de un CSIRT Aspectos Financieros de un CSIRT Procesos de un CSIRT Página 92 de 197 Web Web Web Web ENISA work_programme_2006.pdf CSIRT COLOMBIA.doc Developing an Effective Incident Cost Analysis Mechanism.doc ICAMPReport2.pdf 04tr015 - Defining Incident - DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre del Documento Management Processes for CSIRTs Benchmarking CSIRT work Processes How to Design a Useful Incident Response Policy Effectiveness of Proactive CSIRT Services Recommended Internet Service Provider Security Services and Procedures CSIRT Services List ENISA - Possible services that a CSIRT can deliver Organizational Models for Computer Security Incident Response Teams (CSIRTs) Organizational Models for Computer Security Incident Response Teams Staffing Your Computer Security Incident Response Team CERT-FI First 12 months A step-by-step approach on how to set up a CSIRT Steps for Creating National CSIRTs Action List for Developing a CSIRT ENISA - Cómo crear un CSIRT paso a paso Resumen Procesos de un CSIRT Procesos de un CSIRT Enlace http://www.hig.no/index.php/content/downlo ad/3302/70468/file/Kj%C3%A6rem%20%20Benchmarking%20CSIRT%20work%20 processes.pdf http://www.securityfocus.com/infocus/1467 Productos y Servicios de un CSIRT Productos y Servicios de un CSIRT http://www.first.org/conference/2006/papers /kossakowski-klaus-papers.pdf http://www.ietf.org/rfc/rfc3013.txt Productos y Servicios de un CSIRT Productos y Servicios de un CSIRT Estructura de un CSIRT http://www.cert.org/ Estructura de un CSIRT http://www.sei.cmu.edu/publications/docum ents/03.reports/03hb001/03hb001chap07.ht ml http://www.cert.org/ Estructura de un CSIRT Modelo CSIRT Modelo CSIRT Modelo CSIRT Modelo CSIRT Modelo CSIRT de Negocio de un de Negocio de un de Negocio de un de Negocio de un de Negocio de un http://www.enisa.europa.eu/cert_guide/pag es/05_02.htm http://www.rediris.es/cert/links/csirt.es.html http://www.terena.org/activities/tfcsirt/meeting8/huopio-certfi.pdf http://www.enisa.europa.eu/doc/pdf/delivera bles/enisa_csirt_setting_up_guide.pdf http://www.cert.org/archive/pdf/NationalCSI RTs.pdf http://www.cert.org/ http://www.enisa.europa.eu/cert_guide/dow nloads/CSIRT_setting_up_guide_ENISAES.pdf Fuente Management Processes for CSIRTs.pdf Kjærem - Benchmarking CSIRT work processes.pdf How to Design a Useful Incident Response Policy.doc kossakowski-klaus-papers.pdf Recommended Internet Service Provider Security Services and Procedures.doc CSIRT-services-list.pdf ENISA - Possible services that a CSIRT can deliver.doc 03hb001 - Organizational Models for Computer Security Incident Response Teams (CSIRTs) Organizational Models for Computer Security Incident Response Teams.doc Staffing Your Computer Security Incident Response Team.doc huopio-certfi.pdf enisa_csirt_setting_up_guide.pdf NationalCSIRTs.pdf Action List for Developing a CSIRT.pdf CSIRT_setting_up_guide_ENISAES.pdf 4.3.5.1. FIRST - Forum for Incident Response and Security Teams3 4.3.5.1.1. Antecedentes El Foro de Equipos de Seguridad para Respuesta a Incidentes - FIRST es la primera organización global reconocida en respuesta a incidentes, tanto de manera reactiva como proactiva. FIRST fue formado en 1990 en respuesta al problema del gusano de internet que atacó en 1988. Desde entonces, ha continuado creciendo y desarrollándose en respuesta a las necesidades que cambiaban de los equipos de la respuesta y de la seguridad del incidente. 3 Tomado de: http://www.first.org/. U.A: 2008/09/26. Publicado por: FIRST.ORG, Inc. Autor: No determinado. Página 93 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.1.2. Servicios Ofrecidos FIRST reúne una variedad de equipos de respuesta de incidentes de seguridad informática para entidades gubernamentales, comerciales y académicas. FIRST busca fomentar la cooperación y coordinación en la prevención de incidentes, estimular la reacción rápida a los incidentes y promover el compartir información entre los miembros y la comunidad. FIRST proporciona adicionalmente servicios de valor agregado tales como: • Acceso a documentos actualizados de mejores prácticas. • Foros técnicos para expertos en seguridad informática. • Clases • Conferencia Anual • Publicaciones y webservices • Grupos de interés especial 4.3.5.1.3. Estructura FIRST funciona bajo de un marco operacional, que contiene los principios que gobiernan y las reglas de funcionamiento de alto nivel para la organización. Sin embargo, FIRST no ejercita ninguna autoridad sobre la organización y la operación de los equipos individuales miembros. Comité de Dirección: El Comité de Dirección es un grupo de individuos responsables de la política de funcionamiento general, de procedimientos y de materias relacionadas que afectan a FISRT en su totalidad. Nombre Derrick Scholl (Chair) Ken van Wyk (Vice-Chair) Chris Gibson (Treasurer) Peter Allor Yurie Ito Scott McIntyre Francisco Jesus Monserrat Coll Tom Mullen Steve Adegbite Arnold Yoon Entidad Sun Microsystems, USA KRvW Associates, LLC, USA Citigroup, USA/UK IBM ISS, USA JPCERT/CC, Japan KPN-CERT, NL RedIRIS, Spain British Telecom, UK Microsoft, USA KrCERT/CC, Korea Página 94 de 197 Vigencia 2008-2010 2007-2009 2008-2010 2008-2010 2007-2009 2008-2010 2007-2009 2007-2009 2008-2010 2007-2009 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Junta Directiva: La Junta Directiva es un grupo de individuos responsables de la política de funcionamiento general, de procedimientos, y de materias relacionadas que afectan la organización FIRST en su totalidad. Secretaría: La secretaría sirve como punto administrativo para FIRST y proporciona un contacto general. Equipos Miembros: Los equipos de la respuesta del incidente que participan en FIRST representan las organizaciones que asisten a la comunidad de la tecnología de información o a entidades gubernamentales que trabajan en la prevención y manipulación de incidentes de seguridad informática. Enlaces: Individuos o representantes de organizaciones con excepción de los equipos CSIRT que tienen un interés legítimo en y lo valoran a FIRST. Comités: El Comité de Dirección de FIRST establece los comités temporales ad hoc requeridos para alcanzar mejor las metas. 4.3.5.1.4. Área de Influencia FIRST está una confederación internacional de los equipos de respuesta a incidente informáticos que de manera cooperativa manejan incidentes de la seguridad y promueven programas de la prevención del incidente, anima y promueve el desarrollo de productos, políticas y servicios de la seguridad, desarrolla y promulga las mejores prácticas de la seguridad y promueve la creación y expansión de los equipos de incidente alrededor del mundo. Los miembros de FIRST desarrollan y comparten información técnica, herramientas, metodologías, procesos y mejores prácticas y utilizan su conocimiento, habilidades y experiencia combinados para promover un ambiente electrónico global más seguro. FIRST tiene actualmente más de 180 miembros, extienda por África, las Américas, Asia, Europa y Oceanía. Los siguientes son los equipos CSIRT distribuidos alrededor del mundo, donde Colombia aún no hace parte: Página 95 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Ilustración 1: Países con CSIRTs Miembros de FIRST CSIRT AAB GCIRT ACERT ACOnet-CERT AFCERT ARCcert ASEC AT&T AboveSecCERT Apple ArCERT AusCERT Avaya-GCERT BCERT BELNET CERT BFK BIRT BMO ISIRT BP DSAC BTCERTCC BadgIRT Bell IPCR Nombre Oficial del CSIRT ABN AMRO Global CIRT Army Emergency Response Team ACOnet-CERT Air Force CERT The American Red Cross Computer Emergency Response Team AhnLab Security E-response Center AT&T Above Security Computer Emergency Response Team Apple Computer Computer Emergency Response Team of the Argentine Public Administration Australian Computer Emergency Response Team Avaya Global Computer Emergency Response Team Boeing CERT BELNET CERT BFK edv consulting BrandProtect IRT BMO InfoSec Incident Response Team BP Digital Security Alert Centre British Telecommunications CERT Co-ordination Centre University of Wisconsin-Madison Bell Canada Information Protection Centre (IPC) Response Página 96 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA CSIRT Bunker CAIS/RNP CARNet CERT CC-SEC CCIRC CCN-CERT CERT POLSKA CERT TCC CERT-Bund CERT-FI CERT-Hungary CERT-IT CERT-In CERT-Renater CERT-TCC CERT-VW CERT.at CERT.br CERT/CC CERTA CERTBw CFC CGI CIRT CIAC CLCERT CMCERT/CC CNCERT/CC CSIRT ANTEL CSIRT Banco Real CSIRT.DK CSIRTUK Cert-IST Cisco PSIRT Cisco Systems Citi CIRT ComCERT CyberCIRT DANTE Nombre Oficial del CSIRT The Bunker Security Team Brazilian Academic and Research Network CSIRT CARNet CERT Cablecom Security Team Canadian Cyber Incident Response Centre CCN-CERT (Spanish Governmental National Cryptology Center Computer Security Incident Response Team) Computer Emergency Response Team Polska TDBFG Computer Security Incident Response Team CERT-Bund CERT-FI Hungarian governmental Computer Emergency Response Team CERT Italiano Indian Computer Emergency Response Team CERT-Renater Computer Emergency Response Team Tunisian Coordination Center CERT-VW CERT.at Computer Emergency Response Team Brazil CERT Coordination Center CERT-Administration Computer Emergency Response Team Bundeswehr Cyber Force Center CGI Computer Incident Response Team US Department of Energy's Computer Incident Advisory Capability Chilean Computer Emergency Response Team China Mobile Computer Network Emergency Response Technical Team /Coordination Center National Computer Network Emergency Response Technical Team / Coordination Center of China ANTEL's Computer and Telecommunications Security Incident Response Centre Real Bank Brazil Security Incident Response Team Danish Computer Security Incident Repsonse Team CSIRTUK CERT France Industries, Services & Tertiaire Cisco Systems Product Security Incident Response Team Cisco Systems CSIRT Citi CIRT Commerzbank CERT Cyberklix Computer Incident Response Team Delivery of Advanced Network Technology to Europe Limited Página 97 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA CSIRT DCSIRT DFN-CERT DIRT DK-CERT E-CERT EDS EMC ESACERT ETISALAT-CERT EWA-Canada/CanCERT EYCIRT Ericsson PSIRT FSC-CERT FSLabs Funet CERT GD-AIS GIST GNS-Cert GOVCERT.NL GTCERT Goldman Sachs GovCertUK HIRT HKCERT HP SSRT IBM IIJ-SECT ILAN-CERT ILGOV-CERT ING Global CIRT IP+ CERT IPA-CERT IRIS-CERT IRS CSIRC Infosec-CERT Intel FIRST Team JANET CSIRT JPCERT/CC JPMC CIRT JSOC Nombre Oficial del CSIRT Diageo CSIRT DFN-CERT DePaul Incident Response Team Danish Computer Emergency Repsonse Team Energis Computer Emergency Response Team EDS EMCs Product Security Response Center ESA Computer and Communications Emergency Response Team ETISALAT Computer Emergency Response EWA-Canada / Canadian Computer Emergency Response Team Ernst & Young Computer Incident Response Team Ericsson Product Security Incident Response Team CERT of Fujitsu-Siemens Computers F-Secure Security Labs Funet CERT General Dynamics – AIS Google Information Security Team GNS-Cert GOVCERT.NL Georgia Institute of Technology CERT Goldman, Sachs and Company CESGs Government Computer Emergency Response Team Hitachi Incident Response Team Hong Kong Computer Emergency Response Team Coordination Centre HP Software Security Response Team IBM IIJ Group Security Coordination Team Israeli Academic CERT Israel governmental computer emergency response team ING Global CIRT IP-Plus CERT IPA-CERT IRIS-CERT IRS (Internal Revenue Service) Computer Security Incident Response Team Infosec Computer Emergency Response Team Intel FIRST Team JANET CSIRT JPCERT Coordination Center JPMorgan Chase Computer Incident Response Team Japan Security Operation Center Página 98 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA CSIRT Juniper SIRT KFCERT KKCSIRT KMD IAC KN-CERT KPN-CERT KrCERT/CC LITNET CERT MCERT MCI MCIRT MFCIRT MIT Network Security MLCIRT MODCERT MSCERT MyCERT NAB ITSAR NASIRC NCIRC CC NCSA-IRST NCSIRT NGFIRST NIHIRT NISC NIST NN FIRST Team NORDUnet NTT-CERT NU-CERT NUSCERT Nokia-NIRT NorCERT ORACERT OS-CIRT OSU-IRT OxCERT PRE-CERT PSU Pentest Nombre Oficial del CSIRT Juniper Networks Security Incident Response team Korea Financial Computer Emergency Response Team Kakaku.com Security Incident Response Team KMD Internet Alarm Center Korea National Computer Emergency Response Team Computer Emergency Response Team of KPN KrCERT/CC LITNET CERT Motorola Cyber Emergency Response Team MCI, Inc. Metavante Computer Incident Response Team McAfee Computer Incident Response Team Massachusetts Institute of Technology Network Security Team Merrill Lynch Computer Security Incident Response Team MOD Computer Emergency Response Team Microsoft Product Support Services Security Team Malaysian Computer Emergency Response Team National Australia Bank - IT Security Assessments and Response NASA Incident Response Center NATO Computer Incident Response Capability - Coordination Center National Center for Supercomputing Applications IRST NRI SecureTechnologies Computer Security Incident Response Team Northrop Grumman Corporation FIRST NIH Incident Response Team National Information Security Center NIST IT Security Nortel FIRST Team NORDUnet NTT Computer Security Incident Response and Readiness Coordination Team Northwestern University NUS Computer Emergency Response Team Nokia Incident Response Team Norwegian Computer Emergency Response Team Oracle Global Security Team Open Systems AG Computer Incident Response Team The Ohio State University Incident Response Team Oxford University IT Security Team PRE-CERT Pennsylvania State University Pentest Security Team Página 99 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA CSIRT Q-CERT Q-CIRT RBC FG CSIRT RBSG RM CSIRT RU-CERT RUS-CERT Ricoh PSIRT S-CERT SAFCERT SAIC-IRT SAP CERT SBCSIRT SGI SI-CERT SIRCC SITIC SKY-CERT SLCERT SUNet-CERT SURFcert SWAT SWITCH-CERT SWRX CERT Secunia Research Siemens-CERT SingCERT Sprint Stanford Sun SymCERT TERIS TESIRT TS-CERT TS/ICSA FIRST TWCERT/CC TWNCERT Team Cymru Telekom-CERT ThaiCERT Nombre Oficial del CSIRT Qatar CERT QinetiQ Computer Incident Response Team RBC Financial Group CSIRT Royal Bank of Scotland, Investigation and Threat Management ROYAL MAIL CSIRT CC Computer Security Incident Response Team RU-CERT Stabsstelle DV-Sicherheit der Universitaet Stuttgart Ricoh Product Security Incident Response Team CERT of the German Savings Banks Organization Singapore Armed Forces Computer Emergency Response Team Science Applications International Corporation - Incident Response Team SAP AG CERT Softbank Telecommunications Security Incident Response Team Silicon Graphics, Inc. Slovenian CERT Security Incident Response Control Center Swedish IT Incident Centre Skype Computer Emergency Response Team Sri Lanka Computer Emergency Response Team SUNet-CERT SURFcert A.P.Moller-Maersk Group IT-Security SWAT Swiss Education and Research Network CERT SecureWorks Computer Emergency Response Team Secunia Research Siemens-CERT Singapore CERT Sprint Stanford University Information Security Services Sun Microsystems, Inc. Symantec Computer Emergency Response Team Telefonica del Peru Computer Security Incidents Response Team TELMEX Security Incident Response Team TeliaSoneraCERT CC TruSecure Corporation Taiwan Computer Emergency Response Team/Coordination Center Taiwan National Computer Emergency Response Team Team Cymru Telekom-CERT Thai Computer Emergency Response Team Página 100 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA CSIRT UB-First UCERT UGaCIRT UM-CERT UNAM-CERT UNINETT CERT US-CERT Uchicago Network Security VISA-CIRT VeriSign YIRD dCERT dbCERT e-Cop e-LC CSIRT esCERT-UPC secu-CERT Nombre Oficial del CSIRT UB-First Unisys CERT The University of Georgia Computer Incident Response Team University of Michigan CERT UNAM-CERT UNINETT CERT United States Computer Emergency Readiness Center The University of Chicago Network Security Center VISA-CIRT VeriSign Yahoo Incident Response Division debis Computer Emergency Response Team Deutsche Bank Computer Emergency Response Team e-Cop Pte Ltd e-LaCaixa CSIRT CERT for the Technical University of Catalunya SECUNET CERT 4.3.5.2. ENISA - European Network and Information Security Agency4 4.3.5.2.1. Antecedentes El 10 de marzo de 2004 se creó una Agencia Europea de Seguridad de las Redes y de la Información (ENISA)5. Su objetivo era garantizar un nivel elevado y efectivo de seguridad de las redes y de la información en la Comunidad Europea y desarrollar una cultura de la seguridad de las redes y la información en beneficio de los ciudadanos, los consumidores, las empresas y las organizaciones del sector público de la Unión Europea, contribuyendo así al funcionamiento armonioso del mercado interior. Desde hace varios años, diferentes grupos europeos dedicados a la seguridad, como los CERT/CSIRT, los equipos de detección y respuesta a abusos y los WARP, colaboran para que Internet sea más seguro. 4 Tomado de: http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf. U.A: 2008/09/26. Publicado por: ENISA. Autor: No determinado. 5 Reglamento (CE) nº 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información. Una “agencia europea” es un órgano creado por la UE para realizar una tarea técnica, científica o de gestión muy concreta perteneciente al ámbito comunitario de la UE. Página 101 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA La ENISA desea apoyar el esfuerzo realizado por estos grupos aportando información acerca de las medidas que garantizan un nivel adecuado de calidad de los servicios. Además, la Agencia desea potenciar su capacidad de asesorar a los Estados miembros de la UE y los órganos comunitarios en cuestiones relacionadas con la cobertura de grupos específicos de usuarios de las TI con servicios de seguridad adecuados. Por lo tanto, basándose en los resultados del grupo de trabajo ad-hoc de cooperación y apoyo a los CERT, creado en 2005, este nuevo grupo de trabajo se encargará de asuntos relativos a la prestación de servicios de seguridad adecuados (servicios de los CERT) a grupos de usuarios específicos. 4.3.5.2.2. Servicios Ofrecidos Para asegurar el cumplimiento de sus objetivos según lo precisado en su regulación, las tareas de la agencia se enfocan en: • Asesorar y asistir a los Estados miembro en temas de seguridad de la información y a la industria en problemas de seguridad relacionados con sus productos de hardware y de software. • Recopilar y analizar datos sobre incidentes de la seguridad en Europa y riesgos emergentes. • Promover métodos de gestión de riesgo de la seguridad de la información. Los principales servicios que promueven son: Servicios Reactivos • • • • • • • • • • Alertas y advertencias Tratamiento de incidentes Análisis de incidentes Apoyo a la respuesta a incidentes Coordinación de la respuesta a incidentes Respuesta a incidentes in situ Tratamiento de la vulnerabilidad Análisis de la vulnerabilidad Respuesta a la vulnerabilidad Coordinación de la respuesta a la vulnerabilidad Servicios Proactivos • • • • • • • Comunicados Observatorio de tecnología Evaluaciones o auditorías de la seguridad Configuración y mantenimiento de la seguridad Desarrollo de herramientas de seguridad Servicios de detección de intrusos Difusión de información relacionada con la seguridad Manejo de Instancias • • • Análisis de instancias Respuesta a las instancias Coordinación de la respuesta a las instancias Página 102 de 197 Gestión de la Calidad de la Seguridad • Análisis de riesgos • Continuidad del negocio y recuperación tras un desastre • Consultoría de seguridad • Sensibilización • Educación / Formación • Evaluación o certificación de productos DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.2.3. Estructura Ilustración 2: Estructura de ENISA 4.3.5.2.4. Área de Influencia ENISA cubre la Comunidad Económica Europea y sus países miembros son: Austria, Bélgica, Bulgaria, Chipre, República Checa, Dinamarca, Estonia, Finlandia, Francia, Alemania, Grecia, Hungría, Irlanda, Italia, Latvia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, Rumania, Eslovaquia, Eslovenia, España, Suecia, Reino Unido, Noruega, Islandia, Liechtenstein. Página 103 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.3. APCERT6 - Asia Pacific Computer Emergency Response Team 4.3.5.3.1. Antecedentes APCERT ha sido constituida con la misión de mantener una red de contactos de expertos en seguridad informática en la región Pacífica de Asia, para mejorar el conocimiento y la capacidad de la región en lo referente a incidentes de la seguridad de la computadora. 4.3.5.3.2. Servicios Ofrecidos • Impulsar la cooperación regional e internacional de Asia pacífica en seguridad de la información. • Tomar medidas comunes para atender incidentes de seguridad de la red. • Facilitar compartir información e intercambio de tecnología, relacionada con seguridad de la información, virus informáticos y código malévolo, entre sus miembros. • Promover la investigación y colaboración en temas del interés en sus miembros. • Asistir a otros CERTs y CSIRTS en la región para conducir respuestas eficiente y eficaz a emergencia computacionales. • Generar recomendaciones de ayudar en cuestiones legales relacionadas con la respuesta a incidentes de seguridad y de emergencias informáticas en la región. 4.3.5.3.3. Estructura Miembros de pleno derecho Equipo AusCERT BKIS CCERT CERT-En CNCERT/ CC Nombre oficial del equipo Australian Computer Emergency Response Team Bach Khoa Internetwork Security Center CERNET Computer Emergency Response Team Indian Computer Emergency Response Team National Computer network Emergency Response technical Team / Coordination Center of China 6 Economía Australia Vietnam República Popular de China India República Popular de China Tomado de: http://www.apcert.org/. U.A: 2008/09/26. Publicado por: APCERT. Autor: No determinado. Página 104 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Equipo HKCERT ID-CERT JPCERT /CC KrCERT/CC MyCERT PHCERT SingCERT ThaiCERT TWCERT /CC TWNCERT Nombre oficial del equipo Hong Kong Computer Emergency Response Team Coordination Centre Indonesia Computer Emergency Response Team Japan Computer Emergency Response Team / Coordination Center Korea Internet Security Center Malaysian Computer Emergency Response Team Philippine Computer Emergency Response Team Singapore Computer Emergency Response Team Thai Computer Emergency Response Team Taiwan Computer Emergency Response Team / Coordination Center Taiwan National Computer Emergency Response Team Economía Hong Kong, China Indonesia Japón Corea Malasia Filipino Singapur Tailandia Taipei china Taipei china Miembros Generales Equipo BP DSIRT BruCERT GCSIRT NUSCERT SLCERT VNCERT Nombre oficial del equipo BP Digital Security Incident Response Team Brunei Computer Emergency Response Team Government Computer Security and Incident Response Team National University of Singapore Computer Emergency Response Team Sri Lanka Computer Emergency Response Team Vietnam Computer Emergency Response Team 4.3.5.3.4. Área de Influencia La región de Asia Pacífico Página 105 de 197 Economía Singapur Negara Brunei Darussalam Filipinas Singapur Sri Lanka Vietnam DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.4. CERT - Coordination Center de la Universidad Carnegie Mellon7 4.3.5.4.1. Antecedentes El equipo del CERT CSIRT ayuda a organizaciones para desarrollar, para funcionar, y para mejorar capacidades de la gerencia del incidente. Las organizaciones pueden aprovecharse de los productos, del entrenamiento, de los informes, y de los talleres para la comunidad global del Internet. El centro de coordinación del CERT (CERT/CC), es uno de los grupos con mayor reconocimiento en el campo de los CERTs. Aunque fue establecido como equipo de respuesta a incidente, el CERT/CC se ha desarrollado más allá, centrándose en identificar las amenazas potenciales, de notificar a los administradores de sistemas y al personal técnico acerca de dichas amenazas y de coordinar con los proveedores y los equipos CERT en todo el mundo para tratar las amenazas. 