MODELO DE SEGURIDAD DE LA INFORMACION PARA LA

Anuncio
ENTREGABLE 2: DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE
GOBIERNO EN LÍNEA
ÁREA DE INVESTIGACIÓN Y PLANEACIÓN
© República de Colombia - Derechos Reservados
Bogotá, D.C., Octubre de 2008
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
FORMATO PRELIMINAR AL DOCUMENTO
Título:
ENTREGABLE 2: DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA
DE GOBIERNO EN LÍNEA
Fecha elaboración
aaaa-mm-dd:
3 – Octubre – 2008
Sumario:
Este documento correponde al entregable número 2. Diagnóstico Situación
Actual
Palabras Claves:
Diagnóstico, estándares internacionales, compromisos, mapa interrelación,
aspectos legales, habeas data, protección individuo, calidad, MECI, CSIRT,
Seguridad Informática, Incidentes, sensibilización.
Formato:
Dependencia:
Código:
Lenguaje:
Castellano
Investigación y Planeación
Versión:
1
Estado:
Categoría:
Autor (es):
Equipo consultoría Digiware
Revisó:
Juan Carlos Alarcon
Aprobó:
Ing. Hugo Sin
Firmas:
Información Adicional:
Ubicación:
Página 2 de 197
Documento para
revisión por parte del
Supervisor del
contrato
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
CONTROL DE CAMBIOS
VERSIÓN
0
1
FECHA
30/09/ 2008
03/10/2008
No. SOLICITUD
RESPONSABLE
Equipo del Proyecto
Equipo del Proyecto
DESCRIPCIÓN
Entregable 2: Diagnóstico de la Situación Actual
Revisión interna conjunta equipo consultoría Digiware
Página 3 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
TABLA DE CONTENIDO
1. AUDIENCIA ................................................................................................................................................. 20
2. INTRODUCCIÓN .......................................................................................................................................... 21
3. RESUMEN EJECUTIVO.................................................................................................................................. 22
4. DIAGNÓSTICO SITUACIÓN ACTUAL.............................................................................................................. 23
4.1. DIAGNÓSTICO 1: SEGURIDAD DE LA INFORMACIÓN – ESTÁNDARES Y MEJORES PRÁCTICAS ..................................... 23
4.1.1. INTRODUCCIÓN ......................................................................................................................................................23
4.1.2. RELACIÓN DOCUMENTADA DE ESTÁNDARES Y MEJORES PRÁCTICAS NACIONALES E INTERNACIONALES EN SEGURIDAD DE LA
INFORMACIÓN.....................................................................................................................................................................23
4.1.3. MAPA DE INTERRELACIÓN DE ESTÁNDARES Y MEJORES PRÁCTICAS NACIONALES E INTERNACIONALES EN SEGURIDAD DE LA
INFORMACIÓN.....................................................................................................................................................................38
4.1.3.1. Objetivo...........................................................................................................................................................38
4.1.3.2. Estándares de Seguridad de la Información por categoría.............................................................................38
4.1.3.3. Criterios de selección de Estándares de Seguridad de la Información. ..........................................................40
4.1.3.4. Mapa de Interrelación de Estándares de Seguridad de la Información .........................................................44
4.1.3.5. Conclusiones ...................................................................................................................................................44
4.2. DIAGNÓSTICO 2: COMPROMISOS Y AVANCES DE COLOMBIA EN MATERIA DE SEGURIDAD DE LA INFORMACIÓN –
NORMATIVA Y PROTECCIÓN DE INFORMACIÓN DEL INDIVIDUO............................................................................... 47
4.2.1. INTRODUCCIÓN ......................................................................................................................................................47
4.2.1.1. Relación documentada compromisos internacionales de Colombia en materia de seguridad informática..47
4.2.1.1.1. Comercio Electrónico ...................................................................................................................................47
4.2.1.1.2. Legislación Interna en Materia de Comercio Electrónico ............................................................................49
4.2.1.1.3. Compromisos Internacionales de Colombia en Materia de Gobierno en Línea..........................................53
4.2.1.1.4. Legislación interna en Materia de Gobierno en Línea.................................................................................54
4.2.1.1.5. Compromisos Internacionales en Materia de Seguridad Informática.........................................................59
4.2.1.2. Relación documentada de avances de Colombia en materia de protección de información del individuo y
Habeas Data ....................................................................................................................................................................61
4.2.1.2.1. Legislación interna en Materia de Protección de Información del Individuo y Habeas Data......................61
4.2.1.2.2. Jurisprudencia Colombiana en Materia de Protección de Información del Individuo y Habeas Data ........74
4.2.1.3. Relación documentada de avances de Colombia en materia normativa en seguridad informática..............80
4.2.1.4. Relación documentada de iniciativas y experiencias nacionales e internacionales en protección de
información del individuo y habeas data........................................................................................................................82
4.3. DIAGNÓSTICO 3: INICIATIVAS Y EXPERIENCIAS NACIONALES E INTERNACIONALES EN CSIRTS ............................................ 86
4.3.1. INTRODUCCIÓN ......................................................................................................................................................86
Página 4 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.2. QUÉ ES UN CSIRT ................................................................................................................................................87
4.3.3. ANTECEDENTES ..................................................................................................................................................88
4.3.4. BENEFICIOS DE CONTAR CON UN CSIRT .............................................................................................................89
4.3.5. ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL MUNDO....................................................................89
4.3.5.1. FIRST - Forum for Incident Response and Security Teams..............................................................................93
4.3.5.1.1. Antecedentes ...............................................................................................................................................93
4.3.5.1.2. Servicios Ofrecidos.......................................................................................................................................94
4.3.5.1.3. Estructura.....................................................................................................................................................94
4.3.5.1.4. Área de Influencia ........................................................................................................................................95
4.3.5.2. ENISA - European Network and Information Security Agency .....................................................................101
4.3.5.2.1. Antecedentes .............................................................................................................................................101
4.3.5.2.2. Servicios Ofrecidos.....................................................................................................................................102
4.3.5.2.3. Estructura...................................................................................................................................................103
4.3.5.2.4. Área de Influencia ......................................................................................................................................103
4.3.5.3. APCERT - Asia Pacific Computer Emergency Response Team.......................................................................104
4.3.5.3.1. Antecedentes .............................................................................................................................................104
4.3.5.3.2. Servicios Ofrecidos.....................................................................................................................................104
4.3.5.3.3. Estructura...................................................................................................................................................104
4.3.5.3.4. Área de Influencia ......................................................................................................................................105
4.3.5.4. CERT - Coordination Center de la Universidad Carnegie Mellon..................................................................106
4.3.5.4.1. Antecedentes .............................................................................................................................................106
4.3.5.4.2. Servicios Ofrecidos.....................................................................................................................................106
4.3.5.4.3. Estructura...................................................................................................................................................107
4.3.5.4.4. Área de Influencia ......................................................................................................................................108
4.3.5.5. TERENA - Trans-European Research and Education Networking Association..............................................108
4.3.5.5.1. Antecedentes .............................................................................................................................................108
4.3.5.5.2. Servicios Ofrecidos.....................................................................................................................................108
4.3.5.5.3. Estructura...................................................................................................................................................109
4.3.5.5.4. Área de Influencia ......................................................................................................................................109
4.3.5.6. Alemania - CERT-Bund (Computer Emergency Response Team für Bundesbehörden) ...............................110
4.3.5.6.1. Antecedentes .............................................................................................................................................110
4.3.5.6.2. Servicios Ofrecidos.....................................................................................................................................110
4.3.5.6.3. Área de Influencia ......................................................................................................................................111
4.3.5.7. Arabia Saudita - CERT-SA (Computer Emergency Response Team - Saudi Arabia) ......................................111
4.3.5.7.1. Antecedentes .............................................................................................................................................111
4.3.5.7.2. Servicios Ofrecidos.....................................................................................................................................112
4.3.5.7.3. Área de Influencia ......................................................................................................................................113
4.3.5.8. Argentina - ArCERT (Coordinación de Emergencias en Redes Teleinformáticas).........................................113
4.3.5.8.1. Antecedentes .............................................................................................................................................113
4.3.5.8.2. Servicios Ofrecidos.....................................................................................................................................114
4.3.5.8.3. Estructura...................................................................................................................................................115
4.3.5.8.4. Área de Influencia ......................................................................................................................................115
4.3.5.9. Australia - AusCERT (Australia Computer Emergency Response Team).......................................................115
4.3.5.9.1. Antecedentes .............................................................................................................................................115
4.3.5.9.2. Servicios Ofrecidos.....................................................................................................................................116
4.3.5.9.3. Área de Influencia ......................................................................................................................................116
4.3.5.10. Austria - CERT.at (Computer Emergency Response Team Austria) ............................................................117
4.3.5.10.1. Antecedentes ...........................................................................................................................................117
Página 5 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.10.2. Servicios Ofrecidos...................................................................................................................................117
4.3.5.10.3. Área de Influencia ....................................................................................................................................117
4.3.5.11. Brasil - CERT.br (Computer Emergency Response Team Brazil) .................................................................118
4.3.5.11.1. Antecedentes ...........................................................................................................................................118
4.3.5.11.2. Servicios Ofrecidos...................................................................................................................................118
4.3.5.11.3. Área de Influencia ....................................................................................................................................118
4.3.5.12. Canadá - PSEPC (Public Safety Emergency Preparedness Canada).............................................................119
4.3.5.12.1. Antecedentes ...........................................................................................................................................119
4.3.5.12.2. Servicios Ofrecidos...................................................................................................................................119
4.3.5.12.3. Área de Influencia ....................................................................................................................................120
4.3.5.13. Chile – CSIRT-GOV.......................................................................................................................................120
4.3.5.13.1. Antecedentes ...........................................................................................................................................120
4.3.5.13.2. Servicios Ofrecidos...................................................................................................................................120
4.3.5.13.3. Estructura.................................................................................................................................................121
4.3.5.13.4. Área de Influencia ....................................................................................................................................121
4.3.5.14. Chile - CLCERT (Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional) ........................121
4.3.5.14.1. Antecedentes ...........................................................................................................................................121
4.3.5.14.2. Servicios Ofrecidos...................................................................................................................................121
4.3.5.14.3. Estructura.................................................................................................................................................122
4.3.5.14.4. Área de Influencia ....................................................................................................................................122
4.3.5.15. China - CNCERT/CC (National Computer Network Emergency Response Technical Team) .......................122
4.3.5.15.1. Antecedentes ...........................................................................................................................................122
4.3.5.15.2. Servicios Ofrecidos...................................................................................................................................123
4.3.5.15.3. Estructura.................................................................................................................................................124
4.3.5.15.4. Área de Influencia ....................................................................................................................................125
4.3.5.16. Corea del Sur - KrCERT/CC (CERT Coordination Center Korea)...................................................................126
4.3.5.16.1. Antecedentes ...........................................................................................................................................126
4.3.5.16.2. Servicios Ofrecidos...................................................................................................................................126
4.3.5.16.3. Estructura.................................................................................................................................................126
4.3.5.16.4. Área de Influencia ....................................................................................................................................128
4.3.5.17. Dinamarca – DK.CERT (Danish Computer Emergency Response Team).....................................................128
4.3.5.17.1. Antecedentes ...........................................................................................................................................128
4.3.5.17.2. Servicios Ofrecidos...................................................................................................................................128
4.3.5.17.3. Estructura.................................................................................................................................................129
4.3.5.17.4. Área de Influencia ....................................................................................................................................129
4.3.5.18. Emiratos Árabes Unidos – aeCERT (The United Arab Emirates Computer Emergency Response Team)...129
4.3.5.18.1. Antecedentes ...........................................................................................................................................129
4.3.5.18.2. Servicios Ofrecidos...................................................................................................................................129
4.3.5.18.3. Estructura.................................................................................................................................................130
4.3.5.18.4. Área de Influencia ....................................................................................................................................130
4.3.5.19. España - ESCERT (Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas).....130
4.3.5.19.1. Antecedentes ...........................................................................................................................................130
4.3.5.19.2. Servicios Ofrecidos...................................................................................................................................131
4.3.5.19.3. Estructura.................................................................................................................................................131
4.3.5.19.4. Área de Influencia ....................................................................................................................................131
4.3.5.20. España – IRIS-CERT (Servicio de seguridad de RedIRIS)..............................................................................132
4.3.5.20.1. Antecedentes ...........................................................................................................................................132
4.3.5.20.2. Servicios Ofrecidos...................................................................................................................................133
Página 6 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.20.3. Estructura.................................................................................................................................................133
4.3.5.20.4. Área de Influencia ....................................................................................................................................133
4.3.5.21. España - CCN-CERT (Cryptology National Center - Computer Security Incident Response Team).............134
4.3.5.21.1. Antecedentes ...........................................................................................................................................134
4.3.5.21.2. Servicios Ofrecidos...................................................................................................................................134
4.3.5.21.3. Estructura.................................................................................................................................................135
4.3.5.21.4. Área de Influencia ....................................................................................................................................135
4.3.5.22. España - INTECO-CERT (Centro de Respuestas a Incidentes en TI para PYMES y Ciudadanos)..................135
4.3.5.22.1. Antecedentes ...........................................................................................................................................135
4.3.5.22.2. Servicios Ofrecidos...................................................................................................................................136
4.3.5.22.3. Área de Influencia ....................................................................................................................................137
4.3.5.23. Estados Unidos - US-CERT (United States - Computer Emergency Readiness Team).................................137
4.3.5.23.1. Antecedentes ...........................................................................................................................................137
4.3.5.23.2. Servicios Ofrecidos...................................................................................................................................137
4.3.5.23.3. Estructura.................................................................................................................................................138
4.3.5.23.4. Área de Influencia ....................................................................................................................................138
4.3.5.24. Estonia – CERT-EE (Computer Emergency Response Team of Estonia)......................................................138
4.3.5.24.1. Antecedentes ...........................................................................................................................................138
4.3.5.24.2. Servicios Ofrecidos...................................................................................................................................138
4.3.5.24.3. Área de Influencia ....................................................................................................................................139
4.3.5.25. Filipinas - PH-CERT (Philippines Computer Emergency Response Team) ...................................................139
4.3.5.25.1. Antecedentes ...........................................................................................................................................139
4.3.5.25.2. Servicios Ofrecidos...................................................................................................................................139
4.3.5.25.3. Área de Influencia ....................................................................................................................................140
4.3.5.26. Francia-CERTA (Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques
informatiques)...............................................................................................................................................................140
4.3.5.26.1. Antecedentes ...........................................................................................................................................140
4.3.5.26.2. Servicios Ofrecidos...................................................................................................................................141
4.3.5.26.3. Estructura.................................................................................................................................................141
4.3.5.26.4. Área de Influencia ....................................................................................................................................141
4.3.5.27. Hong Kong - HKCERT (Hong Kong Computer Emergency Response Coordination Centre)........................142
4.3.5.27.1. Antecedentes ...........................................................................................................................................142
4.3.5.27.2. Servicios Ofrecidos...................................................................................................................................142
4.3.5.27.3. Área de Influencia ....................................................................................................................................143
4.3.5.28. Hungría - CERT (CERT-Hungary) ..................................................................................................................143
4.3.5.28.1. Antecedentes ...........................................................................................................................................143
4.3.5.28.2. Servicios Ofrecidos...................................................................................................................................143
4.3.5.28.3. Área de Influencia ....................................................................................................................................145
4.3.5.29. India - CERT-In (Indian Computer Emergency Response Team) .................................................................145
4.3.5.29.1. Antecedentes ...........................................................................................................................................145
4.3.5.29.2. Servicios Ofrecidos...................................................................................................................................145
4.3.5.29.3. Estructura.................................................................................................................................................147
4.3.5.29.4. Área de Influencia ....................................................................................................................................147
4.3.5.30. Japan - JPCERT/CC (JP CERT Coordination Center) .....................................................................................147
4.3.5.30.1. Antecedentes ...........................................................................................................................................147
4.3.5.30.2. Servicios Ofrecidos...................................................................................................................................148
4.3.5.30.3. Área de Influencia ....................................................................................................................................149
4.3.5.31. México – UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo) ............................149
Página 7 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.31.1. Antecedentes ...........................................................................................................................................149
4.3.5.31.2. Servicios Ofrecidos...................................................................................................................................150
4.3.5.31.3. Estructura.................................................................................................................................................150
4.3.5.31.4. Área de Influencia ....................................................................................................................................150
4.3.5.32. Nueva Zelandia – CCIP (Centre for Critical Infrastructure Protection) .......................................................151
4.3.5.32.1. Antecedentes ...........................................................................................................................................151
4.3.5.32.2. Servicios Ofrecidos...................................................................................................................................151
4.3.5.32.3. Estructura.................................................................................................................................................151
4.3.5.32.4. Área de Influencia ....................................................................................................................................151
4.3.5.33. Holanda – GOVCERT.NL ..............................................................................................................................152
4.3.5.33.1. Antecedentes ...........................................................................................................................................152
4.3.5.33.2. Servicios Ofrecidos...................................................................................................................................152
4.3.5.33.3. Área de Influencia ....................................................................................................................................152
4.3.5.34. Polonia - CERT Polska (Computer Emergency Response Team Polska)......................................................153
4.3.5.34.1. Antecedentes ...........................................................................................................................................153
4.3.5.34.2. Servicios Ofrecidos...................................................................................................................................153
4.3.5.34.3. Estructura.................................................................................................................................................153
4.3.5.34.4. Área de Influencia ....................................................................................................................................153
4.3.5.35. Qatar - Q-CERT (Qatar CERT).......................................................................................................................154
4.3.5.35.1. Antecedentes ...........................................................................................................................................154
4.3.5.35.2. Servicios Ofrecidos...................................................................................................................................154
4.3.5.35.3. Estructura.................................................................................................................................................155
4.3.5.35.4. Área de Influencia ....................................................................................................................................155
4.3.5.36. Reino Unido - GovCertUK (CESG´s Incident Response Team).....................................................................155
4.3.5.36.1. Antecedentes ...........................................................................................................................................155
4.3.5.36.2. Servicios Ofrecidos...................................................................................................................................156
4.3.5.36.3. Área de Influencia ....................................................................................................................................156
4.3.5.37. Singapur – SingCERT (Singapore CERT) .......................................................................................................157
4.3.5.37.1. Antecedentes ...........................................................................................................................................157
4.3.5.37.2. Servicios Ofrecidos...................................................................................................................................157
4.3.5.37.3. Estructura.................................................................................................................................................157
4.3.5.37.4. Área de Influencia ....................................................................................................................................157
4.3.5.38. Sri Lanka – SLCERT (Sri Lanka Computer Emergency Response Team) ......................................................158
4.3.5.38.1. Antecedentes ...........................................................................................................................................158
4.3.5.38.2. Servicios Ofrecidos...................................................................................................................................158
4.3.5.38.3. Área de Influencia ....................................................................................................................................159
4.3.5.39. Túnez - CERT-TCC (Computer Emergency Response Team - Tunisian Coordination Center).....................160
4.3.5.39.1. Antecedentes ...........................................................................................................................................160
4.3.5.39.2. Servicios Ofrecidos...................................................................................................................................161
4.3.5.39.3. Estructura.................................................................................................................................................163
4.3.5.39.4. Área de Influencia ....................................................................................................................................164
4.3.5.40. Venezuela CERT.ve (VenCERT – Equipo de Respuesta para Emergencias Informáticas)............................164
4.3.5.40.1. Antecedentes ...........................................................................................................................................164
4.3.5.40.2. Servicios Ofrecidos...................................................................................................................................165
4.3.5.40.3. Estructura.................................................................................................................................................165
4.3.5.40.4. Área de Influencia ....................................................................................................................................165
4.3.6. EXPERIENCIAS O ANTECEDENTES EN COLOMBIA .............................................................................................166
Página 8 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.6.1. CIRTISI – Colombia (Centro de Información y Respuesta Técnica a Incidentes de Seguridad Informática de
Colombia) ......................................................................................................................................................................166
4.3.6.1.1. Antecedentes .............................................................................................................................................166
4.3.6.1.2. Servicios Ofrecidos.....................................................................................................................................167
4.3.6.1.3. Estructura...................................................................................................................................................168
4.3.6.1.4. Área de Influencia ......................................................................................................................................170
4.3.6.2. CSIRT Colombia (COL CSIRT) .........................................................................................................................171
4.3.6.2.1. Antecedentes .............................................................................................................................................171
4.3.6.2.2. Servicios Ofrecidos.....................................................................................................................................172
4.3.6.2.3. Estructura...................................................................................................................................................172
4.3.6.2.4. Área de Influencia ......................................................................................................................................172
4.3.6.3. Comité Interamericano Contra el Terrorismo de la OEA (CICTE)..................................................................172
4.3.6.3.1. Antecedentes .............................................................................................................................................172
4.4. DIAGNÓSTICO 4: INICIATIVAS Y PROGRAMAS NACIONALES DE SENSIBILIZACIÓN A LA COMUNIDAD PARA EL USO ADECUADO DE LOS
SERVICIOS ELECTRÓNICOS .......................................................................................................................................174
4.4.1. INTRODUCCIÓN ....................................................................................................................................................174
4.4.2. RELACIÓN DOCUMENTADA .....................................................................................................................................174
4.4.3. CONCLUSIONES ....................................................................................................................................................175
5. TERMINOLOGÍA .........................................................................................................................................176
6. APÉNDICES ................................................................................................................................................191
7. BIBLIOGRAFÍA............................................................................................................................................197
Página 9 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
LISTA DE FIGURAS
ILUSTRACIÓN 1: PAÍSES CON CSIRTS MIEMBROS DE FIRST
ILUSTRACIÓN 2: ESTRUCTURA DE ENISA
ILUSTRACIÓN 3: CERT APOYADOS POR EL CENTRO DE COORDINACIÓN DE LA UNIVERSIDAD CARNEGIE MELLON
ILUSTRACIÓN 4: ESTRUCTURA CNCERT/CC
ILUSTRACIÓN 5: SISTEMA DE LA RED PÚBLICA NACIONAL DE RESPUESTA A EMERGENCIAS DE SEGURIDAD CHINA
ILUSTRACIÓN 6: ESTRUCTURA CIRTISI COLOMBIA
Página 10 de 197
96
103
108
124
125
168
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
DERECHOS DE AUTOR
•
Portal www.iso27000.es
http://www.iso27000.es/avisolegal.html
Permisos obtenidos del autor. Respuesta obtenida al correo electrónico enviado 02/10/2008, permitiendo el uso,
reproducción y traducción de los contenidos.
•
CERT-CC, Tomado de http://www.cert.org:
External use and translations: You must request our permission to use our documents or prepare derivative works
for external use, or to make translations. Requests should be addressed to the SEI Licensing Agent through email
to [email protected] or surface mail to SEI Licensing Agent, Software Engineering Institute,Carnegie
Mellon University, Pittsburgh PA 15213.
Se solicita autorización.
•
SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx:
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
FIRST. Tomado de: http://www.first.org/
Copyright © 1995 - 2006 by FIRST.org, Inc.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
ENISA. Tomado de:
http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf.
Reproduction of material published on this web site is authorized, provided the source is acknowledged, unless it
is stated otherwise. Where prior permission must be obtained for the reproduction or use of material published on
this web site the above mentioned permission shall be cancelled and restrictions shall be imposed through a legal
notice as appropriate published on that specific material.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
APCERT. http://www.apcert.org/.
Página 11 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Copyright(C) 2008 APCERT. All rights reserved
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Terena. http://www.terena.org/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Alemania - CERT-Bund. http://www.bsi.bund.de/certbund/
© Federal Office for Information Security (BSI). All rights reserved
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Arabia Saudita - CERT-SA. http://www.cert.gov.sa/
Copyright © 2006 - 2007 | Disclaimer. All Rights Reserved
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Argentina – ArCERT
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Australia – AusCERT. http://www.auscert.org.au/
The material on this web site is covered by copyright. Apart from any use permitted under the Copyright Act
1968, no part may be reproduced or distributed by any process or means, without the prior written permission of
AusCERT.
AusCERT acknowledges all instances where copyright is held by, or shared with, another organisation. In such
cases, each copyright owner should be contacted regarding reproduction or use of that material.
Se solicita autorización. Respuesta:
Date: Wed, 1 Oct 2008 03:43:58 +0000
CC: [email protected]
Subject: RE: RE: (AUSCERT#200869d4a) Re: Permission to use and to make translations about AusCert
To: [email protected]
From: [email protected]
-----BEGIN PGP SIGNED MESSAGE----Página 12 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Hash: RIPEMD160
Hi Fernando,
We are happy for you to translate the sections of our website that you have highlighted. Additionally we have in
the last week assisted New Zealand via a workshop to aid them in the creation of a National CERT, and we also
provide training for the purpose of creating National CERT teams.
Please do not hesitate to contact us further regarding the possibility of training and further collaboration.
Regards,
- -- Jonathan Levine –
Computer Security Analyst | Hotline: +61 7 3365 4417
AusCERT, Australia's National CERT | Fax: +61 7 3365 7031
The University of Queensland | WWW: www.auscert.org.au
QLD 4072 Australia | Email: [email protected]
•
Austria - CERT.at. www.cert.at
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Brasil - CERT.br. http://www.cert.br
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Canadá – PSEPC. http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Chile – CSIRT-GOV. http://www.csirt.gov.cl/
La información presentada en este portal tiene finalidad informativa, especialmente dirigida a los responsables de
seguridad, administradores de redes y sistemas, personal informático y en general cualquier individuo que cumpla
labores al interior de la Administración del Estado. El mal uso de la información entregada puede ser sancionado
en conformidad al estatuto administrativo.
Como el acceso a este portal es público, en los casos en que se detecte uso malicioso de la información, o
intentos de quebrantar la seguridad del sistema, CSIRT Chile se reserva el derecho de ejercer todas las acciones
legales correspondientes contra quien resulte responsable de dichos actos, amparado en la Ley General de
Telecomunicaciones y la Ley de Delito Informático.
Página 13 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Queda estrictamente prohibido utilizar la información presentada en este portal sin el conocimiento y
consentimiento formal por parte de CSIRT Chile, en especial para efectos contrarios a los buscados por este
equipo.
Se solicita autorización.
•
Chile – CLCERT. http://www.clcert.cl
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
China - CNCERT/CC. http://www.cert.org.cn/english_web/.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Corea del Sur - KrCERT/CC. http://www.krcert.or.kr/
COPYRIGHT KRCERT.OR.KR. ALL RIGHTS RESERVED.
All materials released by Internet Incident Response Support Center are protected under the copyright law and
copyrights of all released materials are owned by the center. Accordingly, it is prohibited to copy or distribute
them partially and entirely.
If you seek for economic profits or benefits equivalent of it, a prior consultation with the center or prior approval
from the center is required. In case those materials are quoted partially or entirely after prior consent or
approval, it shall clearly state that the source of quoted contents belongs to the center.
The hyperlink from other web sites to the main web page of the center is allowed but not to the other web pages
(sub domain). Also, before setting a hyperlink to the main web page of the Center, it should be notified to the
center in advance.
In case data posted at a web site of the Center is used for the purpose of positing at the other Internet sites in a
due manner, the arbitrary change of data except simple error correction is prohibited. The violation of this act is
subject to criminal punishment.
For the purpose of news report, criticism, education and study activities, data posted in the web page can be
quoted as long as they satisfy fair practices within a legal boundary.
However, in this case, the quotation of materials is limited to less than 10% of the whole contents. The violation
of this act is regarded as infringement on copyright.
As long as the data provided by the center is used for individual purpose (not commercial purpose) or within a
boundary of household and equivalent boundary, it can be copied for use. However, even if a specific company,
non-profit organization, intends to copy them for the purpose of internal use only, it is not allowed to copy
materials.
The illegal copy and distribution of materials provided by the center falls under infringement on copyright
property law and the violator is sentenced to imprisonment not exceeding 5 years and a fine not exceeding 50
Mio.won.
Página 14 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
For more detailed information, you can contact the Internet Incident Response Support Center
(Tel : 118 / [email protected];[email protected]).
Se solicita autorización.
•
Dinamarca – DK.CERT. https://www.cert.dk/
Información sobre estas páginas pueden ser protegidas por los derechos de autor
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Emiratos Árabes Unidos – aeCERT. http://www.aecert.ae/
© 2007-2008 aeCERT . All rights reserved
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
España – ESCERT. http://escert.upc.edu/index.php/web/es/index.html
Los textos, diseños, imágenes, bases de datos, logotipos, estructuras, marcas y otros elementos de esCERT-UPC,
incluido todo lo referente a ALTAIR, están protegidos por la normativa de aplicación respecto a la propiedad
intelectual e industrial. esCERT-UPC autoriza a los usuarios a reproducir, copiar, distribuir, transmitir, adaptar o
modificar exclusivamente los contenidos de la web de esCERT-UPC, siempre que se especifique la fuente y/o los
autores.
•
España – IRIS-CERT. http://www.rediris.es/cert/
RedIRIS © 1994-2008
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
España - CCN-CERT. https://www.ccn-cert.cni.es/
© 2008 Centro Criptológico Nacional - C/Argentona s/n 28023 MADRID
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
España - INTECO-CERT. http://www.inteco.es/rssRead/Seguridad/INTECOCERT
Todos los elementos que forman el sitio Web, así como su estructura, diseño y código fuente de la misma, son
titularidad de INTECO y están protegidos por la normativa de propiedad intelectual e industrial.
Se prohíbe la reproducción total o parcial de los contenidos de este sitio Web, así como su modificación y/o
distribución sin citar su origen o solicitar previamente autorización.
Página 15 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
INTECO no asumirá ninguna responsabilidad derivada del uso por terceros del contenido del sitio Web y podrá
ejercitar todas las acciones civiles o penales que le correspondan en caso de infracción de estos derechos por
parte del usuario.
•
Estados Unidos - US-CERT. http://www.us-cert.gov
You are permitted to reproduce and distribute documents on this web site in whole or in part, without changing
the text you use, provided that you include the copyright statement or "produced by" statement and use the
document for noncommercial or internal purposes. For commercial use or translations, send your email request to
[email protected].
Se solicita autorización.
•
Estonia – CERT-EE. http://www.ria.ee/?id=28201
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Filipinas - PH-CERT. http://www.phcert.org/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Francia-CERTA. http://www.certa.ssi.gouv.fr/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Hong Kong – HKCERT. http://www.hkcert.org/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Hungría – CERT. http://www.cert-hungary.hu/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
India - CERT-In. http://www.cert-in.org.in/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Japan - JPCERT/CC. http://www.jpcert.or.jp/
Copyright © 1996-2008 JPCERT/CC All Rights Reserved
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
México – UNAM-CERT. http://www.cert.org.mx/index.html
Página 16 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Copyright® Todos los derechos reservados, cert.org.mx. DSC/UNAM-CERT DGSCA
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Nueva Zelandia – CCIP. http://www.ccip.govt.nz/
Except where specifically noted, all material on this site is © Crown copyright.
Material featured on this site is subject to Crown copyright protection unless otherwise indicated. The Crown
copyright protected material may be reproduced free of charge in any format or media without requiring specific
permission, provided that the material is reproduced accurately and is not further disseminated in any way, and
on condition that the source of the material and its copyright status are acknowledged.
The permission to reproduce Crown copyright protected material does not extend to any material on this site that
is identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained
from the copyright holders concerned.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Holanda - GOVCERT.NL. http://www.govcert.nl/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Polonia - CERT Polska. http://www.cert.pl/
Copyright © 2004 NASK
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Qatar - Q-CERT. http://www.qcert.orgv
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Reino Unido – GovCertUK. www.govcertuk.gov.uk
Crown Copyright 2008
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Reino Unido – GovCertUK. www.govcertuk.gov.uk
The material featured on this site is subject to Crown Copyright protection unless otherwise indicated. The Crown
Copyright protected material (other than CPNI logo and website design) may be reproduced free of charge in any
format or medium provided it is reproduced accurately and not used in a misleading context. Where any of the
Página 17 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Crown Copyright items on this site are being republished or copied to others, the source of the material must be
identified and the copyright status acknowledged.
The permission to reproduce Crown protected material does not extend to any material on this site which is
identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained from
the copyright holders concerned.
For further information on Crown copyright policy and licensing arrangements, please refer to the guidance on
OPSI's website at www.opsi.gov.uk/advice/crown-copyright/copyright-guidance/index.htm.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Singapur – SingCERT. http://www.singcert.org.sg/
1. SingCERT Security Alerts (such as advisories and bulletins): Permission is granted to reproduce and distribute
SingCERT security alerts in their entirety, provided the SingCERT PGP signature or the PGP signature of the
original creator of the alerts is included and provided the alert is used for noncommercial purposes with the intent
of increasing the awareness of the Internet community.
2. All materials produced by SingCERT except as noted in Section 1, "SingCERT security alerts": Requests for
permission to reproduce documents or Web pages or to prepare derivative works or external and commercial use
should be addressed to SingCERT through email to [email protected] e-mail address is being protected
from spam bots, you need JavaScript enabled to view it.
Se solicita autorización.
•
Sri Lanka – SLCERT. http://www.cert.lk/
Copyright Reserved. Sri Lanka CERT.
Website Material: All material on this website is covered by copyright. No part may be re-produced or distributed
by any process or means. Requests for permission to reproduce documents or Web pages or to prepare derivative
works for external and commercial use should be addressed to Sri Lanka CERT through email to
[email protected].
Security Alerts: Permission is granted to reproduce and distribute Sri Lanka CERT security alerts such as
advisories and bulletins in its entirety, provided the signature of the original creator of the alerts is included and
provided the alert is used for non-commercial purposes.
Se solicita autorización.
•
Túnez - CERT-TCC. http://www.ansi.tn/en/about_cert-tcc.htm
Copyright © 2006 ANSI
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
Venezuela CERT.ve. http://www.cert.gov.ve/
Página 18 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
CIRTISI COLOMBIA.
http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de
%202007%202.pdf
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
•
CSIRT Colombia. http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
Solicitud de Autorización de uso y traducción presentada a los diferentes organismos que así lo requieren:
Título:
Permission to use and to make translations about CSIRT
Solicitud:
In order to design a CSIRT for the program “Gobierno en Línea” (e-government) of Colombia, we want to identify
a documented relation of national and international initiatives and experiences in CSIRTs. Then we request
authorization to translate and to reproduce available information in your web page relating to precedents, offered
services, structure of the CSIRT and area of coverage.
The results will be compiled and presented in a technical paper "Design of a CSIRT for the Program Gobierno en
Linea of Colombia " in the chapter " Documented Relation of National and International Experiences and
Initiatives in CSIRTs ".
Cordial greeting,
Fernando Gaona
Organizations Team Leader
Project "Model of the Computer Security Management for e-Government"
Telephone (+57 3164720780)
Program "Agenda de Conectividad": http://www.agenda.gov.co/
Digiware: http://www.digiware.com.co/Digiware/index1.html
Página 19 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
1. AUDIENCIA
Este documento está dirigido a todo el equipo que interviene en el proyecto “Modelo de Seguridad
Informática para la Estrategia de Gobierno en Línea” de parte tanto del contratista como del contratante, y
tiene como propósito, lograr la ambientación y comprensión de los objetivos y expectativas del proyecto en
mención con la estrategia de Gobierno en Línea, para que una vez teniendo claro el marco de referencia,
se pueda involucrar a la comunidad nacional e internacional relacionada con el tema de la seguridad de la
información, a las entidades públicas y privadas, así como a la comunicad académica en general.
Página 20 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
2. INTRODUCCIÓN
El interés y la preocupación por la seguridad de la información se han incrementado durante los últimos
años, puesto que nuevas amenazas surgen cada día con el uso de los servicios y tecnologías informáticas,
las telecomunicaciones, el acceso a Internet y el comercio electrónico. Es así, como las diferentes
entidades del país son cada vez más dependientes del uso de redes públicas, volviendo crítica la prestación
de servicios, la estabilidad y productividad de las infraestructuras nacionales que componen esta nueva eeconomía emergente que es necesario de igual forma, urgente proteger.
Bajo la óptica y alcance de los principios definidos en la Estrategia de Gobierno en Línea, existen dos que
corresponden a: "Protección de la información del individuo" y "Credibilidad y confianza en el Gobierno en
Línea". Para lograr el cumplimiento de estos objetivos, se requiere que tanto los Servicios de Gobierno en
Línea como la Intranet Gubernamental cumplan con los tres elementos fundamentales de la Seguridad de
la Información, a saber: disponibilidad de la información y los servicios; integridad de la información y los
datos; y, confidencialidad de la información.
Para la correcta administración de la Seguridad Informática, se deben establecer y mantener programas y
mecanismos que busquen cumplir con los tres requerimientos mencionados, no únicamente bajo la
perspectiva tecnológica de las mejores prácticas y estándares internacionales en seguridad de la
información, sino también es necesario, abordar la problemática de la seguridad desde la perspectiva
organizacional y jurídica, con el fin de consolidar una buena práctica en el Estado Colombiano, en lo
referente a la prestación segura de los Servicios de Gobierno en Línea.
Todo lo anterior debe estar acompañado de los instrumentos normativos que eliminen las barreras de
implementación, así como de los elementos de divulgación y capacitación que apoyen la implementación
del proyecto de seguridad para que le den confianza al usuario final y a los prestadores de servicios de
Gobierno en Línea.
Página 21 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
3. RESUMEN EJECUTIVO
En materia de seguridad de la información existe un amplio panorama de normas técnicas, estándares y
mejores prácticas que han sido emitidas por entidades gubernamentales, grupos de interés, institutos de
normalización, organizaciones independientes y comunidad académica, de las cuales se elaboró una
relación documentada, que sin ser exhaustiva, refleja el estado del arte en lo referente a los Sistemas de
Gestión de Seguridad de la Información - SGSI.
En Colombia, las normas internacionales en seguridad de la información, han sido adoptadas por el
Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, por otra parte, el Gobierno Colombiano
ha generado normativas de control interno como el MECI 1000 y de calidad como la NTCGP 1000 apoyado
por estándares internacionales (COSO, ISO9001 respectivamente).
Las organizaciones de distintos sectores, ven en la implementación de sistemas de gestión, ventajas
competitivas que apoyan sus procesos misionales.
En el componente jurídico, además de haber compilado la normatividad existente en seguridad informática,
habeas data y protección de información del individuo, se ha logrado un compendio de normas que
vinculan al Estado Colombiano o actualmente están vigentes en materia de Gobierno en Línea, comercio
electrónico y manejo legal de la información, describiendo una a una cada norma haciendo énfasis en su
vigencia y aplicación, incluyendo las normas de derecho comparado más relevantes.
A nivel de Centros de Respuesta a Incidentes de Seguridad Computacional – CSIRT (por las siglas en inglés
de Computer Security Incident Response Teams), se incluye una relación documental de algunas
experiencias nacionales e internacionales relacionadas, considerando sus antecedentes, servicios ofrecidos,
su estructura y área de influencia, con el fin de identificar mejores prácticas para la constitución de un
CSIRT para el Estado Colombiano.
En cuanto a las iniciativas y programas nacionales de sensibilización a la comunidad para el uso adecuado
de los servicios electrónicos, se incluye una relación documental de algunas pocas iniciativas en este
sentido y que denotan lo importante que es para Gobierno en Línea prever esta actividad como una de las
más importantes a desarrollar para que el modelo de seguridad informática propuesto sea una realidad.
Página 22 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4. DIAGNÓSTICO SITUACIÓN ACTUAL
4.1. DIAGNÓSTICO 1: SEGURIDAD DE LA INFORMACIÓN – ESTÁNDARES Y
MEJORES PRÁCTICAS
4.1.1.
Introducción
El interés y la preocupación por la seguridad de la información se han incrementado durante los
últimos años, puesto que nuevas amenazas surgen cada día con el uso de las tecnologías
informáticas, las telecomunicaciones, el acceso a Internet y el comercio electrónico. Es así como
organizaciones de diferentes sectores, grupos de interés, organismos gubernamentales,
instituciones de normalización y profesionales de diferentes disciplinas, han apoyado e impulsado
la continua creación y actualización de estándares y mejores prácticas para la seguridad de la
información. La relación documentada de estándares y mejores prácticas del numeral 4.1.2
presenta, sin ser una relación exhaustiva, el estado del arte en estándares, guías y mejores
prácticas para la seguridad de la información orientada hacia los requerimientos tanto generales
como a nivel técnico que todo modelo y sistema de gestión en seguridad de la información –SGSI
debe tener para ser aceptado a todo nivel, tanto nacional como internacional y que Colombia
debe acoger para cumplir con sus compromisos internacionales en materia de seguridad en la
información.
4.1.2.
Relación documentada de estándares y mejores prácticas nacionales e internacionales en
seguridad de la Información
La siguiente tabla hace mención a los principales estándares y mejores prácticas nacionales e
internacionales organizadas por tipo de organismo: (último acceso = ú.a; toda la tabla 30/09/2008)
Nombre Documento
NTC ISO-IEC 5411-1 Tecnología de
la
información.
Técnicas
de
Seguridad. Gestión de la Seguridad
de la Tecnología de la Información y
las
comunicaciones.
Parte
1:
Conceptos y modelos para la
gestión de la tecnología de la
Resumen
Enlace documento
La parte 1 presenta una visión general http://www.icontec.org/Catalogo.asp
de
los
conceptos
y
modelos
fundamentales usados para describir
la gestión de la seguridad de las TICs.
Es
una
adopción
idéntica
por
traducción respecto a la norma
Página 23 de 197
Vigencia y
Aplicación
Fuente
2006-03-22
ICONTEC
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
Fuente
información y las comunicaciones.
ISO/IEC 13335-1:2004.
NTC-ISO/IEC 27001 Tecnología de
la
Información.
Técnicas
de
Seguridad. Sistemas de Gestión de
la Seguridad de la Información
(SGSI). Requisitos.
Especifica los requerimientos para http://www.icontec.org/Catalogo.asp
establecer,
implementar,
operar,
monitorear, revisar, mantener y
mejorar un sistema de gestión de
seguridad
de
la
información
documentado dentro del contexto de
los riesgos de negocio de las
organizaciones.
Es una adopción
idéntica por traducción respecto a la
norma ISO/IEC 27001.
2006-03-22
ICONTEC
NTC- ISO/IEC 17799 Tecnología de
la
Información.
Técnicas
de
Seguridad. Código de Práctica para
la gestión de seguridad de la
información.
Establece guías y principios generales http://www.icontec.org/Catalogo.asp
para iniciar, implementar, mantener y
mejorar un sistema de gestión de
seguridad de la información en una
organización.
Es
una
adopción
idéntica por traducción respecto a la
norma ISO/IEC 17799:2005.
2006-09-22
ICONTEC
GTC 176 Sistema de Gestión de Presenta un modelo para establecer, http://www.icontec.org/Catalogo.asp
Continuidad del Negocio
implementar,
operar,
hacer
seguimiento, revisar, mantener y
mejorar un sistema de gestión de la
continuidad del negocio (SGCN).
2008-05-28
ICONTEC
NTC 5244 Gestión del Riesgo
2006-08-30
ICONTEC
Manual Directrices de Gestión del Este manual ayuda a entender la http://www.icontec.org/Catalogo.asp
Riesgo/Complementa
la
NTC forma como se debe interpretar la
5254:2006
NTC 5254 gestión del riesgo.
2008
ICONTEC
The Standard for Good Practice for Enfoca la seguridad de la información https://www.isfsecuritystandard.com/
Information Security
desde una perspectiva del negocio y SOGP07/index.htm
proporciona a una base práctica para
evaluar los acuerdos en seguridad de
2007
ISF,
Information
Security
Forum
Presenta unos requisitos generales http://www.icontec.org/Catalogo.asp
para
el
establecimiento
e
implementación
del
proceso
de
gestión del riesgo, que involucra la
determinación del contexto y la
identificación, análisis, evaluación,
tratamiento,
comunicación
y
monitoreo regular de los riesgos.
Página 24 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
Fuente
2007
ISM3
Consortium
Septiembre
de 1996
NIST
Abril de
1998
NIST
Febrero de
2006
NIST
NIST SP 800 – 30 Risk Management Presenta definiciones y una guía http://csrc.nist.gov/publications/nistp
Guide for Information Technology práctica para evaluar y mitigar riesgos ubs/800-30/sp800-30.pdf
Systems
identificados en los sistemas de TI.
Julio de
2002
NIST
NIST SP 800 – 34 Contingency Proporciona
instrucciones, http://csrc.nist.gov/publications/nistp
Planning Guide For Information recomendaciones y consideraciones ubs/800-34/sp800-34.pdf
Technology Systems
para la planeación de contingencias
en el gobierno de TI.
Junio de
2002
NIST
la información de una organización.
ISM3,
Information
Security Extiende los principios de gestión de http://www.ism3.com/
Management Maturity Model v2.00
calidad de la ISO9001 a sistemas de
gestión
de
seguridad
de
la
información (ISM). Se enfoca no tanto
en controles sino en los procesos
comunes
de
seguridad
de
información.
NIST SP 800-14 Generally Accepted Proporciona una base para revisar los http://csrc.nist.gov/publications/nistp
Principles and Practices for Securing programas de seguridad de TI. ubs/800-14/800-14.pdf
Information Technology Systems
Permite ganar un entendimiento de
los
requerimientos
básicos
de
seguridad para los sistemas de TI.
Describe 8 principios y 14 prácticas de
seguridad.
NIST
SP
800-16
Technology Security
Information Provee un marco de referencia http://csrc.nist.gov/publications/nistp
integrado para identificar necesidades ubs/800-16/800-16.pdf
de entrenamiento para la fuerza de
trabajo y asegurar que se recibe
Training Requirements: A Role- and entrenamiento apropiado.
Performance-Based Model
NIST SP 800 – 18 Guide
Developing
Security
Plans
Federal Information Systems
for Presenta un conjunto de actividades y http://csrc.nist.gov/publications/nistp
for conceptos para desarrollar un plan de ubs/800-18-Rev1/sp800-18-Rev1final.pdf
seguridad de la información.
Página 25 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
Fuente
Diciembre
de 2007
NIST
2004-02-04
NIST
Esta guía se compone de una serie de http://www.asisonline.org/guidelines/
procesos
y
actividades
inter- inprogress_published.htm
relacionadas para apoyar la creación,
prueba y mantenimiento de un plan a
nivel de la toda la organización que
pueda usarse en el evento de una
crisis que amenace la viabilidad y
continuidad de la organización.
2005
Asis
International
General Security Risk Assessment Consiste en una guía de 7 pasos para http://www.asisonline.org/guidelines/
Guideline
evaluar los riesgos de seguridad.
inprogress_published.htm
2003
Asis
International
Chief Security Officer Guideline
Herramienta que permite definir una http://www.asisonline.org/guidelines/
arquitectura
de
seguridad inprogress_published.htm
caracterizada
por
conciencia
apropiada, prevención, alistamiento y
respuesta a cambios en situaciones de
amenaza.
2008
Asis
International
Protection Proporciona unos principios guías para http://www.asisonline.org/guidelines/
desarrollar una política de protección inprogress_published.htm
de activos de información en una
organización.
2007
Asis
International
2007
ITGI e ISACA
NIST SP 800 – 53 Recommended Proporciona guía para seleccionar y http://csrc.nist.gov/publications/nistp
Security
Controls
for
Federal especificar controles de seguridad ubs/800-53-Rev2/sp800-53-rev2Information Systems
para sistemas de información que final.pdf
apoyan las agencias ejecutivas del
Gobierno Federal. Toma como base el
FIPS 200.
System
Protection
Profile
Industrial Control Systems
- Incluye requerimientos funcionales de http://www.isd.mel.nist.gov/projects/
seguridad
y
requerimientos
de processcontrol/SPP-ICSv1.0.pdf
aseguramiento para sistemas de
control industrial (ICS). Está basado
en la ISO15408.
Business Continuity Guideline. A
Practical Approach For Emergency
Preparedness, Crisis Management,
And Disaster Recovery
Information
Guideline
Asset
Cobit 4.1 Control Objectives For Marco de Referencia para el Gobierno http://www.itgi.org/
Information
And
Related y control de TI. Se presenta como un
Technology.
modelo de procesos que se subdivide
en 4 dominios, 34 procesos y 215
objetivos de control. Para cada uno de
los procesos de TI se presenta un
Página 26 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
Fuente
Proporciona a la Junta Directiva y a www.isaca.org
ejecutivos Senior un enfoque racional
y reconocido para proteger
los
activos vitales de información que
apoyan los procesos del negocio.
2006
ISACA
Information Security Governance – Discute
cómo
desarrollar
una www.isaca.org
Guidance for Information Security estrategia
de
seguridad
de
la
managers
información dentro del marco de
referencia de gobierno de una
organización y cómo direccionar la
estrategia mediante un programa de
seguridad de la información. Provee
una
guía
para
determinar
los
objetivos de la seguridad de la
información y cómo medir el progreso
hacia el logro de los mismos.
2008
ISACA
Cobit
Security
Baseline
An Esta guía de supervivencia se centra www.isaca.org
Information Security Survival Kit
en
los
riesgos
específicos
de
seguridad de la información en una
forma
sencilla
de
seguir
e
implementar tanto para el usuario en
casa como para el usuario de
pequeñas,
medianas
o
grandes
empresas,
e
igualmente
para
ejecutivos y miembros de juntas
directivas de grandes organizaciones.
2007
ISACA
ITIL
Conjunto de mejores prácticas para la http://www.best-managementadministración y garantía de alta practice.com/
calidad en la prestación de los
servicios de TI, independiente de los
proveedores de hardware y software.
2007
OGG(British
Office of
Government
Commerce)
Risk Provee una guía general para el http://www.saiglobal.com/shop/Script
establecimiento y la implantación de /details.asp?docn=AS0733759041AT
procesos de administración del riesgo
e involucra establecer el contexto,
identificación, análisis, evaluación,
tratamiento,
comunicación
y
monitoreo de los riesgos.
2004
Standards
Australia
modelo de madurez cuyo propósito es
identificar
el desempeño actual,
compararse
con
la
industria,
determinar dónde quiere estar y qué
necesita para mejorar.
Information Security Governance –
Guidance for Boards of Directors
and
Executive
Management
Second Edition.
ASNZ
4360:
Management
2004:
Página 27 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
Fuente
Magerit versión 2 Metodología de Ofrece un método sistemático para http://www.csi.map.es/csi/pg5m20.h
Análisis y gestión de Riesgos de los analizar los riesgos de los sistemas de tm
sistemas de Información
información.
2006-06-20
Consejo
Superior de
Administración
Electrónica
Directrices De La OCDE Para La Define 9 principios complementarios http://www.csi.map.es/csi/pdf/ocde_
Seguridad De Sistemas Y Redes De entre sí y son de interés general tanto directrices_esp.pdf
Información. Hacia Una Cultura De en el ámbito político como técnico.
Seguridad
2004
OCDE(Organiz
ación de
Cooperación y
desarrollo
Económico)
Criterios
de
Seguridad, Proporciona un conjunto de medidas http://www.csi.map.es/csi/criterios/p
Normalización y Conservación
organizativas y técnicas de seguridad, df/criterios.pdf
normalización y
conservación para
garantizar el cumplimiento de los
requisitos legales para la validez y
eficacia
de
los
procedimientos
administrativos de la Administración
General del Estado, que utilicen los
medios
2004-06-24
Ministerio de
Administracion
es Públicas
NFPA 75 Standard for the Protection Establece los requerimientos mínimos http://www.nfpa.org/aboutthecodes/
of
Information
Technology para la protección de los equipos de AboutTheCodes.asp?DocNum=75&coo
Equipment, 2009 Edition
tecnología de información y las áreas kie%5Ftest=1
de equipos de TI contra daños
causados por el fuego o sus efectos
asociados (humo, corrosión, calor y
agua).
Septiembre
5 de 2008
NFPA(National
Fire Protection
Association)
NFPA 76 Standard
Protection
A partir de
Octubre 10
de 2008
NFPA(National
Fire Protection
Association)
2005
TIA
(Telecommuni
cations
Industry
Association)
electrónicos,
informáticos
y
telemáticos en el ejercicio de sus
potestades.
for
the
Fire Provee los requerimientos para la http://www.nfpa.org/aboutthecodes/
protección contra el fuego de las AboutTheCodes.asp?DocNum=76
instalaciones de telecomunicaciones
que prestan servicios al público.
of Telecommunications
Facilities, 2009 Edition
ANSI/CSA/EIA/TIA-942
Telecommunications
Infrastructure
Standard
Define un estándar de infraestructura www.tiaonline.org
de telecomunicaciones para centros
de datos.
for
Data
Página 28 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
Fuente
Centers
Network Security Model
Provee una forma de enseñar e http://www.sans.org/reading_room/w
implementar medidas básicas de hitepapers/modeling/32843.php
seguridad de red y dispositivos así
como identificar las causas de ataques
exitosos.
2008-08-03
SANS
Programming wireless security
Introduce algunas de las técnicas de http://www.sans.org/reading_room/w
programación
necesarias
para hitepapers/wireless/32813.php
construir herramientas inalámbricas
seguras.
2008-06-18
SANS
Developing a security awareness Examina las facetas importantes de http://www.sans.org/reading_room/w
culture
–
Improving
Security individuos y grupos que toman hitepapers/awareness/1526.php
Decision Making
decisiones
y provee una guía
descriptiva para mejorar la calidad de
los procesos de toma de decisiones
guiando hacia la toma de mejores
decisiones de seguridad.
2004-07-23
SANS
Unique User Identification(GIAC)
Discute
la
implementación
de http://www.sans.org/score/hipaa/hip
identificación de usuario único que es aa1.pdf
parte de la regulación de seguridad
HIPAA.
2004
SANS
Página de listas de chequeo
Permite descargar listas de chequeo http://www.sans.org/score/macosxch
para evaluar la seguridad de algunos ecklist.php
sistemas operativos, bases de datos,
dispositivos inalámbricos, firewall, etc.
Varía según
el
documento
SANS
ISO/IEC 17799:2005 Information
technology -- Security techniques -Code of practice for information
security management
Establece guías y principios generales http://www.iso.org/iso/iso_catalogue.
para iniciar, implementar, mantener htm
un sistema de gestión de seguridad
en una organización.
2005-06-10
ISO
ISO/IEC 27002:2005 Information Establece guías y principios generales http://www.iso.org/iso/iso_catalogue.
technology -- Security techniques -- para iniciar, implementar, mantener htm
Code of practice for information un sistema de gestión de seguridad
en una organización. Su contenido es
2005-06-15
ISO
Página 29 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
Fuente
security management
idéntico a la ISO/IEC 17799:2005.
ISO/IEC 27001:2005
Information
technology -- Security techniques -Information security management
systems -- Requirements
especifica
los
requisitos
para http://www.iso.org/iso/iso_catalogue.
implantar, operar, vigilar, mantener, htm
evaluar un sistema de seguridad
informática explícitamente
2005-10-14
ISO
ISO/IEC 27005:2008 Information
technology - Security techniques Information
security
risk
management
Proporciona una guía para la gestión http://www.iso.org/iso/iso_catalogue.
de riesgos de seguridad de la htm
información. Soporta los conceptos
generales definidos en la ISO/IEC
27001 y apoya en la implementación
de la seguridad de la información
basada en un enfoque de gestión de
riesgos.
2008-06-04
ISO
ISO/IEC 12207:2008 Systems and Establece un marco común para los http://www.iso.org/iso/iso_catalogue. 2008-03- 18
software engineering - Software life procesos del ciclo de desarrollo del htm
cycle processes
software.
Contiene
procesos,
actividades y tareas a ser aplicadas
en la adquisición de un producto o
servicio de software y durante el ciclo
de vida de los productos de software.
ISO
ISO/IEC19790:2006
Information Especifica cuatro niveles de seguridad http://www.iso.org/iso/iso_catalogue.
technology -- Security techniques -- para módulos criptográficos.
htm
Security
requirements
for
cryptographic
modules
Entre los objetivos funcionales de
seguridad están:
2006-03-09
ISO
2008-06-26
ISO
•
•
•
•
•
•
•
•
•
•
Especificación de módulo
Puertos e interfaces
Roles, servicios y autenticación
Modelo de estado finito
Seguridad Física
Ambiente Operacional
Administración
de
llaves
criptográficas
Auto tests
Aseguramiento del diseño
Mitigación de otros ataques
ISO/IEC 19790:2006 es derivado del
NIST Federal Information Processing
Standard PUB 140-2 May 25, 2001.
ISO/IEC 24759:2008 Information Especifica los métodos a ser utilizados http://www.iso.org/iso/iso_catalogue.
technology -- Security techniques -- en las pruebas de laboratorio para
Test requirements for cryptographic probar si un módulo criptográfico es
Página 30 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
Fuente
modules
conforme con los requerimientos htm
especificados
en
la
ISO/IEC
19790:2006.
ISO/IEC 18043:2006
Information
technology -- Security techniques -Selection,
deployment
and
operations of intrusion detection
systems
Describe “el cómo”
para los http://www.iso.org/iso/iso_catalogue.
administradores
y
usuarios
que htm
desean: entender los beneficios y
limitaciones de los IDS; desarrollar
una estrategia y un
plan de
implementación para IDS; administrar
efectivamente los IDS; integrar la
intrusión y detección en las prácticas
de seguridad de la organización;
entender los riesgos y problemas
legales generados con el deployment
de los IDS.
2006-06-19
ISO
ISO/IEC
TR
18044:2004
Information technology -- Security
techniques -- Information security
incident management
Es una guía de administración de http://www.iso.org/iso/iso_catalogue.
incidentes
de
seguridad
de
la htm
información para administradores de
seguridad de la información y para
administradores
de
sistemas
de
información.
2004-10-12
ISO
ISO/TR 13569:2005
Financial Es una guía para el desarrollo de un http://www.iso.org/iso/iso_catalogue.
services -- Information security programa
de
seguridad
de htm
guidelines
información
para
instituciones
financieras. Incluye discusión de
políticas, organización y estructura,
componentes legales y normativos.
2005-11-22
ISO
ISO/IEC 18033-2:2006 Information Especifica los sistemas de encriptación http://www.iso.org/iso/iso_catalogue.
technology -- Security techniques -- (cifrado)
para
propósitos
de htm
Encryption algorithms -- Part 2: confidencialidad de datos.
2006-05-08
ISO
Suministra información sobre los
beneficios que se obtienen y los
aspectos claves asociados a un buen
enfoque de gestión de incidentes de
seguridad de información.
Presenta ejemplos de incidentes de
seguridad de información y posibles
causas.
Presenta una descripción del proceso
de administración de incidentes de
seguridad de información.
Página 31 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
Fuente
Asymmetric ciphers
ISO/IEC 27002:2005
Information
technology -- Security techniques -Code of practice for information
security management
Establece guías y principios generales http://www.iso.org/iso/iso_catalogue.
para iniciar, implementar, mantener y htm
mejorar un sistema de gestión de
seguridad de la información en una
organización.
2005-06-15
ISO
ISO/IEC 18028-1:2006 Information
technology -- Security techniques -IT network security -- Part 1:
Network security management
Presenta una guía detallada de http://www.iso.org/iso/iso_catalogue.
aspectos
de
seguridad
en
la htm
administración, operación y uso de
redes de TI y sus interconexiones.
Amplia las guías de administración de
seguridad de los estándares ISO/IEC
13335 e ISO/IEC 17799 detallando las
operaciones específicas y mecanismos
necesarios
para
implementar
controles de seguridad de red en
ambientes de red de rango amplio.
2006-07-04
ISO
ISO/IEC 27006:2007 Information
technology -- Security techniques -Requirements for bodies providing
audit and certification of information
security management systems
Especifica
los
requerimientos
y http://www.iso.org/iso/iso_catalogue.
proporciona guía para las entidades htm
de auditoria y certificación de los
SGSI.
2007-02-13
ISO
ISO/IEC
27799:2008
Health Presenta una guía de mejores http://www.iso.org/iso/iso_catalogue.
informatics -- Information security prácticas para la seguridad de la htm
management
in
health
using información en el área de la salud.
ISO/IEC 27002
Aplica para la información de salud en
todos sus aspectos; en todas las
formas posibles de presentación de la
información
(palabras,
números,
registros de sonidos, dibujos, video,
imágenes, etc.)
2008-06-12
ISO
ISO/IEC 18045:2008
Information
technology -- Security techniques -Methodology
for
IT
security
evaluation
2008-08-19
ISO
Es un complemento al ISO/IEC 15408 http://www.iso.org/iso/iso_catalogue.
Information technology - Security htm
techniques - Evaluation criteria for IT
security.
Define las acciones mínimas que
desarrolla un evaluador al conducir
una evaluación de la ISO/IEC 15408,
utilizando los criterios y evidencia de
la evaluación planteado en dicho
estándar.
Página 32 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Vigencia y
Aplicación
Fuente
Diseñado para confirmar mediante un http://www.iso.org/iso/iso_catalogue.
sistema
de
numeración
y htm
procedimiento
de
registro,
las
identidades tanto del proveedor de la
aplicación de salud como del dueño de
la tarjeta de salud para el intercambio
de información.
2006-12-01
ISO
ISO 20301:2006 Health informatics Regula la información visual escrita en http://www.iso.org/iso/iso_catalogue.
-Health
cards
-General las tarjetas de salud. Se enfoca en htm
characteristics
tarjetas tipo ID-1 definidas en la
ISO/IEC 7810 generadas por los
servicios de salud que se prestan en
un área que abarca las fronteras
nacionales entre dos o más países o
áreas.
2006-10-31
ISO
ISO 22857:2004 Health informatics
-- Guidelines on data protection to
facilitate trans-border flows of
personal health information
Proporciona
una
guía
en
los http://www.iso.org/iso/iso_catalogue.
requerimientos de protección de los htm
datos para facilitar la transferencia de
los datos de salud entre fronteras
nacionales.
2004-03-17
ISO
ISO/IEC 15444-8:2007 Information Especifica el marco de referencia, los http://www.iso.org/iso/iso_catalogue.
technology -- JPEG 2000 image conceptos
y
metodología
para htm
coding system: Secure JPEG 2000
asegurar cadenas de datos JPEG
2000.
2007-04-04
ISO
ISO/TR
22221:2006
Health
informatics - Good principles and
practices
for
a
clinical
data
warehouse
Define principios y prácticas para la http://www.iso.org/iso/iso_catalogue.
creación,
uso,
mantenimiento
y htm
protección de una DWH clínica e
incluye
aspectos
éticos;
requerimientos de protección de datos
y recomendaciones de políticas para
el gobierno de la seguridad de la
información.