4.3.5.4.2. Servicios Ofrecidos Las áreas en las cuales puede ayudar son: • Análisis de vulnerabilidades, esperando identificar y atenuar los impactos antes de que se conviertan en una amenaza significativa de la seguridad. Una vez que se identifica una vulnerabilidad, se trabaja con los proveedores apropiados de la tecnología para resolver la acción. • Además de identificar vulnerabilidades, previenen la introducción de nuevas amenazas, estableciendo prácticas que los proveedores pueden utilizar mejorar la seguridad y la calidad de su software. • Promueven el desarrollo de una capacidad global de la respuesta, ayudando a organizaciones y a países a establecer los Equipos de Respuesta a Incidente de la Seguridad Informática (CSIRTs) y trabajan con los equipos existentes para coordinar la comunicación y la respuesta durante acontecimientos importantes de seguridad. • Examinan, catalogan y hacen ingeniera inversa sobre códigos malévolos. Estas actividades ayudan a entender mejor cómo el código trabaja y permiten que se identifiquen las tendencias y los patrones que pueden revelar vulnerabilidades explotables u otras amenazas potenciales. • Promueven el intercambio de información referente a los servicios de seguridad: o 7 Avisos de prevención CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute - Carnegie Mellon University. Autor: No determinado. Página 106 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • o Actualizaciones de las actividades de seguridad o Análisis y entrenamiento en incidentes o Alertas o Investigación en tendencias, amenazas y riesgos Generan intercambios Técnicos o Consultoría, entrenamiento y desarrollo de habilidades técnicas. o Intercambios técnicos de personal o afiliados residentes o Herramienta de desarrollo y ayuda o Análisis de vulnerabilidad o Análisis de hardware o Red de supervisión y análisis • Evalúan la madurez y capacidad del CSIRT • Interactúan para el patrocinio de FIRST y presentación a otras organizaciones y socios estratégicos • Hacen análisis de la infraestructura crítica 4.3.5.4.3. Estructura El Carnegie Mellon CyLab es una iniciativa universitaria, multidisciplinaria que implica más de 200 facultades, estudiantes, y personal en Carnegie Mellon que han construido el liderazgo en tecnología de información de Carnegie Mellon. Los trabajos de CyLab se centran en la coordinación del CERT (CERT/CC), el conducir un centro reconocido internacionalmente de seguridad de Internet. A través de su conexión al CERT/CC, CyLab también trabaja de cerca con US-CERT - una sociedad entre el departamento de la división nacional de la seguridad de la Ciberseguridad del gobierno (NCSD) y del sector privado, protegiendo la infraestructura nacional de la información en Estados Unidos. Página 107 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.4.4. Área de Influencia Ilustración 3: CERT apoyados por el Centro de Coordinación de la Universidad Carnegie Mellon 4.3.5.5. TERENA8 - Trans-European Research and Education Networking Association 4.3.5.5.1. Antecedentes La Asociación Trans Europea de Redes de Investigación y Educación – TERENA (Trans-European Research and Education Networking Association) ofrece un foro de colaboración, innovación y compartir conocimiento para fomentar el desarrollo de la tecnología, de la infraestructura y de los servicios del Internet que se utilizan por la comunidad de Investigación y educación. Los objetivos de TERENA se orientan a promover y participar en el desarrollo de información de alta calidad y de una infraestructura de telecomunicaciones internacionales en beneficio de la investigación y de la educación. 4.3.5.5.2. Servicios Ofrecidos Las principales actividades de TERENA son: 8 Tomado de: http://www.terena.org/. U.A: 2008/09/26. Publicado por: Terena. Autor: No determinado. Página 108 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Proveer un ambiente de fomento de nuevas iniciativas en la investigación en la comunidad europea para el establecimiento de una red de conocimiento. • Empalmar el soporte europeo para evaluar, probar, integrar y promover nuevas tecnologías del establecimiento de una red de conocimiento. • Organizar conferencias, talleres y seminarios para el intercambio de la información en Comunidad europea para el establecimiento de una red de investigación y buscar transferencia del conocimiento a organizaciones menos avanzadas. Junto con FIRST, TERENA organiza regularmente talleres de entrenamiento para los miembros de los Equipos de Respuesta al incidente de Seguridad Computacional (CSIRTs), con base en materiales desarrollados originalmente por el proyecto TRANSITS que funcionó entre 2002 y 2005. TRANSITS era originalmente un proyecto financiado por la Comunidad Económica Europea para promover el establecimiento de los equipos de la respuesta del incidente de la seguridad de la computadora (CSIRTs) tratando el problema de la escasez del personal experto en CSIRTs. Esta meta ha sido tratada proporcionando cursos de especialización al personal de CSIRTs en temas organizacionales, operacionales, técnicos, de mercado y temas legales implicados en el establecimiento de un CSIRT. Desde que el proyecto TRANSITS terminó en septiembre de 2005, TERENA y FIRST unieron sus fuerzas para organizar talleres a través de Europa, con la ayuda de ayuda financiera de varias organizaciones. Los talleres más recientes han sido co-organizados y patrocinados por ENISA. 4.3.5.5.3. Estructura La estructura de TERENA incluye: • Asamblea General de TERENA • Asamblea General Representantes • Comité ejecutivo Técnico de TERENA • Comité Técnico de TERENA • Consejo Consultivo Técnico • Secretaría 4.3.5.5.4. Área de Influencia ACOnet, Austria FCCN, Portugal MREN, Montenegro Página 109 de 197 SURFnet, The Netherlands DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA AMRES - University of Belgrade, Serbia ARNES, Slovenia BELNET, Belgium FUNET, Finland PCSS, Poland SWITCH, Switzerland GARR, Italy GRNET, Greece RedIRIS, Spain RENATER, France UIIP NASB, Belarus ULAKBIM, Turkey BREN, Bulgaria CARNet, Croatia CESNET, Czech Republic HEAnet, Ireland HUNGARNET, Hungary IUCC, Israel RESTENA, Luxembourg RHnet, Iceland RoEduNet, Romania UNI-C, Denmark UNINETT, Norway Malta, University of Malta CYNET, Cyprus JANET(UK), United Kingdom LITNET, Lithuania MARNET, FYR of Macedonia SANET, Slovakia DFN, Germany EENet, Estonia SigmaNet, Latvia SUNET, Sweden 4.3.5.6. Alemania - CERT-Bund9 (Computer Emergency Response Team für Bundesbehörden) 4.3.5.6.1. Antecedentes La Oficina Federal para la Seguridad en la Tecnología de Información (Bundesamt für Sicherheit in der Informationstechnik - BSI) es la central de servicios de seguridad del gobierno y por ende, asume la responsabilidad de la seguridad de la sociedad, convirtiéndose en la columna básica de la seguridad interna en Alemania. Mantiene contacto con los usuarios (administraciones públicas, gobierno y los municipios, así como las empresas y los usuarios privados) y fabricantes de tecnología de información. En Septiembre de 2001 se creo el contexto de la reorganización del BSI CERT-BUND (Equipo de Respuesta a Emergencias Computacionales para las autoridades federales). Los ataques de virus computacionales repetidos a las redes y sistemas, creo la necesidad de contar con un lugar central para la solución de los problemas de la seguridad informática, enfocados en prevenir los agujeros de seguridad en los sistemas informáticos del gobierno, con reacción siete días la semana. 4.3.5.6.2. Servicios Ofrecidos Entre las tareas del CERT están: • 9 Generar y publicar recomendaciones preventivas para evitar las acciones que generen daños. Tomado de: http://www.bsi.bund.de/certbund/. U.A: 2008/09/26. Publicado por: Bundesamt für Sicherheit in der Informationstechnik (BSI). Autor: No determinado. Página 110 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Identificar puntos débiles del hardware y software. • Sugerir medidas de recuperación de los agujeros de seguridad, • Advertir situaciones especiales de amenaza relacionadas con la tecnología de información. • Recomendar medidas reactivas para delimitar daños. • Investigar riesgos de seguridad con el uso de la tecnología de información así como desarrollar las medidas de seguridad. • Desarrollar criterios de prueba. • Evaluar la seguridad en sistemas información. • Ayudar de las autoridades gubernamentales en temas relacionados con la seguridad en la tecnología de información. 4.3.5.6.3. Área de Influencia Alemania 4.3.5.7. Arabia Saudita - CERT-SA10 (Computer Emergency Response Team - Saudi Arabia) 4.3.5.7.1. Antecedentes El Equipo de Respuesta a Emergencia Computacionales (CERT-SA) es un organismo sin ánimo de lucro establecido para desempeñar un papel importante en la creación de conocimiento, la administración, la detección, la prevención, la coordinación y la respuesta a los incidentes de seguridad de la información a nivel nacional en Arabia Saudita. Su misión se establece en torno a los siguientes objetivos orientados a Arabia Saudita: • Incrementar el nivel de conocimiento acerca de la seguridad de la información. • Coordinar a nivel nacional los esfuerzos para promover las mejores prácticas de la seguridad y crear confianza entre la comunidad del ciberespacio. 10 Tomado de: http://www.cert.gov.sa/. U.A: 2008/09/26. Publicado por:CERT-SA. Autor: No determinado. Página 111 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Ayudar a manejar ataques e incidentes de la seguridad de la información. • Ser la referencia en seguridad de la información para la comunidad de Ciberespacio. • Construir talento y capacidad humana en el campo de la seguridad de la información. • Proporcionar un ambiente de confianza para las e-transacciones. • Fomentar la confianza, cooperación y colaboración entre los componentes y la ciber-comunidad de Arabia Saudita. 4.3.5.7.2. Servicios Ofrecidos • • • Gerencia de la calidad de la seguridad o Construcción de conocimiento: Proporciona conocimiento y dirección en temas de seguridad de la información para una mejor adecuación a las prácticas aceptadas en seguridad informática, vía portal, campaña y seminarios. o Educación / Entrenamiento: Provee educación en seguridad de la información con el entrenamiento interno ajustado para requisitos particulares y en colaboración con instituciones de entrenamiento. Servicios Proactivos o Aviso: Genera alarmas de seguridad de la información que incluye pero no se limitado a la intrusión, advertencias de vulnerabilidad y asesorías en la seguridad a través del portal. o Difunde información relacionada con la seguridad. Servicios reactivos o Alarmas y advertencia: Difunde información que describe intrusos, vulnerabilidades de la seguridad, alarmas de intrusión, virus informáticos, bromas y establece la línea de conducta relevante para enfrentar problemas específicos. o Ayuda de la respuesta del incidente: Asiste en la recuperación de incidentes vía teléfono, email, fax, o documentación. Puede implicar asistencia técnica en la interpretación de los datos y orienta en estrategias de mitigación y recuperación. o Análisis del incidente: Examina la información disponible y evidencia de soporte relacionados con un incidente, con el fin de identificar el alcance del incidente, el grado del daño causado por el incidente, la naturaleza del incidente y las estrategias de respuesta. Página 112 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.7.3. Área de Influencia Arabia Saudita 4.3.5.8. Argentina - ArCERT11 (Coordinación de Emergencias en Redes Teleinformáticas) 4.3.5.8.1. Antecedentes En el año 1999, la Secretaría de la Función Pública de la Jefatura de Gabinete de Ministros de Argentina dispuso la creación de ArCERT, unidad de respuesta ante incidentes en redes que centraliza y coordina los esfuerzos para el manejo de los incidentes de seguridad que afecten los recursos informáticos de la Administración Pública Nacional, es decir cualquier ataque o intento de penetración a través de sus redes de información. Adicionalmente difunde información con el fin de neutralizar dichos incidentes, en forma preventiva o correctiva, y capacita al personal técnico afectado a las redes de los organismos del Sector Público Nacional. ArCERT comenzó a funcionar en mayo de 1999 en el ámbito de la Subsecretaría de la Gestión Pública, siendo sus principales funciones: • Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administración Pública Nacional y facilitar el intercambio de información para afrontarlos. • Proveer un servicio especializado de asesoramiento en seguridad de redes. • Promover la coordinación entre los organismos de la Administración Pública Nacional para prevenir, detectar, manejar y recuperar incidentes de seguridad. • Actuar como repositorio de toda la información sobre incidentes de seguridad, herramientas y técnicas de defensa ArCERT cumple funciones de naturaleza eminentemente técnica. No pretende investigar el origen de los ataques ni quienes son sus responsables. Corresponde al responsable de cada organismo efectuar las denuncias para iniciar el proceso de investigación 11 Tomado de: http://www.arcert.gov.ar/. U.A: 2008/09/26. Publicado por:Subsecretaría de Tecnología de Gestión, Secretaría de la Gestión Pública, Argentina . Autor: No determinado. Página 113 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.8.2. Servicios Ofrecidos Servicios: Todos los servicios que el ArCERT brinda a los Usuarios son gratuitos y no implican erogación alguna para el Organismo representado. • Acceso al Sitio Privado de ArCERT • Análisis y seguimiento de los incidentes de seguridad reportados • Difusión de información sobre las principales fallas de seguridad en productos • Recomendación de material de lectura • Asesorías sobre seguridad informática • Acceder a la utilización del Producto SiMoS (Sistema de Monitoreo de Seguridad) • Acceso a la Base de Conocimiento de Seguridad del ArCERT • Acceso a las Herramientas de Seguridad seleccionadas por el ArCERT Servicios por Pedidos de Asistencia Específicos • Instalación y configuración de Firewall de libre disponibilidad • Instalación y configuración de IDS de libre disponibilidad • Análisis de la topología de red • Análisis perimetrales y visibilidad de la red • Búsqueda de vulnerabilidades en los servidores de red • Recomendaciones para robustecer los Sistemas Operativos y las Aplicaciones Productos • SIMOS - Sistema de Monitoreo de Seguridad: Permite detectar las vulnerabilidades conocidas de los servidores, que brinden servicio a través de Internet, de los organismos de la Administración Pública • FW-APN - Firewall de libre disponibilidad para la Administración Pública Nacional: Solución basada en software de libre disponibilidad, eficiente, robusta y de bajos requerimientos que cubre las necesidades Página 114 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA de Firewall en la mayoría de las redes de la Administración Pública Nacional. Funciona directamente desde CD-ROM. • DNSar - Sistema de Análisis de Servidores y Dominios DNS: DNSar es un software desarrollado por ArCERT para analizar los servidores y dominios DNS en busca de posibles errores de configuración y funcionamiento. • CAL - Coordinación y Análisis de Logs (En desarrollo): CAL es un conjunto de software, de fácil instalación, que los organismos pueden instalar en una máquina dedicada para la detección de alertas de seguridad en su red. Además, estas alertas son reenviadas a ArCERT para una visión macro de estado de seguridad de la administración pública. 4.3.5.8.3. Estructura ArCERT está sustentado por un grupo de especialistas, que hoy conforman el equipo de seguridad en redes, dedicado a investigar sobre incidentes, hacking, herramientas de protección y detección, etc., con conocimientos y experiencia entre otras, en las siguientes áreas: tecnologías informáticas, Firewalls, seguridad en Internet é Intranet, detección y erradicación de intrusos, políticas y procedimientos de seguridad, administración de riesgos, etc. Funciona en la Oficina Nacional de Tecnologías de Información de la Subsecretaría de Tecnologías de Gestión de la Secretaría de Gabinete y Gestión Pública de la Jefatura de Gabinete de Ministros de Argentina. 4.3.5.8.4. Área de Influencia Argentina 4.3.5.9. Australia - AusCERT12 (Australia Computer Emergency Response Team) 4.3.5.9.1. Antecedentes AusCERT es el Equipo de Respuesta a Emergencias Computacionales nacional para Australia y proporciona asesoría en temas de seguridad de la información de la computadora, a la comunidad australiana y a sus miembros, como punto único de contacto para ocuparse de dichos incidentes de seguridad que afectan o que implican redes australianas. 12 Tomado de: http://www.auscert.org.au/. U.A: 2008/09/26. Publicado por: AusCERT, The University of Queensland, Brisbane QLD 4072, Australia. Autor: No determinado. Página 115 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA AusCERT supervisa y evalúa amenazas globales de la red de ordenadores y las vulnerabilidades. AusCERT publica boletines de seguridad, incluyendo estrategias recomendadas de prevención y mitigación. AusCERT ofrece servicios de administración de incidentes que puede ser una manera eficaz de parar un ataque en curso de la computadora o proporcionar la asesoría práctica en la respuesta y recuperación de un ataque. 4.3.5.9.2. Servicios Ofrecidos Las organizaciones del miembro de AusCERT gozan de un número de servicios no disponibles al público en general. Estos servicios incluyen: • Servicio de la detección temprana. • Acceso vía Web site a contenidos exclusivos. • Entrega vía email de boletines de seguridad. • Acceso a Foros. • Servicios de gerencia del incidente: incluyen la coordinación del incidente y la dirección del incidente. • Supervisión, evaluación y asesoría acerca de la vulnerabilidad y amenazas. • Los miembros de AusCERT reciben boletines de la seguridad vía email. Los no miembros pueden suscribir al servicio de alerta libre nacional. • AusCERT investiga el ambiente de la seguridad del Internet para el gobierno y la industria dentro de Australia. Estructura AusCERT es una organización independiente, sin ánimo de lucro, con base en la Universidad de Queensland, como parte del área de Servicios de Tecnología de la Información. AusCERT cubre sus gastos con una variedad de fuentes incluyendo suscripciones de miembros y el entrenamiento y educación en seguridad informática. Es miembro activo del Foro FIRST y del Equipo de Respuesta a Emergencia Informática de Asia Pacífico (APCERT), AusCERT tiene acceso a la información sobre amenazas y vulnerabilidades de la red de ordenadores que surgen de manera regional y global. 4.3.5.9.3. Área de Influencia Australia y Asia en la región pacífica Página 116 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.10. Austria - CERT.at13 (Computer Emergency Response Team Austria) 4.3.5.10.1. Antecedentes CERT.at es el CERT austríaco nacional que comenzó como un ensayo en marzo de 2008. Como el CERT nacional, CERT.at es el punto de contacto primario para la seguridad informática en el contexto nacional. CERT.at coordina otro CERT que funciona en el área de la infraestructura crítica o de la infraestructura de la comunicación. En el caso de ataques en línea significativos contra la infraestructura austríaca, CERT.at coordina la respuesta de los operadores y de los equipos locales de la seguridad. 4.3.5.10.2. Servicios Ofrecidos Respuesta al incidente: CERT.at asiste al equipo de seguridad en el manejo de los aspectos técnicos y de organización de incidentes. Particularmente, proporciona ayuda o asesoría con respecto a los aspectos siguientes de la administración del incidente: • o Determina si un incidente es auténtico y define la prioridad requerida. o Coordinación del incidente: Investiga el incidente y toma las medidas apropiadas. Facilita el contacto con otros participantes que puedan ayudar a resolver el incidente. o Resolución del incidente. Recomienda las acciones apropiadas. Actividades Proactivas: • o Recopila información de contacto de los equipos locales de seguridad. o Publica avisos referentes a amenazas serias de la seguridad. o Informa acerca de tendencias en tecnología y distribuyen conocimiento relevante. o Ofrece foros para construir la comunidad e intercambiar información. 4.3.5.10.3. Área de Influencia Austria 13 Tomado de: www.cert.at. U.A: 2008/09/26. Publicado por: Computer Emergency Response Team Austria. Autor: No determinado. Página 117 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.11. 4.3.5.11.1. Brasil - CERT.br14 (Computer Emergency Response Team Brazil) Antecedentes El CERT.br es el equipo de respuesta a los incidentes de seguridad para el Internet brasileño, responsable de recibir, analizar y responder a dichos incidentes. Más allá del proceso de respuesta a los incidentes en sí mismo, el CERT.br también actúa sobre los problemas de la seguridad, la correlación entre los acontecimientos en el Internet brasileño y de ayuda al establecimiento de nuevos CSIRTs en el Brasil. 4.3.5.11.2. Servicios Ofrecidos Los servicios dados para el CERT.br incluyen: • Ser un único punto para las notificaciones de los incidentes de seguridad, para proveer la coordinación y la ayuda necesaria en el proceso de respuesta a los incidentes, contactando las piezas implicadas cuando sea necesario. • Establecer un trabaje colaborativo con otras entidades, como el gobierno, los proveedores de acceso y servicios y de Internet; • Dar apoyo al proceso de recuperación y al análisis de sistemas. • Entrenar en la respuesta a los incidentes de seguridad, especialmente a los miembros de CSIRTs y de las instituciones que están creando sus propios grupos. 4.3.5.11.3. Área de Influencia Brasil 14 Tomado de: http://www.cert.br. U.A: 2008/09/26. Publicado por: Comitê Gestor da Internet no Brasil (CGI.br). Autor: No determinado. Página 118 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.12. 