2006-10-25
ISO
ISO/IEC 19785-2:2006 Information
technology -- Common Biometric
Exchange Formats Framework -Part 2: Procedures for the operation
of
the
Biometric
Registration
Authority
Especifica los requerimientos para la http://www.iso.org/iso/iso_catalogue.
operación de la Autoridad de Registro htm
Biométrico dentro del marco de
referencia
de
los
formatos
de
intercambio biométrico (CBEFF).
2006-05-04
ISO
ISO 20302:2006 Health informatics
-- Health cards -- Numbering
system and registration procedure
for issuer identifiers
Resumen
Enlace documento
Página 33 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
Fuente
ISO 19092:2008 Financial services Describe el marco de referencia para http://www.iso.org/iso/iso_catalogue.
-- Biometrics -- Security framework el uso de la biometría en la htm
autenticación de los clientes en el
sector de los servicios financieros.
2008-01-07
ISO
ISO
17090-1:2008
Health
informatics
-Public
key
infrastructure -- Part 1: Overview of
digital certificate services
Define los conceptos básicos sobre el http://www.iso.org/iso/iso_catalogue.
uso de certificados digitales en el área htm
de la salud y proporciona un esquema
de
requerimientos
de
interoperabilidad
para
establecer
comunicaciones
seguras
de
la
información
de
salud
mediante
certificados digitales.
2008-02-14
ISO
ISO/IEC 11770-1:1996 Information
technology -- Security techniques -Key management
-- Part
1:
Framework
Define
un
modelo
general
de http://www.iso.org/iso/iso_catalogue.
administración
de
claves htm
independiente
del
algoritmo
criptográfico que se use. Identifica el
objetivo, los conceptos básicos y los
servicios de la administración de
claves.
1996-12-26
ISO
ISO/IEC 13888-1:2004 IT security Presenta un modelo general para http://www.iso.org/iso/iso_catalogue.
techniques -- Non-repudiation -- especificar mecanismos de no repudio htm
Part 1: General
utilizando técnicas criptográficas.
2004-06-10
ISO
ISO/IEC 9075-1:2008 Information Define en conjunto con las ISO/IEC http://www.iso.org/iso/iso_catalogue.
technology -- Database languages - 9075-2:2008
e
ISO/IEC
9075- htm
- SQL -- Part 1: Framework 11:2008 los requerimientos mínimos
(SQL/Framework)
del lenguaje SQL. Especifica el marco
de referencia conceptual usado en
otras partes de ISO/IEC 9075.
2008-07-17
ISO
ISO/IEC 9075-2:2008 Information Define las estructuras de datos y http://www.iso.org/iso/iso_catalogue.
technology -- Database languages - operaciones básicas en SQL. Provee htm
- SQL -- Part 2: Foundation capacidades funcionales para crear,
(SQL/Foundation)
acceder,
mantener,
controlar
y
proteger datos en SQL.
2008-07-17
ISO
ISO/IEC 9075-3:2008 Information Define las estructuras y funciones que http://www.iso.org/iso/iso_catalogue.
technology -- Database languages - deben usarse para ejecutar las htm
- SQL -- Part 3: Call-Level Interface declaraciones del lenguaje SQL dentro
de una aplicación escrita en un
lenguaje estándar de programación de
2008-07-17
ISO
Página 34 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
Fuente
(SQL/CLI)
manera que las funciones utilizadas
sean
independientes
de
las
declaraciones SQL a ser ejecutadas.
ISO/IEC 9075-4:2008 Information
technology -- Database languages - SQL -- Part 4: Persistent Stored
Modules (SQL/PSM)
Especifica la sintaxis y semántica de http://www.iso.org/iso/iso_catalogue.
las declaraciones para agregar mayor htm
capacidad procedimental al lenguaje
SQL
en
las
funciones
y
procedimientos.
2008-07-17
ISO
ISO/IEC 9075-9:2008 Information
technology -- Database languages - SQL -- Part 9: Management of
External Data (SQL/MED)
Define extensiones a SQL para http://www.iso.org/iso/iso_catalogue.
soportar la administración de datos htm
externos mediante el uso de tipos de
datos wrapper y datalink.
2008-07-17
ISO
ISO/IEC 9075-10:2008 Information
technology -- Database languages - SQL -- Part 10: Object Language
Bindings (SQL/OLB)
Define las extensiones al lenguaje http://www.iso.org/iso/iso_catalogue.
SQL para soportar declaraciones de htm
SQL embebidas en programas escritos
en Java.
2008-07-17
ISO
ISO/IEC 9075-11:2008 Information Especifica un esquema de información http://www.iso.org/iso/iso_catalogue.
technology -- Database languages - y un esquema de definición.
htm
- SQL -- Part 11: Information and
Definition Schemas (SQL/Schemata)
2008-07-17
ISO
ISO/IEC9075-13:2008 Information
technology -- Database languages - SQL -- Part 13: SQL Routines and
Types
Using
the
Java
TM
Programming Language (SQL/JRT)
2008-07-17
ISO
Define la capacidad de invocar http://www.iso.org/iso/iso_catalogue.
métodos
estáticos
escritos
en htm
lenguaje JAVA como rutinas invocadas
de SQL y utiliza clases definidas en
JAVA
como
tipos
estructurados
definidos por el usuario en SQL.
ISO/IEC9075-14:2008 Information Define la forma en que el lenguaje http://www.iso.org/iso/iso_catalogue.
technology -- Database languages - SQL puede usarse en conjunto con htm
- SQL -- Part 14: XML-Related XML.
Specifications (SQL/XML)
ISO/IEC 18014-1:2008Information Describe un marco de referencia y http://www.iso.org/iso/iso_catalogue.
technology -- Security techniques -- define
la
noción
básica,
las htm
Time-stamping services -- Part 1: estructuras de datos, y protocolos que
deben ser usados por las técnicas de
time
stamping
o
estampación
Página 35 de 197
ISO
2008-08-26
ISO
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Vigencia y
Aplicación
Fuente
ISO/IEC 11770-3:2008 Information Define mecanismos de administración http://www.iso.org/iso/iso_catalogue.
technology -- Security techniques -- de claves basados en técnicas htm
Key management
-- Part
3: criptográficas asimétricas.
Mechanisms
using
asymmetric
techniques
2008-07-02
ISO
ISO/IEC 15408-1:2005 Information
technology -- Security techniques -Evaluation criteria for IT security -Part 1: Introduction and general
model
Define dos formas para expresar la http://www.iso.org/iso/iso_catalogue.
seguridad funcional de TI y los htm
requerimientos
de
aseguramiento
(Protection Profile y Security Target).
2005-09-22
ISO
ISO/IEC 15408-2:2008 Information
technology -- Security techniques -Evaluation criteria for IT security -Part
2:
Security
functional
components
Define el contenido y presentación de http://www.iso.org/iso/iso_catalogue.
los requerimientos funcionales de htm
seguridad que van a ser evaluados en
una
evaluación
de
seguridad
utilizando ISO/IEC 15408. Contiene
un
catálogo
de
componentes
funcionales de seguridad predefinidos
que cubrirán las necesidades más
comunes de seguridad del mercado.
2008-08-19
ISO
ISO/IEC 15408-3:2008 Information
technology -- Security techniques -Evaluation criteria for IT security -Part
3:
Security
assurance
components
Define el contenido y presentación de http://www.iso.org/iso/iso_catalogue.
los requerimientos de aseguramiento htm
en la forma de clases, familias y
componentes y provee guía en la
organización
de
nuevos
requerimientos de aseguramiento.
2008-08-19
ISO
ISO/IEC
TR
19791:2006
Information technology -- Security
techniques -- Security assessment
of operational systems
Provee guía y criterio para evaluar la http://www.iso.org/iso/iso_catalogue.
seguridad
de
los
sistemas htm
operacionales.
Proporciona
un
complemento al alcance
de
la
evaluación
ISO/IEC
15408
considerando varios aspectos críticos
no contemplado en dicho estándar.
2006-05-15
ISO
ISO/IEC 21827:2002 Information Describe las características de los http://www.iso.org/iso/iso_catalogue.
technology -- Systems Security procesos de ingeniería de seguridad htm
Engineering -- Capability Maturity de una organización.
Model (SSE-CMM®)
2002-10-17
ISO
Framework
Resumen
Enlace documento
electrónica.
Página 36 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
Fuente
ISO/IEC 13335-1:2004 Information
technology -- Security techniques -Management of information and
communications technology security
-- Part 1: Concepts and models for
information and communications
technology security management
Presenta los conceptos y un modelo http://www.iso.org/iso/iso_catalogue.
fundamental para un entendimiento htm
de la seguridad de las TIC y se enfoca
en los aspectos administrativos que
son esenciales para la planeación, la
implementación y operación exitosa
de la seguridad de las TIC.
2004-11-19
ISO
ISO/IEC
TR
15443-2:2005
Information technology -- Security
techniques -- A framework for IT
security assurance -- Part 2:
Assurance methods
Describe una variedad de métodos http://www.iso.org/iso/iso_catalogue.
para garantizar la seguridad de TI y htm
los relaciona con el marco de
referencia ISO/IEC TR 15443-1. Esta
orientado a los profesionales de
seguridad
de
TI
para
un
entendimiento en como obtener
aseguramiento en el ciclo de vida de
un producto o servicio.
2005-09-19
ISO
ISO/IEC 11770-4:2006 Information
technology -- Security techniques -Key management
-- Part
4:
Mechanisms based on weak secrets
Define mecanismos para establecer http://www.iso.org/iso/iso_catalogue.
claves basados en secretos débiles, htm
que
pueden
ser
fácilmente
memorizados por un humano.
2006-05-04
ISO
ISO/IEC
TR
15443-1:2005
Information technology -- Security
techniques -- A framework for IT
security assurance -- Part 1:
Overview and framework
Es una guía para el profesional de http://www.iso.org/iso/iso_catalogue.
seguridad en la selección del método htm
de aseguramiento más apropiado
cuando
especifica,
selecciona
o
implementa un servicio o producto o
factor de ambiente tal como una
organización o el personal.
2005-02-08
ISO
ISO/IEC 24762:2008
Information
technology -- Security techniques -Guidelines for information and
communications technology disaster
recovery services
Proporciona guías para la provisión de http://www.iso.org/iso/iso_catalogue.
los servicios de recuperación y htm
desastres de las tecnologías de la
información y las comunicaciones
como parte de la gestión de
continuidad del negocio aplicable a
proveedores de servicio de facilidades
y
servicios
físicos
internos
o
contratados.
2008-01-31
ISO
Página 37 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.1.3.
Mapa de interrelación de estándares y mejores prácticas nacionales e internacionales en
seguridad de la Información
Para facilitar la toma de decisiones sobre qué estándares seleccionar, se han generado en la
industria, mapas de interrelación de un estándar con respecto a otros. Por supuesto, el estándar
de referencia queda mejor librado con respecto a los otros según los criterios de comparación
que se seleccionen. No obstante, estos mapas representan una buena ilustración sobre la
estructura y componentes de los estándares comparados.
Para la estrategia de Gobierno en línea, es importante identificar y relacionar los principales
estándares de seguridad de la información y compararlos con la norma NTCGP 1000:2004 y el
Modelo Estándar de Control Interno, MECI. Surge una pregunta: ¿Qué estándares seleccionar
para la comparación? En el numeral 4.1.3.3, se especifican los aspectos que se tuvieron en
cuenta para seleccionar los estándares, así como los criterios de comparación. En el numeral
4.1.3.4, se presenta un mapa de interrelación de los estándares seleccionados y finalmente, en el
numeral 4.1.3.5, se definen algunas conclusiones del proceso de comparación realizado.
4.1.3.1. Objetivo
La presente relación documentada pretende dar una orientación sobre el grado de alineación
entre los estándares y mejores prácticas para la seguridad de la información y su Interrelación
con respecto a la norma NTCGP 1000:2004 y el Modelo MECI.
4.1.3.2. Estándares de Seguridad de la Información por categoría.
A continuación, se relacionan los principales estándares organizados por categorías:
Normas de gestión de seguridad:
• ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security
management systems – Requirements. La norma equivalente en Colombia es la NTCISO/IEC 27001 Tecnología de la Información. Técnicas de Seguridad. Sistemas de
Gestión de Seguridad de la Información (SGSI) Requisitos.
• ISM3 v2.00 Information Security Management Maturity Model. Fue desarrollada por el
ISM3 Consortium. La versión 2.00 está vigente a partir del 2007. La nueva versión (2.10)
sólo está disponible actualmente en forma impresa.
Mejores prácticas para Seguridad de Información:
• ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for
information security management. La norma equivalente en Colombia es la NTC-ISO/IEC
17799 Tecnología de la Información. Técnicas de Seguridad. Código de Práctica para la
gestión de la Seguridad de la Información, la cual corresponde a una traducción idéntica
de la ISO/IEC 17799:2005.
Página 38 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
• The Standard of Good Practice for Information Security 2007. Ha sido desarrollada por el
Information Security Forum, ISF. La versión disponible actualmente corresponde al año
2007.
• NIST SP 800-14 Generally Accepted Principles and Practices for Securing Information
Technology Systems. Esta guía fue desarrollada por el National Institute of Standards and
Technology, NIST y la fecha de su publicación corresponde a septiembre de 2006.
Mejores prácticas de Gobierno y Control en Tecnología de Información:
•
•
•
•
Cobit 4.1 Control Objectives for Information and related Technology (COBIT®).
IT Control Objectives for Sarbanes Oxley
CONCT- Control Objectives for Net Centric Technologies.
NIST SP 800 – 53 Recommended Security Controls for Federal Information Systems
Mejores prácticas para la prestación de servicios de TI:
• Service Management - ITIL® Version 3. Conjunto de mejores prácticas para la prestación
del servicio de TI. Desarrollado por La Oficina de Gobierno de Comercio del Reino Unido.
• ISO/IEC 20000-1:2005 Information technology -- Service management -- Part 1:
Specification
• ISO/IEC 20000-2:2005 Information technology -- Service management -- Part 2: Code of
practice
Normas de Administración de Riesgos:
• AS/NZ 4360:2004 Risk Management, Standards Australia/Standards New Zealand
• ISO/IEC 27005:2008 Information technology - Security techniques - Information security
risk management
• NIST SP 800-30 Risk Management Guide for Information Technology Systems
Metodologías de Administración de Riesgos:
• MAGERIT
• Octave
• General Security Risk Assessment Guidelines, ASIS International.
Normas para planeación de continuidad del negocio:
•
•
•
•
BS 25999-1:2006 Gestión de Continuidad de Negocio. Parte 1: Códigos de Práctica.
BS 25999-2:2007 Especificaciones para la continuidad del negocio.
NFPA 1600:2007 Standard on Disaster/Emergency Management and Business
Continuity Programs
Página 39 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
•
•
ISO/IEC 24762:2008 Information technology -- Security techniques -- Guidelines for
information and communications technology disaster recovery services
NIST SP 800 – 34 Contingency Planning Guide For Information Technology Systems
GTC 176 Sistema de Planeación de Continuidad del Negocio
4.1.3.3. Criterios de selección de Estándares de Seguridad de la Información.
Para seleccionar los estándares o mejores prácticas a ser comparados, se tuvo en cuenta su
propósito primario, el grado de reconocimiento a nivel mundial y la alineación con la estrategia de
Gobierno en Línea, además se tienen presente los principios y ejes de acción de la estrategia de
Gobierno en línea:
Principios:
o
o
o
o
o
o
Gobierno centrado en el ciudadano;
Visión unificada del Estado;
Acceso equitativo y multi-canal;
Gobierno en Línea es más que tecnología;
Protección de la información del individuo;
Credibilidad y confianza en el Gobierno en Línea.
Ejes de Acción:
o Mejores servicios (respuesta a necesidades, calidad, ahorro, atención unificada,
satisfacción, simplificación de trámites, acceso multicanal);
o Transparencia y participación (visibilidad, conocimiento, confianza, participación, control
social, interacción y retroalimentación);
o Eficiencia del Estado (información de calidad, oportuna y estandarizada, racionalización y
optimización de recursos);
Al analizar los requerimientos de Gobierno en Línea y considerando fundamental la necesidad de
desarrollar un marco de gestión para el gobierno de la seguridad de la información en el Estado
Colombiano, se seleccionaron los siguientes estándares cuyo propósito y principios intrínsecos,
se alinean con la estrategia de Gobierno en Línea de manera general:
NTC ISO/IEC 27001:2005
ISM3 v 2.00
The Standard of Good Practice for Information Security - ISF-SOGP
COBIT 4.1
ITIL v 3
AS/NZ 4360 Risk Management
Criterios de Comparación.
Página 40 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Para comparar los estándares y mejores prácticas
requerimientos generales y requerimientos técnicos.
seleccionados,
se
establecieron
Como requerimientos generales se identificaron:
•
•
•
•
•
•
•
•
•
•
•
Propósito
Principios
Modelo PHVA
Niveles de Madurez
Establecimiento del Sistema de Gestión
Gestión de riesgos
Requisitos de documentación
Responsabilidad y compromiso de la dirección
Gestión de recursos
Monitoreo
Mejoramiento
Como requerimientos técnicos se identificaron:
•
•
•
•
•
•
•
•
•
•
•
•
Política de Seguridad
Organización de la Seguridad de la Información
Gestión de activos
Seguridad de los recursos humanos
Seguridad física y del entorno
Seguridad en la operación y soporte de TI
Seguridad del ciclo de desarrollo de los Sistemas de Información
Seguridad de las aplicaciones
Control de acceso
Gestión de incidentes de seguridad de la información
Gestión de continuidad del negocio
Cumplimiento
Descripción de los Estándares y Mejores Prácticas Seleccionados
NTC ISO/IEC 27001
La norma NTC ISO/IEC 27001 fue liberada por el Instituto Colombiano de Normas Técnicas y
Certificación, ICONTEC en el año 2006 y es una copia idéntica por traducción de la norma
ISO/IEC 27001. Esta norma permite diseñar una herramienta para la implementación del sistema
de gestión de seguridad de la información teniendo en cuenta la política, la estructura
organizativa, los procedimientos y los recursos. La norma adopta el modelo de procesos
“Planificar-Hacer-Verificar-Actuar” (PHVA) para estructurar los procesos del Sistema de Gestión
de Seguridad de la Información, SGSI.
Página 41 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
En el anexo A de la norma se define una tabla detallada de objetivos de control y controles, los
cuales quedan agrupados y numerados de la siguiente forma:
A.5 Política de seguridad
A.6 Organización de la información de seguridad
A.7 Administración de recursos
A.8 Seguridad de los recursos humanos
A.9 Seguridad física y del entorno
A.10 Administración de las comunicaciones y operaciones
A.11 Control de accesos
A.12 Adquisición de sistemas de información, desarrollo y mantenimiento
A.13 Administración de los incidentes de seguridad
A.14 Administración de la continuidad de negocio
A.15 Cumplimiento (legales, de estándares, técnicas y auditorías)
ISM3 v 2.00
El modelo de madurez para la administración de la seguridad de la información extiende los
principios de gestión de calidad de la norma ISO 9001 para sistemas de gestión de seguridad de
la información. ISM3 está orientado a procesos y utiliza niveles de madurez de capacidad y de
cubrimiento. Define los procesos de seguridad organizados por nivel estratégico, táctico y
operativo, e incorpora en su descripción los siguientes elementos:
•
•
•
•
•
•
El nivel de la organización responsable por cada conjunto de procesos (estratégico, táctico
y operacional)
La justificación del proceso
Entradas del proceso,
Productos del proceso
Dueño del proceso
Métricas
Página 42 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
ISM3 alinea los objetivos de negocio con los objetivos de seguridad y requiere que la
organización defina sus objetivos de seguridad, los cuales se constituyen en base para el diseño,
implementación y monitoreo del sistema de gestión de seguridad. ISM3 ha sido desarrollado por
ISM3 Consortium y representa los esfuerzos de profesionales de la seguridad, académicos y la
industria para proponer alternativas que procuren una mejor gestión de la seguridad de la
información.
The Standard of Good Practice for Information Security
El estándar de buenas prácticas para seguridad de la información del Information Security Forum
(ISF) está basado en la investigación y experiencia práctica de sus miembros. Enfoca la
seguridad de la información desde una perspectiva del negocio y proporciona a una base práctica
para evaluar los acuerdos en seguridad de la información de una organización. El estándar divide
la seguridad en seis componentes:
•
•
•
•
•
•
Administración de la seguridad
Aplicaciones críticas del negocio
Instalación de computadores
Redes
Desarrollo de sistemas
Ambiente de usuario final
La primera versión del estándar fue liberada en 1996 y se actualiza y mejora cada 2 años con la
finalidad de responder a las necesidades de organizaciones líderes internacionales, refinar las
mejores prácticas en seguridad de información y mantener alineamiento con otros estándares
relacionados con seguridad de la información tales como la ISO 27002 y Cobit 4.1.
Cobit 4.1
Cobit (Objetivos de Control para la Información y tecnología Relacionada) consiste en un conjunto
de documentos clasificados como buenas prácticas generalmente aceptadas para el gobierno de
la tecnología de información, el control y el aseguramiento. La primera versión fue liberada por
Information Systems Audit. And Control Foundation (ISACF) en 1996. En el año 1998 se liberó la
segunda versión con objetivos de control adicionales y las herramientas de implementación. En el
año 2000 el IT Governance Institute (ITGI) liberó la tercera versión que incluía las guías
administrativas y nuevos objetivos de control. En el 2005 el ITGI publicó Cobit 4.0 con un enfoque
al gobierno de TI. La versión actual Cobit 4.1 fue liberada en el 2007.
Cobit 4.1 se compone de 4 dominios, 34 procesos y 215 objetivos de control. En la descripción de
cada proceso además de los objetivos de control se identifican los criterios de información
impactados por el proceso, los recursos de TI utilizados, la alineación del proceso con las áreas
de gobierno de TI, las entradas, salidas y actividades del proceso, el diagrama RACI, las metas y
métricas de proceso y el modelo de madurez para evaluar el proceso.
Página 43 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
ITIL v 3
ITIL Service Management versión 3 es una serie de 6 libros considerados como mejores prácticas
para la administración y garantía de alta calidad en la prestación de servicios de TI. Los libros se
titulan:
•
•
•
•
•
•
Estrategia del servicio
Diseño del servicio
Transición del servicio
Operación del servicio
Mejoramiento continuo del servicio
Introducción Oficial al ciclo de vida del servicio
La primera versión de ITIL fue creada en los ochentas por la oficina de Gobierno de Comercio del
Reino Unido (OGC). La segunda versión en los 90 y la versión 3 fue liberada a mediados del
2007 con un enfoque orientado al proceso y al ciclo de vida del servicio.
AS/NZ 4360 Risk Management
El estándar australiano AS/NZ 4360 es una guía para el establecimiento e implementación del
proceso de administración de riesgos involucrando las siguientes etapas:
•
•
•
•
•
•
•
Comunicación y consulta
Establecimiento del contexto
Identificación de los riesgos
Análisis de los riesgos
Evaluación de los riesgos
Tratamiento de los riesgos
Monitoreo y revisión
La primera versión fue liberada en 1999 y posteriormente se liberó una nueva versión en el 2004.
4.1.3.4. Mapa de Interrelación de Estándares de Seguridad de la Información
En el anexo 1 se presenta el mapa de interrelación de estándares seleccionados y su
alineamiento frente a la norma NTCGP 1000:2004 y el Modelo Estándar de Control Interno,
MECI.
4.1.3.5. Conclusiones
El uso de la tecnología, las comunicaciones e Internet en las prácticas comerciales y las nuevas
amenazas de seguridad que surgen cada día han generado un continuo interés por parte de las
organizaciones, Gobierno, industria y comunidad en general por administrar la seguridad de la
Página 44 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
información, lo cual ha apalancado la continua creación y actualización de estándares y mejores
prácticas para la seguridad de la información.
Las organizaciones líderes están haciendo un uso efectivo de mejores prácticas para optimizar el
uso de los recursos de TI y reducir la ocurrencia de riesgos significativos tales como:
•
•
•
•
•
Fallas de los proyectos
Inversiones perdidas
Brechas de seguridad
Fallas de los sistemas críticos
Fallas de los proveedores de servicios para entender y cumplir con los requerimientos de
los clientes
Una forma de entender cómo se alinean e integran los estándares y mejores prácticas se ilustra
en el siguiente gráfico:
COSO es un marco de referencia para el control interno en las organizaciones. Las entidades del
estado adoptaron el MECI, modelo de control interno el cual está basado en COSO.
Cobit es un marco de referencia para el Gobierno y control de TI basado en un modelo de
procesos de TI que puede ser adaptado a cualquier tipo de organización. Cobit se enfoca en el
qué se necesita hacer no en el cómo, por eso, la audiencia objetivo es la gerencia de negocio
senior, la gerencia senior de TI y los auditores. Cobit está alineado con COSO, con la ISO9000 y
con la ISO27002. El IT Governance Institute, ITGI, ha desarrollado y mantiene actualizados los
Página 45 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
mapas de Cobit con diferentes estándares y mejores prácticas para identificar armonización y
alineamiento,
La ISO 9000 es el estándar para gestión de calidad en las organizaciones. En las entidades del
estado, se adoptó la NTCGP1000 el cual representa la norma técnica de calidad en la gestión
pública.
ITIL se basa en definir procesos de mejores prácticas para el soporte y la gerencia del servicio de
TI. Provee un contexto estratégico y de negocio para la toma de decisiones sobre TI y describe el
mejoramiento continuo del servicio como una actividad de toda la empresa para mantener la
entrega de valor a los clientes. ITIL tiene gran aplicabilidad para empresas que prestan servicios
de TI.
De la familia ISO27000, el estándar ISO/IEC 27001 especifica los requerimientos para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestión de seguridad.
Este estándar se encuentra alineado con la ISO 9000 y su adopción en empresas colombianas se
está incrementando cada vez más por las exigencias de la economía globalizada y necesidades
de certificación de sus productos y servicios. En las empresas del estado, también se ha
incrementado la necesidad de implementar iniciativas para la seguridad de la información
basadas en la ISO27001 y utilizando como guía de implementación los controles para la
confidencialidad, integridad y disponibilidad de la información definidos en la ISO27002.
El ISF-SGOP representa una base práctica para evaluar los acuerdos en seguridad de la
información de una organización. Las prácticas detalladas de este estándar pueden ser
adoptadas en los acuerdos de seguridad de la información por parte de: los administradores de
seguridad de la información, los administradores de negocio, los administradores de TI, los
auditores de TI, el personal de terceras partes encargado de administrar y soportar la
infraestructura de TI.
El ISM3 representa una buena base para definir, establecer, implementar y monitorear los
procesos de gestión de seguridad de la información.
El marco de referencia de NIST para seguridad de computadores que está conformado por una
serie de documentos denominados NIST SP 800, si bien no se incluyó en la comparación de
estándares del Anero 1, representa una valiosa herramienta de mejores prácticas para
implementar seguridad de la información.
La comparación de algunos estándares y mejores prácticas con la norma NTCGP1000:2004 y el
modelo de control interno permite identificar alineamiento entre sí. En ese sentido y considerando
que existe una creciente adopción del modelo de seguridad basado en la ISO27001 por parte de
entidades del estado, para la Estrategia de Gobierno en Línea se puede recomendar este
estándar como la base para implementar un sistema de gestión de seguridad de la información
apoyado con otros estándares que proporcionan mayor nivel de detalle en la implementación de
los procesos de seguridad de la información y los controles y aseguramiento requeridos.
Página 46 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.2. DIAGNÓSTICO 2: COMPROMISOS Y AVANCES DE COLOMBIA EN MATERIA DE
SEGURIDAD DE LA INFORMACIÓN –NORMATIVA Y PROTECCIÓN DE
INFORMACIÓN DEL INDIVIDUO
4.2.1.
Introducción
Relación documental, con descripción temática, enlace, vigencia y fuente de la normatividad e
iniciativas jurídicas nacionales,
internacionales y extranjeras, en materia de comercio electrónico,
gobierno en línea, seguridad informática, protección de información del individuo y habeas data.
La información se encuentra organizada en tablas temáticas que albergan un orden cronológico, acorde a
la entrada en vigencia o en su defecto, a la formulación del respectivo instrumento.
4.2.1.1. Relación documentada de compromisos internacionales de Colombia en materia de seguridad
informática
4.2.1.1.1. Comercio Electrónico
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
Convenio de París para la
protección de la propiedad
intelectual (Particularmente el
artículo 10bis), aprobada mediante
ley 178 de 1994.
Art. 10bis, Competencia Desleal: “1.
Los países de la Unión están
obligados
a
asegurar
a
los
nacionales de los países de la Unión
una protección eficaz contra la
competencia desleal
http://www.secretariasenado.
gov.co/leyes/L0178_94.HTM
A partir de la
fecha de
publicación de la
ley aprobatoria,
Ley 178 de
1994, esto es
diciembre 29 de
1994.
(ú.a. 24/09/08).
Fuente
Organización
Mundial de la
Propiedad
Intelectual.
“2. Constituye acto de competencia
desleal todo acto de competencia
contrario a los usos honestos en
materia industrial o comercial”.
De lo cual se concluye que la
información secreta de una empresa
no puede ser develada, so pena de
incurrir en un acto de competencia
desleal (En la medida que la
violación de secretos es un acto
consagrado
como
competencia
desleal en la ley colombiana número
256 de 1996 “Por la cual se dictan
normas sobre competencia desleal”).
RESOLUCIÓN A/RES/51/162 “Ley
modelo sobre comercio electrónico
aprobada por la comisión de las
Naciones Unidas para el derecho
mercantil internacional
Recomendaciones
generales
en
materia de comercio electrónico,
tendientes al logro de su tratamiento
uniforme a nivel internacional.
Aspectos reflejados en la Ley 527 de
http://www.uncitral.org/pdf/sp
anish/texts/electcom/05-
Página 47 de 197
A partir de
diciembre 16 de
1996.
Asamblea
General de la
Organización
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
(CNUDMI)”, incluye el anexo “Guía
para la incorporación al derecho
interno de la ley modelo de la
CNUDMI sobre comercio
electrónico”
agosto 18 de 1999: “Por medio de la
cual se define y reglamente el
acceso y uso de los mensajes de
datos, del comercio electrónico y de
las firmas digitales, y se establecen
las entidades de certificación y se
dictan otras disposiciones”.
TRATADO INTERNET DE LA OMPI
SOBRE DERECHOS DE AUTOR
(TODA) –Propiamente los artículos
11, 12 y 14-Aprobado mediante
Ley 565 de 2000.
Enlace documento
Faculta a los Estados miembros para
que adopten las medidas jurídicas
tendientes a la protección a la
gestión de los derechos de autor, así
como la sanción efectiva sobre las
conductas evasivas de las medidas
tecnológicas
de
protección
establecidas por los autores.
Vigencia y
Aplicación
89453_S_Ebook.pdf
Fuente
de las
Naciones
Unidas.
(ú.a. 24/09/08).
http://www.cecolda.org.co/ind
ex.php?option=com_content&t
ask=view&id=193&Itemid=46
A partir de
Febrero 2 de
2000.
Organización
Mundial de la
Propiedad
Intelectual.
Diciembre 09 de
1999
Organización
para la
Cooperación y
el Desarrollo
Económico
Rige a partir de
julio 24 de 2002.
Organización
Mundial de la
Propiedad
Intelectual.
A partir de
diciembre 12 de
2001.
Asamblea
General de la
Organización
de las
Naciones
Unidas.
A partir de
2005.
Asamblea
General de la
Organización
de las
Naciones
(ú.a. 24/09/08).
Recomendaciones del Consejo de
la Organización para la
Cooperación y el Desarrollo
Económico, Relativa a los
Lineamientos para la Protección al
Consumidor
en el Contexto del Comercio
Electrónico
Estos lineamientos sólo aplican al
comercio
electrónico
entre
empresarios y consumidores, y no a
las
transacciones
empresa
–
empresa.
http://www.oecd.org/dataoecd
/18/27/34023784.pdf
(ú.a. 29/09/08).
Tratado de la OMPI, Organización
Mundial de la Propiedad
Intelectual, sobre Derechos de
Autor (WCT)", promulgado
mediante decreto 1474 de 2002.
RESOLUCIÓN A/RES/56/80 “Ley
modelo sobre las firmas
electrónicas de la comisión de las
Naciones Unidas para el derecho
mercantil internacional”, incluye el
anexo “Guía para la incorporación
al derecho interno de la ley
modelo de la CNUDMI para las
firmas electrónicas (2001) al
derecho interno”.
Convención de las Naciones Unidas
sobre la Utilización de las
Comunicaciones Electrónicas en
los Contratos Internacionales.
Protección en materia de programas
de ordenador (Software), bases de
datos, y derechos de autor en
general, para el entorno tradicional
y
electrónico
(Reconociendo
cabalmente la aplicación de los
aspectos sustanciales al medio
tecnológico), en consonancia con el
régimen de derechos de autor
contenido en el convenio de Berna
“para la protección de las obras
literarias y artísticas”.
Pautas referentes a la firma
electrónica,
analizando
su
funcionalidad, aspectos técnicos, y
relación con la “Ley modelo sobre
comercio electrónico aprobada por la
comisión de las Naciones Unidas
para
el
derecho
mercantil
internacional (CNUDMI)”.
Aspectos reflejados en el Decreto
reglamentario 1747 de septiembre
11 de 2000 “Por el cual se
reglamenta parcialmente la Ley 527
de 1999, en lo relacionado con las
entidades
de
certificación,
los
certificados y las firmas digitales”.
Aspectos prácticos relativos a las
normas aplicables a los contratos
internacionales,
comerciales
y
civiles, excluyendo los efectuados
con fines personales, familiares, o
domésticos, cuya formación ha sido
lograda mediante el empleo de
comunicaciones
electrónicas
(Mensajes de datos).
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=6076#1
(ú.a. 24/09/08).
http://www.uncitral.org/pdf/sp
anish/texts/electcom/mlelecsig-s.pdf
(ú.a. 24/09/08).
http://www.uncitral.org/pdf/sp
anish/texts/electcom/0657455_Ebook.pdf
Página 48 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
Fuente
Unidas.
(ú.a. 24/09/08).
Decisión comunitaria andina 691
sobre “Estadísticas sobre
tecnologías de la información y la
comunicación”.
“Artículo 1.- Objeto y finalidad
Establecer un marco normativo
común para la producción de
estadísticas sobre el uso de las
tecnologías de la información y la
comunicación con la finalidad de
garantizar la armonización en la
recopilación,
procesamiento,
transmisión
y análisis de
los
principales
indicadores
en
la
Comunidad Andina”.
http://www.comunidadandina.
org/normativa/dec/d691.htm
A partir de
agosto 13 de
2008.
Comunidad
Andina de
Naciones.
(ú.a. 24/09/08).
4.2.1.1.2. Legislación Interna en Materia de Comercio Electrónico
Nombre Documento
Resumen
Enlace documento
Ley 527 de 1999.
http://www.secretariasenado.
gov.co/leyes/L0527_99.HTM
Norma de aplicación transversal,
toda vez que se aplica a todos
los mensajes de datos sin
importar su naturaleza, temática
o sector, “Por medio de la cual
se define y reglamente el acceso
y uso de los mensajes de datos,
del comercio electrónico y de las
firmas digitales, y se establecen
las entidades de certificación y
se dictan otras disposiciones” y
el Decreto reglamentario 1747
de septiembre 11 de 2000 “Por
el
cual
se
reglamenta
parcialmente la Ley 527 de
1999, en lo relacionado con las
entidades de certificación, los
certificados
y
las
firmas
digitales”.
Sentencia C-662 de 2000
Acción
pública
de
Constitucionalidad
contra
algunos apartados de la ley 527
de
1999,
declarando
su
exequibilidad.
Decreto 1747 de 2000.
“Por el cual se reglamenta
parcialmente la Ley 527 de
1999, en lo relacionado con las
entidades de certificación, los
certificados
y
las
firmas
digitales”
(ú.a. 24/09/08).
http://web.minjusticia.gov.co/
jurisprudencia/CorteConstituci
onal/2000/Constitucionalidad/
C-662-00.htm
Vigencia y
Aplicación
Fuente
A partir de su
publicación, en
el diario oficial,
agosto 21 de
1999.
Congreso de la
República de
Colombia.
Junio 08 de
2000.
Corte
Constitucional
de Colombia.
A partir de su
promulgación,
septiembre 11
de 2000.
Congreso de la
República de
Colombia.
(ú.a. 24/09/08).
http://www.mincomercio.gov.
co/eContent/documentos/nor
matividad/decretos/decreto_1
747_2000.pdf
(ú.a. 24/09/08).
Página 49 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Ley 599 de 2000, y sus posteriores
modificaciones, Código Penal
Colombiano
Los delitos consagrados en el
Código Penal Colombiano, tienen
plena
aplicación,
bajo
el
entendido en que se cumplan las
condiciones establecidas para
cada acto criminal, sin importar
si
se
comete
en
medios
tradicionales o electrónicos.
Ley 598 de 2000.
“Por la cual se crean el Sistema
de Información para la Vigilancia
de la Contratación Estatal, SICE,
el Catálogo Único de Bienes y
Servicios, CUBS, y el Registro
Único de Precios de Referencia,
RUPR, de los bienes y servicios
de
uso
común
en
la
Administración Pública y se
dictan otras disposiciones”.
Decreto 1524 de 2000.
http://www.alcaldiabogota.gov
.co/sisjur/consulta_tematica.js
p
Congreso de la
República de
Colombia.
A partir de su
promulgación,
julio 18 de 2000.
Congreso de la
República de
Colombia.
A partir de su
publicación, en
el diario oficial,
julio 30 de 2002.
Presidencia de
la República
de Colombia.
A partir de su
promulgación,
diciembre 5 de
2003.
Presidencia de
la República
de Colombia.
(ú.a. 24/09/08).
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=6252
(ú.a. 24/09/08).
http://www.dafp.gov.co/leyes/
D1524002.HTM
Establece
un
régimen
de
responsabilidades
para
los
proveedores de servicio de
internet
y
prestadores
de
servicio
de
hospedaje
de
contenido en un servidor para
un sitio Web en relación con el
objeto de la norma, a saber:
Un año después
de su
promulgación,
julio 24 de 2001.
(ú.a. 24/09/08).
“ARTÍCULO 1o. OBJETO. El presente
decreto tiene por objeto reglamentar
el artículo 5o. de la Ley 679 de
2001, con el fin de establecer las
medidas técnicas y administrativas
destinadas a prevenir el acceso de
menores de edad a cualquier
modalidad
de
información
pornográfica contenida en Internet o
en las distintas clases de redes
informáticas a las cuales se tenga
acceso mediante redes globales de
información.
“Así mismo a propender para que
estos medios no sean aprovechados
con fines de explotación sexual
infantil u ofrecimiento de servicios
comerciales que impliquen abuso
sexual con menores de edad”.
Decreto 3512 de 2003.
“Por el cual se reglamenta la
organización, funcionamiento y
operación
del
Sistema
de
información para la Vigilancia de
la Contratación Estatal, SICE,
creado mediante la Ley 598 de
2000,
y
se
dictan
otras
disposiciones”.
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=10935
(ú.a. 24/09/08).
Página 50 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Decreto 2178 de 2006
Por medio del cual se crea el
Sistema Electrónico para la
Contratación Directa.
Ley 1065 de 2006.
Señala que la administración de
registros,
así
como
la
planeación, regulación y control,
del nombre de dominio .co
estará a cargo del Estado, por
medio
del
Ministerio
de
Comunicaciones, quien podrá
delegarlo, mediante convenio, a
un particular hasta por 10 años
con posibilidad de prórroga,
involucrando un término igual,
por una sola vez, toda vez que
se trata de un recurso del sector
de las telecomunicaciones, de
interés público.
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=20808
A partir de su
promulgación,
junio 30 de
2006.
Presidencia de
la República
de Colombia.
(ú.a. 24/09/08).
http://www.secretariasenado.
gov.co/leyes/L1065006.HTM
A partir de su
promulgación,
julio 29 de 2006.
Congreso de la
República de
Colombia.
(ú.a. 24/09/08).
Congreso de la
República.
Ley 1150 de 2007.
El artículo tercero de la citada
norma, introduce el tema de la
contratación pública electrónica.
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=25678
Enero 16 de
2008.
(ú.a. 24/09/08).
Resolución 999 de 2007.
Crea un Comité de Apoyo para la
implementación
de
la
administración del dominio.co
por
el
Ministerio
de
Comunicaciones.
http://www.mincomunicacione
s.gov.co/mincom/src/user_doc
s/Archivos/normatividad/2007
/Resolucion/R999de2007.pdf
28 de marzo de
2007.
Ministerio de
Comunicacione
s.
(ú.a. 24/09/08).
Presidencia de
la República.
Decreto 1929 de 2007.
Por el cual se reglamenta la
utilización
de
la
factura
electrónica y los documentos
equivalentes a la factura de
venta.
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=25311
A partir de su
promulgación,
mayo 29 de
2007.
(ú.a. 24/09/08).
Resolución 1732 de 2007.
Se expide el Régimen
Protección de los Derechos
los Suscriptores y/o Usuarios
los
Servicios
de
de
de
de
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=26684
Página 51 de 197
A partir de su
promulgación,
septiembre 19
de 2007.
Comisión de
Regulación de
Telecomunicac
iones.
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Telecomunicaciones.
(ú.a. 24/09/08).
Presidencia de
la República.
Decreto 4510 de 2007.
Por
el
cual
se
modifica
parcialmente el Decreto 1929 de
2007, factura electrónica.
Dicho decreto coexiste con la
Ley 1231 de 2008, en la medida
en que tratan temas distintos
pero
complementarios.
El
decreto permite que los antiguos
contribuyentes
asuman
su
facturación por el medio que
venían empleando, mientras que
la
ley
consagra
el
pleno
reconocimiento de la factura
electrónica como un título valor.
Resolución 1764 de 2007.
Por
la
cual
se
modifica
parcialmente la resolución CRT1732 de 2007, en materia de
protección
de
derechos
de
suscriptores y/o usuarios de los
servicios de Telecomunicaciones.
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=27589
A partir de su
promulgación,
noviembre 23 de
2007.
(ú.a. 24/09/08).
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=27909&iu=0#1
A partir de su
promulgación,
diciembre 07 de
2007.
Comisión de
Regulación de
Telecomunicac
iones.
(ú.a. 24/09/08).
Decreto 2474 de 2008.
El
artículo
8
del
Decreto
reglamenta
el
Sistema
Electrónico para la Contratación
Pública –SECOP-.
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=31185#0
A partir de su
promulgación,
julio 07 de 2008.
Presidencia de
la República
de Colombia.
(ú.a. 24/09/08).
Ley 1221 de 2008.
http://www.secretariasenado.
gov.co/leyes/L1221008.HTM
Norma
de
promoción
y
regulación
al
teletrabajo,
tendiente al reconocimiento de
sus
bondades
y
aplicación
integral de sus prerrogativas, en
consonancia con el derecho
sustancial preexistente.
A partir de su
promulgación,
julio 16 de 2008.
Congreso de la
República de
Colombia.
A partir de su
promulgación,
Septiembre 03
de 2008.
Ministerio de
Comunicacione
s de la
República de
Colombia.
(ú.a. 24/09/08).
Es importante indicar que el
Gobierno Nacional cuenta con un
plazo de 6 meses a partir de la
promulgación de la referida ley,
para su reglamentación.
Resolución 1652 de 2008
Regula la administración del
ccTLD .co y se establece la
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=32350
(ú.a. 24/09/08).
Página 52 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
política
de
nombres de
ccTLD .co
delegación
de
dominio bajo el
Ley 1231 de 2008.
http://www.secretariasenado.
gov.co/leyes/L1231008.HTM
Régimen
de
la
factura
electrónica como título valor,
unificando
los
postulados
existentes
en
el
contexto
tributario y comercial tendientes
a su funcionalidad eficaz y
adecuado
mecanismo
de
financiación
para
la
micro,
pequeña, y mediana empresa.
(ú.a. 24/09/08).
Tres meses
posteriores a su
promulgación
(Octubre 17 de
2008).
Congreso de la
República de
Colombia.
El
Gobierno
Nacional
debe
reglamentar
la
puesta
en
circulación
de
la
factura
electrónica como título valor.
4.2.1.1.3. Compromisos Internacionales de Colombia en Materia de Gobierno en Línea
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=17079#0
A partir de la
publicación de la
Ley aprobatoria
970 de 2005, en
el diario oficial,
julio 15 de 2005.
Fuente
“Artículo 10
Convención de las Naciones Unidas
contra la Corrupción, aprobada
mediante Ley 970 de 2005.
“Información pública
“Habida cuenta de la necesidad de
combatir la corrupción, cada Estado
Parte, de conformidad con los
principios fundamentales de su
derecho
interno,
adoptará
las
medidas que sean necesarias para
aumentar la transparencia en su
administración pública, incluso en lo
relativo
a
su
organización,
funcionamiento
y
procesos
de
adopción de decisiones, cuando
proceda. Esas medidas podrán
incluir, entre otras cosas:
(ú.a. 24/09/08).
“a)
La
instauración
de
procedimientos o reglamentaciones
que permitan al público en general
obtener,
cuando
proceda,
información sobre la organización, el
funcionamiento y los procesos de
adopción de decisiones de su
administración pública y, con el
debido respeto a la protección de la
intimidad y de los datos personales,
sobre las decisiones y actos jurídicos
que incumban al público;
“b)
La
simplificación
de
los
procedimientos
administrativos,
cuando proceda, a fin de facilitar el
acceso del público a las autoridades
encargadas de la adopción de
decisiones, y
“c) La publicación de información, lo
que podrá incluir informes periódicos
Página 53 de 197
Asamblea
General de la
Organización
de las
Naciones
Unidas.
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
Fuente
Vigencia y
Aplicación
Fuente
sobre los riesgos de corrupción en
su administración pública”.
4.2.1.1.4. Legislación interna en Materia de Gobierno en Línea
Nombre Documento
Decreto 1900 de 1990
Resumen
Enlace documento
Tiene como objeto el ordenamiento
general de las telecomunicaciones y
de las potestades del Estado en
relación
con
su
planeación,
regulación y control, así como el
régimen de derechos y deberes de
los operadores y de los usuarios.
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=2581
Rige a partir de
su
promulgación,
agosto 19 de
1990.
Presidencia de
la República
de Colombia.
Febrero 9 de 2000.
Departamento
Nacional de
Planeación y
Ministerio de
Comunicacione
s de Colombia.
Un año después
de su
promulgación,
julio 24 de 2000.
Congreso de la
República de
Colombia.
(ú.a. 24/09/08).
Documento CONPES 3072.
Ley 599 de 2000, y sus posteriores
modificaciones, Código Penal
Colombiano
El Ministerio de Comunicaciones y el
Departamento
Nacional
de
Planeación ponen a consideración
del Comité Nacional de Política
Económica y Social el programa
“Agenda de Conectividad” con la
finalidad de promover las bondades
de las tecnologías de la información
(Y actualmente se adhieren las de
comunicación) en el sector público,
así la competitividad del sector
productivo, postulados concebidos
en consonancia con el Plan Nacional
de Desarrollo 1998 – 2002 “Cambio
para Construir la Paz”.
http://www.agenda.gov.co/do
cuments/files/CONPES%20307
2.pdf
Es
importante
garantizar
la
veracidad
y suficiencia
de
la
información
contenida
en
las
respectivas páginas Web, so pena de
llegar a afectar bienes jurídicos
tutelados tales como el Orden
Económico-Social.
http://www.secretariasenado.
gov.co/leyes/L0599000.HTM
(ú.a. 24/09/08).
(ú.a. 24/09/08).
En ese orden de ideas, el código
penal colombiano consagra el delito
de pánico económico, a saber:
“Artículo 302. Pánico económico. El
que divulgue al público o reproduzca
en un medio o en un sistema de
comunicación público información
falsa o inexacta que pueda afectar la
confianza de los clientes, usuarios,
inversionistas o accionistas de una
institución vigilada o controlada por
Página 54 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
Fuente
http://www.secretariasenado.
gov.co/leyes/L0588000.HTM
Rige a partir de
su
promulgación,
julio 06 de 2000
Congreso de la
República de
Colombia.
Rige a partir de
su
promulgación,
febrero 15 de
2002
Alcaldía Mayor
de Bogotá
D.C.
Abril 09 de 2003
Congreso de la
República de
Colombia.
Rige a partir de
la fecha de su
promulgación,
Congreso de la
República de
la Superintendencia Bancaria o por
la Superintendencia de Valores o en
un Fondo de Valores, o cualquier
otro esquema de inversión colectiva
legalmente constituido incurrirá, por
ese solo hecho, en prisión de dos (2)
a ocho (8) años y multa de
cincuenta (50) a quinientos (500)
salarios mínimos legales mensuales
vigentes.
“En las mismas penas incurrirá el
que utilice iguales medios con el fin
de provocar o estimular el retiro del
país de capitales nacionales o
extranjeros o la desvinculación
colectiva de personal que labore en
empresa industrial, agropecuaria o
de servicios.
“La pena se aumentará hasta en la
mitad, si como consecuencia de las
conductas anteriores se produjere
alguno de los resultados previstos”.
Ley 588 de 2000.
Notarias
y
Consulados
pueden
convertirse
en
entidades
de
certificación, a la vez que utilizar
todos los medios magnéticos o
electrónicos que requieran para el
archivo de la información.
(ú.a. 24/09/08).
Decreto Distrital 055 de 2002
El Sistema de Declaración y Pago de
Impuestos Distritales a través de
medios electrónicos.
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=4604
(ú.a. 24/09/08).
Permite la realización de actos
procesales por medios electrónicos
Ley 794 de 2003
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=6922
(ú.a. 24/09/08).
Acto Legislativo 01 de 2003
El artículo 11 del mencionado Acto
Legislativo modificó el artículo 258
de la Constitución Política, previendo
que se pueda hacer uso de medios
electrónicos e informáticos para el
ejercicio del derecho al sufragio.
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
Página 55 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
?i=8620#0
Vigencia y
Aplicación
Fuente
julio 03 de 2003.
Colombia.
Rige a partir de
su
promulgación,
enero 13 de
2004
Presidencia de
la República
de Colombia.
A partir de su
publicación, en
el diario oficial,
enero 2 de
2004.
Congreso de la
República de
Colombia.
Rige a partir de
su
promulgación,
julio 07 de 2004.
Congreso de la
República de
Colombia.
Rige a partir de
su
promulgación,
septiembre 23
de 2004.
Congreso de la
República.
(ú.a. 24/09/08).
Decreto 3816 de 2003
Crea la Comisión Intersectorial de
Políticas y de Gestión de la
Información para la Administración
Pública.
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=11233
(ú.a. 24/09/08).
Ley 872 de 2003.
“Por la cual se crea el sistema de
gestión de la calidad en la Rama
Ejecutiva del Poder Público y en
otras entidades prestadoras de
servicios”.
http://www.secretariasenado.
gov.co/leyes/L0872003.HTM
(ú.a. 24/09/08).
Ley 892 de 2004
Por medio del cual se establecen
mecanismos electrónicos de votación
e inscripción candidatos
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=14145
(ú.a. 24/09/08).
Ley 909 de 2004
“Artículo
33. Mecanismos
de
publicidad. La publicidad de las
convocatorias será efectuada por
cada entidad a través de los medios
que garanticen su conocimiento y
permitan la libre concurrencia, de
acuerdo con lo establecido en el
reglamento.
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=14861
“La página web de cada entidad
pública,
del
Departamento
Administrativo de la Función Pública
y de las entidades contratadas para
la realización de los concursos,
complementadas con el correo
electrónico y la firma digital, será el
medio preferente de publicación de
todos los actos, decisiones y
actuaciones relacionadas con los
concursos,
de
recepción
de
inscripciones,
recursos,
Página 56 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
Fuente
http://www.ramajudicial.gov.c
o/csj_portal/assets/DECRETO
%204110%20DE%202004.pdf
A partir de la
fecha de
publicación, en
el diario oficial,
diciembre 13 de
2004.
Presidencia de
la República
de Colombia.
A partir de la
fecha de
publicación, en
el diario oficial,
mayo 23 de
2005.
Presidencia de
la República
de Colombia.
Rige a partir de
su
promulgación,
julio 08 de 2005.
Congreso de la
República de
Colombia.
http://www.ram
ajudicial.gov.co/
csj_portal/jsp/fr
ames/index.jsp?i
dsitio=6&idsecci
Consejo
Superior de la
Judicatura
reclamaciones y consultas.
“La Comisión Nacional del Servicio
Civil publicará en su página web la
información
referente
a
las
convocatorias, lista de elegibles y
Registro Público de Carrera”.
Decreto Reglamentario 4110 de
2004.
“Por el cual se reglamenta la Ley
872 de 2003 y se adopta la Norma
Técnica de Calidad en la Gestión
Pública”.
(ú.a. 24/09/08).
Decreto 1599 de 2005.
“Por el cual se adopta el Modelo
Estándar de Control Interno para el
Estado Colombiano (MECI)
http://www.anticorrupcion.gov
.co/marco/normas_ci_publico/
D.1599de2005.pdf
“Artículo 1º. Adóptase el Modelo
Estándar de Control Interno para el
Estado
Colombiano
MECI
1000:2005, el cual determina las
generalidades
y
la
estructura
necesaria
para
establecer,
documentar,
implementar
y
mantener un Sistema de Control
Interno en las entidades y agentes
obligados conforme al artículo 5º de
la Ley 87 de 1993.
(ú.a. 24/09/08).
2 El Modelo Estándar de Control
Interno para el Estado Colombiano
MECI 1000:2005 es parte integrante
del presente decreto”.
Ley 962 de 2005
Por medio de la cual se incorpora la
utilización de medios tecnológicos en
el
funcionamiento
de
la
administración pública, dentro del
esquema de la racionalización de
trámites, mediante la incorporación
del Sistema Único de Información de
Trámites –SUIT-.
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=17004
(ú.a. 24/09/08).
ACUERDO No. PSAA06-3334 DE
2006
Reglamentan
la
utilización
de
medios electrónicos e informáticos
en el cumplimiento de las funciones
de administración de justicia
Marzo 02 de 2006
Página 57 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
Fuente
on=167
(ú. a. 30/09/08)
Decreto 2870 de 2007
El presente decreto tiene por objeto
establecer un marco reglamentario
que permita la convergencia en los
servicios
públicos
de
telecomunicaciones y en las redes
de telecomunicaciones del Estado,
asegurando el acceso y uso de las
redes y servicios a todos los
habitantes del territorio, así como
promover la competencia entre los
diferentes operadores, a través de
títulos habilitantes convergentes.
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=26378
A partir de su
promulgación,
Julio 31 de 2007
Presidencia de
la República
de Colombia.
Rige a partir de
su
promulgación,
diciembre 28 de
2007.
Alcaldía Mayor
de Bogotá
D.C.
A partir de su
promulgación,
abril 18 de
2008.
Presidencia de
la República
(ú.a. 24/09/08).
Sin embargo, el régimen de servicios
de telecomunicaciones exceptuados
al interior del mismo menoscaba la
teleología de la convergencia.
Decreto Distrital 619 de 2007
Establece la estrategia de gobierno
electrónico de los organismos y
entidades de Bogotá D.C.
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=28134#0
(ú.a. 24/09/08).
Decreto 1151 de 2008
“Por el cual se establecen los
lineamientos
generales
de
la
Estrategia de Gobierno en Línea de
la República de Colombia, se
reglamenta parcialmente la Ley 962
de 2005, y se dictan otras
disposiciones”.
http://www.superservicios.gov
.co/basedoc/decreto_nacional.
shtml?x=68236
(ú.a. 24/09/08).
Página 58 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.2.1.1.5. Compromisos Internacionales en Materia de Seguridad Informática
Nombre Documento
Resumen
Enlace documento
Constitución de la Unión
Internacional de
Telecomunicaciones, suscrita en
Ginebra, a 22 de diciembre de 1992.
Particularmente el artículo 37,
numeral 1), aprobada mediante Ley
252 de 1995.
Art. 37, num. 2. Compromiso de los
Estados miembro en lo atinente al
SECRETO DE LAS
TELECOMUNICACIONES, adoptando
las “medidas que permita el sistema
de comunicación empleado para
garantizar el secreto de la
correspondencia internacional”.
http://www.superservicios.gov
.co/basedoc/leyes.shtml?x=54
979
Vigencia y
Aplicación
Fuente
A partir de
diciembre 19 de
1995.
Unión
Internacional
de
Telecomunicac
iones
A partir de julio
19 de 2006.
Comunidad
Andina de
Naciones.
A partir de su
aprobación en la
cuarta sesión
plenaria, junio 8
de 2008.
Organización
de los Estados
Americanos
(OEA),
Comisión
Interamerican
a de
Telecomunicac
iones.
(ú.a. 24/09/08).
Decisión Comunitaria Andina 638
sobre “Lineamientos para la
protección del usuario de
telecomunicaciones de la comunidad
andina”. (Particularmente el artículo
4, numeral 9).
AG/ RES. 2004 XXXXIV-O 04.
Parámetros de protección al
consumidor de las
telecomunicaciones que deberán
adoptar los Estados Miembros en sus
ordenamientos internos.
Particularmente, se debe hacer
hincapié en las obligaciones de los
operadores y proveedores de
servicios de telecomunicaciones en
lo relativo a seguridad telemática.
1.
Adoptar el
proyecto de Estrategia
Interamericana Integral de
Seguridad Cibernética que se
adjunta como anexo.
2.
Instar a los
Estados Miembros a implementar
dicha Estrategia.
3.
Instar a los
Estados Miembros a establecer o
identificar grupos nacionales de
“vigilancia y alerta”, también
conocidos como “Equipos de
Respuesta a Incidentes de
Seguridad en Computadoras”
(CSIRT).
4.
Dar renovado
énfasis a la importancia de lograr
sistemas seguros de información de
Internet en todo el Hemisferio.
5.
Solicitar al
Consejo Permanente que, por medio
de la Comisión de Seguridad
Hemisférica, siga abordando esta
cuestión y continúe facilitando las
medidas de coordinación para
implementar dicha Estrategia, en
particular los esfuerzos de los
expertos gubernamentales, el
Comité Interamericano contra el
Terrorismo (CICTE), la Comisión
Interamericana de
Telecomunicaciones (CITEL) y el
Grupo de Expertos en Materia de
Delito Cibernético de la Reunión de
http://www.comunidadandina.
org/normativa/dec/d638.htm
(ú.a. 24/09/08).
http://www.cicte.oas.org/Rev/
en/Documents/OAS_GA/AGRES.%202004%20(XXXIV-O04)_SP.pdf
(ú.a. 24/09/08).
Página 59 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Ministros de Justicia o de Ministros o
Procuradores Generales de las
Américas (REMJA) y otros órganos
pertinentes de la OEA.
6.
Instar a los
Estados Miembros y a los órganos,
organismos y entidades de la OEA a
que coordinen sus esfuerzos para
incrementar la seguridad
cibernética.
7.
Solicitar a las
Secretarías del CICTE y la CITEL y al
Grupo de Expertos Gubernamentales
en Materia de Delito Cibernético de
la REMJA que asistan a los Estados
Miembros, cuando lo soliciten, en la
implementación de las respectivas
partes de la Estrategia y presenten
un informe conjunto al Consejo
Permanente, por medio de la
Comisión de Seguridad Hemisférica,
sobre el cumplimiento de esta
resolución, antes del trigésimo
quinto período ordinario de sesiones
de la Asamblea General.
8.
Respaldar la
celebración de la segunda Reunión
de Practicantes Gubernamentales en
Materia de Seguridad Cibernética
que convocará el CICTE para el
seguimiento oportuno de las
recomendaciones sobre el
Establecimiento de la Red
Interamericana de Alerta y
Vigilancia, que figuran en el
documento CICTE/REGVAC/doc.2/04
y que forman parte de la Estrategia.
9.
Estipular que
esa Reunión de Practicantes
Gubernamentales en Materia de
Seguridad Cibernética se celebre con
los recursos asignados en el
programa-presupuesto de la
Organización y otros recursos, y
solicitar que la Secretaría General y
la Secretaría del CICTE proporcionen
el apoyo administrativo y técnico
necesario para esta reunión.
10.
Instar a los
Estados Miembros a implementar,
según corresponda, las
recomendaciones de la Reunión
Inicial del Grupo de Expertos
Gubernamentales en Materia de
Delito Cibernético de la REMJA
(REMJA-V/doc.5/04) y las
recomendaciones relativas a
seguridad cibernética de la Quinta
Reunión de la REMJA (REMJAV/doc.7/04 rev. 4) como medio de
crear un marco para promulgar
leyes que protejan los sistemas de
información, impidan el uso de
computadoras para facilitar
actividades ilícitas y sancionen el
delito cibernético.
11.
Solicitar al
Consejo Permanente que informe a
la Asamblea General en su trigésimo
quinto período ordinario de sesiones
sobre la implementación de esta
resolución”.
Página 60 de 197
Vigencia y
Aplicación
Fuente
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.2.1.2. Relación documentada de avances de Colombia en materia de protección de información del
individuo y Habeas Data
4.2.1.2.1. Legislación interna en Materia de Protección de Información del Individuo y Habeas Data
Nombre Documento
Ley 23 de 1981
Resumen
Enlace documento
Cataloga la historia clínica como un
documento privado, sometido a
reserva, que únicamente puede ser
conocido
por
terceros
previa
autorización del paciente o en los
casos previstos por la Ley
http://www.mined
ucacion.gov.co/16
21/articles103905_archivo_p
df.pdf
Vigencia y Aplicación
Fuente
Rige a partir de su
promulgación, febrero de
1981
Congreso de la
República de
Colombia.
A partir de su promulgación,
enero 28 de 1982.
Congreso de la
República de
Colombia.
Rige a partir de marzo 1 de
1984.
Presidencia de
la República
de Colombia.
Rige partir de su
promulgación, noviembre 22
de 1985
Congreso de la
República de
Colombia
(ú.a. 24/09/08).
Ley 23 de 1982
“Sobre derechos de autor
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=3431
(…)
“Artículo 84º.- Las cartas y misivas
son propiedad de la persona a quien
se envían, pareo no para el efecto
de su publicación. Este derecho
pertenece
al
autor
de
la
correspondencia, salvo en el caso de
que una carta deba obrar como
prueba de un negocio judicial o
administrativo y que su publicación
sea autorizada por el funcionario
competente”.