4.3.5.12.1. Canadá - PSEPC15 (Public Safety Emergency Preparedness Canada) Antecedentes El Centro Canadiense de Respuesta a Ciberincidentes (CCIRC) es responsable de supervisar amenazas y de coordinar la respuesta nacional a cualquier incidente de la seguridad del ciberespacio. Su foco es la protección de la infraestructura crítica nacional contra incidentes. El centro es una parte del Centro de Operaciones del Gobierno y un componente importante en la preparación de la seguridad nacional para atender emergencias en los peligros que acechan al gobierno. Las iniciativas actuales incluyen: • Coordinación de la respuesta del incidente a través de jurisdicciones. • Fomentar el compartir la información entre las organizaciones y las jurisdicciones • Generar las advertencias en torno a la seguridad. • Divulgación de incidentes • Desarrolla estándares operacionales de seguridad de la tecnología de información y documentación técnica en temas tales como supervisión del sistema y software malévolo. • Servicios de inteligencia canadienses de la seguridad: Investiga y analiza amenazas del ciberespacio a la seguridad nacional. También proporciona asesoría en la seguridad e inteligencia, incluyendo amenazas y la información de riesgos. • Establecimiento de la seguridad de comunicaciones: Proporciona asesoría y dirección en la protección del gobierno acerca de la información electrónica de Canadá y de las infraestructuras de la información. También ofrece ayuda técnica y operacional a las agencias federales en la aplicación de la Ley de Seguridad. 4.3.5.12.2. Servicios Ofrecidos CCIRC le proporciona los servicios a los profesionales y los encargados de la infraestructura crítica y de otras industrias relacionadas. Estos servicios se hacen sin cargo alguno: 15 Tomado de: http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp. U.A: 2008/09/26. Publicado por: Gobierno de Canadá. Autor: No determinado. Página 119 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Coordinación 7*24 y ayuda a la respuesta del incidente. • Supervisión 7*24 y análisis del ambiente de la amenaza del ciberespacio. • Asesoría técnica 7*24 relacionada con seguridad de la tecnología de información • Construcción de la capacidad nacional (estándares, mejores prácticas, conocimiento, educación) 4.3.5.12.3. Área de Influencia Canadá 4.3.5.13. 4.3.5.13.1. Chile – CSIRT-GOV16 Antecedentes Tiene como propósito contribuir a asegurar el ciberespacio del Gobierno de Chile, en conformidad con lo señalado en el artículo 17 de la Agenda Digital. Su misión es constituirse como referente en materias de seguridad informática para todos los servicios que forman parte de la administración del Estado. CSIRT Chile es dirigido por la jefatura de la División Informática del Ministerio del Interior. 4.3.5.13.2. Servicios Ofrecidos El equipo de trabajo CSIRT Chile ofrece a los sistemas y redes gubernamentales los siguientes servicios: • Monitoreo de actividades y detección de anomalías. • Apoyo forense en respuesta a incidentes computacionales. • Asesoría en la generación e implementación de políticas y sistemas de seguridad. • Boletines de alertas adecuadamente traducidos y adaptados a las necesidades nacionales. 16 Tomado de: http://www.csirt.gov.cl/. U.A: 2008/09/26. Publicado por: Ministerio del Interior, Palacio de la Moneda, Santiago de Chile. Autor: No determinado. Página 120 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Asesoría en la implementación del decreto supremo 83/2004 del Ministerio Secretaría General de la Presidencia. • 4.3.5.13.3. Estructura El CSIRT Chile es una unidad dependiente de la División de Informática del Ministerio del Interior. 4.3.5.13.4. Área de Influencia Chile 4.3.5.14. 4.3.5.14.1. Chile - CLCERT17 (Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional) Antecedentes El Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional – CLCERT, tiene como misión monitorear y analizar los problemas de seguridad de los sistemas computacionales en Chile, y reducir la cantidad de incidentes de seguridad perpetrados desde y hacia éstos. Desde comienzos de 2004, el CLCERT se auto-financia a través de su área de capacitación, asesorías en la generación de políticas públicas concernientes a seguridad de sistemas informáticos y proyectos de colaboración con el sector productivo. Para ello, CLCERT se constituye como un punto nacional de encuentro, contacto y coordinación entre instituciones y personas relacionadas del medio local. 4.3.5.14.2. Servicios Ofrecidos El CLCERT tiene como principales objetivos: • Entregar en forma oportuna y sistemática información sobre vulnerabilidades de seguridad y amenazas • Divulgar y poner a disposición de la comunidad información que permita prevenir y resolver estos incidentes de seguridad 17 Tomado de: http://www.clcert.cl. U.A: 2008/09/26. Publicado por: FCFM Ingeniería, Universidad de Chile. Autor: No determinado. Página 121 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Educar a la comunidad en general sobre temas de seguridad, promoviendo las políticas que permiten su implementación. • CLCERT promueve el uso de Internet, los sistemas computacionales abiertos, y las tecnologías de la información, haciendo sus usos más seguros y que por lo tanto gocen de la confianza de la comunidad que los utiliza. 4.3.5.14.3. Estructura El origen del CLCERT (fines de 2001) está estrechamente ligado al del Laboratorio de Criptografía Aplicada y Seguridad (CASLab). Surge como una forma en que el CASLab se vincula con el medio local. El CLCERT y el CASLab conforman una misma unidad y comparten financiamiento, pero los ámbitos de acción son distintos. El CASLab prioriza las actividades de investigación, formación de capital humano altamente especializado y tiene por ámbitos de acción el medio académico principalmente internacional. El CLCERT prioriza actividades de formación profesional, extensión, transferencia tecnológica y tiene por principal ámbito de acción el medio local. 4.3.5.14.4. Área de Influencia Chile 4.3.5.15. 4.3.5.15.1. China - CNCERT/CC18 (National Computer Network Emergency Response Technical Team) Antecedentes El Equipo Técnico Nacional de Respuesta a Emergencias de Redes Computacionales / Centro de Coordinación de China CNCERT/CC (National Computer Network Emergency Response Technical Team / Coordination Center of China) es una organización funcional que opera en la Oficina de Coordinación de Respuesta a Emergencia de Internet del Ministerio de la Industria de Información de China y que es responsable de la coordinación de actividades entre todos los equipos de Respuesta a Emergencias Computacionales de China relacionadas con incidentes en las redes públicas nacionales. CNCERT/CC fue fundado en octubre de 2000 y se hizo miembro de FIRST en agosto de 2002. CNCERT/CC formó parte activa en el establecimiento de APCERT como miembro del comité de dirección de APCERT. Así CNCERT/CC está parado para una nueva plataforma para una cooperación internacional mejor y un interfaz prestigioso de la respuesta del incidente de la seguridad de la red de China. 18 Tomado de: http://www.cert.org.cn/english_web/. U.A: 2008/09/26. Publicado por: CNCERT/CC. Autor: No determinado. Página 122 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.15.2. Servicios Ofrecidos Proporciona servicios de seguridad de la red de ordenadores y brinda orientación para el manejo de los incidentes de seguridad para las redes públicas nacionales, los sistemas nacionales importantes y las principales organizaciones, incluyendo la detección, predicción, respuesta y prevención. Recopila, verifica, acumula y publica la información relacionada con la seguridad del Internet. Es también responsable del intercambio de la información y la coordinación de acciones con organizaciones de la seguridad internacional. • Recopila información oportuna sobre acontecimientos de seguridad. • Supervisión de Incidentes: Detecte los problemas y acontecimientos severos de la seguridad a tiempo, y entrega prevenciones y apoyo a las organizaciones relacionadas. • Dirección del Incidente. • Análisis de datos de los incidentes de seguridad. • Recopila y mantiene la información básica pertinente, incluyendo vulnerabilidades, correcciones, herramientas y las últimas tecnologías de seguridad. • Investigación sobre las tecnologías de seguridad. • Entrenamiento en seguridad: Proporciona los cursos en respuesta de la emergencia, las tecnologías requeridas, la orientación y la construcción del CERT. • Ofrece servicios de consultoría técnica en el manejo de incidentes de seguridad. • Promueve el intercambio internacional, organizando CERTs locales para orientar la cooperación y el intercambio internacionales. Página 123 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.15.3. Estructura Ilustración 4: Estructura CNCERT/CC El CNCERT/CC hace parte del Sistema de la Red Pública Nacional de Respuesta a Emergencias de Seguridad China: Página 124 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Ilustración 5: Sistema de la Red Pública Nacional de Respuesta a Emergencias de Seguridad China 4.3.5.15.4. Área de Influencia China Página 125 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.16. Corea del Sur - KrCERT/CC19 (CERT Coordination Center Korea) 4.3.5.16.1. Antecedentes Para hacer frente a los ataques informáticos, prevenir los casos de infracción de seguridad informática y reducir al mínimo los posibles daños en Corea, el Centro de Seguridad del Internet de Corea ha dedicado su energía a definir las medidas y metodología eficaces para dar respuesta técnica a los ataques, para la protección de la red de comunicaciones, de la infraestructura de la red y para el refuerzo del sistema de la predicción y de alarmas. Desde julio de 1996 se establece el equipo coreano de respuestas a la emergencia computacional llamado CERTCC-KR. En junio de 1997 se establece la Organización de Respuesta al Incidente en el Asia Pacífico En febrero de 1998 se establece como el primer miembro coreano en el FIRST (foro de Equipos de la Respuesta y de la Seguridad del Incidente). En diciembre de 2003 se establece el KISC (Korea Internet Security Center), con su centro de operaciones KrCERT/CC's. 4.3.5.16.2. Servicios Ofrecidos • Administración del Centro de Respuesta y Asistencia a Incidentes • Análisis de incidentes y tecnología de soporte • Establecimiento del sistema de coordinación para respuesta a incidentes de internet. 4.3.5.16.3. • Estructura Equipo de Análisis de Incidentes: o Investigación sobre nuevas vulnerabilidades de la red y tendencias de nuevos virus. o Verificación y análisis en vulnerabilidades de la red 19 Tomado de: http://www.krcert.or.kr/. U.A: 2008/09/26. Publicado por: Korea Internet Security Center. Autor: No determinado. Página 126 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • • • o Análisis en virus. o Recopilación de muestras de virus. o Establecimiento y gerencia de la base de datos de vulnerabilidades. Equipo de Monitoreo de la Red: o Supervisión del trafico de ISPs y los Web site más importantes nacionales o internacionales. o Respuesta temprana a los incidentes, pronóstico y mensajes de alerta al público. o Atención de respuestas y direccionamiento de incidentes que ocurren de manera local o internacional. o Publicación de reportes mensuales con estadística y análisis del virus Equipo de Respuesta a Hacking: o Investigación sobre técnicas y tendencias de hacking. o Análisis de casos de hacking en redes piloto. o Establecimiento y gerencia de investigaciones de incidentes y del sistema del análisis. o Desarrollo y distribución de tecnologías para enfrentar ocurrencias de hacking. o Respuesta de la emergencia contra incidentes y ayuda tecnológica Equipo de Coordinación de Respuestas: o Muestras incrementales para recopilar y compartir información. o Cooperación con FIRST para el CERT. o Operación de la oficina administrativa para APCERT y CONCERT. o Recepción de correos electrónicos de incidentes y manipulación de ellos. o Activación del CERT nacional y establecimiento del sistema cooperativo. o Participación en la estandarización con respecto a incidentes del Internet. Página 127 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.16.4. Área de Influencia Corea del Sur 4.3.5.17. 4.3.5.17.1. Dinamarca – DK.CERT20 (Danish Computer Emergency Response Team) Antecedentes DK CERT es el equipo danés de Respuestas a Emergencias Computacionales y es de los pioneros alrededor del mundo, cuando a inicios de los años noventa FIRST tomó la iniciativa de establecer la cooperación internacional basada en el concepto original de CERT en los E.E.U.U. Como parte del trabajo cooperativo internacional DK CERT supervisa la seguridad en Dinamarca. El objetivo de DK CERT es recopilar información y conocimientos técnicos vía la cooperación en FIRST permitiendo a DK CERT publicar alarmas y otra información relacionada con riesgos potenciales de la seguridad. Así mismo recibe información sobre incidentes de seguridad y coordina esfuerzos en el campo. DK CERT es un miembro del Foro de los Equipos de Respuesta y Seguridad del Incidente (FIRST). 4.3.5.17.2. Servicios Ofrecidos • Consulta con respecto a incidentes de la seguridad • DK CERT analiza notificaciones de las personas que se han expuesto a los incidentes de seguridad, propone soluciones a los problemas y advierte a otros que pudieron ser blancos potenciales para incidentes similares. • DK CERT coordina la información entre las partes implicadas y otras organizaciones, tales como equipos extranjeros de respuesta y la policía. • DK CERT tiene un papel consultivo y no tiene ninguna autoridad para ordenar realizar tareas. • DK CERT puede actuar como intermediario de la información entre diversas partes que desean mantener el anonimato 20 Tomado de: https://www.cert.dk/. U.A: 2008/09/26. Publicado por: DK.CERT - Danish Computer Emergency Response Team. Autor: No determinado. Página 128 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA DK CERT proporciona asesoría con respecto a riesgos potenciales de seguridad y ofrece la ayuda por ejemplo, para identificar el método de ataque. Además da instrucción en cómo los sistemas pueden ser restaurados y como se pueden remediar los daños posibles. • 4.3.5.17.3. Estructura DK CERT fue establecido en 1991 por el Centro para la Educación y la Investigación Danes UNI-C, bajo el Ministerio Danés de la Educación, por uno de los primeros casos del hacker en Dinamarca. DK CERT coordina aproximadamente 10.000 incidentes de seguridad por año. 4.3.5.17.4. Área de Influencia Dinamarca 4.3.5.18. Emiratos Árabes Unidos – aeCERT21 (The United Arab Emirates Computer Emergency Response Team) 4.3.5.18.1. Antecedentes El Equipo de Respuesta a Emergencias Computacionales (aeCERT) es el centro de coordinación de la seguridad del ciberespacio en los Emiratos Árabes Unidos. Ha sido establecido por la Autoridad Reguladora de Telecomunicaciones (TRA) como iniciativa para facilitar la detección, la prevención y la respuesta de los incidentes de la seguridad del ciberespacio en Internet. Su misión es sostener una infraestructura vigilante de las ciber amenazas de la seguridad y construir una cultura de la seguridad del ciberespacio en los Emiratos Árabes Unidos. 4.3.5.18.2. Servicios Ofrecidos • Ayudar en la creación de nuevas leyes para la seguridad del ciberespacio. • Recopilar conocimiento de la seguridad de la información de los Emiratos Árabes Unidos. • Construir experiencia nacional en seguridad de la información, administración del incidente y la computación forense. • Proporcionar a punto central confiable de contacto para el manejo de incidentes de la seguridad del ciberespacio en los Emiratos Árabes Unidos. 21 Tomado de: http://www.aecert.ae/. U.A: 2008/09/26. Publicado por: aeCERT. Autor: No determinado. Página 129 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Establecer un centro nacional para divulgar la información sobre las amenazas, vulnerabilidades e incidentes de la seguridad del ciberespacio. • Fomentar el establecimiento de nuevos CSIRTs. • Coordinar las operaciones entre CSIRTs doméstico, internacionales y organizaciones relacionadas. 4.3.5.18.3. Estructura Ha sido establecido por la Autoridad Reguladora de Telecomunicaciones (TRA) de los Emiratos Árabes Unidos como un cuerpo consultivo que debe recomendar buenas prácticas, políticas, procedimientos y tecnologías, sin embargo sin ejercer ninguna autoridad sobre su adopción ni responsabilidad sobre la administración de los riesgos de la ciberseguridad. 4.3.5.18.4. Área de Influencia Emiratos Árabes Unidos 4.3.5.19. España - ESCERT22 (Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas) 4.3.5.19.1. Antecedentes A principios de la década de los noventa surge en Europa una iniciativa dispuesta a crear Equipos de Respuestas a Incidentes de Seguridad en Ordenadores. Gracias al apoyo del programa técnico TERENA se empiezan a crear CSIRT europeos, es entonces cuando aparece, concretamente a finales de 1994, esCERTUPC (Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas - Universidad Politécnica de Cataluña) como primer centro español dedicado a asesorar, prevenir y resolver incidencias de seguridad en entornos telemáticos. esCERT - UPC ayuda y asesora en temas de seguridad informática y gestión de incidentes en redes telemáticas. Los principales objetivos son: Informar sobre vulnerabilidades de seguridad y amenazas. • 22 Tomado de: http://escert.upc.edu/index.php/web/es/index.html. U.A: 2008/09/26. Publicado por: Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas. Autor: No determinado. Página 130 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Divulgar y poner a disposición de la comunidad información que permita prevenir y resolver incidentes de seguridad. • Realizar investigaciones relacionadas con la seguridad informática. • Educar a la comunidad en general sobre temas de seguridad. De esta forma esCERT pretende mejorar la seguridad de los sistemas informáticos y a su vez aumentar el nivel de confianza de las empresas y de los usuarios en las redes telemáticas. 4.3.5.19.2. Servicios Ofrecidos Para llevar a cabo sus objetivos esCERT-UPC ofrece a la comunidad una serie de servicios que van desde la respuesta a incidentes a la definición de una política de seguridad para las empresas, pasando por la formación. • Respuesta a Incidentes • Altair (Servicio de Avisos de Vulnerabilidades) • Formación 4.3.5.19.3. Estructura esCERT es miembro de TF-CSIRT (Task Force-Collaboration of Incident Response Teams) y junto con otros equipos de seguridad como los de las compañías Telia o British Telecom. Forma parte de EPCI (European Private CERT Initiative) una agrupación de CERTs europeos privados. Dentro de EPCI se encuentran compañías como BT, Alcacel o Siemens. esCERT en el ámbito mundial participa en el FIRST, principal foro de coordinación de los diferentes CERTs de todo el mundo. 4.3.5.19.4. Área de Influencia España Página 131 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.20. España – IRIS-CERT23 (Servicio de seguridad de RedIRIS) 4.3.5.20.1. Antecedentes El servicio de seguridad de RedIRIS (IRIS-CERT) tiene como finalidad la detección de problemas que afecten a la seguridad de las redes de centros de RedIRIS, así como la actuación coordinada con dichos centros para poner solución a estos problemas. También se realiza una labor preventiva, avisando con tiempo de problemas potenciales, ofreciendo asesoramiento a los centros, organizando actividades de acuerdo con los mismos, y ofreciendo servicios complementarios. IRIS-CERT es miembro del FIRST desde el 11 de Febrero de 1997. Además ha sido contribuidor al piloto EuroCERT desde el 25 de Marzo de 1997 hasta la finalización del mismo en Septiembre de 1999. Actualmente participa activamente en el Task Force auspiciado por TERENA, TF-CSIRT, para promover la cooperación entre CSIRTs en Europa. Los usuarios del servicio de seguridad son de tres tipos: • Instituciones afiliadas a RedIRIS: Incluye universidades y otros centros de investigación. Estos usuarios tienen derecho a todos los servicios (por definición) y pueden participar en la coordinación de los mismos. • Otros servicios de seguridad nacionales e internacionales: IRIS-CERT actúa como punto de contacto y de coordinación de incidentes para otros servicios de seguridad. El ámbito de coordinación es toda España. El ámbito de representación es todo el mundo. IRIS-CERT es miembro de FIRST, fue contribuyente del proyecto EuroCERT y actualmente participa en el Task Force de TERENA TF-CSIRT, para promover la cooperación entre CSIRTs en Europa. IRIS-CERT también puede actuar de enlace con las fuerzas de seguridad del Estado (Policía y Guardia Civil), aunque no tomará acción judicial en nombre de terceros, y limitará su participación en tales procesos a la asesoría técnica. • Proveedores y usuarios de Internet en España: El servicio ofrecido a éstos, fuera de las instituciones de RedIRIS, se limita a lo siguiente: o Uso de los recursos públicos de IRIS-CERT (Servidor web, FTP, listas de correo). o Atención de incidentes de seguridad. El servicio de atención de incidentes se ofrece a todos por igual, según los criterios y prioridades establecidos aquí. 23 Tomado de: http://www.rediris.es/cert/. U.A: 2008/09/26. Publicado por: IRIS - CERT. Autor: No determinado. Página 132 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.20.2. Servicios Ofrecidos IRIS-CERT ofrece una serie de servicios principalmente orientados a las instituciones afiliadas a RedIRIS. Algunos de estos servicios se ofrecen, así mismo, a la comunidad de Internet. • • • Comunidad RedIRIS o Asesoramiento instituciones afiliadas o Auditoría en línea Comunidad de Internet o Gestión de incidentes. o Listas de Seguridad de RedIRIS Otros Servicios de Seguridad (Servicios no específicos de IRIS-CERT) o Infraestructura de Clave Pública para la comunidad RedIRIS (RedIRIS-PKI) o Servidor de claves públicas PGP o Red de Sensores AntiVirus de la Comunidad Académica (RESACA) EL servicio no tiene costo para quien tenga derecho a usar el servicio. No se presta servicio a nadie más. El Plan Nacional de I+D financia una red para los investigadores, y un servicio de seguridad que garantice la integridad de la misma. La coordinación de incidentes ajenos a RedIRIS es una tarea adicional, necesaria para llevar a cabo ese servicio. 4.3.5.20.3. Estructura IRIS-CERT funciona bajo el auspicio y con la autoridad delegada del director de RedIRIS. El IRIS-CERT espera trabajar cooperativo con los administradores y los usuarios de sistema en las instituciones conectadas RedIRIS, evitando relaciones autoritarias. 