Código Contencioso Administrativo
Reglamenta el ejercicio del derecho
de petición, Artículo 5, 17 y 19.
(ú.a. 24/09/08).
http://www.dafp.g
ov.co/leyes/C_CO
NADM.HTM
(ú.a. 24/09/08).
Ley 96 de 1985.
Tienen
carácter
reservado
las
informaciones que reposen en los
archivos
de
la
Registraduría,
referentes a la identidad de las
personas, cómo son sus datos
biográficos, su filiación y su fórmula
dactiloscópica. De la información
reservada sólo podrá hacerse uso
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=14506
Página 61 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
por orden de autoridad competente.
Con fines investigativos, los jueces y
los funcionarios de policía y de
seguridad tendrán acceso a los
archivos
de
la
Registraduría.
Cualquier
persona
podrá
inspeccionar en todo tiempo los
censos electorales, pero en ningún
caso se podrá expedir copia de los
mismos.
Ley 30 de 1986.
Determina que los temas tratados
en
el
Consejo
Nacional
de
Estupefacientes
son
reservados.
Adicionalmente, que
sus
actas
tendrán el mismo carácter y, por
tanto, solo podrán ser conocidas por
el Señor Presidente de la República
y por los miembros del Consejo.
Vigencia y Aplicación
Fuente
(ú.a. 28/09/08).
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=2774
Rige a partir de su
promulgación, enero 31 de
1986.
Congreso de la
República de
Colombia
Rige a partir de su
promulgación, marzo 30 de
1989.
Congreso de la
República
A partir de su promulgación,
diciembre 13 de 1990.
Congreso de la
República de
Colombia.
(ú.a. 28/09/08).
Estatuto Tributario, Decreto 624 de
1989.
El
artículo
583
del
Estatuto
determina
que
la
información
tributaria respecto de las bases
gravables y la determinación privada
de los impuestos que figuren en las
declaraciones tributarias, tendrá el
carácter de información reservada;
por consiguiente, los funcionarios de
la Dirección General de Impuestos
Nacionales sólo podrán utilizarla
para
el
control,
recaudo,
determinación,
discusión
y
administración de los impuestos y
para
efectos
de
informaciones
impersonales de estadística.
http://www.dian.g
ov.co/dian/15servi
cios.nsf/0108fdc36
39d83ff05256f0b0
06abb3d/7ae1155
d8f61bdeb05256f0
d005e587c?OpenD
ocument
(ú.a. 28/09/08).
El artículo 579 prevé lo concerniente
a la presentación de declaraciones
tributarias electrónicas.
Ley 43 de 1990.
“Por la cual se adiciona la ley 145 de
1960, reglamentaria de la profesión
de contador público y se dictan otras
disposiciones.
“Título Quinto
“El
Secreto
Confidencialidad
Profesional
http://www.mined
ucacion.gov.co/16
21/articles104546_archivo_p
df.pdf
o
“ARTICULO 63. El Contador Público
está obligado a guardar la reserva
profesional en todo aquello que
conozca en razón del ejercicio de su
profesión, salvo en los casos en que
dicha reserva sea levantada por
disposiciones legales.
(ú.a. 24/09/08).
“ARTICULO 64. Las evidencias del
Página 62 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y Aplicación
Fuente
trabajo de un Contador Público, son
documentos privados sometidos a
reservas que únicamente pueden ser
conocidas
por
terceros,
previa
autorización del cliente y del mismo
Contador Público, o en los casos
previstos por la ley.
“ARTICULO 65. El Contador Público
deberá
tomar
las
medidas
apropiadas para que tanto el
personal a su servicio como las
personas de las que obtenga consejo
y asistencia, respeten fielmente los
principios de independencia y de
confidencialidad.
“ARTICULO 66. El Contador Público
que se desempeñe como catedrático
podrá
dar
casos
reales
de
determinados asuntos pero sin
identificar de quien se trata.
“ARTICULO 67. El Contador Público
esta obligado, a mantener la reserva
comercial de libros, papeles o
informaciones de personas a cuyo
servicio hubiere trabajado o de los
que hubiere tenido conocimiento por
razón del ejercicio del cargo o
funciones públicas, salvo en los
casos
contemplados
por
disposiciones legales.
“PARAGRAFO.
Las
revelaciones
incluidas en los Estados Financieros
y en los dictámenes de los
Contadores
Públicos
sobre
los
mismos, no constituyen violación de
la reserva comercial, bancaria o
profesional”.
Ley 52 de 1990.
Considera las deliberaciones y actos
del Consejo Nacional de Seguridad
como reservados y sus actas
secretas.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=3428
Rige a partir de su
promulgación, diciembre 28
de 1990.
Congreso de la
República de
Colombia.
Rige a partir de la fecha de
su promulgación, 04 de julio
de 1991.
Asamblea
Nacional
Constituyente
(ú.a. 28/09/08).
Constitución Política de Colombia
Establece el derecho fundamental a
la intimidad personal, familiar y al
buen nombre, radicando en cabeza
del
Estado
la
obligación
de
respetarlos y hacerlos respetar.
“Artículo 15. Todas las personas
tienen derecho a su intimidad
personal y familiar y a su buen
nombre,
y
el
Estado
debe
respetarlos y hacerlos respetar. De
igual modo, tienen derecho a
conocer, actualizar y rectificar las
informaciones
que
se
hayan
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=4125
(ú.a. 24/09/08).
Página 63 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y Aplicación
Fuente
recogido sobre ellas en bancos de
datos y en archivos de entidades
públicas y privadas.
“En la recolección, tratamiento y
circulación de datos se respetarán la
libertad
y
demás
garantías
consagradas en la Constitución.
“La correspondencia y demás formas
de
comunicación
privada
son
inviolables.
Sólo
pueden
ser
interceptadas
o
registradas
mediante orden judicial, en los casos
y
con
las
formalidades
que
establezca la ley
“(…)”.
Igualmente, analiza el derecho
fundamental
a
la
información,
aspecto que debe ser interpretado
tendiente al logro de un equilibrio
con el artículo 15, a saber:
“ARTICULO 20. Se garantiza a toda
persona la libertad de expresar y
difundir su pensamiento y opiniones,
la de informar y recibir información
veraz e imparcial, y la de fundar
medios masivos de comunicación.
“Estos
son
responsabilidad
el derecho a
condiciones de
censura”.
libres
y
tienen
social. Se garantiza
la rectificación en
equidad. No habrá
Por otra parte, el artículo 23
reconoce como derecho fundamental
el
de
presentar
peticiones
respetuosas a la administración.
Decreto 2110 de 1992.
“Artículo 74. Todas las personas
tienen derecho a acceder a los
documentos públicos salvo los casos
que establezca la ley”.
“Por el cual se reestructura el
Departamento
Administrativo
de
Seguridad (DAS).
(…)
“ARTICULO 81. INFORMACIONES.El Departamento Administrativo de
Seguridad por intermedio de la
Dirección General de Inteligencia
podrá solicitar a los funcionarios
superiores y subalternos de la
administración pública nacional y de
las
administraciones
regionales,
departamentales,
distritales,
metropolitanas y municipales las
informaciones que, en razón de sus
http://juriscol.ban
rep.gov.co:8080/C
ICPROD/BASIS/inf
juric/normas/norm
as/DDW?W%3DLL
AVE_NORMAS%3D
'DECRETO+2110+
1992+DEPARTAME
NTO+ADMINISTRA
TIVO+DE+SEGURI
DADDAS'%26M%3D1
%26K%3DDECRET
O+2110+1992+D
EPARTAMENTO+A
DMINISTRATIVO+
DE+SEGURIDAD-
Página 64 de 197
A partir de la fecha de su
publicación, en el diario
oficial, abril 7 de 1993.
Presidencia de
la República
de Colombia.
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
funciones oficiales hayan recibido,
relativas a hechos, circunstancias,
actuaciones,
personas
y
organizaciones
que
puedan
menoscabar la seguridad interior o
exterior del
país, el régimen
constitucional o la seguridad pública
o
puedan
ser
causa
de
perturbaciones del orden público,
social o económico de la Nación, y
ellos
deberán
atender
tales
solicitudes.
DAS%26R%3DY%
26U%3D1
Vigencia y Aplicación
Fuente
A partir de su promulgación,
octubre 20 de 1993.
Congreso de la
República de
Colombia.
(ú.a. 24/08/08).
(…)
“ARTICULO
85.
SECRETO
O
RESERVA.- Por la naturaleza de las
funciones
que
cumple
el
Departamento
Administrativo
de
Seguridad,
los
documentos,
mensajes, grabaciones, fotografías y
material clasificado de la Dirección
General de Inteligencia, de las
Divisiones que de ella dependen, de
las Unidades Regionales y Grupos de
Inteligencia, tiene carácter secreto o
reservado. Igual carácter tienen las
informaciones originadas en las
dependencias de la Institución y el
material correspondiente, cuando se
relacionen
con
asuntos
de
competencia de las Unidades de
Inteligencia. En consecuencia, no se
podrán
compulsar
copias
ni
duplicados, ni suministrar datos
relacionados con ellos salvo si
precede autorización expresa del
Director del Departamento.
“El empleado que indebidamente los
dé a conocer incurrirá en causal de
mala
conducta
que
implica
destitución del cargo, sin perjuicio
de la sanción penal a que hubiere
lugar según lo dispuesto por el
artículo 154 del Código Penal”.
Ley 79 de 1993.
“Por la cual se regula la realización
de los Censos de Población y
Vivienda en todo el territorio
nacional.
“ARTÍCULO
5o.
Las
personas
naturales o jurídicas, de cualquier
orden o naturaleza, domiciliadas o
residentes en el territorio nacional,
están obligadas a suministrar al
Departamento
Administrativo
Nacional de Estadística DANE, los
datos solicitados en el desarrollo de
Censos y Encuestas.
http://www.secret
ariasenado.gov.co
/leyes/L0079_93.
HTM
(ú.a. 24/09/08).
“Los
datos
suministrados
al
Departamento
Administrativo
Nacional de Estadística DANE, en el
desarrollo de los censos y encuestas,
Página 65 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y Aplicación
Fuente
no podrán darse a conocer al público
ni a las entidades u organismos
oficiales, ni a las autoridades
públicas,
sino
únicamente
en
resúmenes numéricos, que no hagan
posible deducir de ellos información
alguna de carácter individual que
pudiera
utilizarse
para
fines
comerciales, de tributación fiscal, de
investigación judicial o cualquier
otro diferente del propiamente
estadístico”.
Permitiendo
inferir
que
la
información
suministrada
al
Departamento
Administrativo
Nacional de Estadística (DANE) solo
puede ser utilizada para el fin
específico
de
su
obtención
(ADQUIRIENDO
INFORMACIÓN
RELEVANTE,
QUE
OTORGUE
VERDADEROS
INDICADORES,
Y
ACORDE
A
LA
FINALIDAD
PERSEGUIDA), cual es la realización
de
los
respectivos
censos
y
encuestas.
Constitución
de
la
Unión
Internacional
de
Telecomunicaciones,
suscrita
en
Ginebra, a 22 de diciembre de 1992
(Particularmente el artículo 34,
numeral 2), aprobada mediante Ley
252 de 1995.
Art. 34, num. 2. Consagra una
excepción
al
derecho
a
la
inviolabilidad de las comunicaciones:
“Los Miembros, se reservan también
el derecho a interrumpir otras
telecomunicaciones privadas que
puedan parecer peligrosas para la
seguridad del Estado o contrarias a
sus leyes, al orden público o a las
buenas costumbres”.
A partir de diciembre 19 de
1995.
http://www.supers
ervicios.gov.co/ba
sedoc/leyes.shtml
?x=54979
Unión
Internacional
de
Telecomunicac
iones.
(ú.a. 24/09/08).
Decreto 229 de 1995.
“Por el cual se reglamenta el servicio
postal.
(…)
Ley 190 de 1995.
“Artículo 10. Inviolabilidad de la
correspondencia. La correspondencia
del servicio postal y demás formas
de
comunicación
privada
son
inviolables. No se podrá atentar
contra el secreto que pudiera
contener
y
sólo
puede
ser
interceptada y registrada, mediante
orden judicial, en los casos y con las
formalidades que establezcan la
Constitución y la ley, sin perjuicio de
las sanciones penales establecidas
por la violación ilícita de la
correspondencia”.
“Por la cual se dictan normas
tendientes a preservar la moralidad
en la administración pública y se
fijan disposiciones con el fin de
erradicar
la
corrupción
administrativa.
http://www.adpos
tal.gov.co/secs/no
rmatividad/decret
o_229.htm
58.
Todo
Presidencia de
la República
de Colombia.
(ú.a. 24/09/08).
A partir de su promulgación,
junio 6 de 1995.
http://www.dafp.g
ov.co/leyes/L0190
_95.HTM#58
(…)
“ARTÍCULO
A partir de su publicación,
en el diario oficial, febrero 3
de 1995.
ciudadano
Página 66 de 197
Congreso de la
República de
Colombia.
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
tiene derecho a estar informado
periódicamente
acerca
de
las
actividades que desarrollen las
entidades públicas y las privadas
que cumplan funciones públicas o
administren recursos del Estado”.
(ú.a. 24/09/08).
Igualmente,
en
materia
de
intervención de los medios de
comunicación ante la gestión de las
autoridades y funcionarios públicos,
consagra lo siguiente:
“ARTÍCULO 76. Las investigaciones
que
sobre
los actos de
las
autoridades públicas adelanten los
periodistas
y
los
medios
de
comunicación
en
general,
son
manifestación de la función social
que cumple la libertad de expresión
e información y recibirán protección
y apoyo por parte de todos los
servidores públicos, y deberán ser
ejercidas
con
la
mayor
responsabilidad y con el mayor
respeto
por
los
derechos
fundamentales al debido proceso,
honra
y
buen
nombre.
Su
incumplimiento dará lugar a las
acciones correspondientes.
“ARTÍCULO 77. Los periodistas
tendrán
acceso
garantizado
al
conocimiento de los documentos,
actos administrativos y demás
elementos
ilustrativos
de
las
motivaciones de la conducta de las
autoridades
públicas,
sin
restricciones
diferentes
a
las
expresamente consagradas en la
ley.
“ARTÍCULO
78.
En
las
investigaciones penales la reserva
de la instrucción no impedirá a los
funcionarios
competentes
proporcionar a los medios de
comunicación información sobre los
siguientes aspectos:
“Existencia de un proceso penal, el
delito por el cual se investiga a las
personas legalmente vinculadas al
proceso, la entidad a la cual
pertenecen las personas si fuere el
caso y su nombre, siempre y cuando
se
haya
dictado
medida
de
aseguramiento, sin perjuicio de lo
dispuesto en el artículo 372 del
Código de Procedimiento Penal.
“Si la medida de aseguramiento no
se ha hecho efectiva, el funcionario
podrá
no
hacer
pública
la
Página 67 de 197
Vigencia y Aplicación
Fuente
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y Aplicación
Fuente
información”.
Ley 256 de 1996.
A partir de su promulgación,
enero 15 de 1996.
“Ley por la cual se dictas normas
sobre competencia desleal”
Consagra la violación de secretos
como un acto reprochable. A este
respecto, es menester indicar que el
secreto, en su acepción general,
goza
de
las
siguientes
características, a saber:
•
•
•
Voluntad de
detenta para
desconocido a
Adopción de
(Jurídicas
y
necesarias
mantenerlo
estado.
Información
generación
comunidad en
http://www.secret
ariasenado.gov.co
/leyes/L0256_96.
HTM
(ú.a. 24/09/08).
quien lo
mantenerlo
terceros.
la medidas
Técnicas)
para
en
dicho
de
difícil
por
la
general.
En complemento de lo precedente,
el entorno comercial concibe el
secreto empresarial, caracterizado
por:
•
•
•
•
•
Que
la
información
involucre
una
efectiva
ventaja competitiva para
su legítimo poseedor.
Que sea susceptible de
valoración económica.
No se requiere que el
infractor
sea
un
competidor
directo
del
legítimo poseedor.
Susceptible
de
ser
transferido a un tercero,
con deber de reserva. Lo
reprochable no es el
conocimiento del secreto,
sino su acceso por medios
ilegales.
Es
valido
que
los
competidores
intentes
cifrar
el
secreto
empresarial por medios
lícitos.
En consonancia con lo anterior, la
referida norma de competencia
desleal postula:
“ARTÍCULO 16. VIOLACIÓN DE
SECRETOS. Se considera desleal la
divulgación
o
explotación,
sin
autorización de su titular, de
secretos industriales o de cualquiera
otra clase de secretos empresariales
a los que se haya tenido acceso
Página 68 de 197
Congreso de la
República de
Colombia.
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y Aplicación
Fuente
http://juriscol.ban
rep.gov.co:8080/C
ICPROD/BASIS/inf
juric/normas/norm
as/DDW?W%3DLL
AVE_NORMAS%3D
'DECRETO+300+1
997+MINISTERIO
+DE+JUSTICIA+Y
+DEL+DERECHO'
%26M%3D1%26K
%3DDECRETO+30
0+1997+MINISTE
RIO+DE+JUSTICI
A+Y+DEL+DEREC
HO%26R%3DY%2
6U%3D1
Rige a partir de su
promulgación, febrero 13 de
1997.
Presidencia de
la República
de Colombia.
legítimamente pero con deber de
reserva,
o
ilegítimamente,
a
consecuencia de algunas de las
conductas previstas en el inciso
siguiente o en el artículo 18 de esta
ley.
“Tendrá así mismo la consideración
de desleal, la adquisición de secretos
por
medio
de
espionaje
o
procedimientos
análogos,
sin
perjuicio de las sanciones que otras
normas establezcan.
“Las acciones referentes a la
violación de secretos procederán sin
que para ello sea preciso que
concurran los requisitos a que hace
referencia el artículo 2o. de este
ley”.
(“ARTÍCULO
2o.
ÁMBITO
OBJETIVO DE APLICACIÓN. Los
comportamientos previstos en esta
ley tendrán la consideración de actos
de competencia desleal siempre que
realicen en el mercado y con fines
concurrenciales.
“La finalidad concurrencial del acto
se presume cuando éste, por las
circunstancias en que se realiza, se
revela objetivamente idóneo para
mantener
o
incrementar
la
participación en el mercado de quien
lo realiza o de un tercero”.
“ARTÍCULO 18. VIOLACIÓN DE
NORMAS. Se considera desleal la
efectiva realización en el mercado de
una ventaja competitiva adquirida
frente a los competidores mediante
la infracción de una norma jurídica.
“La ventaja ha de ser significativa”.
Decreto 300 de 1997, Aprobatorio
del Acuerdo No. 0017 de 1996 del
Instituto Nacional Penitenciario y
Carcelario (INPEC).
El artículo 26 determina la existencia
de
cierta
información
como
reservada. Y señala que ningún
miembro del Consejo Directivo ni
funcionario del Instituto Nacional
Penitenciario y Carcelario, INPEC,
podrá revelar los planes, programas,
proyectos y actos de carácter
reservado que se encuentren en
estudio o en proceso de adopción y
que
constituyan
información
confidencial salvo que el Consejo
Directivo o el Director General lo
autoricen
conforme
a
las
disposiciones existentes al respecto.
Página 69 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y Aplicación
Fuente
(ú.a. 29/09/08)
Ley 489 de 1998
A partir de su promulgación,
diciembre 29 de 1998.
“Por la cual se dictan normas sobre
la organización y funcionamiento de
las entidades del orden nacional, se
expiden las disposiciones, principios
y reglas generales para el ejercicio
de las atribuciones previstas en los
numerales 15 y 16 del artículo 189
de la Constitución Política y se dictan
otras disposiciones.
http://www.dafp.g
ov.co/leyes/L0489
_98.HTM#119
Congreso de la
República de
Colombia.
(ú.a. 24/09/08).
“ARTICULO 119. PUBLICACION EN
EL DIARIO OFICIAL. A partir de la
vigencia de la presente ley, todos los
siguientes actos deberán publicarse
en el Diario Oficial:
“a) Los actos legislativos y proyectos
de reforma constitucional aprobados
en primera vuelta;
“b) Las leyes y los proyectos de ley
objetados por el Gobierno;
“c) Los decretos con fuerza de ley,
los
decretos
y
resoluciones
ejecutivas expedidas por el Gobierno
Nacional
y
los
demás
actos
administrativos de carácter general,
expedidos por todos los órganos,
dependencias,
entidades
u
organismos del orden nacional de las
distintas Ramas del Poder Público y
de los demás órganos de carácter
nacional que integran la estructura
del Estado.
“PARAGRAFO. Únicamente con la
publicación
que
de
los
actos
administrativos de carácter general
se haga en el Diario Oficial, se
cumple con el requisito de publicidad
para efectos de su vigencia y
oponibilidad”.
Ley 527 de 1999 (Particularmente
los artículos 30, numeral 6, y 32,
literales c y g).
“Artículo 30. Actividades de las
entidades
de
certificación.
Las
entidades
de
certificación
autorizadas por la Superintendencia
de Industria y Comercio para prestar
sus servicios en el país, podrán
realizar, entre otras, las siguientes
actividades:
http://www.secret
ariasenado.gov.co
/leyes/L0527_99.
HTM
(ú.a. 24/09/08).
Página 70 de 197
A partir de su publicación,
en el diario oficial, agosto 21
de 1999.
Congreso de la
República de
Colombia.
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y Aplicación
Fuente
http://www.secret
ariasenado.gov.co
/leyes/L0555000.
HTM
A partir de su publicación,
en el diario oficial, febrero 7
de 2000.
Congreso de la
República de
Colombia.
(…)
“6. Ofrecer los servicios de archivo y
conservación de mensajes de datos.
(…)
“Artículo
32.
Deberes
de
las
entidades
de
certificación.
Las
entidades de certificación tendrán,
entre otros, los siguientes deberes:
(…)
“c)
Garantizar
la
protección,
confidencialidad y debido uso de la
información suministrada por el
suscriptor.
(…)
“g) Suministrarla información que le
requieran
las
entidades
administrativas
competentes
o
judiciales en relación con las firmas
digitales y certificados emitidos y en
general sobre cualquier mensaje de
datos que se encuentre bajo su
custodia y administración”.
Ley 555 de 2000
“Por la cual se regula la prestación
de los Servicios de Comunicación
Personal, PCS y se dictan otras
disposiciones.
(…)
ARTICULO
17.
REGIMEN
PROTECCION AL USUARIO
DE
(ú.a. 24/09/08).
(…)
PARAGRAFO 2o. Los operadores de
todos los servicios móviles de
telecomunicaciones
sólo
podrán
almacenar y registrar datos que,
según las normas o pautas que fije
la Comisión de Regulación de
Telecomunicaciones,
y
de
conformidad con el artículo 15 de la
Constitución,
se
consideren
estrictamente
relevantes
para
evaluar el perfil económico de sus
Página 71 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y Aplicación
Fuente
titulares.
Los datos personales que recojan y
sean objeto de tratamiento deben
ser
pertinentes,
exactos
y
actualizados
de
modo
que
correspondan
verazmente
a
la
situación real de su titular.
<Aparte
subrayado
CONDICIONALMENTE
exequible>
Cualquier
daño
causado
con
violación de esta norma dará lugar a
la indemnización de perjuicios según
las
reglas
civiles
de
la
responsabilidad, sin perjuicio de la
procedencia de la acción de tutela
para
proteger
el
derecho
fundamental a la intimidad personal
(Corte
ConstitucionalAparte
subrayado
declarado
CONDICIONALMENTE
EXEQUIBLE
por la Corte Constitucional mediante
Sentencia C-887-02 de 22 de
octubre
de
2002,
Magistrada
Ponente Dra. Clara Inés Vargas
Hernández, "bajo el entendido que
no excluyen la protección de otros
derechos fundamentales mediante el
ejercicio de la acción de tutela)”.
Ley 594 de 2000
Ley General de Archivos, señala las
políticas
de
retención
de
documentos,
los
conceptos
relacionados con la labor de archivo,
así como el carácter vinculante del
postulado de unidad documental que
debe reflejar todo archivo.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=4275
A partir de su publicación,
en el diario oficial, julio 14
de 2000.
Congreso de la
República de
Colombia.
Rige a partir de su
promulgación, julio 06 de
2000.
Congreso de la
República
A partir de su promulgación,
septiembre 11 de 2000.
Congreso de la
República de
Colombia.
(ú.a. 24/09/08).
Ley 588 de 2000
Notarias
y
Consulados
pueden
convertirse
en
entidades
de
certificación, a la vez que utilizar
todos los medios magnéticos o
electrónicos que requieran para el
archivo de la información.
http://www.secret
ariasenado.gov.co
/leyes/L0588000.
HTM
(ú.a. 24/09/08).
Decreto
1747
de
2000
(Particularmente el artículo 25).
“ARTÍCULO 25. INFORMACIÓN. Las
entidades de certificación estarán
obligadas a respetar las condiciones
de confidencialidad y seguridad, de
acuerdo con las normas vigentes
http://www.minco
mercio.gov.co/eCo
ntent/documentos
/normatividad/dec
retos/decreto_174
7_2000.pdf
(ú.a. 24/09/08).
Página 72 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y Aplicación
Fuente
respectivas.
“Salvo la información contenida en
el certificado, la suministrada por los
suscriptores a las entidades de
certificación se considerará privada y
confidencial”.
Ley 679 de 2001
Estatuto
para
prevenir
y
contrarrestar
la
explotación,
pornografía y turismo sexual en
menores de edad, para lo cual se
crea la Comisión de expertos en
redes globales de información y
telecomunicaciones.
Prevé la posibilidad de que existe un
sistema
de
autorregulación
y
códigos de conducta eficaces en el
manejo y aprovechamiento
de
redes.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=18309
Rige a partir de su
promulgación,
Agosto 04 de 2001.
Congreso de la
República
Rige a partir de su
promulgación, agosto 05 de
2002.
Congreso de la
República de
Colombia.
Rige a partir de su
publicación, diciembre 13 de
2004.
Presidencia de
la República
de Colombia.
(ú.a. 24/09/08).
Establece
un
régimen
de
prohibiciones
y
deberes
para
proveedores
o
servidores,
administradores y usuarios de redes
globales.
Ley 766 de 2002, por medio de la
cual se aprueba la Convención sobre
Asistencia en caso de accidente
nuclear.
“Artículo
6.
Confidencialidad
Declaraciones Públicas.
y
“1. El Estado solicitante y la parte
que
preste
asistencia
deberán
proteger el carácter confidencial de
toda información confidencial que
llegue a conocimiento de cualquiera
de los dos en relación con la
asistencia en caso de accidente
nuclear o emergencia radiológica.
Esa
información
se
usará
exclusivamente con el fin de la
asistencia convenida.
http://www.secret
ariasenado.gov.co
/leyes/L0766002.
HTM
(ú.a. 24/09/08).
“2. La parte que preste la asistencia
hará todo lo posible por coordinar
con el Estado solicitante antes de
facilitar al público información sobre
la asistencia prestada en relación
con
un
accidente
nuclear
o
emergencia radio lógica”.
Decreto
2004.
Reglamentario
4124
de
Reglamenta parcialmente la Ley 594
de 2000 “por medio de la cual se
dicta la Ley General de Archivos y se
dictan otras disposiciones”, así como
disposiciones en materia de archivos
privados.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=15442#0
(ú.a. 24/09/08).
Página 73 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Ley 964 de 2005
Resumen
Enlace documento
Vigencia y Aplicación
Fuente
El artículo séptimo de la ley crea el
Sistema Integral de Información del
Mercado de Valores.
http://web.minjust
icia.gov.co/normas
/2005/l9642005.ht
m
A partir de su promulgación,
julio 08 de 2005.
Congreso de la
República de
Colombia.
Aún no ha entrado en
vigencia.
Congreso de la
República.
(ú.a. 24/09/08).
Proyecto de Ley Estatutaria 221 de
2006 Cámara, 027 de 2006 Senado.
Texto definitivo al proyecto de ley
estatutaria 221 de 2006 cámara,
027 de 2006 senado, por la cual se
dictan las disposiciones generales
del Hábeas Data y se regula el
manejo de la información contenida
en bases de datos personales, en
especial la financiera, crediticia
comercial,
de
servicios
y
la
proveniente de terceros países y se
dictan otras disposiciones.
http://www.habea
sdata.com.co/pdf/
proyectoactual/Te
xtodefinitivo0806-07.pdf
(ú.a. 24/09/08).
Ley 1236 de 2008, por medio de la
cual se modifican algunos artículos
del Código Penal, relativos a delitos
de abuso sexual.
Mediante el artículo 13 de la
presente
ley,
se
dispuso
la
penalización de la conducta consiste
en utilización o facilitación de
medios de comunicación tales como,
el correo tradicional, las redes
globales de información, o cualquier
otro medio de comunicación para
obtener
contacto
sexual
con
menores o para ofrecer servicios
sexuales con estos.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=31612
La norma se encuentra en la
H. Corte Constitucional
surtiendo el trámite de
control previo de
Constitucionalidad en razón
a su jerarquía de ley
Estatutaria.
Rige a partir de su
promulgación, julio 23 de
2008.
Congreso de la
República
(ú.a. 24/09/08).
4.2.1.2.2. Jurisprudencia Colombiana en Materia de Protección de Información del Individuo y Habeas
Data
Nombre Documento
Sentencia T- 414 de 1992
Resumen
Enlace documento
En cuanto al derecho fundamental al
habeas
data
o
a
la
autodeterminación informática, en
diversas
oportunidades
la
jurisprudencia de esta Corporación
se ha referido a la naturaleza
fundamental de este derecho, el cual
comporta un plexo de facultades
tales como la de disponer de la
http://web.minjust
icia.gov.co/jurispr
udencia/CorteCons
titucional/1992/Tu
tela/T-414-92.htm
Página 74 de 197
Vigencia y Aplicación
Junio 16 de 1992
Fuente
Corte
Constitucional
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
información sobre sí mismo, la de
preservar
la
propia
identidad
informática, es decir, permitir,
controlar o rectificar los datos
concernientes a la personalidad del
titular de los mismos y que, como
tales, lo identifican e individualizan
ante los demás
Sentencia T-577 de 1992.
Sentencia T-110 de 1993.
Sentencia SU-082 de 1995
“La creación y utilización de bancos
de datos - entre ellos los financieros
- es constitucional siempre que
exista
una
adecuada
proporcionalidad entre el medio
empleado y sus efectos reales sobre
los derechos fundamentales del
titular del dato, en particular sobre
los derechos a conocer, actualizar y
rectificar la información en ellos
recogida.
Constituye
un
uso
desproporcionado
del
poder
informático y, en consecuencia, un
abuso del respectivo derecho, el
registro, conservación o circulación cualquiera sea la forma en que se
haga - de datos de una persona más
allá
del
término
legalmente
establecido para ejercer las acciones
judiciales con miras al cobro de las
obligaciones, causando con ello
ingentes perjuicios al deudor como
resultado de su exclusión indefinida
del sistema financiero, el cual debe
respetar la efectividad de los
derechos
fundamentales
de
la
persona”.