4.3.5.20.4. Área de Influencia España Página 133 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.21. España - CCN-CERT24 (Cryptology National Center - Computer Security Incident Response Team) 4.3.5.21.1. Antecedentes Este servicio se creo a principios de 2007 como CERT gubernamental español y está presente en los principales foros internacionales en los que se comparte objetivos, ideas e información sobre la seguridad de forma global. Su principal objetivo es contribuir a la mejora del nivel de seguridad de los sistemas de información de las tres administraciones públicas existentes en España (general, autonómica y local). Su misión es convertirse en el centro de alerta nacional que coopere y ayude a todas las administraciones públicas a responder de forma rápida y eficiente a los incidentes de seguridad que pudieran surgir y afrontar de forma activa las nuevas amenazas a las que hoy en día están expuestas. 4.3.5.21.2. Servicios Ofrecidos Para contribuir a esta mejora del nivel de seguridad, el CCN-CERT ofrece sus servicios a todos los responsables de Tecnologías de la Información de las diferentes administraciones públicas a través de cuatro grandes líneas de actuación: • Soporte y coordinación para la resolución de incidentes que sufra la Administración General, Autonómica o Local. El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actúa rápidamente ante cualquier ataque recibido en los sistemas de información de las administraciones públicas. • Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros de las administraciones públicas. En este sentido, las citadas Series CCN-STIC elaboradas por el CCN ofrecen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los Sistemas TIC en la Administración. • Formación a través de los cursos STIC, destinados a formar al personal de la Administración especialista en el campo de la seguridad de las TIC e impartidos a lo largo de todo el año. Su principal objetivo, aparte de actualizar el conocimiento del propio equipo que forma el CCN-CERT, es el de permitir la sensibilización y mejora de las capacidades del personal para la detección y gestión de incidentes. 24 Tomado de: https://www.ccn-cert.cni.es/. U.A: 2008/09/26. Publicado por: Centro Criptológico Nacional. Ministerio de Defensa de España. Autor: No determinado. Página 134 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información, recopiladas de diversas fuentes de reconocido prestigio (incluidas las propias) • El CCN-CERT ofrece información, formación y herramientas para que las distintas administraciones puedan desarrollar sus propios CERTs, permitiendo a este equipo actuar de catalizador y coordinador de CERTs gubernamentales. 4.3.5.21.3. Estructura El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI). 4.3.5.21.4. Área de Influencia España 4.3.5.22. España - INTECO-CERT25 (Centro de Respuestas a Incidentes en TI para PYMES y Ciudadanos) 4.3.5.22.1. Antecedentes El Centro de Respuesta a Incidentes en Tecnologías de la Información para PYMEs y Ciudadanos sirve de apoyo al desarrollo del tejido industrial nacional y ofrece los servicios clásicos de un Centro de Respuesta a Incidentes, dando soluciones reactivas a incidentes informáticos, servicios de prevención frente a posibles amenazas y servicios de información, concienciación y formación en materia de seguridad a la PYME y ciudadanos españoles. Para todo el proceso de definición y creación de INTECO-CERT se han seguido las directrices propuestas por ENISA (European Network and Information Security Agency, Agencia Europea de Seguridad de las Redes y de la Información). El centro de respuesta surge como iniciativa pública con los siguientes objetivos: • Proporcionar información clara y concisa acerca de la tecnología, su utilización y la seguridad que mejore su comprensión. • Concienciar a las PYMEs y ciudadanos de la importancia de contemplar y abordar adecuadamente todos los aspectos relacionados con la seguridad informática y de las redes de comunicación. 25 Tomado de: http://www.inteco.es/rssRead/Seguridad/INTECOCERT. U.A: 2008/09/26. Publicado por: Instituto Nacional de Tecnologías de la comunicación S.A.. Autor: No determinado. Página 135 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Proporcionar guías de buenas prácticas, recomendaciones y precauciones a tener en cuenta para mejorar la seguridad. • Proporcionar mecanismos y servicios de divulgación, formación, prevención y reacción ante incidencias en materia de seguridad de la información. • Actuar como enlace entre las necesidades de PYMEs y ciudadanos y las soluciones que ofertan las empresas del sector de la seguridad de las tecnologías de la información. 4.3.5.22.2. Servicios Ofrecidos Para llevar a cabo la misión de concienciación, formación, prevención y reacción en materia de seguridad en tecnologías de la información, INTECO-CERT ofrece un catálogo de servicios a los usuarios: • Servicios de información sobre Actualidad de la Seguridad: o Suscripción a boletines, alertas y avisos de seguridad. o Actualidad, noticias y eventos de relevancia. o Avisos sobre nuevos virus, vulnerabilidades y fraude. Estadísticas. • Servicios de Formación en seguridad y en la legislacón vigente para Pyme y ciudadanos, proporcionando guías, manuales, cursos online y otros recursos a los usuarios. • Servicios de Protección y prevención: catálogo de útiles gratuitos y actualizaciones de software. • Servicios de Respuesta y Soporte: • o Gestión y soporte a incidentes de seguridad. o Gestión de malware y análisis en laboratorio del INTECO-CERT. o Lucha contra el fraude. o Asesoría Legal en materia de seguridad en las tecnologías de la información. o Foros de Seguridad. Cooperación y coordinación con otras entidades de referencia en el sector, tanto a nivel nacional como internacional. Página 136 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA INTECO-CERT como servicio público e intermediario INTECO-CERT tiene vocación de servicio ánimo de lucro. El Centro surge con la vocación de servir de apoyo preventivo y reactivo en seguridad en tecnologías de la información y la comunicación a una tipología de usuarios, la Mediana Empresa (PYME) y ciudadanos, que no disponen de la formación, sensibilización suficientes en dicho campo. público sin materia de Pequeña y y recursos INTECO-CERT no vende soluciones tecnológicas o de consultoría. Si en su labor de apoyo a PYME y ciudadanos, entiende que debe aconsejar alguno de ellos, facilita un directorio de entidades que prestan esos servicios, para que el usuario elija según su criterio. El Centro de Respuesta quiere, en este contexto, erigirse como un puente entre las necesidades de la demanda (PYMEs y ciudadanos) y las soluciones de la oferta (entidades del sector de la seguridad de las tecnologías de la información). 4.3.5.22.3. Área de Influencia España 4.3.5.23. 4.3.5.23.1. Estados Unidos - US-CERT26 (United States - Computer Emergency Readiness Team) Antecedentes Establecido en 2003 para proteger la infraestructura del Internet de la nación, US-CERT coordina la defensa contra y respuestas a los ataques del ciberespacio a través de la nación. US-CERT es cargado con la protección de la infraestructura del Internet coordinando la defensa y la respuesta a los ataques del ciberespacio. 4.3.5.23.2. Servicios Ofrecidos US-CERT es responsable de • Analizar y reducir amenazas y vulnerabilidades del ciberespacio. • Divulgar información y advertencias de amenaza del ciberespacio. • Coordinar la respuesta a incidente. 26 Tomado de: http://www.us-cert.gov. U.A: 2008/09/26. Publicado por: Department of Homeland Security - USA. Autor: No determinado. Página 137 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA US-CERT obra recíprocamente con las agencias federales, industria, la comunidad de investigación, el estado y los gobiernos locales, y otros para divulgar la información de la seguridad del ciberespacio entre el público. • 4.3.5.23.3. Estructura El equipo de la Preparación para Emergencias Computacionales de Estados Unidos (US-CERT) es una sociedad entre Departamento de la seguridad de la patria y los sectores públicos y privados 4.3.5.23.4. Área de Influencia Estados Unidos 4.3.5.24. 4.3.5.24.1. Estonia – CERT-EE 27 (Computer Emergency Response Team of Estonia) Antecedentes El Equipo de la Respuesta a Emergencias Computacionales de Estonia (CERT Estonia), se establece en 2006. Su tarea es asistir a usuarios estonios del Internet en la puesta en práctica de medidas preventivas para reducir los daños posibles de incidentes de la seguridad y ayudarles a responder a las amenazas de la seguridad. El CERT Estonia se ocupa de los incidentes de la seguridad que ocurren en redes estonias. Los incidentes de la seguridad se atienden acorde con una prioridad definida según su severidad y alcance potenciales considerando el número de usuarios afectados, el tipo de un incidente, la blanco del ataque, así como el origen del ataquey los recursos requeridos para manejar el incidente. Los incidentes prioritarios incluyen, por ejemplo: ataques que pueden comprometer la vida de la gente, ataques en la infraestructura del Internet (servidores de nombres, nodos de red importantes y ataques automáticos en grande en los servidores de la red), etc. 4.3.5.24.2. Servicios Ofrecidos El CERT Estonia ofrece los servicios siguientes: • Orientación en el incidente • Recepción de informes de incidente 27 Tomado de: http://www.ria.ee/?id=28201. U.A: 2008/09/26. Publicado por: Department for Handling Information Security Incidents - Estonia. Autor: No determinado. Página 138 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Asignación de prioridades a los incidentes según su nivel de la severidad • Análisis del incidente • Respuesta a los incidentes. 4.3.5.24.3. Área de Influencia Estonia 4.3.5.25. 4.3.5.25.1. Filipinas - PH-CERT28 (Philippines Computer Emergency Response Team) Antecedentes El Equipo de Respuesta a Emergencias Computacionales de Filipinas (PH-CERT) es una organización sin ánimo de lucro que pretende brindar un punto confiable de contacto para emergencias computacionales, de internet y otras emergencias relacionadas de la tecnología de información. 4.3.5.25.2. Servicios Ofrecidos • Proporcione ayuda legal y consultiva. • Opera como punto central para divulgar vulnerabilidades de la seguridad computacional y proporcionará ayuda coordinada en respuesta a tales informes. • Genera informes técnicos de análisis referentes a código malévolo. • Proporciona información sobre la futura tecnología que puede plantear amenazas de la seguridad. • Proporciona entrenamiento para promover el conocimiento de la seguridad. • Genera alarmas sobre medidas a tomar contra amenazas existentes o próximas de la seguridad. • Proporciona pautas en el uso y la combinación eficaces de las herramientas de la seguridad para detección y prevención del incidente. 28 Tomado de: http://www.phcert.org/. U.A: 2008/09/26. Publicado por: Philippines Computer Emergency Response Team. Autor: No determinado. Página 139 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.25.3. Área de Influencia Filipinas 4.3.5.26. Francia-CERTA29 (Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) 4.3.5.26.1. Antecedentes El Primer Ministro anunció la creación del CERTA, tras la decisión del Comité Interministerial para la Sociedad de la Información (CISI), en enero de 1999 e inaugurado en febrero de 2000, con el fin de reforzar la protección de las redes del Estado contra los ataques. A fin de reforzar y coordinar la lucha contra las intrusiones en los sistemas informáticos de las administraciones del Estado, el Gobierno decide la creación de una estructura de alerta y de asistencia en la Internet encargada de la misión de vigilar y responder a los ataques informáticos. Los dos principales objetivos del CERTA son: • Garantizar la detección de las vulnerabilidades y la resolución de incidentes relativos a la seguridad de los sistemas de información • Asistir en la instalación de medios que permitan prevenir futuros incidentes. Para alcanzar estos dos objetivos, deben llevarse a cabo en paralelo las tres misiones siguientes: • Llevar a cabo una vigilancia tecnológica; • Organizar la instalación de una red de confianza; • Administrar la resolución de un incidente (si es necesario en relación con la red mundial de los CERT). El CERTA es miembro del FIRST desde el 12 de setiembre de 2000 y participa en la actividad TF-CSIRT (Computer Security Incident Response Team) que es la coordinación de los CERT europeos. En la actualidad existen varios CERT en Francia. Esta es la lista de los equipos miembros del FIRST o de la TF-CSIRT: 29 Tomado de: http://www.certa.ssi.gouv.fr/. U.A: 2008/09/26. Publicado por: Premier Ministre / Secrétariat Général de la Défense Nationale / Direction centrale de la sécurité des systèmes d'information. Autor: No determinado. Página 140 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • El CERTA es el CERT dedicado al sector de la administración francesa; • El Cert-IST es el CERT dedicado al sector de la Industria, de los Servicios y del Terciario (IST). Fue creado a finales del año 1998 por cuatro socios: ALCATEL, el CNES, ELF y France Télécom; • El CERT-RENATER es el CERT dedicado a la comunidad de los miembros del GIP RENATER (Red Nacional de telecomunicaciones para la tecnología, la Enseñanza y la Investigación). 4.3.5.26.2. Servicios Ofrecidos Las tareas prioritarias del CERT son las siguientes: • Centralización de las solicitudes de asistencia tras los incidentes de seguridad (ataques) en las redes y sistemas de informaciones: recepción de las solicitudes, análisis de los síntomas y eventual correlación de los incidentes; • Tratamiento de las alertas y reacción a los ataques informáticos: análisis técnico, intercambio de informaciones con otros CERT, contribución a estudios técnicos específicos; • Establecimiento y mantenimiento de una base de datos de las vulnerabilidades; • Prevención por difusión de informaciones sobre las precauciones que tomar para minimizar los riesgos de incidente o, por lo menos, sus consecuencias; • Coordinación eventual con las demás entidades (fuera del campo de acción): centros de competencia en redes, operadores y proveedores de acceso a Internet, CERT nacionales e internacionales. 4.3.5.26.3. Estructura Dicha estructura depende de la Secretaría General de la Defensa Nacional y trabajará en red con los servicios encargados de la seguridad de la información en todas las administraciones del Estado. Participará en la red mundial de los CERT (Computer Emergency Response Team). El CERTA depende de la Dirección Central de la Seguridad de Sistemas de Información (DCSSI) en la Secretaría General de la Defensa Nacional (SGDN), y se encarga de asistir a los organismos de la administración en la instalación de medios de protección y en la resolución de los incidentes o las agresiones informáticas de las cuales son víctimas. Constituye el complemento indispensable para las acciones preventivas ya aseguradas por la DCSSI y que son anteriores en el procedimiento de seguridad de los sistemas de información. 4.3.5.26.4. Área de Influencia Francia Página 141 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.27. 4.3.5.27.1. Hong Kong - HKCERT30 (Hong Kong Computer Emergency Response Coordination Centre) Antecedentes En respuesta a las necesidades de hacer frente a amenazas de la seguridad, el gobierno ha financiado al consejo de la productividad de Hong Kong para poner a funcionar el Centro de Coordinación del Equipo de Respuesta a Emergencias Computacionales de Hong Kong (HKCERT). El objetivo de HKCERT es proporcionar un contacto centralizado en la divulgación de incidentes y seguridad computacionales y de la red y brindar la respuesta para las empresas locales y los usuarios del Internet en el caso de los incidentes de la seguridad. Coordinará las acciones de respuesta y recuperación para los incidentes divulgados, ayuda a supervisar y a divulgar la información sobre seguridad y proporciona asesoría en medidas preventivas contra amenazas de la seguridad. El HKCERT también organiza seminarios del conocimiento y cursos de en asuntos relacionados seguridad de la información. 4.3.5.27.2. Servicios Ofrecidos • Respuesta a Incidentes: HKCERT proporciona respuesta durante 24 horas al día, 7 días a la semana. Acepta incidentes por teléfono, fax y e-mail. HKCERT asiste y coordina las acciones de recuperación para los incidentes. • Alarma de la Seguridad: HKCERT supervisa de cerca la información sobre temas relacionadas con la seguridad tales como últimos virus, debilidades de la seguridad y divulga la información al público. • Publicación: HKCERT publica pautas, listas de comprobación, alarmas y artículos relacionados con la seguridad. Estos documentos incluyen la información sobre vulnerabilidades de la seguridad, estrategias de defensa y detección temprana de ataques probables. HKCERT también publica un boletín de noticias mensual que proporciona la información más reciente en seguridad computacional y de la red. • Entrenamiento y educación: Para elevare el conocimiento de la seguridad de la información y para mejorar la comprensión pública, HKCERT organiza seminarios libres y brinda a los informes a las asociaciones comerciales regularmente. HKCERT también organiza los cursos que proporcionan conocimiento profundizado en asuntos del específico de la seguridad de la información. • Investigación y desarrollo: HKCERT conduce estudios en asuntos seleccionados seguridad de la información y la situación en Hong Kong referente ataques de la computadora, pérdida, contramedidas, etc. 30 Tomado de: http://www.hkcert.org/. U.A: 2008/09/26. Publicado por: HKCERT. Autor: No determinado. Página 142 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.27.3. Área de Influencia Hong Kong 4.3.5.28. 4.3.5.28.1. Hungría - CERT31 (CERT-Hungary) Antecedentes CERT-Hungría es el centro húngaro de la seguridad de la red y de la información del gobierno. Su tarea es proporcionar la ayuda de la seguridad de la red y de la información al público húngaro entero, a los negocios y a los sectores privados. El centro tiene un papel vital en la protección crítica de la infraestructura de la información de Hungría. CERT-Hungría también actúa como base de conocimiento para profesionales y público húngaro. CERT-Hungría fue fundada en 2004 en la fundación de Theodore Puskas con la ayuda del Ministerio de la Informática y de las Comunicaciones. Los servicios públicos de la organización se ofrecen al gobierno, a los municipios, y a los negocios húngaros, con la atención especial a la protección de los sistemas informáticos del gobierno húngaro. CERT-Hungría es lista abordar problemas de la seguridad 24 horas al día 365 días al año. Proporciona alarmas sobre amenazas nuevamente que emergen. Es responsable de manejar compromisos de la seguridad en los sistemas informáticos del gobierno húngaro. Proporciona la dirección para reducir boquetes de la seguridad, y aumenta conocimiento social sobre la información y seguridad de la computadora a través de varios foros. 4.3.5.28.2. Servicios Ofrecidos CERT-Hungría ofrece los servicios siguientes: Alarmas y advertencias: Este servicio implica que CERT-Hungría divulgue la información que describe los ataques de intrusos, vulnerabilidades de la seguridad, alarmas de intrusión, virus informáticos, bromas, proporcionando una línea de conducta recomendada a corto plazo para ocuparse del problema. La alarma, la advertencia o la asesoría se envían como reacción a un problema existente para notificar los componentes de la actividad y para proporcionar la orientación para proteger los sistemas o recuperar cualquier sistema que fuera afectado. • 31 Tomado de: http://www.cert-hungary.hu/. U.A: 2008/09/26. Publicado por: CERT Hungary. Autor: No determinado. Página 143 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Avisos: Los avisos incluyen, pero no se limitan a las alarmas de la intrusión, las advertencias de la vulnerabilidad y las recomendaciones de seguridad. Los avisos permiten proteger sistemas y redes contra problemas encontrados antes de que puedan explotar. • Difusión de la información relacionada con la Seguridad: Este servicio provee una recopilación de información útil para mejorar la seguridad. Tal información puede incluir: • • o Información de contactos para CERT-Hungría y pautas de divulgación. o Archivos de alarmas, de advertencias y de otros avisos o Documentación sobre mejores prácticas actuales o Orientación general de la seguridad computacional o Políticas, procedimientos y listas de comprobación o Información del desarrollo y distribución de correcciones o Ajustes de proveedores o Estadística y tendencias actuales en la divulgación del incidente o Otra información que puede mejorar seguridad total Dirección del incidente: CERT-Hungría se ocupa solamente de incidentes de la seguridad informática. Estos incidentes de la seguridad pueden ser acceso desautorizado a los datos sobre un sistema informático, negación de los ataques del servicio, virus contra un sistema informático, las vulnerabilidades, o cualquier otra actividad o programa que amenacen la seguridad de un sistema informático. Durante su incidente los expertos de CERT-Hungría reciben, dan la prioridad, y responden a los incidentes y a los informes y analizan incidentes y acontecimientos. Las actividades particulares de la respuesta pueden incluir: o Acción a tomar para proteger los sistemas y las redes afectadas o amenazadas por el intrusos o Proveer soluciones y estrategias de mitigación de o de alarmas relevantes o Filtración de tráfico de la red Dirección de la vulnerabilidad: Las vulnerabilidades están basadas en errores de la configuración que crean los agujeros de seguridad en los sistemas informáticos y redes. La dirección de la vulnerabilidad implica recibir información sobre vulnerabilidades del hardware y del software. CERT-Hungría analiza la naturaleza, mecanismos y efectos de las vulnerabilidades y desarrollan las estrategias de la respuesta para detectar y reparar las vulnerabilidades. Página 144 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Manejo de artefactos: Un artefacto es cualquier archivo u objeto encontrado en un sistema que impacta en sistemas y redes, que atacan o que se esté utilizando para destruir medidas de seguridad. CERT-Hungría analiza la naturaleza, mecanismos, versión y el uso de los artefactos y desarrolla (o sugiere) las estrategias de respuesta para detectar, quitar y defender contra estos artefactos. • Educación y entrenamiento: Con seminarios, los talleres, los cursos y clases particulares, CERT-Hungría educa sobre soluciones de seguridad computacional. Los temas pueden ser: o Incidente y pautas o Métodos apropiados de respuesta o Herramientas de respuesta del incidente o Métodos para la prevención del incidente o Otra información necesaria para proteger, detectar, divulgar y responder a los incidentes de la seguridad computacional. 4.3.5.28.3. Área de Influencia Hungría 4.3.5.29. India - CERT-In32 (Indian Computer Emergency Response Team) 4.3.5.29.1. Antecedentes El propósito del CERT-In es convertirse en la agencia de confianza de la comunidad india para responder a los incidentes de la seguridad de computacional. CERT-In asiste a los miembros de la comunidad india para ejecutar medidas proactivas para reducir los riesgos de los incidentes de la seguridad informática. 4.3.5.29.2. Servicios Ofrecidos Servicios Reactivos • o Proporciona un solo punto del contacto para divulgar problemas locales. 32 Tomado de: http://www.cert-in.org.in/. U.A: 2008/09/26. Publicado por: Department of Information Technology. Ministry of Communications & Information Technology, Government of India. Autor: No determinado. Página 145 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • • o Asiste al gobierno y a la comunidad general en la prevención y la manipulación de incidentes de la seguridad computacional. o Comparte la información y las lecciones aprendidas con el CERT/CC, otros CERTs y las organizaciones. o Respuesta del incidente o Proporciona el servicio de una seguridad 24 x 7. o Procedimientos de recuperación o Análisis de artefactos o Trazo del incidente Servicios Proactivos o Publica las pautas de la seguridad, las recomendaciones y consejos oportunos. o Análisis y respuesta de la vulnerabilidad o Análisis del riesgo o Evaluación de producto relacionados con la seguridad o Colaboración con los proveedores o Perfilar atacantes. o Entrenamiento, investigación y desarrollo de la conducta. Funciones o Divulgación o Punto central para divulgar incidentes o Base de datos de incidentes o Análisis Página 146 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA o Análisis de tendencias y patrones de la actividad del intruso o Desarrollo de las estrategias preventivas Respuesta • o La respuesta del incidente es un proceso dedicado a restaurar sistemas afectados a la operación o Envío de recomendaciones para la recuperación y la contención del daño causada por los incidentes. o Ayuda a los administradores de sistemas a tomar la acción de seguimiento para prevenir la repetición de incidentes similares 4.3.5.29.3. Estructura CERT-In funciona bajo auspicios y con la autoridad delegada del Departamento de Tecnología de Información, del Ministerio de Comunicaciones y Tecnología de Información, del gobierno de la India. CERT-In trabaja cooperativamente con los oficiales de información y los administradores de sistema de varias redes sectoriales y de gobierno. 4.3.5.29.4. Área de Influencia India 4.3.5.30. 4.3.5.30.1. Japan - JPCERT/CC33 (JP CERT Coordination Center) Antecedentes JPCERT/CC es el primer CSIRT establecido en Japón. Se coordina con los proveedores de servicios de red, vendedores de productos de seguridad, agencias estatales, así como las asociaciones gremiales de la industria. En la región Pacífica de Asia, JPCERT/CC ayudó a formar APCERT (Equipo de Respuesta a Emergencias Computacionales de Asia Pacífico) y ejerce la función de secretaría para APCERT. Es miembro del Foro de Equipos de Respuesta y Seguridad del Incidente (FIRST). Los objetos de JPCERT/CC son: 33 Tomado de: http://www.jpcert.or.jp/. U.A: 2008/09/26. Publicado por: JPCERT/CC. Autor: No determinado. Página 147 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Proporcionar respuestas a incidente de seguridad computacionales. • Coordinar la acción con CSIRTs locales e internacional y organizaciones relacionadas. • Ayudar al establecimiento de nuevos CSIRTs y promover la colaboración entre CSIRTs • Divulgar información técnica sobre incidentes de seguridad computacional y las vulnerabilidades y ajustes a la seguridad, generar alarmas y advertencias. • Generar investigación y análisis de incidentes de la seguridad computacional. • Conducir investigaciones sobre tecnologías relacionadas con la seguridad. • Aumentar el entendimiento de la seguridad de la información y del conocimiento técnico, con educación y entrenamiento. 4.3.5.30.2. • Servicios Ofrecidos Incidente Respuesta y análisis: JPCERT/CC proporciona ayuda técnica para divulgar problemas de la seguridad de la siguiente manera: o Con base en información proporcionada por los sitios afectados, JPCERT/CC determina los daños. o Identifica las vulnerabilidades. o Proporciona información técnica relevante. Adicionalmente genera un informe semanal y trimestral sobre respuestas y análisis de incidentes y otra información relevante a la seguridad computacional. • Alertas de Seguridad: JPCERT/CC recopila la información relacionada con seguridad computacional y genera alarmas y mensaje para prevenir ataques contra redes locales de las organizaciones, así como para evitar que el impacto de tales ataques llegue a ser extenso. Un informe semanal, contiene amenazas potenciales y mensajes de cómo evitarlos o reducir al mínimo el daño causado por incidentes o las vulnerabilidades. • Coordinación con otros CSIRTs: Siendo el primer CSIRT formado en Japón, mantiene relaciones cercanas establecidas con mucho CSIRTs no sólo en la Asia y la región pacífica, sino también en otras regiones. La coordinación y la colaboración con esos CSIRTs es crucial para el uso seguro de la tecnología del Internet en todo el mundo. • Coordinación de Proveedores: Con el fin de evitar, reduce al mínimo o recupera del daño con eficacia y eficiencia, la coordinación con los proveedores que pudieron afectar la seguridad del Internet es Página 148 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA importante. JPCERT/CC comparte la información con los proveedores locales y distribuyen la información de la vulnerabilidad de manera oportuna. • Educación y entrenamiento: JPCERT/CC proporciona la educación y el entrenamiento relacionados con la seguridad de la red, incidentes de seguridad, vulnerabilidad y las tendencias y ayudas de seguridad a partir de seminarios y talleres. Además, vario informes técnicos y otros documentos están disponibles en el web site. • Investigación y análisis: Los incidentes de la computadora se están convirtiendo en un problema cada vez más difícil de identificar. JPCERT/CC ejerce investigación y análisis para encontrar mejores maneras de prevenir ataques o de limitar su daño. 4.3.5.30.3. Área de Influencia Japón 4.3.5.31. 4.3.5.31.1. México – UNAM-CERT34 (Equipo de Respuesta a Incidentes de Seguridad en Cómputo) Antecedentes El UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo) es un equipo de profesionales en seguridad en cómputo localizado en el Departamento de Seguridad en Cómputo (DSC) de la Dirección General de Servicios de Cómputo Académico (DGSCA), de la UNAM. El UNAM-CERT se encarga de proveer el servicio de respuesta a incidentes de seguridad en cómputo a sitios que han sido víctimas de algún "ataque", así como de publicar información respecto a vulnerabilidades de seguridad, alertas de la misma índole y realizar investigaciones de la amplia área del cómputo y así ayudar a mejorar la seguridad de los sitios. El DSC (Departamento de Seguridad en Cómputo) de la DGSCA, UNAM, es un punto de encuentro al cual puede acudir la comunidad de cómputo para obtener información, asesorías y servicios de seguridad, así como para intercambiar experiencias y puntos de vista, logrando con ello, establecer políticas de seguridad adecuadas, disminuir la cantidad y gravedad de los problemas de seguridad y difundir la cultura de la seguridad en cómputo. 34 Tomado de: http://www.cert.org.mx/index.html. U.A: 2008/09/26. Publicado por: UNAM-CERT. Autor: Jefe del Departamento de Seguridad en Cómputo: Juan Carlos Guel. Líder del Proyecto: Alejandro Núñez Sandoval. Página 149 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.31.2. Servicios Ofrecidos El DSC pone a la disposición de los Institutos, Facultades y organizaciones externas su portafolio de servicios de Seguridad en Tecnologías de la Información: • Análisis de Riesgos. • Test de Penetración. • Análisis Forense. • Auditorias de Seguridad. • Administración de Infraestructura de Seguridad en TI. • Tecnologías de Seguridad. • Desarrollo de Soluciones. • Asesorías. 4.3.5.31.3. Estructura El UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo) es un equipo de profesionales en seguridad en cómputo localizado en el Departamento de Seguridad en Cómputo (DSC) de la Dirección General de Servicios de Cómputo Académico (DGSCA), de la UNAM. 4.3.5.31.4. Área de Influencia México Página 150 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.32. 4.3.5.32.1. Nueva Zelandia – CCIP35 (Centre for Critical Infrastructure Protection) Antecedentes El Centro para la Protección de la infraestructura Crítica (CCIP) es la agencia de estatal dedicada al trabajo con las organizaciones, la industria y el gobierno relacionados con la infraestructura crítica de Nueva Zelandia, para mejorar la protección y la seguridad computacional de amenazas. 4.3.5.32.2. Servicios Ofrecidos • Proporcionar un servicio de asesoría 7*24 hacia dueños y operadores de la Infraestructura Crítica Nacional y del gobierno de Nueva Zelandia. • Investigar y analizar los incidentes del ciberespacio que ocurren contra la Infraestructura Crítica Nacional. • Trabajar con las agencias de protección de la Infraestructura Crítica Nacional tanto de manera local como internacionalmente para mejorar el conocimiento de la seguridad del ciberespacio en Nueva Zelandia. 4.3.5.32.3. Estructura El Centro para la Protección de la Infraestructura Crítica (CCIP) es una unidad de negocio dentro de la oficina de Seguridad de Comunicaciones del Gobierno (GCSB). La persona responsable del CCIP y de GCSB es el Primer Ministro de Nueva Zelandia. 4.3.5.32.4. Área de Influencia Nueva Zelandia 35 Tomado de: http://www.ccip.govt.nz/. U.A: 2008/09/26. Publicado por: Centre for Critical Infrastructure Protection. Autor: No determinado. Página 151 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.33. 4.3.5.33.1. Holanda – GOVCERT.NL36 Antecedentes GOVCERT.NL es el Equipo de Respuesta a Emergencias Computacionales para el gobierno holandés. Desde 2002 apoya al gobierno en la prevención y atención de incidentes relacionados con la seguridad. 4.3.5.33.2. Servicios Ofrecidos • Coordinación: Actúa como punto central de la emergencia de incidentes relacionados con la seguridad, tales como virus informáticos y detección de vulnerabilidades. • Información: Proporciona la información correspondiente a temas de seguridad a las partes apropiados. • Asiste a oficiales del gobierno en la prevención de incidentes de seguridad. • Intercambio internacional del conocimiento: mantiene la cooperación e intercambio de información a nivel internacional. • Banco de datos: GOVCERT. NL es un centro de información. Proporciona acceso al conocimiento y a la experiencia de su personal y organizaciones que participan. Además, promueve el intercambio de información entre estas organizaciones. El banco de datos facilita el intercambio por medio de listas de distribución, de archivos de documentos relevantes y de mejores prácticas. • Paneles: Organizamos reuniones periódicas para dar la oportunidad de intercambiar conocimiento e ideas en temas de actualidad. • Ayuda en caso de incidentes: Ofrece ayuda haciendo frente a todas las clases de incidentes, extendiéndose al correo Spam, a los ataques de la red de la escala grande, con un soporte 7*24. 4.3.5.33.3. Área de Influencia Holanda 36 Tomado de: http://www.govcert.nl/. U.A: 2008/09/26. Publicado por: GOV-CERT.NL. Autor: No determinado. Página 152 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.34. 4.3.5.34.1. Polonia - CERT Polska37 (Computer Emergency Response Team Polska) Antecedentes El CERT Polska es el nombre oficial del equipo desde el enero de 2001. Era conocido antes como CERT Nask. Desde el febrero de 1997 el CERT Polska ha sido un miembro del Foro Mundial de Equipos de Respuesta y Seguridad del Incidente - FIRST. El CERT Nask fue establecido en marzo de 1996 según la disposición del director de Nask (Red Académica y de Investigación en Polonia). Sus objetivos son constituir un único punto confiable de atención a incidentes y prevención en Polonia para los clientes de la comunidad Nask y otras redes en Polonia, responder por los incidentes de seguridad, proveer información referente a la seguridad y advertencias de los ataques en cooperación con otros equipos de respuesta a incidentes por todo el mundo 4.3.5.34.2. Servicios Ofrecidos • El CERT Polska registra las peticiones, alertas y proporcionará datos e informes estadísticos de incidentes. • Proporciona ayuda a los sitios que tienen problemas de seguridad. • El CERT Polska brinda información actual sobre problemas de seguridad y su solución (vía web y lista de suscripción). 4.3.5.34.3. Estructura El equipo lo conforma la Red Académica y de Investigación en Polonia, con la ayuda de expertos de universidades polacas. 4.3.5.34.4. Área de Influencia Polonia 37 Tomado de: http://www.cert.pl/. U.A: 2008/09/26. Publicado por: CERT Polska. Autor: No determinado. Página 153 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.35. 4.3.5.35.1. Qatar - Q-CERT38 (Qatar CERT) Antecedentes Como Equipo Nacional de Respuesta a Incidente de Seguridad Computacional de Qatar, Q-CERT coordinará el sistema de actividades de la ciber - seguridad necesarias para mejorar la protección de infraestructuras críticas en la nación y en la región. Para alcanzar esta meta, Q-CERT trabajará con las agencias y la industria estatal para formar una estrategia de la gerencia de riesgo para la seguridad del ciberespacio que incluye los siguientes frentes: • Planeamiento, medición y evaluación • Disuasión • Protección • Supervisión, detección y análisis • Respuesta • Reconstitución y recuperación • Investigación y desarrollo Q-CERT cubre todas las organizaciones autorizadas para utilizar el dominio del código de país.qa, así como la población en general de Qatar que utiliza el Internet. Incluye al gobierno de Qatar, a los negocios e instituciones educativas que utilizan el Internet para sus operaciones. Los socios estratégicos incluyen la industria petrolera del aceite, la industria de servicios financieros, la industria de las telecomunicaciones, y los ministerios del estado de Qatar. Q-CERT trabajará con los institutos educativos en Qatar para aumentar conocimiento de la seguridad de la información y para mejorar prácticas de seguridad de la información. 4.3.5.35.2. • Servicios Ofrecidos Talleres, seminarios, y cursos diseñados para aumentar el conocimiento acerca de la seguridad del ciberespacio. 38 Tomado de: http://www.qcert.org. U.A: 2008/09/26. Publicado por: Supreme Council of Information & Comunication Technology. Autor: No determinado. Página 154 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Provee un Web site para brindar información sobre las amenazas que emergen, nuevas vulnerabilidades y otros temas de seguridad. • Explorar la información de la seguridad de sistemas de fuente abierta para prevenir amenazas emergentes. • Genera nuevas alarmas y estrategias de mitigación. • Analiza vulnerabilidades y código malévolo para desarrollar estrategias de la mitigación. • Analizar incidentes de la seguridad e identifica contramedidas. • Coordina a través de las organizaciones internacionales el manejo de atención a incidentes e investigaciones. • Ayuda en la determinación del alcance y de la magnitud de incidentes de seguridad e identifica estrategias de la recuperación 4.3.5.35.3. Estructura Q-CERT es un organismo nacional patrocinado del Consejo Supremo para la Tecnología de Información y de Comunicaciones (ictQATAR) del estado de Qatar en asocio con el programa CERT que es parte de Instituto de Ingeniería de Software de la Universidad Carnegie - Mellon en Pittsburgh, Estados Unidos. 4.3.5.35.4. Área de Influencia Gobierno y sector privado en Qatar y en la región cercana del golfo. 4.3.5.36. 4.3.5.36.1. Reino Unido - GovCertUK39 (CESG´s Incident Response Team) Antecedentes GovCertUK nace en febrero de 2007, como la autoridad técnica nacional para el aseguramiento de la información y proporciona la función de CERT al gobierno británico. Asiste a organizaciones del sector público en la respuesta a los incidentes de seguridad computacional y proporciona asesoría para reducir la exposición a la amenaza. 39 Tomado de: www.govcertuk.gov.uk. U.A: 2008/09/26. Publicado por: CESG GovCertUK Incident Response Team. Autor: No determinado. Página 155 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Este papel incluye disponer de una capacidad de respuesta a emergencias de las organizaciones del sector público que pueden requerir la ayuda técnica y la asesoría durante períodos de ataque electrónico o de otros incidentes de la seguridad de la red. El equipo GovCertUK presta ayuda técnica y asesoría al Centro para la Protección de la Infraestructura Nacional (Centre for the Protection of National Infrastructure – CPNI40), que proporcionará un papel similar de ayuda a la infraestructura nacional crítica, a las organizaciones del sector público y privado, protegiendo la seguridad nacional ayudando así a reducir la vulnerabilidad de la infraestructura nacional al terrorismo y a otras amenazas. 4.3.5.36.2. Servicios Ofrecidos • Publicaciones orientadas a la protección general de la seguridad. • Informes de seguridad de la información destacando los riesgos frente a la infraestructura nacional. • Notas técnicas de la Seguridad de la Información. • Vulnerabilidades de la Seguridad de la Información. • Investigación en vulnerabilidades computacionales para determinar las amenazas, identificar problemas y se trabaja de la mano con proveedores de tecnología para suministrar patches de software. • Promueven las mejores prácticas entre los operadores de la infraestructura nacional, compartiendo la información. • Descripción de tecnologías emergentes. • Intercambios de información sobre los riesgos. 4.3.5.36.3. Área de Influencia Reino Unido e Irlanda del Norte 40 Tomado de: www.cpni.gov.uk. U.A: 2008/09/26. Publicado por: Centre for the Protection of National Infrastructure – CPNI. Autor: No determinado. Página 156 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.37. 4.3.5.37.1. Singapur – SingCERT41 (Singapore CERT) Antecedentes El Equipo de Respuesta a Emergencias Computacionales de Singapur (SingCERT) fue instalado para facilitar la detección, la resolución y la prevención de incidentes relacionados con la seguridad en Internet. Sus objetivos son: • Ser un punto de contacto confiable. • Facilitar la resolución de las amenazas de la seguridad. • Aumente la capacidad nacional en seguridad. 4.3.5.37.2. Servicios Ofrecidos • Genera alarmas, recomendaciones y patches de seguridad. • Promueve el conocimiento de la seguridad a través de cursos, seminarios y talleres de seguridad. • Colabora con los proveedores y otros CERTs para encontrar soluciones a los incidentes de la seguridad 4.3.5.37.3. Estructura SingCERT fue establecido inicialmente en octubre de 1997 como programa de la autoridad del desarrollo de Infocomm de Singapur, en colaboración con el Centro para la Investigación del Internet de la Universidad Nacional de Singapur. 4.3.5.37.4. Área de Influencia Singapur 41 Tomado de: http://www.singcert.org.sg/. U.A: 2008/09/26. Publicado por: Singapur – SingCERT. Autor: No determinado. Página 157 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.38. Sri Lanka – SLCERT42 (Sri Lanka Computer Emergency Response Team) 4.3.5.38.1. Antecedentes El Equipo de Respuesta a Emergencia Computacionales de Sri Lanka (SLCERT) es el centro para la seguridad del ciberespacio, designado por mandato para proteger la infraestructura de la información de la nación y para coordinar medidas protectoras y respuestas a las amenazas y a las vulnerabilidades de la seguridad informática. Un CERT nacional actúa como punto focal para la seguridad de Ciberespacio para una nación. Es la única fuente confiable para asesorar sobre las amenazas y las vulnerabilidades más recientes que afectan los sistemas informáticos y las redes y para asistir al gobierno en responder y recuperarse de Ataques computacionales. 4.3.5.38.2. Servicios Ofrecidos SLCERT ofrece tres categorías de servicio: Servicios de Respuesta: Son los servicios que son activados por los acontecimientos que son capaces de causar efectos nocivos sobre los sistemas de información. Los ejemplos son ataques de Spam, virus y acontecimientos inusuales de intrusos. • o Dirección en incidentes: Este servicio implica responder a una petición o a una notificación asociada a la detección de un acontecimiento inusual, que puede afectar el funcionamiento, la disponibilidad o la estabilidad de los servicios o sistemas informáticos. o SLCERT realizará pasos para identificar el incidente y para clasificar la severidad del incidente, asesorando en cómo contener el incidente y suprimir la causa. Una vez los sistemas se recuperan completamente, SLCERT genera un informe de incidente detallando su naturaleza, medidas tomadas para recuperarse de incidente y medidas preventivas recomendadas para el futuro. Servicios del Conocimiento: Se diseñan para educar en la importancia de la seguridad de la información y de los asuntos relacionados y las mejores prácticas. • o Alarmas: Este servicio se utiliza para divulgar la información en relación con virus informáticos, bromas y vulnerabilidades de la seguridad, y en lo posible, para proporcionar recomendaciones a corto plazo para ocuparse de las consecuencias de tales ataques. 42 Tomado de: http://www.cert.lk/. U.A: 2008/09/26. Publicado por: Sri Lanka – SLCERT. Autor: No determinado. Página 158 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • o Seminarios y conferencias: Estos servicios tienen la intención de aumentar el conocimiento sobre la seguridad de la información, seguridad estándares y mejores prácticas. Se busca ayudar a reducir perceptiblemente la probabilidad de ser atacado. o Talleres: Estos servicios son dirigido para aumentar el conocimiento acerca de la seguridad de la información. Se orientan a los profesionales más técnicos, que realizan tareas diarias relacionadas con la seguridad de la información. o Base de Conocimiento: La base de conocimiento es un servicio pasivo ofrecido por SLCERT a los interesados con documentos, artículos, noticias, etc., publicado en el Web site de SLCERT y los medios. Se busca proporcionar una gama de recursos del conocimiento que permitan a cualquier persona encontrar información útil para ayudar a aumentar su comprensión de la seguridad de la información. Servicios de la Consulta: Estos servicios se orientan a proveer medios de toma de decisiones con respecto a la seguridad de la información, y para tomar las medidas necesarias para consolidar las defensas. o Soporte Técnico: Este servicio de revisión y análisis está dirigido a la infraestructura y procedimientos de la seguridad adoptados dentro de las organizaciones, de acuerdo con la experiencia en seguridad de la información del SLCERT y de ciertos parámetros predefinidos. El resultado final es un identificación detallada de las debilidades de la infraestructura, las mejoras que deben llevarse a cabo y cómo tales las mejoras deben ser puestas en ejecución. o Soporte Consultivo para Política Nacional: Éste es un servicio realizado por SLCERT como obligación con la nación. Como autoridad primaria en seguridad de la información en Sri Lanka, SLCERT es responsable de generar y de hacer cumplir estándares de seguridad de la información a nivel nacional. 