“La actualización a que se tiene
derecho según la Carta Política
significa,
en
casos
como
el
considerado, que una vez producido
voluntariamente el pago, la entidad,
que disponía del dato pierde su
derecho a utilizarlo y, por tanto,
carece de razón alguna que siga
suministrando la información en
torno a que el individuo es o fue
deudor moroso.
Cabe la tutela contra particulares
para proteger, entre otros, los
derechos consagrados en el artículo
15 de la Constitución y de manera
expresa contempla la viabilidad de la
acción cuando la entidad privada sea
aquélla contra quien se hubiere
hecho la solicitud en ejercicio del
"Habeas data".
Analiza la colisión entre el derecho a
la información y el derecho al buen
nombre, dejando por sentado que
en ningún momento son antagónicos
pues el buen nombre guarda
estrecha relación con los actos de la
persona y lo reprochable es que una
vez cesada la situación fáctica, ésta
continúe en una base de datos.
Vigencia y Aplicación
Fuente
(ú.a. 24/09/08).
A partir de su promulgación,
octubre 28 de 1992.
http://web.minjust
icia.gov.co/jurispr
udencia/CorteCons
titucional/1992/Tu
tela/T-577-92.htm
Corte
Constitucional
de Colombia.
(ú.a. 24/09/08).
A partir de su promulgación,
marzo 18 de 1993.
Corte
Constitucional
de Colombia.
http://web.minjust
icia.gov.co/jurispr
udencia/CorteCons
titucional/1993/Tu
tela/T-110-93.htm
(ú.a. 24/09/08).
A partir de su promulgación,
marzo 1 de 1995.
http://www.adalid
abogados.com/Se
ntenciaNSU08295.
pdf
Igualmente, se analiza el tema de la
caducidad
de
los
datos,
manifestando que es un aspecto que
corresponde
al
legislador.
Sin
embargo,
dada
la
ausencia
Página 75 de 197
Corte
Constitucional
de Colombia.
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
normativa actual, se establece un
término de 2 años contados a partir
de la terminación de la situación, y
tratándose de procesos ejecutivos
será de 5 años (Ó 2 años si se
sufragó
la
obligación
con
el
mandamiento de pago).
Sentencia T-552 de 1997
“El derecho a la intimidad es un
derecho
disponible.
Ciertas
personas, según su criterio, pueden
hacer públicas conductas que otros
optarían por mantener reservadas.
Así mismo, en el desarrollo de la
vida corriente, las personas se ven
impelidas a sacrificar parte de su
intimidad como consecuencia de las
relaciones interpersonales que las
involucran. En otros casos, son
razones de orden social o de interés
general o, incluso, de concurrencia
con otros derechos como el de la
Vigencia y Aplicación
Fuente
(ú.a. 24/09/08).
Octubre 30 de 1997
http://web.minjust
icia.gov.co/jurispr
udencia/CorteCons
titucional/1997/Tu
tela/T-552-97.htm
Página 76 de 197
Corte
Constitucional
de Colombia
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
libertad de información o expresión,
las que imponen sacrificios a la
intimidad personal.
Vigencia y Aplicación
Fuente
(ú. a. 29/08708)
“A pesar de que en determinadas
circunstancias el derecho a la
intimidad no es absoluto, las
personas conservan la facultad de
exigir la veracidad de la información
que hacen pública y del manejo
correcto y honesto de la misma.
Este derecho, el de poder exigir el
adecuado manejo de la información
que el individuo decide exhibir a los
otros, es una derivación directa del
derecho a la intimidad, que se ha
denominado como el derecho a la
"autodeterminación informativa".
Sentencia C-729 de 2000
Sentencia T-729 de 2002
La regulación de aspectos inherentes
al ejercicio mismo de los derechos y
primordialmente la que signifique
consagración
de
límites,
restricciones,
excepciones
y
prohibiciones, en cuya virtud se
afecte el núcleo esencial de los
mismos, únicamente procede, en
términos constitucionales, mediante
el trámite de ley estatutaria.
Establece los principios en materia
de administración de las bases de
datos, a saber:
“Principio de Libertad: Entendido
como aquel postulado que permite la
exclusión, valida, de una base de
datos.
“Principio
de
Finalidad:
La
información contenida en una base
de datos solo puede ser concebida
para un fin específico.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=14517
Corte
Constitucional
de Colombia.
A partir de su promulgación,
septiembre 5 de 2002.
Corte
Constitucional
de Colombia.
(ú.a. 24/09/08).
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=9903
(ú.a. 24/09/08).
“Principio
de
Integridad:
La
información debe ser inalterada en
el proceso comunicativo.
“Principio
de
Necesidad:
información contenida debe
funcional.
Junio 21 de 2000
La
ser
“Clasificación de la Información: La
primera gran tipología, es aquella
dirigida
a
distinguir
entre
la
información
impersonal
y
la
información personal. A su vez, en
esta última es importante diferenciar
igualmente la información personal
contenida en bases de datos
computarizadas
o
no
y
la
información personal contenida en
otros medios, como videos o
fotografías, etc.
“La segunda gran tipología que
necesariamente se superpone con la
Página 77 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
anterior, es la dirigida a clasificar la
información desde un punto de vista
cualitativo
en
función
de
su
publicidad y la posibilidad legal de
obtener acceso a la misma. En este
sentido la Sala encuentra cuatro
grandes tipos: la información pública
o de dominio público, la información
semi-privada, la información privada
y la información reservada o
secreta.
“Así,
la
información
pública,
calificada como tal según los
mandatos de la ley o de la
Constitución, puede ser obtenida y
ofrecida sin reserva alguna y sin
importar
si
la
misma
sea
información general, privada o
personal. Por vía de ejemplo,
pueden
contarse
los
actos
normativos de carácter general, los
documentos públicos en los términos
del artículo 74 de la Constitución, y
las
providencias
judiciales
debidamente
ejecutoriadas;
igualmente serán públicos, los datos
sobre el estado civil de las personas
o sobre la conformación de la
familia. Información que puede
solicitarse por cualquier persona de
manera directa y sin el deber de
satisfacer requisito alguno.
“La información semi-privada, será
aquella que por versar sobre
información personal o impersonal y
no estar comprendida por la regla
general anterior, presenta para su
acceso y conocimiento un grado
mínimo de limitación, de tal forma
que la misma sólo puede ser
obtenida y ofrecida por orden de
autoridad
administrativa
en
el
cumplimiento de sus funciones o en
el marco de los principios de la
administración de datos personales.
Es el caso de los datos relativos a
las relaciones con las entidades de la
seguridad social o de los datos
relativos
al
comportamiento
financiero de las personas.
“La
información
privada,
será
aquella que por versar sobre
información personal o no, y que por
encontrarse en un ámbito privado,
sólo puede ser obtenida y ofrecida
por orden de autoridad judicial en el
cumplimiento de sus funciones. Es el
caso
de
los
libros
de
los
comerciantes, de los documentos
privados, de las historias clínicas o
de la información extraída a partir
de la inspección del domicilio.
“Finalmente,
encontramos
la
información reservada, que por
versar igualmente sobre información
personal
y
sobretodo
por
su
estrecha relación con los derechos
Página 78 de 197
Vigencia y Aplicación
Fuente
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y Aplicación
Fuente
fundamentales del titular - dignidad,
intimidad y libertad- se encuentra
reservada a su órbita exclusiva y no
puede siquiera ser obtenida ni
ofrecida por autoridad judicial en el
cumplimiento de sus funciones.
Cabría
mencionar
aquí
la
información genética, y los llamados
32
"datos sensibles" o relacionados
con la ideología, la inclinación
sexual, los hábitos de la persona,
etc”.
Sentencia
C-692 de 2003
Derecho a la intimidad, alcance, no
es
absoluto,
disponibilidad,
protección
constitucional,
inviolabilidad e interceptación de
comunicación privada, clasificación
de la información
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=21852
Agosto 12 de 2003
Corte
Constitucional
de Colombia
A partir de su promulgación,
octubre 28 de 2005.
Corte
Constitucional
de Colombia.
Mayo 09 de 2007
Corte
Constitucional
de Colombia.
Información publica, definición
(ú.a. 24/09/08).
Sentencia T-1105 de 2005.
Postula que los contratos laborales
deben incluir una cláusula en
materia de condiciones en que se
puede recuperar un archivo de
información,
debido
a
la
obsolescencia del formato y duración
del soporte físico. Es un aspecto que
guarda íntima relación con el
principio de archivo y conservación
presente en el comercio electrónico.
http://www.adalid
abogados.com//Se
ntenciat1105%200
5.pdf
(ú.a. 24/09/08).
Sentencia C-336 de 2007.
La
búsqueda
selectiva
de
información confidencial en bases de
datos puede afectar los derechos
fundamentales a la intimidad y al
habeas data.
No obstante la Corporación ha
reconocido también que el derecho a
la intimidad no es absoluto. En este
sentido, la Corte ha establecido que
el
derecho
fundamental
a
la
intimidad "puede ser objeto de
limitaciones" restrictivas de su
ejercicio "en guarda de un verdadero
interés general que responda a los
presupuestos establecidos por el
artículo 1º de la Constitución", sin
que por ello se entienda que pueda
http://www.alcaldi
abogota.gov.co/sis
jur/consulta_tema
tica.jsp
(ú.a. 24/09/08).
Página 79 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y Aplicación
Fuente
desconocerse su núcleo esencial.
Sentencia
Corte
Suprema
de
Justicia, Sala de Casación Civil,
Expediente 05001-22-03-000-2007
00230-01 de septiembre 4 de 2007.
Establece el carácter de herramienta
de trabajo que ostenta el correo
electrónico
corporativo.
Sin
embargo, aclara que la información
personal no deja de serlo por estar
allí contenida; Razón por la cual
empresario y trabajador deben
tomar las medidas de protección
adecuadas.
A partir de su promulgación,
septiembre 4 de 2007.
http://www.adalid
abogados.com/cor
tesuprema.pdf
Corte
Suprema de
Justicia, sala
de Casación
Civil.
M.P.: Arturo
Solarte
Rodríguez
(ú.a. 24/09/08).
4.2.1.3. Relación documentada de avances de Colombia en materia normativa en seguridad informática
Nombre Documento
Resumen
Enlace documento
Vigencia y Aplicación
Fuente
Ley Estatutaria de la Administración
de Justicia, 270 de 1996
Mediante el artículo 95 de la
mencionada norma, se establece la
posibilidad para que la tecnología se
ponga
al
servicio
de
la
administración de justicia, mediante
su uso adecuado.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=6548
A partir de su promulgación,
marzo 15 de 1996.
Congreso de la
República
“ARTICULO 95. TECNOLOGIA AL
SERVICIO DE LA ADMINISTRACION
DE JUSTICIA El Consejo Superior de
la Judicatura debe propender por la
incorporación de tecnología de
avanzada
al
servicio
de
la
administración de justicia. Esta
acción se enfocará principalmente a
mejorar la práctica de las pruebas,
la
formación,
conservación
y
reproducción de los expedientes, la
comunicación entre los despachos y
a garantizar el funcionamiento
razonable
del
sistema
de
información.
(ú.a. 24/09/08).
“Los
juzgados,
tribunales
y
corporaciones
judiciales
podrán
utilizar cualesquier medios técnicos,
electrónicos,
informáticos
y
telemáticos, para el cumplimiento de
sus funciones.
“Los documentos emitidos por los
citados medios, cualquiera que sea
su soporte, gozarán de la validez y
eficacia de un documento original
siempre que quede garantizada su
autenticidad,
integridad
y
el
cumplimiento de los requisitos
exigidos por las leyes procesales.
Página 80 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y Aplicación
Fuente
“Los procesos que se tramiten con
soporte informático garantizarán la
identificación y el ejercicio de la
función jurisdiccional por el órgano
que
la
ejerce,
así
como
la
confidencialidad,
privacidad,
y
seguridad de los datos de carácter
personal que contengan en los
términos que establezca la ley”.
Ley 527 de 1999
Mediante esta ley se incorporó al
ordenamiento jurídico interno la ley
modelo de UNCITRAL, en materia de
acceso y uso de mensajes de datos,
comercio
electrónico,
firmas
digitales y el establecimiento de
entidades de certificación
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=4276
A partir de la fecha de su
promulgación, agosto 21 de
1999
Congreso de la
República
A partir de su promulgación,
septiembre 14 de 2000
Presidencia de
la República
de Colombia.
A partir de su promulgación,
octubre 26 de 2000
Superintenden
cia de
Industria y
Comercio
A partir de su promulgación,
julio 24 de 2002.
Presidencia de
la República
(ú.a. 24/09/08).
Decreto Nacional 1747 de 2000
Reglamentario de la ley 527 de
1999,
especialmente
en
lo
relacionado
con
entidades
de
certificación, certificados y firmas
digitales
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=4277#1
(ú.a. 24/09/08).
Resolución 26930 de 2000
Establece
estándares
para
la
autorización y funcionamiento de las
entidades de certificación y sus
auditores
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=5793
(ú.a. 24/09/08).
Decreto 1524 de 2002
El presente decreto tiene por objeto
reglamentar el artículo 5° de la Ley
679 de 2001, con el fin de
establecer las medidas técnicas y
administrativas
destinadas
a
prevenir el acceso de menores de
edad a cualquier modalidad de
información pornográfica contenida
en Internet o en las distintas clases
de redes informáticas a las cuales se
tenga
acceso
mediante
redes
globales de información.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=5551
(ú.a. 24/09/08).
Así mismo a propender para que
estos medios no sean aprovechados
con fines de explotación sexual
infantil u ofrecimiento de servicios
Página 81 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y Aplicación
Fuente
comerciales que impliquen abuso
sexual con menores de edad.
Acuerdo Distrital 184 de 2005
Decreto Distrital 317 de 2006.
Plan Maestro de Telecomunicaciones
de Bogotá D.C.
Por medio del cual se dictan normas
sobre el funcionamiento de los
establecimientos que prestan el
servicio de internet en Bogotá, D.C y
se establece en cabeza de los
mencionados establecimientos la
obligación de dotar los equipos de
computo
con
los
dispositivos
tecnológicos requeridos a fin de
proteger la integridad de
los
menores que hacen uso del servicio,
específicamente en cuanto al uso de
material pornográfico nocivo.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=18557
Políticas,
objetivos,
estrategias,
planes, proyectos, metas, entre
otros asuntos, relacionados con las
TIC en Bogotá D.C.
http://www.alcaldi
abogota.gov.co/sis
jur/consulta_tema
tica.jsp
A partir de la fecha de su
promulgación, diciembre 15
de 2005.
Concejo de
Bogotá D.C.
A partir de la fecha de su
promulgación, agosto 18 de
2006.
Alcaldía Mayor
de Bogotá
D.C.
(ú.a. 24/09/08).
(ú.a. 24/09/08).
4.2.1.4. Relación documentada de iniciativas y experiencias nacionales e internacionales en protección de
información del individuo y habeas data
Nombre Documento
Resumen
Enlace documento
Declaración Universal de Derechos
Humanos
Proscribe en el artículo 12 cualquier
tipo de injerencia en la vida
personal,
familiar,
honra
y
reputación de todo ser humano.
Estableciendo
la
obligación
de
proteger tales derechos por medio
de ley
http://daccessdds.
un.org/doc/RESOL
UTION/GEN/NR0/0
46/82/IMG/NR004
682.pdf?OpenElem
ent
Vigencia y Aplicación
Fuente
Diciembre 10 de 1948
Organización
de las
Naciones
Unidas –ONU-
Noviembre 22 de 1969
Organización
de Estados
Americanos
(ú.a. 24/09/08).
Convención
Americana
sobre
Derechos Humanos, Pacto de San
José de Costa Rica
Estable en el artículo 11 el derecho a
la honra y reconocimiento de la
dignidad humana, estableciendo que
nadie
podrá
ser
objeto
de
injerencias arbitrarias en su vida
privada, o en su correspondencia, ni
de ataques ilegales contra su honra
http://www.oas.or
g/Juridico/spanish
/tratados/b32.html
Página 82 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y Aplicación
Fuente
o reputación.
(ú.a. 24/09/08).
Pacto Internacional
Civiles y Políticos
de
Derechos
Establece en
el artículo 18 que
nadié
podrá
ser
objeto
de
injerencias arbitrarias o ilegales en
su vida privada, su familia, su
domicilio o su correspondencia, ni de
ataques ilegales a su honra y
reputación.
http://www.unhch
r.ch/spanish/html/
menu3/b/a_ccpr_s
p.htm
Octubre 26 de 1969
Organización
de las
Naciones
Unidas –ONU-
Abril 25 de 1976
Asamblea
Constituyente
1978.
Asamblea
Constituyente
Diciembre 14 de 1990.
Asamblea
General de la
Organización
de las
Naciones
Unidas
(ú.a. 24/09/08).
Constitución Portuguesa de 1976
En el artículo 35 de la Carta se
reconoce
el
derecho
a
todo
ciudadano de consultar lo que conste
en registros mecanográficos acerca
de
ellos,
pudiendo
exigir
la
actualización
y rectificación
de
datos.
http://www.adalid
abogados.com/por
tuguesa.pdf
(ú.a. 24/09/08).
Constitución Española de 1978
Mediante el artículo 18 de la Carta
se reconoce el derecho al Honor y a
la intimidad personal, y el secreto de
las comunicaciones, estableciendo
en cabeza del legislador la obligación
de limitar el uso de la informática
para
garantizar
el
honor,
la
intimidad personal y familiar.
http://www.adalid
abogados.com/esp
anola.pdf
(ú.a. 24/09/08).
“Directrices para la regulación de los
archivos
de
datos
personales
informatizados, adoptadas mediante
Resolución 45/95 de la Asamblea
General de la Organización de las
Naciones Unidas”.
Establece una serie de postulados
aplicables a los archivos, públicos y
privados,
manuales
y
automatizados, a saber:
“Principios relativos a las garantías
mínimas que deben prever las
legislaciones nacionales (principio de
legalidad,
lealtad,
exactitud,
especificación de la finalidad, acceso
de la persona interesada, no
discriminación, seguridad).
http://www.adalid
abogados.com/con
venio108.pdf
(ú.a. 24/09/08).
“Aplicación de la directrices a
archivos
de
datos
personales
mantenidos
por
organizaciones
Página 83 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y Aplicación
Fuente
internacionales gubernamentales”.
Convenio 108 del Consejo de Europa
Convenio para la protección de las
personas
con
respecto
al
tratamiento automatizado de datos
de carácter personal.
http://www.apdcat
.net/media/246.pd
f
Enero 28 de 1981
Consejo de
Europa
Octubre 24 de 1995.
Parlamento
Europeo y del
Consejo de
Europa
(ú.a. 24/09/08).
DIRECTIVA
PARLAMENTO
CONSEJO.
95/46/CE
EUROPEO
Y
DEL
DEL
“Relativa a la protección de las
personas físicas en lo que respecta
al tratamiento de datos personales y
a la libre circulación de estos datos
http://eurlex.europa.eu/Lex
UriServ/LexUriSer
v.do?uri=CELEX:3
1995L0046:ES:NO
T
(…)
“Artículo 1. Objeto de la Directiva.
(ú.a. 24/09/08).
“1.
Los
Estados
miembros
garantizarán, con arreglo a las
disposiciones
de
la
presente
Directiva, la protección de las
libertades
y
de
los
derechos
fundamentales de las personas
físicas, y, en particular, del derecho
a la intimidad, en lo que respecta al
tratamiento de los datos personales.
“2. Los Estados miembros no podrán
restringir
ni
prohibir
la
libre
circulación de datos personales entre
los Estados miembros por motivos
relacionados
con
la
protección
garantizada en virtud del apartado
1)”.
Ley de Libertad de Información
(Freedom of Information Act –FOIA).
Régimen en materia de práctica de
acceso, uso y preservación de la
información,
a
cargo
de
las
dependencias gubernamentales.
http://mexico.use
mbassy.gov/bbf/bf
dossier_FOIA_acta
.pdf
Noviembre 1 de 1996.
Congreso de
los Estados
Unidos de
América-
(ú.a. 24/09/08).
Ley 19628 de 1999, Chile.
Tratamiento de datos personales en
registros o bancos de datos por
organismos públicos o particulares
http://www.adalid
abogados.com/ley
19.pdf
Página 84 de 197
Agosto de 1999
Congreso
Nacional de
Chile
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y Aplicación
Fuente
(ú.a. 24/09/08).
Ley Orgánica 15 de 1999, España.
Ley 25326 de 2000, Argentina.
Tiene por objeto garantizar y
proteger, en lo que concierne al
tratamiento de los datos personales,
las libertades públicas y los derechos
fundamentales de las personas
físicas, y especialmente de su honor
e intimidad personal y familiar.
http://www.adalid
abogados.com/Ley
15.pdf
Principios generales relativos a la
protección de datos. Derechos de los
titulares de datos. Usuarios y
responsables de archivos, registros y
bancos de datos. Control. Sanciones.
Acción de protección de los datos
personales.
http://www.adalid
abogados.com/ley
25326.pdf
Diciembre de 1999
Cortes
Generales
Octubre de 2000
Poder
Legislativo
Enero de 2001
Parlamento
Europeo y
Consejo de la
Unión Europea
Enero de 2002
Congreso de la
Unión.
Marzo 15 de 2006.
Parlamento
Europeo y
Consejo de la
Unión
Europea.
(ú.a. 24/09/08).
(ú.a. 24/09/08).
Reglamento 45 de 2001 del
Parlamento Europeo y del Consejo
de la Unión Europea de Diciembre de
2000
Ley para regular las sociedades de
información crediticia
Tratamiento de datos personales por
parte de todas las instituciones y
organismos comunitarios y libre
circulación de los mismos, en la
medida en que dicho tratamiento se
lleve a cabo para el ejercicio de
actividades
que
pertenecen
al
ámbito de aplicación del Derecho
comunitario
http://europa.eu/e
urlex/pri/es/oj/dat/2
001/l_008/l_0082
0010112es000100
22.pdf
Tiene
por
objeto
regular
la
constitución y operación de las
sociedades de información crediticia.
http://www.adalid
abogados.com/ley
sociedades.pdf
(ú.a. 24/09/08).
(ú.a. 24/09/08).
DIRECTIVA 2006/24/CE DEL
PARLAMENTO EUROPEO Y DEL
CONSEJO.
“Sobre la conservación de datos
generados o tratados en relación con
la prestación de servicios de
comunicaciones
electrónicas
de
acceso público o de redes públicas
de comunicaciones y por la que se
modifica la Directiva 2002/58/CE”.
http://eurlex.europa.eu/Lex
UriServ/LexUriSer
v.do?uri=OJ:L:200
6:105:0054:0063:
ES:PDF
(ú.a. 24/09/08).
ABREVIATURAS
ú.a. = Último Acceso.
Página 85 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3. DIAGNÓSTICO 3: INICIATIVAS
INTERNACIONALES EN CSIRTs
4.3.1.
Y
EXPERIENCIAS
NACIONALES
E
Introducción
Con el rápido desarrollo de internet, las diferentes entidades del país son cada vez más dependientes del
uso de redes públicas, volviendo crítica la productividad y estabilidad de las infraestructuras nacionales que
componen esta nueva e-economía emergente y que así mismo, es urgente proteger.
Los ataques contra las infraestructuras computacionales están aumentando de frecuencia, en sofisticación
y en escala. Esta amenaza cada vez mayor requiere un acercamiento y colaboración con las varias
organizaciones públicas, privadas y la academia, que tomen el papel de liderazgo y coordinación con el
apoyo total del gobierno tanto a nivel central como territorial.
Para tratar esta necesidad urgente, se propone el establecimiento de un grupo llamado CERT Colombia que
tendría un foco operacional en la atención de emergencias de seguridad informática para las transacciones
en línea del país, con una permanente colaboración nacional e internacional.
Cómo consultar este capítulo:
Este documento presenta de manera general y práctica como se estructura el CSIRT Colombiano,
incluyendo los siguientes aspectos:
•
Se incluye un marco de referencia donde se define lo que es un CSIRT, los beneficios que trae contar
con uno y se hace una relación de algunas iniciativas y experiencias nacionales e internacionales
consideradas para el desarrollo de este documento.
•
Se presenta la definición general del CSIRT, el tipo de entidad que se recomienda constituir, su misión,
visión, objeto social, representación legal, la relación con otras entidades y el portafolio de potenciales
productos y los objetivos y metas estratégicos definidos para su adecuado control y gestión.
•
Se considera un potencial portafolio de productos y servicios que hagan auto sostenible la operación el
CSIT Colombiano.
•
Se definen las políticas, procesos y procedimientos que sostengan la operación de la entidad, haciendo
una articulación del modelo de seguridad con la NTC-GP 1000, MECI e ISO 9000.
•
Se desarrolla un plan de mercadeo a cinco años que permita lograr el posicionamiento del CSIRT
Colombiano en la industria de la seguridad informática tanto a nivel nacional como internacional.
Página 86 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Se incluye un plan de gestión humana considerando una estructura organizacional propuesta, las
competencias requeridas para cada rol, el modelo de contratación y Capacitación del talento humano
del CSIRT Colombiano.
•
Se define un plan de tecnología considerando el software, el hardware, las redes y comunicaciones
necesarios para soportar la operación de los procesos definidos.
•
Se establece una estrategia de implementación considerando los diferentes grupos o universos
objetivos y las fases requeridas para cada grupo con sus incentivos, cronogramas, costos.
•
Se define el plan financiero donde se considera una política de inversiones y de financiación, una
estrategia de costos, inversiones y funcionamiento y un modelo de ingresos.
•
Se identifican las oportunidades de exportación de los productos y servicios establecidos, para afianzar
el posicionamiento internacional y la auto sostenibilidad del negocio.
4.3.2.
QUÉ ES UN CSIRT
El término CSIRT significa Computer Security Incident Response Team (Equipo de Respuesta a Incidentes
de Seguridad Informática), y ha sido acuñado respondiendo simultáneamente a diferentes abreviaturas
usadas para denotar a nivel mundial este tipo de equipos:
•
CSIRT (Computer Security Incident Response Team / Equipo de Respuesta a Incidentes de Seguridad
Informática): Término usado en Europa.
•
CERT o CERT/CC (Computer Emergency Response Team / Coordination Center, equipo de respuesta a
emergencias informáticas / Centro de coordinación): Término registrado en los Estados Unidos de
América por el CERT Coordination Center (CERT/CC).
•
IRT (Incident Response Team / Equipo de respuesta a incidentes).
•
CIRT (Computer Incident Response Team / Equipo de respuesta a incidentes informáticos).
•
SERT (Security Emergency Response Team / Equipo de respuesta a emergencias de seguridad).
Un CSIRT es un equipo de expertos en seguridad informática que pretenden responder a los incidentes de
seguridad relacionados con la tecnología de la información y a recuperarse después de sufrir uno de estos
incidentes. Para minimizar los riesgos también se ofrecen servicios preventivos y educativos relacionados
con vulnerabilidades de software, hardware o comunicaciones y se informa a la comunidad sobre los
potenciales riesgos que toman ventaja de las deficiencias de la seguridad.
Página 87 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.3.
ANTECEDENTES
Durante la segunda mitad de los años ochenta se vio la red Arpanet salir de la fase de I&D y convertirse en
una realidad práctica bajo el impulso del mundo universitario y desarrollada por el DoD (el Departamento
de Defensa estadounidense). La eficacia y la constante mejora de los distintos servicios, entre los cuales se
cuenta el correo electrónico, rápidamente hicieron que esta red sea indispensable para numerosos sitios.
En noviembre de 1988, un estudiante de la Universidad de Cornell lanzó en esta red un programa que se
propagaba y se replicaba solo. Este programa, conocido con el nombre de “gusano de Internet”,
aprovechaba distintos fallos de seguridad del sistema Unix (el sistema operativo de la mayoría de los
ordenadores conectados en la red). Aunque no fue programado con malas intenciones, este primer virus
informático, se propagó rápidamente obstruyendo al mismo tiempo las máquinas infectadas por múltiples
copias del gusano. En ese entonces, la red constaba de aproximadamente 60.000 ordenadores. Con sólo el
3 o 4 % de las máquinas contaminadas, la red estuvo totalmente indisponible durante varios días, hasta
que se tomaron medidas cautelares (incluyendo la desconexión de numerosas máquinas de la red).
Para eliminar este “gusano de Internet”, se creó un equipo de análisis ad hoc con expertos del MIT, de
Berkley, Purdue. Se reconstituyó y analizó el código del virus, lo cual permitió, por una parte, identificar y
corregir los fallos del sistema operativo, y por otra parte, desarrollar y difundir mecanismos de
erradicación. Después de este incidente, el director de obras de Arpanet, la DARPA (Defense Advanced
Research Projects Agency), decidió instalar una estructura permanente, el CERT Coordination Center
(CERT/CC) parecido al equipo reunido para resolver el incidente.
Este incidente actuó como una alarma e impulsó la necesidad de cooperación y coordinación multinacional
para enfrentarse este tipo de casos. En este sentido, la DARPA (Defence Advanced Research Projects
Agency / Agencia de Investigación de Proyectos Avanzados de Defensa) creó el primer CSIRT: El CERT
Coordination Center (CERT/CC1), ubicado en la Universidad Carnegie Mellon, en Pittsburgh (Pensilvania,
USA).
Poco después el modelo se adoptó en Europa, y en 1992 el proveedor académico holandés SURFnet puso
en marcha el primer CSIRT de Europa, llamado SURFnet-CERT2. El número de CSIRTs continuó creciendo,
cada uno con su propio propósito, financiación, divulgación y área de influencia. La interacción entre estos
equipos experimentó dificultades debido a las diferencias en lengua, zona horaria y estándares o
convenciones internacionales. Siguieron otros muchos equipos, y en la actualidad existen más de 100
1
CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute -
Carnegie Mellon University. Autor: No determinado
2
SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx. U.A: 2008/09/26. Publicado por: SURFnet
network. Autor: No determinado
Página 88 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
equipos reconocidos alrededor del mundo. Con el tiempo, los CERT ampliaron sus capacidades y pasaron
de ser una fuerza de reacción a prestadores de servicios de seguridad completos que incluyen servicios
preventivos como alertas, avisos de seguridad, formación y servicios de gestión de la seguridad. Pronto el
término “CERT” se consideró insuficiente, y a finales de los años noventa se acuñó el término “CSIRT”. En
la actualidad, ambos términos (CERT y CSIRT) se usan como sinónimos.
Internet comenzó su vertiginoso crecimiento y muchas compañías comenzaron a confiar en Internet sus
transacciones diarias. Así mismo, los CSIRTs continuaron creciendo alrededor del globo, soportando
gobiernos enteros u organizaciones multinacionales.
Desde ese entonces, Internet ha seguido creciendo hasta llegar a ser la red que se conoce actualmente,
con una multiplicación rápida de las máquinas conectadas (varios millones) y de las fuentes de agresión.
4.3.4.
BENEFICIOS DE CONTAR CON UN CSIRT
Disponer de un equipo dedicado a la seguridad de las TI ayuda a las organizaciones a mitigar y evitar los
incidentes graves y a proteger su patrimonio. Otros posibles beneficios son:
•
Disponer de una coordinación centralizada para las cuestiones relacionadas con la seguridad de las TI
dentro de la organización (punto de contacto).
•
Reaccionar a los incidentes relacionados con las TI y tratarlos de un modo centralizado y especializado.
•
Tener al alcance de la mano los conocimientos técnicos necesarios para apoyar y asistir a los usuarios
que necesitan recuperarse rápidamente de algún incidente de seguridad.
•
Tratar las cuestiones jurídicas y proteger las pruebas en caso de pleito.
•
Realizar un seguimiento de los progresos conseguidos en el ámbito de la seguridad.
•
Fomentar la cooperación en la seguridad de las TI entre los clientes del grupo atendido
(sensibilización).
4.3.5.
ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL MUNDO
En la actualidad existen múltiples organizaciones que usan el nombre CERT - Computer Emergency
Response Team (Equipo de Respuesta a Emergencias de Computación) o CSIRT (término genérico de
significado equivalente).
A continuación se presentan algunas de estas experiencias como primer paso fundamental para la
definición de una propuesta de creación del CSIRT Colombiano (ú.a = 30/09/2008).
Página 89 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre del Documento
CSIRT – Handbook
CSIRT FAQ
Incident Management
Capability Metrics
Incident Management Mission
Diagnostic Method
State of the Practice of
Computer Security Incident
Response Teams
The Real Secrets of Incident
Management
The Real Secrets of Incident
Management
Incident Response SHight
Improving CSIRT
Communication
Through Standardized and
Secured Information
Exchange
Limits to Effectiveness in
Computer Security Incident
Response Teams
eCSIRT.net Deliverable
Common
Language Specification &
Guideline to Application of the
Common Language part (i)
eCSIRT.net Deliverable1
Guideline to Application of the
Common Language part (ii)
Seguridad Informática para
Administradores de Redes y
Servidores
Seguridad Informática para
Administradores de Redes
y Servidores
Helping prevent information
security risks in the transition
to integrated operations
State of the Practice of
Computer Security Incident
Response Teams (CSIRTs)
Expectations for Computer
Security Incident Response
Site Security Handbook
Guidelines for Evidence
Collection and Archiving
Why do I need a CSIRT?
General en temas de
Resumen
Enlace
http://www.cert.org/
CSIRT - Handbook.pdf
General en temas de
http://www.cert.org/
CSIRT FAQ.doc
General en temas de
http://www.cert.org/
General en temas de
http://www.cert.org/
Teoría General en temas de
CSIRT
http://www.cert.org/
Teoría
CSIRT
Teoría
CSIRT
Teoría
CSIRT
Teoría
CSIRT
General en temas de
http://www.cert.org/
General en temas de
http://www.cert.org/
General en temas de
http://www.rediris.es/cert/links/csirt.es.html
07tr008 - Incident Management
Capability Metrics Version 0.1.pdf
08tr007 - Incident Management
Mission Diagnostic Method,
Version 1.0.pdf
State of the Practice of Computer
Security Incident Response
Teams.pdf
The Real Secrets of Incident
Management.pdf
The Real Secrets of Incident
Management.MP3
Incident_Response_SHight.pdf
General en temas de
http://www.tesink.org/thesis.pdf
Thesis.pdf
Teoría General en temas de
CSIRT
https://www.cert.org/archive/pdf/Limits-toCSIRT-Effectiveness.pdf
Limits-to-CSIRT-Effectiveness.pdf
Teoría General en temas de
CSIRT
http://www.ecsirt.net/cec/service/documents
/wp2-common-language.pdf
wp2-common-language.pdf
Teoría General en temas de
CSIRT
http://www.ecsirt.net/cec/service/documents
/wp2-and-3-guideline.pdf
wp2-and-3-guideline.pdf
Teoría General en temas de
CSIRT
http://www.arcert.gov.ar/ncursos/material/S
eg-adm-6p.pdf
Seg-adm-6p.pdf
Teoría General en temas de
CSIRT
http://www.arcert.gov.ar/cursos/seguridad_
adm/Seguridad%20para%20Administradore
s.pdf
http://www.telenor.com/telektronikk/volumes
/pdf/1.2005/Page_029-037.pdf
Seguridad%20para%20Administra
dores.pdf
Teoría General en temas de
CSIRT
http://www.rediris.es/cert/links/csirt.es.html
Teoría
CSIRT
Teoría
CSIRT
Teoría
CSIRT
Teoría
CSIRT
General en temas de
http://www.ietf.org/rfc/rfc2350.txt
General en temas de
http://www.ietf.org/rfc/rfc2196.txt
03tr001 - State of the Practice of
Computer Security Incident
Response Teams.pdf
Expectations for Computer
Security Incident Response.doc
Site Security Handbook.doc
General en temas de
http://www.ietf.org/rfc/rfc3227.txt
General en temas de
http://www.terena.org/activities/tfcsirt/meeting9/jaroszewski-assistancecsirt.pdf
http://www.enisa.europa.eu/cert_guide/pag
es/05_01_04.htm
Teoría
CSIRT
Teoría
CSIRT
Teoría
CSIRT
Teoría
CSIRT
Teoría General en temas de
CSIRT
Description of the different
kinds of CSIRT environments
Teoría General en temas de
CSIRT
Informe del relator del
séptimo período ordinario de
sesiones del Comité
Interamericano Contra el
Antecedentes de los CSIRT
http://scm.oas.org/pdfs/2007/CICTE00188E
.pdf
Página 90 de 197
Fuente
Page_029-037.pdf
Guidelines for Evidence Collection
and Archiving.doc
jaroszewski-assistance-csirt.pdf
Description of the different kinds
of CSIRT environments.docs
CICTE00188E.pdf
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre del Documento
Terrorismo
Adopción de una estrategia
interamericana integral para
combatir las amenazas a la
seguridad cibernética:
Un enfoque multidimensional
y multidisciplinario para
la creación de una cultura de
seguridad cibernética
Puesta en marcha del CSIRT y
Gestión de Seguridad de la
Información de ANTEL
FIRST - Forum for Incident
Response and Security Teams
ENISA - European Network
and Information Security
Agency
APCERT (Asia Pacific
Computer Emergency
Response Team)
CERT Coordination Center de
la Universidad Carnegie
Mellon
Alemania - CERT-Bund
Arabia Saudita - CERT-SA
(Computer Emergency
Response Team - Saudi
Arabia)
Argentina - ArCERT
(Computer Emergency
Response Team of the
Argentine Public)
Australia - AusCERT (Australia
Computer Emergency
Response Team)
Austria - CERT.at (Computer
Emergency Response Team
Austria)
Brasil - CERT.br (Computer
Emergency Response Team
Brazil)
Canadá - PSEPC (Public Safety
Emergency Preparedness
Canada)
Chile – CSIRT-GOV
Chile - CLCERT
China - CNCERT/CC (National
Computer Network Emergency
Response Technical Team)
Corea del Sur - KrCERT/CC
(CERT Coordination Center
Korea)
Dinamarca – DK.CERT (Danish
Computer Emergency
Response Team)
Emiratos Árabes Unidos –
aeCERT (The United Arab
Emirates Computer
Emergency Response Team)
España - ESCERT (Equipo de
Seguridad para la
Coordinación de Emergencias
en Redes Telemáticas)
España – IRIS-CERT
(Universidades)
Resumen
Enlace
Fuente
Antecedentes de los CSIRT
http://dgpt.sct.gob.mx/fileadmin/ccp1/redes/
doc._472-04.doc
doc._472-04.doc
Antecedentes de los CSIRT
http://jiap.org.uy/jiap/JIAP2007/Presentacio
nes%20Jiap%202007/ANTEL.pdf
Antel.pdf
Experiencias en el Mundo
http://www.first.org/
Página Web
Experiencias en el Mundo
Página Web
Experiencias en el Mundo
http://www.enisa.europa.eu/cert_guide/dow
nloads/CSIRT_setting_up_guide_ENISAES.pdf
http://www.apcert.org/
Página Web
Experiencias en el Mundo
http://www.cert.org/
Página Web
Experiencias en el Mundo
Experiencias en el Mundo
http://www.bsi.bund.de/certbund/
http://www.cert.gov.sa/
Página Web
Página Web
Experiencias en el Mundo
http://www.arcert.gov.ar/
Página Web
Experiencias en el Mundo
http://www.auscert.org.au/
Página Web
Experiencias en el Mundo
www.cert.at
Página Web
Experiencias en el Mundo
http://www.cert.br
Página Web
Experiencias en el Mundo
http://www.psepcsppcc.gc.ca/prg/em/ccirc/index-en.asp
Página Web
Experiencias en el Mundo
Experiencias en el Mundo
Experiencias en el Mundo
http://www.csirt.gov.cl/
http://www.clcert.cl
http://www.cert.org.cn/english_web/
Página Web
Página Web
Página Web
Experiencias en el Mundo
http://www.krcert.or.kr/
Página Web
Experiencias en el Mundo
https://www.cert.dk/
Página Web
Experiencias en el Mundo
http://www.aecert.ae/
Página Web
Experiencias en el Mundo
http://escert.upc.edu/index.php/web/es/inde
x.html
Página Web
Experiencias en el Mundo
http://www.rediris.es/cert/
Página Web
Página 91 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre del Documento
España - CCN-CERT
(Cryptology National Center Computer Security Incident
Response Team)
España - INTECO-CERT
(Centro de Respuestas a
Incidentes en TI para PYMES
y Ciudadanos)
Estados Unidos - US-CERT
(United States - Computer
Emergency Readiness Team)
Estonia – CERT-EE
Filipinas - PH-CERT
(Philippines Computer
Emergency Response Team)
Francia-CERTA (Centre
d'Expertise Gouvernemental
de Réponse et de Traitement
des Attaques informatiques)
Hong Kong - HKCERT (Hong
Kong Computer Emergency
Response Coordination
Centre)
Hungría - CERT-Hungria
India - CERT-In
Japan - JPCERT/CC (JP CERT
Coordination Center)
México – UNAM-CERT
Nueva Zelandia – CCIP
(Centre for Critical
Infrastructure Protection)
Holanda - GOVCERT.NL
Polonia - CERT Polska
(Computer Emergency
Response Team Polska)
Qatar - Q-CERT (Qatar CERT)
Reino Unido - GovCertUK
Singapur – SingCERT
(Singapore CERT)
Sri Lanka – SLCERT
Túnez - CERT-TCC (Computer
Emergency Response Team Tunisian Coordination Center)
Venezuela CERT.ve (VenCERT
- Centro de Respuestas ante
Incidentes Telemáticos del
Sector Público)
EXPERIENCIAS o
antecedentes EN COLOMBIA
Comité Interamericano Contra
el Terrorismo de la OEA
(CICTE)
CSIRT COLOMBIA
Resumen
Experiencias en el Mundo
Enlace
https://www.ccn-cert.cni.es/
Fuente
Página Web
Experiencias en el Mundo
http://www.inteco.es/rssRead/Seguridad/IN
TECOCERT
Página Web
Experiencias en el Mundo
http://www.us-cert.gov
Página Web
Experiencias en el Mundo
Experiencias en el Mundo
http://www.ria.ee/?id=28201
http://www.phcert.org/
Página Web
Página Web
Experiencias en el Mundo
http://www.certa.ssi.gouv.fr/
Página Web
Experiencias en el Mundo
http://www.hkcert.org/
Página Web
Experiencias en el Mundo
Experiencias en el Mundo
Experiencias en el Mundo
http://www.cert-hungary.hu/
http://www.cert-in.org.in/
http://www.jpcert.or.jp/
Página Web
Página Web
Página Web
Experiencias en el Mundo
Experiencias en el Mundo
http://www.cert.org.mx/index.html
http://www.ccip.govt.nz/
Página Web
Página Web
Experiencias en el Mundo
Experiencias en el Mundo
http://www.govcert.nl/
http://www.cert.pl/
Página Web
Página Web
Experiencias
Experiencias
Experiencias
Experiencias
http://www.qcert.org
www.govcertuk.gov.uk
www.cpni.gov.uk
http://www.singcert.org.sg/
Página
Página
Página
Página
Experiencias en el Mundo
Experiencias en el Mundo
http://www.cert.lk/
http://www.ansi.tn/en/about_cert-tcc.htm
Página Web
Página Web
Experiencias en el Mundo
http://www.cert.gov.ve/
Página Web
Experiencias en el Mundo
http://www.udistrital.edu.co/comunidad/grup
os/arquisoft/colcsirt/?q=colcsirt
http://www.cicte.oas.org/Rev/ES/Events/Cy
ber_Events/CSIRT%20training%20course_
Colombia.asp
http://www.udistrital.edu.co/comunidad/grup
os/arquisoft/colcsirt/?q=colcsirt
http://www.securityfocus.com/infocus/1592
Página Web
http://www.cic.uiuc.edu/groups/ITSecurityW
orkingGroup/archive/Report/ICAMPReport1
.pdf
http://www.cic.uiuc.edu/groups/ITSecurityW
orkingGroup/archive/Report/ICAMPReport2
.pdf
http://www.cert.org/
ICAMPReport1.pdf
en
en
en
en
el
el
el
el
Mundo
Mundo
Mundo
Mundo
Experiencias en el Mundo
Experiencias en Colombia
Developing an Effective
Incident Cost Analysis
Mechanism
Incident Cost Analysis and
Modeling Project
Aspectos Financieros de un
CSIRT
Incident Cost Analysis and
Modeling Project
I-CAMP II
Defining Incident
Aspectos Financieros de un
CSIRT
Aspectos Financieros de un
CSIRT
Procesos de un CSIRT
Página 92 de 197
Web
Web
Web
Web
ENISA
work_programme_2006.pdf
CSIRT COLOMBIA.doc
Developing an Effective Incident
Cost Analysis Mechanism.doc
ICAMPReport2.pdf
04tr015 - Defining Incident
-
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre del Documento
Management Processes for
CSIRTs
Benchmarking CSIRT work
Processes
How to Design a Useful
Incident Response Policy
Effectiveness of Proactive
CSIRT Services
Recommended Internet
Service Provider Security
Services and Procedures
CSIRT Services List
ENISA - Possible services that
a CSIRT can deliver
Organizational Models for
Computer Security Incident
Response Teams (CSIRTs)
Organizational Models for
Computer Security Incident
Response Teams
Staffing Your Computer
Security Incident Response
Team
CERT-FI First 12 months
A step-by-step approach
on how to set up a CSIRT
Steps for Creating
National CSIRTs
Action List for Developing a
CSIRT
ENISA - Cómo crear un
CSIRT paso a paso
Resumen
Procesos de un CSIRT
Procesos de un CSIRT
Enlace
http://www.hig.no/index.php/content/downlo
ad/3302/70468/file/Kj%C3%A6rem%20%20Benchmarking%20CSIRT%20work%20
processes.pdf
http://www.securityfocus.com/infocus/1467
Productos y Servicios de un
CSIRT
Productos y Servicios de un
CSIRT
http://www.first.org/conference/2006/papers
/kossakowski-klaus-papers.pdf
http://www.ietf.org/rfc/rfc3013.txt
Productos y Servicios de un
CSIRT
Productos y Servicios de un
CSIRT
Estructura de un CSIRT
http://www.cert.org/
Estructura de un CSIRT
http://www.sei.cmu.edu/publications/docum
ents/03.reports/03hb001/03hb001chap07.ht
ml
http://www.cert.org/
Estructura de un CSIRT
Modelo
CSIRT
Modelo
CSIRT
Modelo
CSIRT
Modelo
CSIRT
Modelo
CSIRT
de Negocio de un
de Negocio de un
de Negocio de un
de Negocio de un
de Negocio de un
http://www.enisa.europa.eu/cert_guide/pag
es/05_02.htm
http://www.rediris.es/cert/links/csirt.es.html
http://www.terena.org/activities/tfcsirt/meeting8/huopio-certfi.pdf
http://www.enisa.europa.eu/doc/pdf/delivera
bles/enisa_csirt_setting_up_guide.pdf
http://www.cert.org/archive/pdf/NationalCSI
RTs.pdf
http://www.cert.org/
http://www.enisa.europa.eu/cert_guide/dow
nloads/CSIRT_setting_up_guide_ENISAES.pdf
Fuente
Management Processes for
CSIRTs.pdf
Kjærem - Benchmarking CSIRT
work processes.pdf
How to Design a Useful Incident
Response Policy.doc
kossakowski-klaus-papers.pdf
Recommended Internet Service
Provider Security Services and
Procedures.doc
CSIRT-services-list.pdf
ENISA - Possible services that a
CSIRT can deliver.doc
03hb001 - Organizational Models
for Computer Security Incident
Response Teams (CSIRTs)
Organizational Models for
Computer Security Incident
Response Teams.doc
Staffing Your Computer Security
Incident Response Team.doc
huopio-certfi.pdf
enisa_csirt_setting_up_guide.pdf
NationalCSIRTs.pdf
Action List for Developing a
CSIRT.pdf
CSIRT_setting_up_guide_ENISAES.pdf
4.3.5.1. FIRST - Forum for Incident Response and Security Teams3
4.3.5.1.1. Antecedentes
El Foro de Equipos de Seguridad para Respuesta a Incidentes - FIRST es la primera organización global
reconocida en respuesta a incidentes, tanto de manera reactiva como proactiva.
FIRST fue formado en 1990 en respuesta al problema del gusano de internet que atacó en 1988. Desde
entonces, ha continuado creciendo y desarrollándose en respuesta a las necesidades que cambiaban de los
equipos de la respuesta y de la seguridad del incidente.
3
Tomado de: http://www.first.org/. U.A: 2008/09/26. Publicado por: FIRST.ORG, Inc. Autor: No determinado.
Página 93 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.1.2. Servicios Ofrecidos
FIRST reúne una variedad de equipos de respuesta de incidentes de seguridad informática para entidades
gubernamentales, comerciales y académicas. FIRST busca fomentar la cooperación y coordinación en la
prevención de incidentes, estimular la reacción rápida a los incidentes y promover el compartir información
entre los miembros y la comunidad.
FIRST proporciona adicionalmente servicios de valor agregado tales como:
•
Acceso a documentos actualizados de mejores prácticas.
•
Foros técnicos para expertos en seguridad informática.
•
Clases
•
Conferencia Anual
•
Publicaciones y webservices
•
Grupos de interés especial
4.3.5.1.3. Estructura
FIRST funciona bajo de un marco operacional, que contiene los principios que gobiernan y las reglas de
funcionamiento de alto nivel para la organización. Sin embargo, FIRST no ejercita ninguna autoridad sobre
la organización y la operación de los equipos individuales miembros.
Comité de Dirección: El Comité de Dirección es un grupo de individuos responsables de la política de
funcionamiento general, de procedimientos y de materias relacionadas que afectan a FISRT en su
totalidad.
Nombre
Derrick Scholl (Chair)
Ken van Wyk (Vice-Chair)
Chris Gibson (Treasurer)
Peter Allor
Yurie Ito
Scott McIntyre
Francisco Jesus Monserrat Coll
Tom Mullen
Steve Adegbite
Arnold Yoon
Entidad
Sun Microsystems, USA
KRvW Associates, LLC, USA
Citigroup, USA/UK
IBM ISS, USA
JPCERT/CC, Japan
KPN-CERT, NL
RedIRIS, Spain
British Telecom, UK
Microsoft, USA
KrCERT/CC, Korea
Página 94 de 197
Vigencia
2008-2010
2007-2009
2008-2010
2008-2010
2007-2009
2008-2010
2007-2009
2007-2009
2008-2010
2007-2009
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Junta Directiva: La Junta Directiva es un grupo de individuos responsables de la política de funcionamiento
general, de procedimientos, y de materias relacionadas que afectan la organización FIRST en su totalidad.
Secretaría: La secretaría sirve como punto administrativo para FIRST y proporciona un contacto general.
Equipos Miembros: Los equipos de la respuesta del incidente que participan en FIRST representan las
organizaciones que asisten a la comunidad de la tecnología de información o a entidades gubernamentales
que trabajan en la prevención y manipulación de incidentes de seguridad informática.
Enlaces: Individuos o representantes de organizaciones con excepción de los equipos CSIRT que tienen un
interés legítimo en y lo valoran a FIRST.
Comités: El Comité de Dirección de FIRST establece los comités temporales ad hoc requeridos para
alcanzar mejor las metas.
4.3.5.1.4. Área de Influencia
FIRST está una confederación internacional de los equipos de respuesta a incidente informáticos que de
manera cooperativa manejan incidentes de la seguridad y promueven programas de la prevención del
incidente, anima y promueve el desarrollo de productos, políticas y servicios de la seguridad, desarrolla y
promulga las mejores prácticas de la seguridad y promueve la creación y expansión de los equipos de
incidente alrededor del mundo.
Los miembros de FIRST desarrollan y comparten información técnica, herramientas, metodologías,
procesos y mejores prácticas y utilizan su conocimiento, habilidades y experiencia combinados para
promover un ambiente electrónico global más seguro. FIRST tiene actualmente más de 180 miembros,
extienda por África, las Américas, Asia, Europa y Oceanía. Los siguientes son los equipos CSIRT
distribuidos alrededor del mundo, donde Colombia aún no hace parte:
Página 95 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Ilustración 1: Países con CSIRTs Miembros de FIRST
CSIRT
AAB GCIRT
ACERT
ACOnet-CERT
AFCERT
ARCcert
ASEC
AT&T
AboveSecCERT
Apple
ArCERT
AusCERT
Avaya-GCERT
BCERT
BELNET CERT
BFK
BIRT
BMO ISIRT
BP DSAC
BTCERTCC
BadgIRT
Bell IPCR
Nombre Oficial del CSIRT
ABN AMRO Global CIRT
Army Emergency Response Team
ACOnet-CERT
Air Force CERT
The American Red Cross Computer Emergency Response Team
AhnLab Security E-response Center
AT&T
Above Security Computer Emergency Response Team
Apple Computer
Computer Emergency Response Team of the Argentine Public
Administration
Australian Computer Emergency Response Team
Avaya Global Computer Emergency Response Team
Boeing CERT
BELNET CERT
BFK edv consulting
BrandProtect IRT
BMO InfoSec Incident Response Team
BP Digital Security Alert Centre
British Telecommunications CERT Co-ordination Centre
University of Wisconsin-Madison
Bell Canada Information Protection Centre (IPC) Response
Página 96 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
CSIRT
Bunker
CAIS/RNP
CARNet CERT
CC-SEC
CCIRC
CCN-CERT
CERT POLSKA
CERT TCC
CERT-Bund
CERT-FI
CERT-Hungary
CERT-IT
CERT-In
CERT-Renater
CERT-TCC
CERT-VW
CERT.at
CERT.br
CERT/CC
CERTA
CERTBw
CFC
CGI CIRT
CIAC
CLCERT
CMCERT/CC
CNCERT/CC
CSIRT ANTEL
CSIRT Banco Real
CSIRT.DK
CSIRTUK
Cert-IST
Cisco PSIRT
Cisco Systems
Citi CIRT
ComCERT
CyberCIRT
DANTE
Nombre Oficial del CSIRT
The Bunker Security Team
Brazilian Academic and Research Network CSIRT
CARNet CERT
Cablecom Security Team
Canadian Cyber Incident Response Centre
CCN-CERT (Spanish Governmental National Cryptology Center Computer Security Incident Response Team)
Computer Emergency Response Team Polska
TDBFG Computer Security Incident Response Team
CERT-Bund
CERT-FI
Hungarian governmental Computer Emergency Response Team
CERT Italiano
Indian Computer Emergency Response Team
CERT-Renater
Computer Emergency Response Team Tunisian Coordination Center
CERT-VW
CERT.at
Computer Emergency Response Team Brazil
CERT Coordination Center
CERT-Administration
Computer Emergency Response Team Bundeswehr
Cyber Force Center
CGI Computer Incident Response Team
US Department of Energy's Computer Incident Advisory Capability
Chilean Computer Emergency Response Team
China Mobile Computer Network Emergency Response Technical Team
/Coordination Center
National Computer Network Emergency Response Technical Team /
Coordination Center of China
ANTEL's Computer and Telecommunications Security Incident
Response Centre
Real Bank Brazil Security Incident Response Team
Danish Computer Security Incident Repsonse Team
CSIRTUK
CERT France Industries, Services & Tertiaire
Cisco Systems Product Security Incident Response Team
Cisco Systems CSIRT
Citi CIRT
Commerzbank CERT
Cyberklix Computer Incident Response Team
Delivery of Advanced Network Technology to Europe Limited
Página 97 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
CSIRT
DCSIRT
DFN-CERT
DIRT
DK-CERT
E-CERT
EDS
EMC
ESACERT
ETISALAT-CERT
EWA-Canada/CanCERT
EYCIRT
Ericsson PSIRT
FSC-CERT
FSLabs
Funet CERT
GD-AIS
GIST
GNS-Cert
GOVCERT.NL
GTCERT
Goldman Sachs
GovCertUK
HIRT
HKCERT
HP SSRT
IBM
IIJ-SECT
ILAN-CERT
ILGOV-CERT
ING Global CIRT
IP+ CERT
IPA-CERT
IRIS-CERT
IRS CSIRC
Infosec-CERT
Intel FIRST Team
JANET CSIRT
JPCERT/CC
JPMC CIRT
JSOC
Nombre Oficial del CSIRT
Diageo CSIRT
DFN-CERT
DePaul Incident Response Team
Danish Computer Emergency Repsonse Team
Energis Computer Emergency Response Team
EDS
EMCs Product Security Response Center
ESA Computer and Communications Emergency Response Team
ETISALAT Computer Emergency Response
EWA-Canada / Canadian Computer Emergency Response Team
Ernst & Young Computer Incident Response Team
Ericsson Product Security Incident Response Team
CERT of Fujitsu-Siemens Computers
F-Secure Security Labs
Funet CERT
General Dynamics – AIS
Google Information Security Team
GNS-Cert
GOVCERT.NL
Georgia Institute of Technology CERT
Goldman, Sachs and Company
CESGs Government Computer Emergency Response Team
Hitachi Incident Response Team
Hong Kong Computer Emergency Response Team Coordination Centre
HP Software Security Response Team
IBM
IIJ Group Security Coordination Team
Israeli Academic CERT
Israel governmental computer emergency response team
ING Global CIRT
IP-Plus CERT
IPA-CERT
IRIS-CERT
IRS (Internal Revenue Service) Computer Security Incident Response
Team
Infosec Computer Emergency Response Team
Intel FIRST Team
JANET CSIRT
JPCERT Coordination Center
JPMorgan Chase Computer Incident Response Team
Japan Security Operation Center
Página 98 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
CSIRT
Juniper SIRT
KFCERT
KKCSIRT
KMD IAC
KN-CERT
KPN-CERT
KrCERT/CC
LITNET CERT
MCERT
MCI
MCIRT
MFCIRT
MIT Network Security
MLCIRT
MODCERT
MSCERT
MyCERT
NAB ITSAR
NASIRC
NCIRC CC
NCSA-IRST
NCSIRT
NGFIRST
NIHIRT
NISC
NIST
NN FIRST Team
NORDUnet
NTT-CERT
NU-CERT
NUSCERT
Nokia-NIRT
NorCERT
ORACERT
OS-CIRT
OSU-IRT
OxCERT
PRE-CERT
PSU
Pentest
Nombre Oficial del CSIRT
Juniper Networks Security Incident Response team
Korea Financial Computer Emergency Response Team
Kakaku.com Security Incident Response Team
KMD Internet Alarm Center
Korea National Computer Emergency Response Team
Computer Emergency Response Team of KPN
KrCERT/CC
LITNET CERT
Motorola Cyber Emergency Response Team
MCI, Inc.
Metavante Computer Incident Response Team
McAfee Computer Incident Response Team
Massachusetts Institute of Technology Network Security Team
Merrill Lynch Computer Security Incident Response Team
MOD Computer Emergency Response Team
Microsoft Product Support Services Security Team
Malaysian Computer Emergency Response Team
National Australia Bank - IT Security Assessments and Response
NASA Incident Response Center
NATO Computer Incident Response Capability - Coordination Center
National Center for Supercomputing Applications IRST
NRI SecureTechnologies Computer Security Incident Response Team
Northrop Grumman Corporation FIRST
NIH Incident Response Team
National Information Security Center
NIST IT Security
Nortel FIRST Team
NORDUnet
NTT Computer Security Incident Response and Readiness Coordination
Team
Northwestern University
NUS Computer Emergency Response Team
Nokia Incident Response Team
Norwegian Computer Emergency Response Team
Oracle Global Security Team
Open Systems AG Computer Incident Response Team
The Ohio State University Incident Response Team
Oxford University IT Security Team
PRE-CERT
Pennsylvania State University
Pentest Security Team
Página 99 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
CSIRT
Q-CERT
Q-CIRT
RBC FG CSIRT
RBSG
RM CSIRT
RU-CERT
RUS-CERT
Ricoh PSIRT
S-CERT
SAFCERT
SAIC-IRT
SAP CERT
SBCSIRT
SGI
SI-CERT
SIRCC
SITIC
SKY-CERT
SLCERT
SUNet-CERT
SURFcert
SWAT
SWITCH-CERT
SWRX CERT
Secunia Research
Siemens-CERT
SingCERT
Sprint
Stanford
Sun
SymCERT
TERIS
TESIRT
TS-CERT
TS/ICSA FIRST
TWCERT/CC
TWNCERT
Team Cymru
Telekom-CERT
ThaiCERT
Nombre Oficial del CSIRT
Qatar CERT
QinetiQ Computer Incident Response Team
RBC Financial Group CSIRT
Royal Bank of Scotland, Investigation and Threat Management
ROYAL MAIL CSIRT CC
Computer Security Incident Response Team RU-CERT
Stabsstelle DV-Sicherheit der Universitaet Stuttgart
Ricoh Product Security Incident Response Team
CERT of the German Savings Banks Organization
Singapore Armed Forces Computer Emergency Response Team
Science Applications International Corporation - Incident Response
Team
SAP AG CERT
Softbank Telecommunications Security Incident Response Team
Silicon Graphics, Inc.
Slovenian CERT
Security Incident Response Control Center
Swedish IT Incident Centre
Skype Computer Emergency Response Team
Sri Lanka Computer Emergency Response Team
SUNet-CERT
SURFcert
A.P.Moller-Maersk Group IT-Security SWAT
Swiss Education and Research Network CERT
SecureWorks Computer Emergency Response Team
Secunia Research
Siemens-CERT
Singapore CERT
Sprint
Stanford University Information Security Services
Sun Microsystems, Inc.
Symantec Computer Emergency Response Team
Telefonica del Peru Computer Security Incidents Response Team
TELMEX Security Incident Response Team
TeliaSoneraCERT CC
TruSecure Corporation
Taiwan Computer Emergency Response Team/Coordination Center
Taiwan National Computer Emergency Response Team
Team Cymru
Telekom-CERT
Thai Computer Emergency Response Team
Página 100 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
CSIRT
UB-First
UCERT
UGaCIRT
UM-CERT
UNAM-CERT
UNINETT CERT
US-CERT
Uchicago Network Security
VISA-CIRT
VeriSign
YIRD
dCERT
dbCERT
e-Cop
e-LC CSIRT
esCERT-UPC
secu-CERT
Nombre Oficial del CSIRT
UB-First
Unisys CERT
The University of Georgia Computer Incident Response Team
University of Michigan CERT
UNAM-CERT
UNINETT CERT
United States Computer Emergency Readiness Center
The University of Chicago Network Security Center
VISA-CIRT
VeriSign
Yahoo Incident Response Division
debis Computer Emergency Response Team
Deutsche Bank Computer Emergency Response Team
e-Cop Pte Ltd
e-LaCaixa CSIRT
CERT for the Technical University of Catalunya
SECUNET CERT
4.3.5.2. ENISA - European Network and Information Security Agency4
4.3.5.2.1. Antecedentes
El 10 de marzo de 2004 se creó una Agencia Europea de Seguridad de las Redes y de la Información
(ENISA)5. Su objetivo era garantizar un nivel elevado y efectivo de seguridad de las redes y de la
información en la Comunidad Europea y desarrollar una cultura de la seguridad de las redes y la
información en beneficio de los ciudadanos, los consumidores, las empresas y las organizaciones del sector
público de la Unión Europea, contribuyendo así al funcionamiento armonioso del mercado interior. Desde
hace varios años, diferentes grupos europeos dedicados a la seguridad, como los CERT/CSIRT, los equipos
de detección y respuesta a abusos y los WARP, colaboran para que Internet sea más seguro.