4.3.5.38.3. Área de Influencia Sri Lanka Página 159 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.39. 4.3.5.39.1. Túnez - CERT-TCC43 (Computer Emergency Response Team - Tunisian Coordination Center) Antecedentes A partir de 2002 se establece el núcleo de un CSIRT en Túnez, que condujo en 2004 al lanzamiento oficial del CERT-TCC (Computer Emergency Response Team - Centro Tunecino de Coordinación), un CSIRT público gestionado por la Agencia Nacional para la Seguridad Computacional. El CERT-TCC tiene los siguientes objetivos: • Aumentar el conocimiento y entendimiento acerca de la seguridad de la información y de la seguridad de la computadora a través de medidas proactivas. • Proporcionar un soporte confiable7*24, con un solo punto de contacto para las emergencias, para ayudar a manejar incidentes de la seguridad y para asegurar la protección del Ciberespacio nacional y la continuidad de servicios críticos nacionales a pesar de ataques. • Proporcionar el entrenamiento y la certificación de alto nivel para los aprendices y los profesionales. • Informar sobre las mejores prácticas y sobre aspectos de organización de la seguridad, con un foco especial en la gerencia de la intervención y de riesgo. • Informar sobre vulnerabilidades y respuestas correspondientes y sirve como un punto confiable de contacto para recopilar e identificar vulnerabilidades en sistemas informáticos. • Informar sobre mecanismos y herramientas de la seguridad y asegurar que la tecnología apropiada y las mejores prácticas de gerencia sean utilizadas. • Poner en ejecución los mecanismos que permitan alertar y dar respuesta a organizaciones y a instituciones, para desarrollar sus propias capacidades de la gerencia del incidente • Facilitar la comunicación entre el profesional y los expertos que trabajan en estructuras de seguridad y estimular la cooperación entre y a través de los negocios públicos y privados de las agencias estatal y de las organizaciones académicas. • Colaborar con la comunidad internacional y nacional en incidentes de detección y de resolución de la seguridad computacional. 43 Tomado de: http://www.ansi.tn/en/about_cert-tcc.htm. U.A: 2008/09/26. Publicado por: National Agency for Computer Security - Tunez. Autor: No determinado. Página 160 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Promover o emprende el desarrollo de los materiales educativos, de conocimiento y de entrenamiento apropiados para mejorar las habilidades y el conocimiento técnico de los usuarios y los profesionales de la seguridad. 4.3.5.39.2. • Servicios Ofrecidos Actividades del conocimiento o Publicaciones: Como material del conocimiento, se desarrollan y distribuyen folletos y guías que explican a los usuarios de una manera simple y clara las amenazas y cómo proteger sus sistemas. También distribuyen libremente los CDs con las herramientas de seguridad y de control parental, libres para el uso doméstico, pero también los patches. o Presentaciones: Co-organizan e intervienen en conferencias nacionales y talleres relacionados con la seguridad, con demostraciones en vivo de ataques, para sensibilizar a la gente con la realidad de los riesgos y la importancia de las mejores prácticas. o Juventud y padres: Referente a conocimiento de la juventud y de los padres, preparan material del conocimiento. Un manual “Pasaporte de la seguridad para la familia” incluyendo concursos, historietas y juego pedagógico, que explican a los niños de una manera divertida, los riesgos (pedofilia, virus, etc…) y las reglas básicas de protección. o Prensa: Participa en emisiones semanales en medios nacionales, creando un posicionamiento. • Información y actividades de alertas: Una de las principales tareas es detectar y analizar amenazas y transmitir esa información a los administradores de sistema y a la comunidad de usuarios. CERT-TCC divulga regularmente información y alarmas sobre vulnerabilidades críticas y actividades malévolas a través de sus listas de distribución y con su web site. Analiza las vulnerabilidades potenciales, recogiendo la información, trabajando con otros CSIRTs y proveedores de software para conseguir las soluciones a estos problemas. • Entrenamiento y educación: CERT-TCC está actuando para la construcción de un grupo de trabajo de los multiplicadores y e la creación de diplomados especializados en seguridad, junto con el estímulo de los profesionales para obtener certificación internacional. Para solucionar eficientemente el problema de la carencia del entrenamiento especializado en seguridad, el CERT-TCC organiza entrenamientos para los multiplicadores que estarán en cargo de reproducir esos cursos en una escala mayor. Los primeros asuntos identificados son los siguientes : o Técnicas de seguridad del perímetro de la red: Arquitecturas seguras, cortafuegos, identificaciones, servidores de marcado manual seguros. o Organización y técnicas internas: Desarrollo de política de la seguridad, desarrollo del plan de seguridad, herramientas de seguridad de la red (Cortafuegos, entradas distribuidos contra-virus, PKI.). Página 161 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA o Tecnologías de supervivencia de la información: Planes de recuperación de desastres. o Base técnica para la prevención de la intrusión: Identifica y previene intrusiones y defectos de seguridad. o Fundamentos en la orientación del manejo del incidente. o Metodologías de la autovaloración de la seguridad. o ISO 17799 e ISO 27000. o Curso de CBK, para la preparación a la certificación de CISSP. o Cursos especializados para el personal judicial y de investigación. También desarrollan un programa de entrenamiento para la certificación de personas del sector privado, que permite la obtención de la certificación nacional de interventor de la seguridad, además, al entrenamiento para los administradores de los sistemas de e-gobierno, y como motivación para la certificación de CISSP, los entrenamientos que cubren todos los capítulos del CBK. CERT-TCC trabaja con profesionales e instituciones académicas para desarrollar planes de estudios en seguridad de la información y se tiene el proyecto para lanzar un centro de entrenamiento regional en seguridad en sociedad con el sector privado. Prepara adicionalmente los entrenamientos especiales para los jueces, y periodistas. • Educación: En colaboración con dos instituciones académicas, se lanzó la primera maestría en seguridad en 2004 y ahora tres universidades públicas y cuatro privadas, proponen programas de maestría similares. Para motivar a estudiantes a atender a esos cursos, se les ofrece la posibilidad de postular a la certificación nacional del interventor de la seguridad. De otro lado, consideran que todos los estudiantes deben ser preparados para obtener conocimiento apropiado sobre riesgos y la existencia de las mejores prácticas y de herramientas de seguridad para la protección. Con ese propósito, comenzaron sesiones del conocimiento de verano para los nuevos profesores de las escuelas secundarias y están motivando a todas las entidades de educación para la introducción de los cursos básicos del conocimiento dentro de programas académicos, desde las escuelas secundarias hasta la universidad. CERT-TCC comenzó el desarrollo del material y de los programas del conocimiento para las escuelas secundarias. • Dirección y ayuda del incidente: Según la ley relacionado con la seguridad computacional, las corporaciones privadas y públicas deben informar al CERT-TCC sobre cualquier incidente, que pueda tener impacto en otros sistemas de información nacionales, con la garantía de confidencialidad ala que están obligados los empleados del CERT-TCC y los interventores de la seguridad, bajo sanciones penales. Las organizaciones tanto privadas como públicas deben confiar en el CERT-TCC por lo cual se Página 162 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA obligan a guardar confidencial sobre sus identidades y la información sensible proporcionada. También deben ser neutrales, que permita trabajar con las entidades y las entidades sin predisposición. Se establecieron teléfonos 7*24 que permiten a los profesionales y a los ciudadanos divulgar y llamar para solicitar ayuda en caso de incidentes de la seguridad computacional y también para solicitar la información y/o la ayuda en cualquier tema relacionado a la seguridad. En las actividades de dirección de la vulnerabilidad y del incidente se asigna una prioridad más alta a los ataques y a las vulnerabilidades que afectan directamente el ciberespacio nacional. En este sentido se comenzó a desarrollar un sistema llamado “Saher” que permite determinar y predecir amenazas grandes y potenciales a las infraestructuras de telecomunicación sensibles y al Ciberespacio local, basado en código abierto que permite supervisar la seguridad del Ciberespacio nacional en tiempo real para la detección temprana de ataques masivos. El primer prototipo fue desplegado en noviembre de 2005. Para asegurar una respuesta rápida y correcta en caso de ataques grandes contra el Ciberespacio, se ha desarrollado un plan global de la reacción basado en el establecimiento de células de crisis coordinadas a nivel de varios agentes del Ciberespacio nacional ( ISPs, IDCs, proveedores de acceso, redes corporativas grandes) con CERT-TCC actuando como coordinador entre ellos. • Colaboración con asociaciones: Co-organizan regularmente talleres del conocimiento y entrenamiento buscando sinergia entre los profesionales y los agentes nacionales. Animan la creación de dos asociaciones especializadas en el campo de la seguridad informática: Una asociación académica lanzada en 2005 (“Asociación Tunecina para la Seguridad Numérica”) y durante 2006 (“Asociación Tunecina de Expertos en Seguridad Computacional”). Con el propósito de motivar la agregación técnica de esas asociaciones, las están motivando para la creación de equipos de trabajo técnicos. • Colaboración internacional: CERT-TCC se ha establecido como miembro de pleno derecho de FIRST en mayo de 2007 y busca colaborar con otros CSIRTs para lograr un apoyo mayor y colaboración en investigaciones. También intentan ser activos a nivel regional en África y en organizaciones internacionales. 4.3.5.39.3. Estructura Cuenta con dos equipos: • Equipo Amen: A cargo del análisis del incidente y coordinación y respuesta en sitio y en caso de emergencia nacional. • Equipo Saherel: A cargo de la detección del incidente y del artefacto, que desarrolla y maneja un sistema de supervisión para el ciberespacio nacional, basado en soluciones de código abierto. Está también a cargo de dar asistencia técnica y ayuda para el despliegue de las soluciones de código abierto. Página 163 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.5.39.4. Área de Influencia Túnez 4.3.5.40. 4.3.5.40.1. Venezuela CERT.ve44 (VenCERT – Equipo de Respuesta para Emergencias Informáticas) Antecedentes El Ministerio de Ciencia y Tecnología, cumpliendo su competencia en materia de Tecnologías de Información y Comunicación, pone en marcha el proyecto parea conformar un Equipo de Respuesta para Emergencias Informáticas a través de la Superintendencia de Servicios de Certificación Electrónica SUSCERTE. Este equipo en conjunto con la academia, centralizará y coordinará los esfuerzos para el manejo de incidentes que afecten oi puedan afectar los recursos informáticos de la Administración Pública, así como difundir información de cómo neutralizar incidentes, tomar precauciones para las amenazas de virus que puedan comprometer la disponibilidad y confiabilidad de las redes. Además centralizará los reportes sobre incidentes de seguridad ocurridos en la Administración Pública y facilitará el intercambio de información para afrontarlos, provee documentación y asesoría sobre la seguridad informática. Sus objetivos son combinar esfuerzos con la comunidad internet nacional e internacional para facilitar y proporcionar respuesta a los problemas de seguridad informática que afecten o puedan afectar a los sistemas centrales, así como elevar la conciencia colectiva sobre temas de seguridad informática y llevar a cabo tareas de investigación que tengan como finalidad mejorar la seguridad de los sistemas existentes. Coordinar las acciones de monitoreo, detección temprana y respuesta ante incidentes de seguridad de informática entre los órganos del Poder Público, así como el tratamiento formal de estos incidentes y su escalamiento ante las instancias correspondientes. La Superintendencia debe promocionar y divulgar el uso de Políticas de Seguridad, la firma electrónica y certificado electrónico apoyándose en los centros educativos, planteándose programas académicos que apoyen a dichos centros en las carreras jurídicas para dar a conocer la Ley sobre mensaje de Datos y Firma Electrónica, los reglamentos y las resoluciones de la superintendencia. Así se pretende lograr que la Administración Pública venezolana identifique sus requisitos de seguridad y aplique medidas para alcanzarlos, mediante el uso de tres fuentes principales: Valoración de los riesgos de cada uno de los Entes Gubernamentales. Con ello se identifican las amenazas a los activos, se evalúa la vulnerabilidad y la probabilidad de su ocurrencia y se estima su posible impacto. • 44 Tomado de: http://www.cert.gov.ve/. U.A: 2008/09/26. Publicado por: Venezuela CERT.ve. Autor: No determinado. Página 164 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Determinación de requisitos legales, estatutarios y regulatorios que deberían satisfacer los entes de la Administración Pública, sus usuarios, contratistas y proveedores de servicios. • Establecimiento de los principios, objetivos y requisitos que forman parte del tratamiento de la información que el Gobierno Nacional ha desarrollado para apoyar sus operaciones. Para ello el VenCERT (Centro de Respuestas ante incidentes telemáticos del Sector Público) implementará un conjunto de políticas, prácticas, y procedimientos y los controles que garanticen el cumplimiento de los objetivos específicos de seguridad. Asimismo, orientará y asesorará en la definición de estructuras organizativas, funciones de software y necesidades de formación. El VenCERT deberá igualmente constituirse en eje central de un sistema de investigación científica aplicada a la seguridad telemática, convirtiéndose en demandante principal de sus productos y proveedor permanente de nuevos temas de investigación. 4.3.5.40.2. Servicios Ofrecidos • Proveer un servicio especializado de asesoramiento en seguridad de redes • Promover la coordinación entre los organismos de la Administración Pública para prevenir, detectar, manejar y recuperar incidentes de seguridad. • Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administración Pública y facilitar el intercambio de información para afrontarlos. • Crear listas de correo con el fin de mantener informados a los directores de informática sobre las noticias más recientes en materia de seguridad. 4.3.5.40.3. Estructura El VenCERT hace parte de la Superintendencia de Servicios de Certificación Electrónica de Venezuela – SUSCERTE. 4.3.5.40.4. Área de Influencia Administración Pública de Venezuela Página 165 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.6. EXPERIENCIAS O ANTECEDENTES EN COLOMBIA 4.3.6.1. CIRTISI – Colombia45 (Centro de Información y Respuesta Técnica a Incidentes de Seguridad Informática de Colombia) 4.3.6.1.1. Antecedentes En colaboración de varías entidades gubernamentales se desarrolló una primera propuesta para la constitución de un Centro de Información y Respuesta Técnica a Incidentes de Seguridad Informática de Colombia – CIRTISI. Según esta propuesta, CIRTISI Colombia buscaría propender por la prevención, detección y reacción frente a incidentes de seguridad informática que amenacen y/o desestabilicen la normal operación de entidades gubernamentales e incluso la seguridad nacional, mediante apoyo tecnológico, entrenamiento y generación de una cultura global de manejo de la información. Sus objetivos generales serían: • Brindar apoyo a las entidades gubernamentales para la prevención y rápida detección, identificación, manejo y recuperación frente a amenazas a la seguridad informática. • Interactuar con los entes de policía judicial generando un espacio de consulta frente a las amenazas de seguridad e investigaciones informáticas. • Proporcionar información especializada y conocimiento a las autoridades de policía judicial durante los procesos investigativos relacionados con la seguridad informática. • Construir un laboratorio de detección e identificación, control y erradicación de amenazas informáticas para los diferentes organismos gubernamentales. • Consolidar el capitulo HTCIA (High Technology Crime Investigation Association) Colombia y adelantar las actividades necesarias para su permanencia y crecimiento Sus objetivos específicos serían: 45 Documento: CIRTISI COLOMBIA, Tomado de http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de%20 2007%202.pdf. U.A: 2008/09/26. Publicado por: el Programa Gobierno en Línea. Autor: No determinado. Página 166 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Proporcionar alertas tempranas frente a amenazas informáticas que puedan desestabilizar la tecnología y la seguridad nacional. • Fomentar la investigación y desarrollo de estrategias de seguridad informática. • Brindar una adecuada respuesta a incidentes de seguridad informática, con un enfoque metodológico que propenda por la eficiencia de las investigaciones realizadas. • Establecer canales de comunicación nacionales expeditos de manera que sea posible ofrecer una atención a incidentes en forma efectiva. • Generar redes de apoyo temáticas en materia de seguridad de la información. • Promover la coordinación nacional con otras entidades pertinentes del orden regional • Fortalecer la cooperación con organismos intergubernamentales en el ámbito subregional, regional e internacional. • Impulsar la cooperación internacional con organismos de similar naturaleza y propósito. • Participar en el Forum of Incident Response and Security Teams (FIRST) • Consolidar, mantener y liderar el capitulo HTCIA Colombia • Fomentar una conciencia global de seguridad informática • Proveer un servicio especializado de asesoramiento en seguridad de redes. 4.3.6.1.2. Servicios Ofrecidos • Investigación técnica de amenazas informáticas existentes e identificación de tendencias. • Generación de alertas tempranas frente a las amenazas existentes, conocidas y potenciales. • Entrenamiento local, nacional o internacional en materia de seguridad informática y procedimientos de computación forense para los organismos de policía judicial colombiana. • Respuesta efectiva a incidentes de seguridad informática que se presenten en cualquier órgano gubernamental, brindando apoyo técnico para la recolección, análisis, preservación y presentación de evidencia digital en incidentes que den lugar a investigaciones informáticas. • Promover la cultura de la seguridad informática y la estandarización de protocolos de seguridad. Página 167 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Establecer contactos con equipos de similar naturaleza o propósito y con organizaciones que agrupen estos equipos, tanto a nivel nacional como internacional. El CIRTISI - Colombia propone desarrollar sus actividades dentro de los siguientes ejes estratégicos: • Desarrollo de Políticas: Promover la formulación de políticas que contribuyan con la prevención, detección, identificación, manejo y recuperación frente a amenazas a la seguridad informática así como con la adopción de legislación para adecuar y actualizar la tipificación de las conductas conocidas por el CIRTISI. • Actividad Operacional: Obtener diagnósticos reales sobre las diferentes amenazas informáticas que se generan a partir de una cobertura de servicios y sectores definida y, de la permanente capacitación y optimización tecnológica. • Impacto Social: Generación de una cultura global de manejo de la información y fomento de la conciencia frente a la seguridad informática mediante la permanente socialización de las amenazas conocidas y nuevas y su impacto sobre la seguridad informática en Colombia. 4.3.6.1.3. Estructura La conformación del CIRTISI involucraría cinco áreas o divisiones con liderazgo propio de manera que se puedan cubrir diversos aspectos de la seguridad informática nacional. Ilustración 6: Estructura CIRTISI Colombia • División de Infraestructura y Asesoría: Esta división será la encargada de todo el planeamiento logístico y estratégico necesario para la conformación y puesta en operación del CIRTISI - Colombia, apoyando directamente a la dirección general y junta directiva que se designe. Página 168 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • División de Alertas Tempranas y Coordinación: Esta división se concentrará en el monitoreo de amenazas y coordinación con CERT’s nacionales e internacionales, generando las alertas tempranas frente a amenazas potenciales. En conjunto con la investigación y desarrollo son el corazón del CIRTISI en la medida que se convierte en el punto de detección de amenazas globales. Adicionalmente, esta división está encargada de mantener una base estadística de amenazas a la seguridad de la información. • División de Investigación y Desarrollo: La división de Investigación y Desarrollo estará encargada del laboratorio de amenazas, proporcionadas por la división de alertas tempranas, con el fin de identificar riesgos efectivos. Esta división afinará la base estadística de amenazas convirtiéndolas en riesgos y generando las alertas acerca de aquellos riesgos que podrían impactar de mayor manera la seguridad nacional. Estos estudios contribuirán con la elaboración de diagnósticos sobre la situación real del país en materia de seguridad informática. Adicionalmente, esta División se encargará todo lo relacionado con capacitación y entrenamiento tanto al interior del CIRTISI como hacia los diferentes entes del Gobierno. Asimismo, administrará y distribuirá entre las entidades nacionales competentes las ofertas de cooperación, asistencia y capacitación en nuevas tecnologías y manejo de incidentes de seguridad informática. • División de Respuesta a Incidentes: La División de Respuesta a Incidentes será el grupo de reacción frente a cualquier incidente de seguridad de la información que se presente en el sector Gobierno. Esta división estará a cargo de los mecanismos de comunicación únicos nacionales que atenderían y manejarían los requerimientos de incidentes. Adicionalmente, los funcionarios de esta división podrán interactuar con las entidades con funciones de policía judicial en el desarrollo de investigaciones informáticas ofreciendo apoyo técnico y especializado. Asimismo, el CIRTISI pondría a disposición de dichas entidades las estadísticas sobre investigaciones informáticas a nivel nacional. Inicialmente, contará con la infraestructura necesaria para brindar asistencia de lunes a viernes de 9:00 a 18:00 horas, y en el mediano plazo, a medida que aumente la capacidad y la demanda, entraría a operar en el modelo 24 horas al día, 7 días a la semana (7/24). • División de Divulgación y Concienciación: Esta División será la única encargada de proporcionar la información oficial que se derive de las actividades del CIRTISI hacia los medios de comunicación y la comunidad en general. Adicionalmente y, como parte de la misión social del CIRTISI, promoverá la generación de conciencia en el adecuado manejo de la seguridad de la información. Las entidades involucradas en su constitución serían: • Ministerio del Interior y de Justicia • Ministerio de Defensa Nacional • Ministerio de Relaciones Exteriores • Ministerio de Comunicaciones • Ministerio de Comercio, Industria y Turismo Página 169 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Departamento Administrativo de Seguridad (DAS) • Policía Nacional (DIPOL, DIJIN) • Comisión de Regulación de Telecomunicaciones (CRT) • Dirección Nacional de Planeación (DNP) • Fiscalía General de la Nación • Cuerpo Técnico de Investigación (CTI) • Procuraduría General de la Nación 4.3.6.1.4. Área de Influencia El CIRTISI Colombia tendría un alcance nacional que abarca el sector Gobierno y brindaría apoyo a las entidades gubernamentales para la prevención y rápida detección, identificación, manejo y recuperación frente a amenazas a la seguridad informática. También brindaría apoyo técnico y proporcionaría información especializada a los cuerpos de policía judicial y de control en aspectos relacionados con la seguridad informática. En estos casos, manteniendo reserva en la información reportada a los organismos y teniendo en cuenta las responsabilidades y controles que el manejo de este tipo de información requiere. El CIRTISI establecería canales de interlocución con usuarios del sector privado y la academia con el propósito de ampliar la información en materia de tendencias e investigación. En este sentido, hará seguimiento a los principales dispositivos, aplicaciones y herramientas (hardware, software), a fin de conocer las vulnerabilidades de los sistemas operativos, alertar y obrar en consecuencia. Adicionalmente, mantendrá una base de datos de incidentes de seguridad, la cual servirá para consulta, seguimiento, y permitirá llevar un registro histórico de los mismos. El CIRTISI brindaría capacitación especializada a las áreas técnicas de las diferentes entidades nacionales. Teniendo en cuenta que la cooperación e intercambio de información entre equipos de esta naturaleza está basada en la confianza, el CIRTISI - Colombia estaría llamado a constituirse en el punto focal confiable para organismos similares en el ámbito internacional. El CIRTISI entraría en contacto con otros Equipos de Seguridad existentes en el mundo, y con las organizaciones que los agrupan, y establecería canales comunicación permanente para facilitar el intercambio de información técnica, experiencias, metodologías, procesos, buenas prácticas y otros servicios que ofrecen dichas organizaciones. Página 170 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.6.2. CSIRT Colombia46 (COL CSIRT) 4.3.6.2.1. Antecedentes El COL-CSIRT es un grupo de investigación de la Universidad Distrital Francisco José de Caldas que pretende un marco de operación nacional y cuyo constituyente estará dado por entidades de educación superior y entidades oficiales del estado. Su objetivo es ofrecer un servicio de soporte a las entidades estatales y de educación superior, para la prevención, detección y corrección de los incidentes de seguridad informáticos, con los siguientes objetivos específicos. • Desarrollar una Base de Datos que contenga la información concerniente a los diferentes incidentes de seguridad informáticos existentes y las preguntas más frecuentemente contestadas (FAQ's). • Prestar el soporte sobre Sistemas Operativos Windows y Linux (Unix). • Utilizar la clasificación taxonómica de los incidentes y ataques con código malicioso propuesta en el proyecto de maestría en Teleinformática titulado "ANÁLISIS DE INCIDENTES RECIENTES DE SEGURIDAD EN INTERNET 1995 a 2003" para ofrecer una respuesta oportuna, eficaz y eficiente a los distintos reportes y alertas que se reciban diariamente en el centro de respuesta. • Establecer detalladamente los servicios que prestará el centro de respuesta con respecto a los incidentes de seguridad informáticos. • Integrar la base de datos del Centro de Respuesta a incidentes y ataques con código malicioso, al portal WEB del COL-CSIRT que está siendo desarrollado por el grupo de investigación ARQUISOFT de la Universidad Distrital Francisco José de Caldas. 46 Tomado de: http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt. U.A: 2008/09/26. Publicado por:Universidad Distrital Francisco José de Caldas. Autores: Coordinadora: MsC. Zulima Ortiz Bayona. Docentes asistentes: Ing. Claudia Liliana Bucheli, María del Pilar Bohorquez. Estudiantes coordinadores: Erika Tatiana Luque Melo, Jeffrey Steve Borbón Sanabria, Anthony Molina. Estudiantes investigadores: Lina Rocio Infante, Diego Alfonso Barrios Contreras, Ivon Carolina Rodríguez Parra, Laura Patricia Ortiz Ortiz, Diego Iván Arango, Jorge Eduardo Ibáñez Sepúlveda, Edwin Giovanny Gutierrez Ramírez, Jairo Andrés Gómez Monrroy, Rene Alejandro Rangel Segura, Alvaro Hernando Talero Niño, Daniel Arturo Acosta, Camilo Andrés Alfonso Vargas, Mónica Patricia Basto Guevara, Wilmer Daniel Galvis, Saira Carvajal, Diana Marcela Cotte Corredor, Luis Francisco Fontalvo Romero, Cristian Camilo Betancourt Lemus, Rodrigo Cruz Hernández, Julián Bonilla M, Jorge Gamba V, Giulio Leonardo Aquite Pinzón, Nidia Marcela Corcovado B, Jorge Andrés Diab, Daniel Felipe Rentería Martínez Página 171 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.3.6.2.2. Servicios Ofrecidos Prestará el servicio de manejo de incidentes de seguridad informáticos, a través del análisis de incidentes, respuesta a los incidentes en lí-nea, soporte a la respuesta del incidente y la coordinación de la respuesta del incidente. 4.3.6.2.3. Estructura El grupo está compuesto por una coordinación, docentes asistentes, estudiantes coordinadores y estudiantes investigadores. 4.3.6.2.4. Área de Influencia Colombia 4.3.6.3. Comité Interamericano Contra el Terrorismo de la OEA (CICTE) 4.3.6.3.1. Antecedentes En junio de 2004 se llevó a cabo un taller para practicantes en materia de seguridad cibernética del CICTE sobre la estrategia integral de seguridad cibernética de la OEA47, y sirvió como marco para establecer una Red Interamericana CSIRT de vigilancia y alerta. Su objetivo era crear una red hemisférica de puntos nacionales de contacto entre equipos de respuesta a incidentes de seguridad en computadoras (Computer Security Incident Response Teams: CSIRT) con responsabilidad nacional (CSIRT nacionales), en los Estados Miembros de la OEA, con el mandato y la capacidad de responder debida y rápidamente a las crisis, incidentes y peligros relacionados con la seguridad cibernética. Estos equipos podrían comenzar simplemente como puntos de contacto oficiales en cada uno de los Estados y estarían a cargo de recibir información sobre seguridad cibernética. En el futuro se convertirían en un CSIRT. Reviste importancia creciente la colaboración mundial y la capacidad de respuesta en tiempo real entre los equipos. Dicha colaboración debe permitir lo siguiente: El establecimiento de CSIRT en cada uno de los Estados Miembros • 47 Tomado de: http://www.cicte.oas.org/Rev/en/Documents/OAS_GA/AG-RES.%202004%20(XXXIV-O-04)_SP.pdf. U.A: 2008/09/26. Publicado por: Comité Interamericano Contra el Terrorismo de la OEA. Autor: No determinado. Página 172 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • El fortalecimiento de los CSIRT hemisféricos • La identificación de los puntos de contacto nacionales • La identificación de los servicios críticos • El diagnóstico rápido y preciso del problema • El establecimiento de protocolos y procedimientos para el intercambio de información • La pronta diseminación regional de advertencias sobre ataques • La pronta diseminación regional de advertencias sobre vulnerabilidades genéricas • a difusión de un alerta regional sobre actividades sospechosas y la colaboración para analizar y diagnosticar tales actividades • El suministro de información sobre medidas para mitigar y remediar los ataques y amenazas • La reducción de duplicaciones de análisis entre los equipos • El fortalecimiento de la cooperación técnica y la capacitación en materia de seguridad cibernética para establecer los CSIRTs nacionales • La utilización de los mecanismos subregionales existentes. En mayo de 2008 se llevó a cabo en la ciudad de Bogotá una capacitación en “Fundamentos para creación y manejo de un CSIRT” organizada por la Secretaría del CICTE en coordinación con la Cancillería y la Policía Nacional de Colombia (DIJIN), con la participación de representantes de Bolivia, Chile, Ecuador, Paraguay, Perú, República Dominicana, y Colombia, con responsabilidades técnicas y/o políticas relativas al desarrollo de su infraestructura nacional de seguridad cibernética, incluida la creación y desarrollo de Computer Security Incident Response Teams (CSIRT). Página 173 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4.4. DIAGNÓSTICO 4: INICIATIVAS Y PROGRAMAS NACIONALES DE SENSIBILIZACIÓN A LA COMUNIDAD PARA EL USO ADECUADO DE LOS SERVICIOS ELECTRÓNICOS 4.4.1. Introducción Relación documental, con descripción temática, enlace, vigencia y fuente de la iniciativa o programas nacionales de sensibilización a la comunidad para el uso adecuado de los servicios electrónicos. 4.4.2. Relación documentada El avance en Colombia de este tipo de iniciativas es bien incipiente. La búsqueda documental condujo al hallazgo de publicaciones en Internet de una serie de recomendaciones para el uso de servicios electrónicos a nivel del sector financiero del cual se incluyen algunos ejemplos y un par de ejemplos del sector telecomunicaciones, los dos sectores más golpeados por incidentes de seguridad informática. En cuanto a iniciativas, se encontró el proyecto “Prepárese” de Agenda de Conectividad. A continuación la relación de los documentos consultados: Nombre Documento PHISHING Resumen Enlace documento Recomendaciones tanto para la empresa www.asobancaria.com/uploa como para los clientes sobre los ataques por d/docs/docPub2820_1.pdf Internet tipo Phishing (pesca de información) que utilizan correos electrónicos mal intencionados con mensajes inquietantes para llamar la atención y sitios en Internet URLs para engañar a las personas de manera que divulguen su información financiera como el número de cuenta, números tarjeta de crédito, nombre y contraseña de su cuenta, número de cédula, etc.. SEGURIDAD EN EL USO Información y recomendaciones de Seguridad http://www.bancodebogota.c DE LOS MEDIOS Y al cliente, las cuales le permitan identificar om.co/portal/page?_pageid= CANALES posibles situaciones de riesgo y darle guías 793,4216291&_dad=portal&_ sobre como actuar ante ellas en los servicios schema=PORTAL de Internet, banca móvil, cajeros automáticos, servilínea y call center, tarjetas y seguridad física en oficinas Página 174 de 197 Vigencia y Aplicación Fuente 2004/11/01 Asociación Bancaria y de Entidades Financieras de Colombia Asobancaria No Aplica Banco de Bogotá DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Nombre Documento Resumen Enlace documento Vigencia y Aplicación Fuente No Aplica. Empresa de Telecomunicaci ones de Bogotá – ETB E.S.P. No Aplica. Grupo Bancolombia CONSEJOS PARA TENER SIEMPRE PRESENTES Consejos para los clientes en cuanto al http://suite.etb.net.co/seguri manejo del correo electrónico, navegacion en dad/tips_seguridad.asp internet, mensajería instantánea, Chat, comercio electrónico y entidades bancarias, juegos en línea, etc. SEGURIDAD EN LAS TRANSACCIONES, UN COMPROMISO COMPARTIDO ENTRE BANCOLOMBIA Y SUS CLIENTES Recomendaciones de seguridad para que los http://www.grupobancolombi clientes estén alertas a la hora de utilizar los a.com/personal/informacionE servicios del banco como: Tarjetas, cajero mpresarial/aprendaSeguridad electrónicos, Internet y seguridad en oficinas. /cajeroAutomaticos/index.asp ?opcion=op1 BIENVENIDO A LA CAPACITACION VIRTUAL Presentación y acceso a los módulos de http://preparese.agenda.gov. 2007/11/01 capacitación virtual en los temas de: “Gestión co/ del Cambio y Servicio al Cliente”, “Gerencia de Proyectos de Tecnología, Seguridad Informática y Mejores Prácticas en la Gestión de Tecnología”, “Arquitectura Orientada a Servicios – SOA y Plataforma de Interoperabilidad” EL "PRESTAR EL NOMBRE" ES UNA PRÁCTICA INDEBIDA QUE UTILIZAN LOS FRAUDULENTOS PARA ADQUIRIR NUESTROS SERVICIOS Recomendaciones a los clientes para prevenir www.telefonica.com.pe/notici fraudes ya que los delincuentes utilizan as/pdf/servicios.pdf identidades falsas ocasionando que al cliente se le incremente la cuenta telefónica o le involucran en servicios no solicitados. No Aplica. Ministerio de Comunicacione s de Colombia – Proyecto Prepárese de Agenda de Conectividad. Telefónica S.A. 4.4.3. Conclusiones La búsqueda en cuanto a iniciativas nacionales en temas de sensibilización a la comunidad en el uso adecuado de las tecnologías permite establecer que los avances en este aspecto en Colombia son tenues por no decir nulos. Las entidades que más han desarrollado esfuerzos sobre el particular son las entidades del sector financiero y las de las telecomunicaciones en razón a que el fraude es uno de sus riesgos inherentes y que han sido víctimas de ataques informáticos. Dichas iniciativas tienen por limitante que sólo llegan al universo de clientes y usuarios de los servicios de cada una de dichas entidades. En cuanto al proyecto “Prepárese” desarrollado por Agenda de Conectividad, es un esfuerzo más orientado a la difusión de conocimientos técnicos que a campañas de sensibilización, aunque su diseño puede tomarse como base para el desarrollo de campañas de toma de conciencia en seguridad de la información, un reto bien importante que enfrenta Gobierno en Línea y que puede ser el diferenciador para que el modelo de seguridad definido por la consultoría se implemente de manera exitosa. Página 175 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 5. TERMINOLOGÍA48 A Acción correctiva: (Inglés: Corrective action). Medida de tipo reactivo orientada a eliminar la causa de una no-conformidad asociada a la implementación y operación del SGSI con el fin de prevenir su repetición. Acción preventiva: (Inglés: Preventive action). Medida de tipo pro-activo orientada a prevenir potenciales no-conformidades asociadas a la implementación y operación del SGSI. Accreditation body: Véase: Entidad de acreditación. Aceptación del Riesgo: (Inglés: Risk acceptance). Según [ISO/IEC Guía 73:2002]: Decisión de aceptar un riesgo. Activo: (Inglés: Asset). En relación con la seguridad de la información, se refiere a cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Según [ISO/IEC 13335-1:2004]: Cualquier cosa que tiene valor para la organización. Alcance: (Inglés: Scope). Ámbito de la organización que queda sometido al SGSI. Debe incluir la identificación clara de las dependencias, interfaces y límites con el entorno, sobre todo si sólo incluye una parte de la organización. Alerta: (Inglés: Alert). Una notificación formal de que se ha producido un incidente relacionado con la seguridad de la información que puede evolucionar hasta convertirse en desastre. Amenaza: (Inglés: Threat). Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización. 48 Créditos, glosario tomado de www.iso27000.es. Permisos solicitados. Página 176 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Análisis de riesgos: (Inglés: Risk analysis). Según [ISO/IEC Guía 73:2002]: Uso sistemático de la información para identificar fuentes y estimar el riesgo. Análisis de riesgos cualitativo: (Inglés: Qualitative risk analysis). Análisis de riesgos en el que se usa una escala de puntuaciones para situar la gravedad del impacto. Análisis de riesgos cuantitativo: (Inglés: Quantitative risk analysis). Análisis de riesgos en función de las pérdidas financieras que causaría el impacto. Asset: Véase: Activo. Assets inventory: Véase: Inventario de activos. Audit: Véase: Auditoría. Auditor: (Inglés: Auditor). Persona encargada de verificar, de manera independiente, la calidad e integridad del trabajo que se ha realizado en un área particular. Auditor de primera parte: (Inglés: First party auditor). Auditor interno que audita la organización en nombre de ella misma. En general, se hace como mantenimiento del sistema de gestión y como preparación a la auditoría de certificación. Auditor de segunda parte: (Inglés: Second party auditor). Auditor de cliente, es decir, que audita una organización en nombre de un cliente de la misma. Por ejemplo, una empresa que audita a su proveedor de outsourcing. Auditor de tercera parte: (Inglés: Third party auditor). Auditor independiente, es decir, que audita una organización como tercera parte independiente. Normalmente, porque la organización tiene la intención de lograr la certificación. Auditor jefe: (Inglés: Lead auditor). Auditor responsable de asegurar la conducción y realización eficiente y efectiva de la auditoría, dentro del alcance y del plan de auditoría aprobado por el cliente. Auditoría: (Inglés: Audit). Proceso planificado y sistemático en el cual un auditor obtiene evidencias objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una organización. Autenticación: (Inglés: Authentication). Proceso que tiene por objetivo asegurar la identificación de una persona o sistema. Authentication: Véase: Autenticación. Availability: Véase: Disponibilidad. Página 177 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA B BS7799: Estándar británico de seguridad de la información, publicado por primera vez en 1995. En 1998, fue publicada la segunda parte. La parte primera es un conjunto de buenas prácticas para la gestión de la seguridad de la información -no es certificable- y la parte segunda especifica el sistema de gestión de seguridad de la información -es certificable-. La parte primera es el origen de ISO 17799 e ISO 27002 y la parte segunda de ISO 27001. Como tal estándar, ha sido derogado ya, por la aparición de estos últimos. BSI: British Standards Institution. Comparable al AENOR español, es la Organización que ha publicado la serie de normas BS 7799, además de otros varios miles de normas de muy diferentes ámbitos. Business Continuity Plan: Véase: Plan de continuidad del negocio. C CERT (Computer Emergency Response Team): Equipo de Respuesta a Emergencias Computacionales (Marca registrada por la Universidad Carnegie - Melon). Certification body: Véase: Entidad de certificación. CIA: Acrónimo inglés de confidencialidad, integridad y disponibilidad, los parámetros básicos de la seguridad de la información. CID: Acrónimo español de confidencialidad, integridad y disponibilidad, los parámetros básicos de la seguridad de la información. CCEB: Criterio Común para la Seguridad de Tecnología de Información. Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los objetivos de la auditoría, sirve de evidencia del plan de auditoría, asegura su continuidad y profundidad y reduce los prejuicios del auditor y su carga de trabajo. Este tipo de listas también se pueden utilizar durante la implantación del SGSI para facilitar su desarrollo. Clear desk policy: Véase: Política de escritorio despejado. CobiT: Control Objectives for Information and related Technology. Publicados y mantenidos por ISACA. Su misión es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnología de Información rectores, actualizados, internacional y generalmente aceptados para ser empleados por gerentes de empresas y auditores. Página 178 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Código malicioso (Malicious Code, Malware): Cubre virus, gusanos, y Troyanos electrónicos. Se pueden distribuir a través de varios métodos incluyendo el email, Web site, shareware / freeware y de otros medios tales como material promocional. Compromiso de la Dirección: (Inglés: Management commitment). Alineamiento firme de la Dirección de la organización con el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI. Confidencialidad: (Inglés: Confidenciality). Acceso a la información por parte únicamente de quienes estén autorizados. Según [ISO/IEC 13335-1:2004]:" característica/propiedad por la que la información no está disponible o revelada a individuos, entidades, o procesos no autorizados. Confidenciality: Véase: Confidencialidad. Contramedida: (Inglés: Countermeasure). Véase: Control. Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. (Nota: Control es también utilizado como sinónimo de salvaguarda o contramedida. Control correctivo: (Inglés: Corrective control). Control que corrige un riesgo, error, omisión o acto deliberado antes de que produzca pérdidas. Supone que la amenaza ya se ha materializado pero que se corrige. Control detectivo: (Inglés: Detective control). Control que detecta la aparición de un riesgo, error, omisión o acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige. Control disuasorio: (Inglés: Deterrent control). Control que reduce la posibilidad de materialización de una amenaza, p.ej., por medio de avisos disuasorios. Control preventivo: (Inglés: Preventive control). Control que evita que se produzca un riesgo, error, omisión o acto deliberado. Impide que una amenaza llegue siquiera a materializarse. Control selection: Véase: Selección de controles. Corrective action: Véase: Acción correctiva. Corrective control: Véase: Control correctivo. COSO: Committee of Sponsoring Organizations of the Treadway Commission. Comité de Organizaciones Patrocinadoras de la Comisión Treadway. Se centra en el control interno, especialmente el financiero. En Colombia este estándar fue utilizado para realizar el estándar de control interno MECI. Countermeasure: Contramedida. Véase: Control. Página 179 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA CSIRT (Computer Security Incident Response Team): Equipo de Respuesta a Incidentes de Seguridad Computacional D Declaración de aplicabilidad: (Inglés: Statement of Applicability; SOA). Documento que enumera los controles aplicados por el SGSI de la organización -tras el resultado de los procesos de evaluación y tratamiento de riesgos- además de la justificación tanto de su selección como de la exclusión de controles incluidos en el anexo A de la norma. Denial of service: Véase: Negación de Servicios. Desastre: (Inglés: Disaster). Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios habituales de una organización durante el tiempo suficiente como para verse la misma afectada de manera significativa. Detective control: Véase: Control detectivo. Deterrent control: Véase: Control disuasorio. Directiva: (Inglés: Guideline). Según [ISO/IEC 13335-1:2004]: una descripción que clarifica qué debería ser hecho y cómo, con el propósito de alcanzar los objetivos establecidos en las políticas. Disaster: Véase: Desastre. Disponibilidad: (Inglés: Availability). Acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. Según [ISO/IEC 13335-1:2004]: característica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada. E Entidad de acreditación: (Inglés: Accreditation body). Un organismo oficial que acredita a las entidades certificadoras como aptas para certificar según diversas normas. Suele haber una por país. Son ejemplos de entidades de acreditación: ENAC (España), UKAS (Reino Unido), EMA (México), OAA (Argentina)... Entidad de certificación: (Inglés: Certification body). Una empresa u organismo acreditado por una entidad de acreditación para auditar y certificar según diversas normas (ISO 27000, ISO 9000, ISO 14000, etc.) a empresas usuarias de sistemas de gestión. Página 180 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA ESF: Foro europeo de seguridad, en el que cooperan más de 70 multinacionales fundamentalmente europeas con el objeto de llevar a cabo investigaciones relativas a los problema comunes de seguridad y control en TI. Evaluación de riesgos: (Inglés: Risk evaluation). Según [ISO/IEC Guía 73:2002]: proceso de comparar el riesgo estimado contra un criterio de riesgo dado con el objeto de determinar la importancia del riesgo. Evento: (Inglés: information security event). Según [ISO/IEC TR 18044:2004]: Suceso identificado en un sistema, servicio o estado de la red que indica una posible brecha en la política de seguridad de la información o fallo de las salvaguardias, o una situación anterior desconocida que podría ser relevante para la seguridad. Evidencia objetiva: (Inglés: Objective evidence). Información, registro o declaración de hechos, cualitativa o cuantitativa, verificable y basada en observación, medida o test, sobre aspectos relacionados con la confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e implementación de un elemento del sistema de seguridad de la información. F Fase 1 de la auditoría: Fase en la que, fundamentalmente a través de la revisión de documentación, se analiza en SGSI en el contexto de la política de seguridad de la organización, sus objetivos, el alcance, la evaluación de riesgos, la declaración de aplicabilidad y los documentos principales, estableciendo un marco para planificar la fase 2. Fase 2 de la auditoría: Fase en la que se comprueba que la organización se ajusta a sus propias políticas, objetivos y procedimientos, que el SGSI cumple con los requisitos de ISO 27001 y que está siendo efectivo. FIRST (Forum of Incident Response and Security Teams): Foro global de Equipos de Respuesta a Incidentes y Seguridad. First party auditor: Véase: Auditor de primera parte. G Gestión de claves: (Inglés: Key management). Controles referidos a la gestión de claves criptográficas. Gestión de riesgos: (Inglés: Risk management). Proceso de identificación, control y minimización o eliminación, a un coste aceptable, de los riesgos que afecten a la información de la organización. Incluye la valoración de riesgos y el tratamiento de riesgos. Según [ISO/IEC Guía 73:2002]: actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. Página 181 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Guideline: Véase: Directiva. H Hacking: Es el término que cubre cualquier tentativa de tener acceso desautorizado a un sistema informático. Humphreys, Ted: Experto en seguridad de la información y gestión del riesgo, considerado "padre" de las normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002. I I4: Instituto Internacional para la Integridad de la Información, asociación similar a la ESF, con metas análogas y con sede principal en los EE.UU. Es manejado por el Instituto de Investigación de Standford. IBAG: Grupo asesor de empresas de Infosec, representantes de la industria que asesoran al Comité de Infosec. Este comité está integrado por funcionarios de los gobiernos de la Comunidad Europea y brinda su asesoramiento a la Comisión Europea en asuntos relativos a la seguridad de TI. IEC: International Electrotechnical Commission. Organización internacional que publica estándares relacionados con todo tipo de tecnologías eléctricas y electrónicas. IIA: Instituto de Auditores Internos. Impacto: (Inglés: Impact). El coste para la empresa de un incidente -de la escala que sea-, que puede o no ser medido en términos estrictamente financieros -p.ej., pérdida de reputación, implicaciones legales, etc. Impact: Véase: Impacto. • Incidente: Según [ISO/IEC TR 18044:2004]: Evento único o serie de eventos de seguridad de la información inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información. Algunos ejemplos comunes son: o Spam: Envío de correo masivo no solicitado. o Tomar el control de la computadora del alguien diferente usando un virus informático, un error del software, un Troyano, etc. Página 182 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA o Negación del servicio de la computadora o de la red. o Infracción de copyright: música, películas, programas de computadora, etc. o Phishing: Generalmente enviando correos electrónicos que intentan inducir a brindar datos importantes. o Pharming: Redirigir tráfico de la red de un servidor a otra red controlada para descubrir códigos de acceso o información confidencial. Information processing facilities: Véase: Servicios de tratamiento de información. Information Systems Management System: Véase: SGSI. Information security: Véase: Seguridad de la información. INFOSEC: Comité asesor en asuntos relativos a la seguridad de TI de la Comisión Europea. Integridad: (Inglés: Integrity). Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. Según [ISO/IEC 13335-1:2004]: propiedad/característica de salvaguardar la exactitud y completitud de los activos. Integrity: Véase: Integridad. Inventario de activos: (Inglés: Assets inventory). Lista de todos aquellos recursos (físicos, de información, software, documentos, servicios, personas, reputación de la organización, etc.) dentro del alcance del SGSI, que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos. IRCA: International Register of Certified Auditors. Acredita a los auditores de diversas normas, entre ellas ISO 27001. ISACA: Information Systems Audit and Control Association. Publica CobiT y emite diversas acreditaciones en el ámbito de la seguridad de la información. ISACF: Fundación de Auditoría y Control de Sistemas de Información. ISC2: Information Systems Security Certification Consortium, Inc. Organización sin ánimo de lucro que emite diversas acreditaciones en el ámbito de la seguridad de la información. ISMS: Information Systems Management System. Véase: SGSI. Página 183 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA ISO: Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una agrupación de organizaciones nacionales de normalización cuyo objetivo es establecer, promocionar y gestionar estándares. ISO 17799: Código de buenas prácticas en gestión de la seguridad de la información adoptado por ISO transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio de nomenclatura el 1 de Julio de 2007. ISO 19011: “Guidelines for quality and/or environmental management systems auditing”. Guía de utilidad para el desarrollo de las funciones de auditor interno para un SGSI. ISO 27001: Estándar para sistemas de gestión de la seguridad de la información adoptado por ISO transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicación en 2005. ISO 27002: Código de buenas prácticas en gestión de la seguridad de la información (transcripción de ISO 17799). No es certificable. Cambio de oficial de nomenclatura de ISO 17799:2005 a ISO 27002:2005 el 1 de Julio de 2007. ISO 9000: Normas de gestión y garantía de calidad definidas por la ISO. ISO/IEC TR 13335-3: “Information technology . Guidelines for the management of IT Security .Techniques for the management of IT Security.” Guía de utilidad en la aplicación de metodologías de evaluación del riesgo. ISO/IEC TR 18044: „Information technology . Security techniques . Information security incident management“ Guía de utilidad para la gestión de incidentes de seguridad de la información. ISSA: Information Systems Security Association. ISSAP: Information Systems Security Architecture Professional. Una acreditación de ISC2. ISSEP: Information Systems Security Engineering Professional. Una acreditación de ISC2. ISSMP: Information Systems Security Management Professional. Una acreditación de ISC2. ITIL: IT Infrastructure Library. Un marco de gestión de los servicios de tecnologías de la información. ITSEC: Criterios de evaluación de la seguridad de la tecnología de información. Se trata de criterios unificados adoptados por Francia, Alemania, Holanda y el Reino Unido. También cuentan con el respaldo de la Comisión Europea (véase también TCSEC, el equivalente de EEUU). Página 184 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA J JTC1: Joint Technical Committee. Comité técnico conjunto de ISO e IEC específico para las TI. K Key management: Véase: Gestión de claves. L Lead auditor: Véase: Auditor jefe. M Major nonconformity: Véase: No conformidad grave. Malware: Véase: Código malicioso. Management commitment: Véase: Compromiso de la Dirección. N NBS: Oficina Nacional de Normas de los EE.UU. Negación del Servicio (Denial of Service – DoS): Los ataques de negación del servicio se diseñan generalmente para obstruir sistemas informáticos de red con una inundación de tráfico en la red. Esta inundación del tráfico tiene a menudo el efecto de negar el acceso al sistema informático para los usuarios legítimos. El tráfico indeseado se genera a menudo usando los sistemas informáticos inocentes conocidos como zombis, que se ha infectado previamente con código malévolo. NIST: (ex NBS) Instituto Nacional de Normas y Tecnología, con sede en Washington, D.C. No conformidad: (Inglés: Nonconformity). Situación aislada que, basada en evidencias objetivas, demuestra el incumplimiento de algún aspecto de un requerimiento de control que permita dudar de la Página 185 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA adecuación de las medidas para preservar la confidencialidad, integridad o disponibilidad de información sensible, o representa un riesgo menor. No conformidad grave: (Inglés: Major nonconformity). Ausencia o fallo de uno o varios requerimientos de la ISO 27001 que, basada en evidencias objetivas, permita dudar seriamente de la adecuación de las medidas para preservar la confidencialidad, integridad o disponibilidad de información sensible, o representa un riesgo inaceptable. Nonconformity: Véase: No conformidad. O Objective evidence: Véase: Evidencia objetiva. Objetivo: (Inglés: Objetive). Declaración del resultado o fin que se desea lograr mediante la implementación de procedimientos de control en una actividad de TI determinada. OCDE: Organización de Cooperación y Desarrollo Económico. Tiene publicadas unas guías para la seguridad de la información. P PDCA: Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las actividades de planificar (establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el SGSI). Plan de continuidad del negocio: (Inglés: Bussines Continuity Plan). Plan orientado a permitir la continuación de las principales funciones del negocio en el caso de un evento imprevisto que las ponga en peligro. Plan de tratamiento de riesgos: (Inglés: Risk treatment plan). Documento de gestión que define las acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la información inaceptables e implantar los controles necesarios para proteger la misma. Política de seguridad: (Inglés: Security policy). Documento que establece el compromiso de la Dirección y el enfoque de la organización en la gestión de la seguridad de la información. Según [ISO/IEC 27002:2005]: intención y dirección general expresada formalmente por la Dirección. Página 186 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Política de escritorio despejado: (Inglés: Clear desk policy). La política de la empresa que indica a los empleados que deben dejar su escritorio libre de cualquier tipo de informaciones susceptibles de mal uso al finalizar el día. Preventive action: Véase: Acción preventiva. Preventive control: Véase: Control preventivo. Q Qualitative risk analysis: Véase: Análisis de riesgos cualitativo. Quantitative risk analysis: Véase: Análisis de riesgos cuantitativo. R Residual Risk: Véase: Riesgo Residual. Riesgo: (Inglés: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la probabilidad de un evento y sus consecuencias. Riesgo Residual: (Inglés: Residual Risk). Según [ISO/IEC Guía 73:2002] El riesgo que permanece tras el tratamiento del riesgo. Risk: Véase: Riesgo. Risk acceptance: Véase: Aceptación del riesgo. Risk analysis: Véase: Análisis de riesgos. Risk assessment: Véase: Valoración de riesgos. Risk evaluation: Véase: Evaluación de riesgos. Risk management: Véase: Gestión de riesgos. Risk treatment: Véase: Tratamiento de riesgos. Página 187 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Risk treatment plan: Véase: Plan de tratamiento de riesgos. S Safeguard: Salvaguardia. Véase: Control. Salvaguardia: (Inglés: Safeguard). Véase: Control. Sarbanes-Oxley: Ley de Reforma de la Contabilidad de Compañías Públicas y Protección de los Inversores aplicada en EEUU desde 2002. Crea un consejo de supervisión independiente para supervisar a los auditores de compañías públicas y le permite a este consejo establecer normas de contabilidad así como investigar y disciplinar a los contables. También obliga a los responsables de las empresas a garantizar la seguridad de la información financiera. Scope: Véase: Alcance. Second party auditor: Véase: Auditor de segunda parte. Security Policy: Véase: Política de seguridad. Segregación de tareas: (Inglés: Segregation of duties). Reparto de tareas sensibles entre distintos empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por negligencia. Segregation of duties: Véase: Segregación de tareas. Seguridad de la información: Según [ISO/IEC 27002:2005]: Preservación de la confidencialidad, integridad y disponibilidad de la información; además, otras propiedades como autenticidad, responsabilidad, no repudio y fiabilidad pueden ser también consideradas. Selección de controles: Proceso de elección de los controles que aseguren la reducción de los riesgos a un nivel aceptable. SGSI: (Inglés: ISMS). Sistema de Gestión de la Seguridad de la Información. Según [ISO/IEC 27001:2005]: la parte de un sistema global de gestión que, basado en el análisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la seguridad de la información. (Nota: el sistema de gestión incluye una estructura de organización, políticas, planificación de actividades, responsabilidades, procedimientos, procesos y recursos.) Servicios de tratamiento de información: (Inglés: Information processing facilities). Según [ISO/IEC 27002:2005]: cualquier sistema, servicio o infraestructura de tratamiento de información o ubicaciones físicas utilizados para su alojamiento. Página 188 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Sistema de Gestión de la Seguridad de la Información: (Inglés: Information Systems Management System). Ver SGSI. SOA: Statement of Applicability. Véase: Declaración de aplicabilidad. SSCP: Systems Security Certified Practitioner. Una acreditación de ISC2. Statement of Applicability: Véase: Declaración de aplicabilidad. T TCSEC: Criterios de evaluación de la seguridad de los sistemas de computación, conocidos también con el nombre de Orange Book (Libro naranja), definidos originalmente por el Ministerio de Defensa de los EE.UU. Véase también ITSEC, el equivalente europeo. TERENA (Trans-European Research and Education Networking Association): Una organización europea que soporta la Internet y las actividades y servicios sobre la infraestructura con la comunidad académica. TF-CSIRT: Foro internacional para la cooperación en CSIRT a nivel Europeo. Consiste en 2 grupos, uno cerrado accessible solo para equipos acreditados y uno abierto acesible a cualquier persona interesada en CSIRT. TF-CSIRT es una de las actividades de la organización internacional TERENA. Third party auditor: Véase: Auditor de tercera parte. Threat: Véase: Amenaza. TickIT: Guía para la Construcción y Certificación del Sistema de Administración de Calidad del Software. Tratamiento de riesgos: (Inglés: Risk treatment). Según [ISO/IEC Guía 73:2002]: Proceso de selección e implementación de medidas para modificar el riesgo. U V Valoración de riesgos: (Inglés: Risk assessment). Según [ISO/IEC Guía 73:2002]: Proceso completo de análisis y evaluación de riesgos. Página 189 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Vulnerabilidad: (Inglés: Vulnerability). Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza. Vulnerability: Véase: Vulnerabilidad. W WG1, WG2, WG3, WG4, WG5: WorkGroup 1, 2, 3, 4, 5. Grupos de trabajo del subcomité SC27 de JTC1 (Joint Technical Committee) de ISO e IEC. Estos grupos de trabajo se encargan del desarrollo de los estándares relacionados con técnicas de seguridad de la información. Página 190 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6. APÉNDICES Anexo 1 Mapa de Interrelación de Estándares de Seguridad de la Información En formato electrónico –ver documentación CDROM: Anexo 2 ACTO LEGISLATIVO 01 DE 2003.pdf Anexo 3 ACUERDO 184 DE 2005.pdf Anexo 4 Acuerdos.pdf Anexo 5 AG RES 2004 XXXIV004.pdf Anexo 6 ARTICULO 583.pdf Anexo 7 CNUDM COMERCIO ELECTRONICO.pdf Anexo 8 CODIGO CONTENCIOSO ADMINISTRATIVO.pdf Anexo 9 CONPES 203072.pdf Anexo 10 CONST. POLITICA DE COLOMBIA 1991.pdf Anexo 11 Const. Portuguesa de 2 abril 76.pdf Anexo 12 CONSTITUCION POLITICA DE COLOMBIA 1991.pdf Anexo 13 Constitución Española de 1978.pdf Anexo 14 CONVENCION AMERICANA SOBRE DERECHOS HUMANOS.pdf Anexo 15 CONVENIO Nº 108 DEL CONSEJO.pdf Página 191 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Anexo 16 CORTE SUPREMA DE JUSTICIA.pdf Anexo 17 Decisión 638.pdf Anexo 18 Decisión CAN 638.pdf Anexo 19 Decisión CAN 691.pdf Anexo 20 Declaración Universal de los Derechos humanos.pdf Anexo 21 DECRETO 1151 DE 2008.pdf Anexo 22 DECRETO 1474 DE 2001.pdf Anexo 23 DECRETO 1474 DE 2002.pdf Anexo 24 DECRETO 1524 DE 2002.pdf Anexo 25 DECRETO 1599 DE 2005.pdf Anexo 26 DECRETO 1747 DE 2000.pdf Anexo 27 DECRETO 1900 DE 1990.pdf Anexo 28 DECRETO 1929 DE 2007.pdf Anexo 29 Decreto 2170 de 2002..pdf Anexo 30 DECRETO 2178 DE 2006.pdf Anexo 31 DECRETO 229 DE 1995.pdf Anexo 32 DECRETO 2474 DE 2008.pdf Anexo 33 DECRETO 2870 DE 2007.pdf Anexo 34 DECRETO 3512 DE 2003.pdf Anexo 35 DECRETO 3816 DE 2003.pdf Anexo 36 DECRETO 4124 DE 2004.pdf Anexo 37 DECRETO 4510 DE 2007.pdf Página 192 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Anexo 38 DECRETO 619 DE 2001.pdf Anexo 39 DECRETO 619 DE 2002.pdf Anexo 40 DECRETO 619 DE 2007.pdf Anexo 41 DECRETO No. 300 DE 1997.pdf Anexo 42 DECRETO No. 4110 DE 2004.pdf Anexo 43 DECRETO NUMERO 2110 DE 1992.pdf Anexo 44 DIRECTIVA 2006 24 CE.pdf Anexo 45 DIRECTIVA 95.pdf Anexo 46 Directrices De-Proteccion de Datos de la ONU.pdf Anexo 47 LEY 25326.pdf Anexo 48 LEY 1065 DE 2006.pdf Anexo 49 LEY 1150 DE 2007.pdf Anexo 50 LEY 1221 DE 2008.pdf Anexo 51 LEY 1231 DE 2008.pdf Anexo 52 LEY 1236 DE 2008.pdf Anexo 53 LEY 1238 DE 2008.pdf Anexo 54 LEY 178 DE 1994.pdf Anexo 55 LEY 190 DE 1995.pdf Anexo 56 LEY 23 DE 1981.pdf Anexo 57 LEY 23 DE 1982.pdf Anexo 58 LEY 252 DE 1991.pdf Anexo 59 Ley 252 de 1995.pdf Página 193 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Anexo 60 Ley 25326.pdf Anexo 61 Ley 256 de 1996.pdf Anexo 62 LEY 270 DE 1996.pdf Anexo 63 LEY 30 DE 1986.pdf Anexo 64 LEY 43 DE 1990.pdf Anexo 65 LEY 489 DE 1998.pdf Anexo 66 LEY 52 DE 1990.pdf Anexo 67 LEY 527 DE 1991.pdf Anexo 68 LEY 527 DE 1999.pdf Anexo 69 LEY 550 DE 1999.pdf Anexo 70 LEY 555 DE 2000.pdf Anexo 71 LEY 588 DE 2000.pdf Anexo 72 LEY 594 DE 2000.pdf Anexo 73 LEY 598 DE 2000.pdf Anexo 74 LEY 599 DE 2000.pdf Anexo 75 LEY 679 DE 2001.pdf Anexo 76 LEY 766 DE 2002.pdf Anexo 77 LEY 79 DE 1993.pdf Anexo 78 LEY 794 DE 2003.pdf Anexo 79 LEY 872 DE 2003.pdf Anexo 80 LEY 892 DE 2004.pdf Anexo 81 LEY 909 DE 2004.pdf Página 194 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Anexo 82 LEY 96 DE 1985.pdf Anexo 83 LEY 962 DE 2005.pdf Anexo 84 LEY 964 DE 2005.pdf Anexo 85 LEY 970 DE 2005.pdf Anexo 86 LEY DE LIBERTAD DE INFORMACION.pdf Anexo 87 LEY ESTATUTARIA 221 DE 2006.pdf Anexo 88 LEY MODELO DE LA CNUDMI.pdf Anexo 89 LEY Nº 19.pdf Anexo 90 Ley Orgánica 15 de 1999.pdf Anexo 91 LEY PARA REGULAR LAS SOCIEDADES.pdf Anexo 92 OCDE.pdf Anexo 93 Pacto Internacional de Derechos Civiles y Políticos.pdf Anexo 94 PROYECTO LEY ESTATUTARIA 221 DE 2006.pdf Anexo 95 REGLAMENTO No. 45 2001.pdf Anexo 96 RESOLUCION No. 000999 DE 2007.pdf Anexo 97 RESOLUCIÓN 1652 DE 2008.pdf Anexo 98 RESOLUCIÓN 1732 DE 2007.pdf Anexo 99 RESOLUCIÓN 1764 DE 2007.pdf Anexo 100 RESOLUCIÓN 26930 DE 2000.pdf Anexo 101 Régimen Legal _ Consulta Temática.pdf Anexo 102 Sentencia C-662-00.pdf Anexo 103 SENTENCIA C-692 03.pdf Página 195 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Anexo 104 SENTENCIA C-729 DE 2000.pdf Anexo 105 Sentencia No. SU 082 95.pdf Anexo 106 Sentencia No. T-110 93pdf.pdf Anexo 107 Sentencia No. T-414.pdf Anexo 108 Sentencia No. T-577.pdf Anexo 109 Sentencia T 1105 05.pdf Anexo 110 Sentencia T 729 septiembre 5 de 2002.pdf Anexo 111 Sentencia T-552-97.pdf Anexo 112 Tratado de la OMPI sobre derechos de autor.pdf Anexo 113 UNV. ANDES LEY 527 DE 1999.pdf Página 196 de 197 DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 7. BIBLIOGRAFÍA NTC-ISO-IEC 27001, Tecnología de la Información. Técnicas de Seguridad. Sistemas de gestión de la seguridad de la información (SGSI). Requisitos. NTC-ISO-IEC 17799, Tecnología de la información. Técnicas de seguridad. Código de práctica para la gestión de la seguridad de la información. Manual Directrices de Gestión del Riesgo, complementa la NTC 5254 2006 NTCGP 1000:2004 Norma Técnica de calidad en la Gestión Pública. Modelo Estándar de Control Interno para el Estado Colombiano, MECI 1000:2005. ISM3 v 2.00 Information Security Management Maturity Model, 2007, ISM3 Consortium. Cobit Mapping: Mapping of ITIL v 3 with Cobit 4.1, 2008, IT Governance Institute. The Standard of Good Practice for Information Security, 2007, Information Security Forum. Estado del arte en modelos de control, seguridad y auditoría, Latincacs 2005, Fernando Ferrer Olivares, CISA. Estándares de Seguridad de la Información, Digiware, Ramiro Merchán P, CISA. Página 197 de 197