4
Tomado
de:
http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf.
U.A:
2008/09/26. Publicado por: ENISA. Autor: No determinado.
5
Reglamento (CE) nº 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la
Agencia Europea de Seguridad de las Redes y de la Información. Una “agencia europea” es un órgano creado por la
UE para realizar una tarea técnica, científica o de gestión muy concreta perteneciente al ámbito comunitario de la UE.
Página 101 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
La ENISA desea apoyar el esfuerzo realizado por estos grupos aportando información acerca de las
medidas que garantizan un nivel adecuado de calidad de los servicios. Además, la Agencia desea potenciar
su capacidad de asesorar a los Estados miembros de la UE y los órganos comunitarios en cuestiones
relacionadas con la cobertura de grupos específicos de usuarios de las TI con servicios de seguridad
adecuados. Por lo tanto, basándose en los resultados del grupo de trabajo ad-hoc de cooperación y apoyo
a los CERT, creado en 2005, este nuevo grupo de trabajo se encargará de asuntos relativos a la prestación
de servicios de seguridad adecuados (servicios de los CERT) a grupos de usuarios específicos.
4.3.5.2.2. Servicios Ofrecidos
Para asegurar el cumplimiento de sus objetivos según lo precisado en su regulación, las tareas de la
agencia se enfocan en:
•
Asesorar y asistir a los Estados miembro en temas de seguridad de la información y a la industria en
problemas de seguridad relacionados con sus productos de hardware y de software.
•
Recopilar y analizar datos sobre incidentes de la seguridad en Europa y riesgos emergentes.
•
Promover métodos de gestión de riesgo de la seguridad de la información.
Los principales servicios que promueven son:
Servicios Reactivos
•
•
•
•
•
•
•
•
•
•
Alertas y
advertencias
Tratamiento de
incidentes
Análisis de incidentes
Apoyo a la respuesta
a incidentes
Coordinación de la
respuesta a
incidentes
Respuesta a
incidentes in situ
Tratamiento de la
vulnerabilidad
Análisis de la
vulnerabilidad
Respuesta a la
vulnerabilidad
Coordinación de la
respuesta a la
vulnerabilidad
Servicios Proactivos
•
•
•
•
•
•
•
Comunicados
Observatorio de
tecnología
Evaluaciones o
auditorías de la
seguridad
Configuración y
mantenimiento de
la seguridad
Desarrollo de
herramientas de
seguridad
Servicios de
detección de
intrusos
Difusión de
información
relacionada con la
seguridad
Manejo de Instancias
•
•
•
Análisis de
instancias
Respuesta a las
instancias
Coordinación de la
respuesta a las
instancias
Página 102 de 197
Gestión de la Calidad de
la Seguridad
• Análisis de riesgos
• Continuidad del
negocio y
recuperación tras un
desastre
• Consultoría de
seguridad
• Sensibilización
• Educación /
Formación
• Evaluación o
certificación de
productos
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.2.3. Estructura
Ilustración 2: Estructura de ENISA
4.3.5.2.4. Área de Influencia
ENISA cubre la Comunidad Económica Europea y sus países miembros son: Austria, Bélgica, Bulgaria, Chipre,
República Checa, Dinamarca, Estonia, Finlandia, Francia, Alemania, Grecia, Hungría, Irlanda, Italia, Latvia, Lituania,
Luxemburgo, Malta, Países Bajos, Polonia, Portugal, Rumania, Eslovaquia, Eslovenia, España, Suecia, Reino Unido,
Noruega, Islandia, Liechtenstein.
Página 103 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.3. APCERT6 - Asia Pacific Computer Emergency Response Team
4.3.5.3.1. Antecedentes
APCERT ha sido constituida con la misión de mantener una red de contactos de expertos en seguridad
informática en la región Pacífica de Asia, para mejorar el conocimiento y la capacidad de la región en lo
referente a incidentes de la seguridad de la computadora.
4.3.5.3.2. Servicios Ofrecidos
•
Impulsar la cooperación regional e internacional de Asia pacífica en seguridad de la información.
•
Tomar medidas comunes para atender incidentes de seguridad de la red.
•
Facilitar compartir información e intercambio de tecnología, relacionada con seguridad de la
información, virus informáticos y código malévolo, entre sus miembros.
•
Promover la investigación y colaboración en temas del interés en sus miembros.
•
Asistir a otros CERTs y CSIRTS en la región para conducir respuestas eficiente y eficaz a emergencia
computacionales.
•
Generar recomendaciones de ayudar en cuestiones legales relacionadas con la respuesta a incidentes
de seguridad y de emergencias informáticas en la región.
4.3.5.3.3. Estructura
Miembros de pleno derecho
Equipo
AusCERT
BKIS
CCERT
CERT-En
CNCERT/ CC
Nombre oficial del equipo
Australian Computer Emergency Response Team
Bach Khoa Internetwork Security Center
CERNET Computer Emergency Response Team
Indian Computer Emergency Response Team
National Computer network Emergency Response
technical Team / Coordination Center of China
6
Economía
Australia
Vietnam
República Popular de China
India
República Popular de China
Tomado de: http://www.apcert.org/. U.A: 2008/09/26. Publicado por: APCERT. Autor: No determinado.
Página 104 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Equipo
HKCERT
ID-CERT
JPCERT /CC
KrCERT/CC
MyCERT
PHCERT
SingCERT
ThaiCERT
TWCERT /CC
TWNCERT
Nombre oficial del equipo
Hong Kong Computer Emergency Response Team
Coordination Centre
Indonesia Computer Emergency Response Team
Japan Computer Emergency Response Team /
Coordination Center
Korea Internet Security Center
Malaysian Computer Emergency Response Team
Philippine Computer Emergency Response Team
Singapore Computer Emergency Response Team
Thai Computer Emergency Response Team
Taiwan Computer Emergency Response Team /
Coordination Center
Taiwan National Computer Emergency Response Team
Economía
Hong Kong, China
Indonesia
Japón
Corea
Malasia
Filipino
Singapur
Tailandia
Taipei china
Taipei china
Miembros Generales
Equipo
BP DSIRT
BruCERT
GCSIRT
NUSCERT
SLCERT
VNCERT
Nombre oficial del equipo
BP Digital Security Incident Response Team
Brunei Computer Emergency Response Team
Government Computer Security and Incident Response
Team
National University of Singapore Computer Emergency
Response Team
Sri Lanka Computer Emergency Response Team
Vietnam Computer Emergency Response Team
4.3.5.3.4. Área de Influencia
La región de Asia Pacífico
Página 105 de 197
Economía
Singapur
Negara Brunei Darussalam
Filipinas
Singapur
Sri Lanka
Vietnam
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.4. CERT - Coordination Center de la Universidad Carnegie Mellon7
4.3.5.4.1. Antecedentes
El equipo del CERT CSIRT ayuda a organizaciones para desarrollar, para funcionar, y para mejorar
capacidades de la gerencia del incidente. Las organizaciones pueden aprovecharse de los productos, del
entrenamiento, de los informes, y de los talleres para la comunidad global del Internet.
El centro de coordinación del CERT (CERT/CC), es uno de los grupos con mayor reconocimiento en el
campo de los CERTs. Aunque fue establecido como equipo de respuesta a incidente, el CERT/CC se ha
desarrollado más allá, centrándose en identificar las amenazas potenciales, de notificar a los
administradores de sistemas y al personal técnico acerca de dichas amenazas y de coordinar con los
proveedores y los equipos CERT en todo el mundo para tratar las amenazas.
4.3.5.4.2. Servicios Ofrecidos
Las áreas en las cuales puede ayudar son:
•
Análisis de vulnerabilidades, esperando identificar y atenuar los impactos antes de que se conviertan en
una amenaza significativa de la seguridad. Una vez que se identifica una vulnerabilidad, se trabaja con
los proveedores apropiados de la tecnología para resolver la acción.
•
Además de identificar vulnerabilidades, previenen la introducción de nuevas amenazas, estableciendo
prácticas que los proveedores pueden utilizar mejorar la seguridad y la calidad de su software.
•
Promueven el desarrollo de una capacidad global de la respuesta, ayudando a organizaciones y a
países a establecer los Equipos de Respuesta a Incidente de la Seguridad Informática (CSIRTs) y
trabajan con los equipos existentes para coordinar la comunicación y la respuesta durante
acontecimientos importantes de seguridad.
•
Examinan, catalogan y hacen ingeniera inversa sobre códigos malévolos. Estas actividades ayudan a
entender mejor cómo el código trabaja y permiten que se identifiquen las tendencias y los patrones
que pueden revelar vulnerabilidades explotables u otras amenazas potenciales.
•
Promueven el intercambio de información referente a los servicios de seguridad:
o
7
Avisos de prevención
CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute -
Carnegie Mellon University. Autor: No determinado.
Página 106 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
o
Actualizaciones de las actividades de seguridad
o
Análisis y entrenamiento en incidentes
o
Alertas
o
Investigación en tendencias, amenazas y riesgos
Generan intercambios Técnicos
o
Consultoría, entrenamiento y desarrollo de habilidades técnicas.
o
Intercambios técnicos de personal o afiliados residentes
o
Herramienta de desarrollo y ayuda
o
Análisis de vulnerabilidad
o
Análisis de hardware
o
Red de supervisión y análisis
•
Evalúan la madurez y capacidad del CSIRT
•
Interactúan para el patrocinio de FIRST y presentación a otras organizaciones y socios estratégicos
•
Hacen análisis de la infraestructura crítica
4.3.5.4.3. Estructura
El Carnegie Mellon CyLab es una iniciativa universitaria, multidisciplinaria que implica más de 200
facultades, estudiantes, y personal en Carnegie Mellon que han construido el liderazgo en tecnología de
información de Carnegie Mellon. Los trabajos de CyLab se centran en la coordinación del CERT (CERT/CC),
el conducir un centro reconocido internacionalmente de seguridad de Internet. A través de su conexión al
CERT/CC, CyLab también trabaja de cerca con US-CERT - una sociedad entre el departamento de la
división nacional de la seguridad de la Ciberseguridad del gobierno (NCSD) y del sector privado,
protegiendo la infraestructura nacional de la información en Estados Unidos.
Página 107 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.4.4. Área de Influencia
Ilustración 3: CERT apoyados por el Centro de Coordinación de la Universidad Carnegie Mellon
4.3.5.5. TERENA8 - Trans-European Research and Education Networking Association
4.3.5.5.1. Antecedentes
La Asociación Trans Europea de Redes de Investigación y Educación – TERENA (Trans-European Research
and Education Networking Association) ofrece un foro de colaboración, innovación y compartir
conocimiento para fomentar el desarrollo de la tecnología, de la infraestructura y de los servicios del
Internet que se utilizan por la comunidad de Investigación y educación.
Los objetivos de TERENA se orientan a promover y participar en el desarrollo de información de alta
calidad y de una infraestructura de telecomunicaciones internacionales en beneficio de la investigación y de
la educación.
4.3.5.5.2. Servicios Ofrecidos
Las principales actividades de TERENA son:
8
Tomado de: http://www.terena.org/. U.A: 2008/09/26. Publicado por: Terena. Autor: No determinado.
Página 108 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Proveer un ambiente de fomento de nuevas iniciativas en la investigación en la comunidad europea
para el establecimiento de una red de conocimiento.
•
Empalmar el soporte europeo para evaluar, probar, integrar y promover nuevas tecnologías del
establecimiento de una red de conocimiento.
•
Organizar conferencias, talleres y seminarios para el intercambio de la información en Comunidad
europea para el establecimiento de una red de investigación y buscar transferencia del conocimiento a
organizaciones menos avanzadas.
Junto con FIRST, TERENA organiza regularmente talleres de entrenamiento para los miembros de los
Equipos de Respuesta al incidente de Seguridad Computacional (CSIRTs), con base en materiales
desarrollados originalmente por el proyecto TRANSITS que funcionó entre 2002 y 2005.
TRANSITS era originalmente un proyecto financiado por la Comunidad Económica Europea para promover
el establecimiento de los equipos de la respuesta del incidente de la seguridad de la computadora (CSIRTs)
tratando el problema de la escasez del personal experto en CSIRTs. Esta meta ha sido tratada
proporcionando cursos de especialización al personal de CSIRTs en temas organizacionales, operacionales,
técnicos, de mercado y temas legales implicados en el establecimiento de un CSIRT.
Desde que el proyecto TRANSITS terminó en septiembre de 2005, TERENA y FIRST unieron sus fuerzas
para organizar talleres a través de Europa, con la ayuda de ayuda financiera de varias organizaciones. Los
talleres más recientes han sido co-organizados y patrocinados por ENISA.
4.3.5.5.3. Estructura
La estructura de TERENA incluye:
•
Asamblea General de TERENA
•
Asamblea General Representantes
•
Comité ejecutivo Técnico de TERENA
•
Comité Técnico de TERENA
•
Consejo Consultivo Técnico
•
Secretaría
4.3.5.5.4. Área de Influencia
ACOnet, Austria
FCCN, Portugal
MREN, Montenegro
Página 109 de 197
SURFnet, The
Netherlands
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
AMRES - University of
Belgrade, Serbia
ARNES, Slovenia
BELNET, Belgium
FUNET, Finland
PCSS, Poland
SWITCH, Switzerland
GARR, Italy
GRNET, Greece
RedIRIS, Spain
RENATER, France
UIIP NASB, Belarus
ULAKBIM, Turkey
BREN, Bulgaria
CARNet, Croatia
CESNET, Czech Republic
HEAnet, Ireland
HUNGARNET, Hungary
IUCC, Israel
RESTENA, Luxembourg
RHnet, Iceland
RoEduNet, Romania
UNI-C, Denmark
UNINETT, Norway
Malta, University of
Malta
CYNET, Cyprus
JANET(UK), United
Kingdom
LITNET, Lithuania
MARNET, FYR of
Macedonia
SANET, Slovakia
DFN, Germany
EENet, Estonia
SigmaNet, Latvia
SUNET, Sweden
4.3.5.6. Alemania - CERT-Bund9 (Computer Emergency Response Team für Bundesbehörden)
4.3.5.6.1. Antecedentes
La Oficina Federal para la Seguridad en la Tecnología de Información (Bundesamt für Sicherheit in der
Informationstechnik - BSI) es la central de servicios de seguridad del gobierno y por ende, asume la
responsabilidad de la seguridad de la sociedad, convirtiéndose en la columna básica de la seguridad interna
en Alemania.
Mantiene contacto con los usuarios (administraciones públicas, gobierno y los municipios, así como las
empresas y los usuarios privados) y fabricantes de tecnología de información.
En Septiembre de 2001 se creo el contexto de la reorganización del BSI CERT-BUND (Equipo de Respuesta
a Emergencias Computacionales para las autoridades federales). Los ataques de virus computacionales
repetidos a las redes y sistemas, creo la necesidad de contar con un lugar central para la solución de los
problemas de la seguridad informática, enfocados en prevenir los agujeros de seguridad en los sistemas
informáticos del gobierno, con reacción siete días la semana.
4.3.5.6.2. Servicios Ofrecidos
Entre las tareas del CERT están:
•
9
Generar y publicar recomendaciones preventivas para evitar las acciones que generen daños.
Tomado de: http://www.bsi.bund.de/certbund/. U.A: 2008/09/26. Publicado por: Bundesamt für Sicherheit in der
Informationstechnik (BSI). Autor: No determinado.
Página 110 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Identificar puntos débiles del hardware y software.
•
Sugerir medidas de recuperación de los agujeros de seguridad,
•
Advertir situaciones especiales de amenaza relacionadas con la tecnología de información.
•
Recomendar medidas reactivas para delimitar daños.
•
Investigar riesgos de seguridad con el uso de la tecnología de información así como desarrollar las
medidas de seguridad.
•
Desarrollar criterios de prueba.
•
Evaluar la seguridad en sistemas información.
•
Ayudar de las autoridades gubernamentales en temas relacionados con la seguridad en la tecnología de
información.
4.3.5.6.3. Área de Influencia
Alemania
4.3.5.7. Arabia Saudita - CERT-SA10 (Computer Emergency Response Team - Saudi Arabia)
4.3.5.7.1. Antecedentes
El Equipo de Respuesta a Emergencia Computacionales (CERT-SA) es un organismo sin ánimo de lucro
establecido para desempeñar un papel importante en la creación de conocimiento, la administración, la
detección, la prevención, la coordinación y la respuesta a los incidentes de seguridad de la información a
nivel nacional en Arabia Saudita.
Su misión se establece en torno a los siguientes objetivos orientados a Arabia Saudita:
•
Incrementar el nivel de conocimiento acerca de la seguridad de la información.
•
Coordinar a nivel nacional los esfuerzos para promover las mejores prácticas de la seguridad y crear
confianza entre la comunidad del ciberespacio.
10
Tomado de: http://www.cert.gov.sa/. U.A: 2008/09/26. Publicado por:CERT-SA. Autor: No determinado.
Página 111 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Ayudar a manejar ataques e incidentes de la seguridad de la información.
•
Ser la referencia en seguridad de la información para la comunidad de Ciberespacio.
•
Construir talento y capacidad humana en el campo de la seguridad de la información.
•
Proporcionar un ambiente de confianza para las e-transacciones.
•
Fomentar la confianza, cooperación y colaboración entre los componentes y la ciber-comunidad de
Arabia Saudita.
4.3.5.7.2. Servicios Ofrecidos
•
•
•
Gerencia de la calidad de la seguridad
o
Construcción de conocimiento: Proporciona conocimiento y dirección en temas de seguridad de
la información para una mejor adecuación a las prácticas aceptadas en seguridad informática,
vía portal, campaña y seminarios.
o
Educación / Entrenamiento: Provee educación en seguridad de la información con el
entrenamiento interno ajustado para requisitos particulares y en colaboración con instituciones
de entrenamiento.
Servicios Proactivos
o
Aviso: Genera alarmas de seguridad de la información que incluye pero no se limitado a la
intrusión, advertencias de vulnerabilidad y asesorías en la seguridad a través del portal.
o
Difunde información relacionada con la seguridad.
Servicios reactivos
o
Alarmas y advertencia: Difunde información que describe intrusos, vulnerabilidades de la
seguridad, alarmas de intrusión, virus informáticos, bromas y establece la línea de conducta
relevante para enfrentar problemas específicos.
o
Ayuda de la respuesta del incidente: Asiste en la recuperación de incidentes vía teléfono, email,
fax, o documentación. Puede implicar asistencia técnica en la interpretación de los datos y
orienta en estrategias de mitigación y recuperación.
o
Análisis del incidente: Examina la información disponible y evidencia de soporte relacionados
con un incidente, con el fin de identificar el alcance del incidente, el grado del daño causado por
el incidente, la naturaleza del incidente y las estrategias de respuesta.
Página 112 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.7.3. Área de Influencia
Arabia Saudita
4.3.5.8. Argentina - ArCERT11 (Coordinación de Emergencias en Redes Teleinformáticas)
4.3.5.8.1. Antecedentes
En el año 1999, la Secretaría de la Función Pública de la Jefatura de Gabinete de Ministros de Argentina
dispuso la creación de ArCERT, unidad de respuesta ante incidentes en redes que centraliza y coordina los
esfuerzos para el manejo de los incidentes de seguridad que afecten los recursos informáticos de la
Administración Pública Nacional, es decir cualquier ataque o intento de penetración a través de sus redes
de información.
Adicionalmente difunde información con el fin de neutralizar dichos incidentes, en forma preventiva o
correctiva, y capacita al personal técnico afectado a las redes de los organismos del Sector Público
Nacional. ArCERT comenzó a funcionar en mayo de 1999 en el ámbito de la Subsecretaría de la Gestión
Pública, siendo sus principales funciones:
•
Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administración Pública Nacional y
facilitar el intercambio de información para afrontarlos.
•
Proveer un servicio especializado de asesoramiento en seguridad de redes.
•
Promover la coordinación entre los organismos de la Administración Pública Nacional para prevenir,
detectar, manejar y recuperar incidentes de seguridad.
•
Actuar como repositorio de toda la información sobre incidentes de seguridad, herramientas y técnicas
de defensa
ArCERT cumple funciones de naturaleza eminentemente técnica. No pretende investigar el origen de los
ataques ni quienes son sus responsables. Corresponde al responsable de cada organismo efectuar las
denuncias para iniciar el proceso de investigación
11
Tomado de: http://www.arcert.gov.ar/. U.A: 2008/09/26. Publicado por:Subsecretaría de Tecnología de Gestión,
Secretaría de la Gestión Pública, Argentina . Autor: No determinado.
Página 113 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.8.2. Servicios Ofrecidos
Servicios: Todos los servicios que el ArCERT brinda a los Usuarios son gratuitos y no implican erogación
alguna para el Organismo representado.
•
Acceso al Sitio Privado de ArCERT
•
Análisis y seguimiento de los incidentes de seguridad reportados
•
Difusión de información sobre las principales fallas de seguridad en productos
•
Recomendación de material de lectura
•
Asesorías sobre seguridad informática
•
Acceder a la utilización del Producto SiMoS (Sistema de Monitoreo de Seguridad)
•
Acceso a la Base de Conocimiento de Seguridad del ArCERT
•
Acceso a las Herramientas de Seguridad seleccionadas por el ArCERT
Servicios por Pedidos de Asistencia Específicos
•
Instalación y configuración de Firewall de libre disponibilidad
•
Instalación y configuración de IDS de libre disponibilidad
•
Análisis de la topología de red
•
Análisis perimetrales y visibilidad de la red
•
Búsqueda de vulnerabilidades en los servidores de red
•
Recomendaciones para robustecer los Sistemas Operativos y las Aplicaciones
Productos
•
SIMOS - Sistema de Monitoreo de Seguridad: Permite detectar las vulnerabilidades conocidas de los
servidores, que brinden servicio a través de Internet, de los organismos de la Administración Pública
•
FW-APN - Firewall de libre disponibilidad para la Administración Pública Nacional: Solución basada en
software de libre disponibilidad, eficiente, robusta y de bajos requerimientos que cubre las necesidades
Página 114 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
de Firewall en la mayoría de las redes de la Administración Pública Nacional. Funciona directamente
desde CD-ROM.
•
DNSar - Sistema de Análisis de Servidores y Dominios DNS: DNSar es un software desarrollado por
ArCERT para analizar los servidores y dominios DNS en busca de posibles errores de configuración y
funcionamiento.
•
CAL - Coordinación y Análisis de Logs (En desarrollo): CAL es un conjunto de software, de fácil
instalación, que los organismos pueden instalar en una máquina dedicada para la detección de alertas
de seguridad en su red. Además, estas alertas son reenviadas a ArCERT para una visión macro de
estado de seguridad de la administración pública.
4.3.5.8.3. Estructura
ArCERT está sustentado por un grupo de especialistas, que hoy conforman el equipo de seguridad en
redes, dedicado a investigar sobre incidentes, hacking, herramientas de protección y detección, etc., con
conocimientos y experiencia entre otras, en las siguientes áreas: tecnologías informáticas, Firewalls,
seguridad en Internet é Intranet, detección y erradicación de intrusos, políticas y procedimientos de
seguridad, administración de riesgos, etc.
Funciona en la Oficina Nacional de Tecnologías de Información de la Subsecretaría de Tecnologías de
Gestión de la Secretaría de Gabinete y Gestión Pública de la Jefatura de Gabinete de Ministros de
Argentina.
4.3.5.8.4. Área de Influencia
Argentina
4.3.5.9. Australia - AusCERT12 (Australia Computer Emergency Response Team)
4.3.5.9.1. Antecedentes
AusCERT es el Equipo de Respuesta a Emergencias Computacionales nacional para Australia y proporciona
asesoría en temas de seguridad de la información de la computadora, a la comunidad australiana y a sus
miembros, como punto único de contacto para ocuparse de dichos incidentes de seguridad que afectan o
que implican redes australianas.
12
Tomado de: http://www.auscert.org.au/. U.A: 2008/09/26. Publicado por: AusCERT, The University of Queensland,
Brisbane QLD 4072, Australia. Autor: No determinado.
Página 115 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
AusCERT supervisa y evalúa amenazas globales de la red de ordenadores y las vulnerabilidades. AusCERT
publica boletines de seguridad, incluyendo estrategias recomendadas de prevención y mitigación.
AusCERT ofrece servicios de administración de incidentes que puede ser una manera eficaz de parar un
ataque en curso de la computadora o proporcionar la asesoría práctica en la respuesta y recuperación de
un ataque.
4.3.5.9.2. Servicios Ofrecidos
Las organizaciones del miembro de AusCERT gozan de un número de servicios no disponibles al público en
general. Estos servicios incluyen:
•
Servicio de la detección temprana.
•
Acceso vía Web site a contenidos exclusivos.
•
Entrega vía email de boletines de seguridad.
•
Acceso a Foros.
•
Servicios de gerencia del incidente: incluyen la coordinación del incidente y la dirección del incidente.
•
Supervisión, evaluación y asesoría acerca de la vulnerabilidad y amenazas.
•
Los miembros de AusCERT reciben boletines de la seguridad vía email. Los no miembros pueden
suscribir al servicio de alerta libre nacional.
•
AusCERT investiga el ambiente de la seguridad del Internet para el gobierno y la industria dentro de
Australia. Estructura
AusCERT es una organización independiente, sin ánimo de lucro, con base en la Universidad de
Queensland, como parte del área de Servicios de Tecnología de la Información.
AusCERT cubre sus gastos con una variedad de fuentes incluyendo suscripciones de miembros y el
entrenamiento y educación en seguridad informática.
Es miembro activo del Foro FIRST y del Equipo de Respuesta a Emergencia Informática de Asia Pacífico
(APCERT), AusCERT tiene acceso a la información sobre amenazas y vulnerabilidades de la red de
ordenadores que surgen de manera regional y global.
4.3.5.9.3. Área de Influencia
Australia y Asia en la región pacífica
Página 116 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.10.
Austria - CERT.at13 (Computer Emergency Response Team Austria)
4.3.5.10.1.
Antecedentes
CERT.at es el CERT austríaco nacional que comenzó como un ensayo en marzo de 2008. Como el CERT
nacional, CERT.at es el punto de contacto primario para la seguridad informática en el contexto nacional.
CERT.at coordina otro CERT que funciona en el área de la infraestructura crítica o de la infraestructura de
la comunicación. En el caso de ataques en línea significativos contra la infraestructura austríaca, CERT.at
coordina la respuesta de los operadores y de los equipos locales de la seguridad.
4.3.5.10.2.
Servicios Ofrecidos
Respuesta al incidente: CERT.at asiste al equipo de seguridad en el manejo de los aspectos técnicos y
de organización de incidentes. Particularmente, proporciona ayuda o asesoría con respecto a los
aspectos siguientes de la administración del incidente:
•
o
Determina si un incidente es auténtico y define la prioridad requerida.
o
Coordinación del incidente: Investiga el incidente y toma las medidas apropiadas. Facilita el
contacto con otros participantes que puedan ayudar a resolver el incidente.
o
Resolución del incidente. Recomienda las acciones apropiadas.
Actividades Proactivas:
•
o
Recopila información de contacto de los equipos locales de seguridad.
o
Publica avisos referentes a amenazas serias de la seguridad.
o
Informa acerca de tendencias en tecnología y distribuyen conocimiento relevante.
o
Ofrece foros para construir la comunidad e intercambiar información.
4.3.5.10.3.
Área de Influencia
Austria
13
Tomado de: www.cert.at. U.A: 2008/09/26. Publicado por: Computer Emergency Response Team Austria. Autor: No
determinado.
Página 117 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.11.
4.3.5.11.1.
Brasil - CERT.br14 (Computer Emergency Response Team Brazil)
Antecedentes
El CERT.br es el equipo de respuesta a los incidentes de seguridad para el Internet brasileño, responsable
de recibir, analizar y responder a dichos incidentes.
Más allá del proceso de respuesta a los incidentes en sí mismo, el CERT.br también actúa sobre los
problemas de la seguridad, la correlación entre los acontecimientos en el Internet brasileño y de ayuda al
establecimiento de nuevos CSIRTs en el Brasil.
4.3.5.11.2.
Servicios Ofrecidos
Los servicios dados para el CERT.br incluyen:
•
Ser un único punto para las notificaciones de los incidentes de seguridad, para proveer la coordinación
y la ayuda necesaria en el proceso de respuesta a los incidentes, contactando las piezas implicadas
cuando sea necesario.
•
Establecer un trabaje colaborativo con otras entidades, como el gobierno, los proveedores de acceso y
servicios y de Internet;
•
Dar apoyo al proceso de recuperación y al análisis de sistemas.
•
Entrenar en la respuesta a los incidentes de seguridad, especialmente a los miembros de CSIRTs y de
las instituciones que están creando sus propios grupos.
4.3.5.11.3.
Área de Influencia
Brasil
14
Tomado de: http://www.cert.br. U.A: 2008/09/26. Publicado por: Comitê Gestor da Internet no Brasil (CGI.br).
Autor: No determinado.
Página 118 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.12.
4.3.5.12.1.
Canadá - PSEPC15 (Public Safety Emergency Preparedness Canada)
Antecedentes
El Centro Canadiense de Respuesta a Ciberincidentes (CCIRC) es responsable de supervisar amenazas y de
coordinar la respuesta nacional a cualquier incidente de la seguridad del ciberespacio. Su foco es la
protección de la infraestructura crítica nacional contra incidentes.
El centro es una parte del Centro de Operaciones del Gobierno y un componente importante en la
preparación de la seguridad nacional para atender emergencias en los peligros que acechan al gobierno.
Las iniciativas actuales incluyen:
•
Coordinación de la respuesta del incidente a través de jurisdicciones.
•
Fomentar el compartir la información entre las organizaciones y las jurisdicciones
•
Generar las advertencias en torno a la seguridad.
•
Divulgación de incidentes
•
Desarrolla estándares operacionales de seguridad de la tecnología de información y documentación
técnica en temas tales como supervisión del sistema y software malévolo.
•
Servicios de inteligencia canadienses de la seguridad: Investiga y analiza amenazas del ciberespacio a
la seguridad nacional. También proporciona asesoría en la seguridad e inteligencia, incluyendo
amenazas y la información de riesgos.
•
Establecimiento de la seguridad de comunicaciones: Proporciona asesoría y dirección en la protección
del gobierno acerca de la información electrónica de Canadá y de las infraestructuras de la información.
También ofrece ayuda técnica y operacional a las agencias federales en la aplicación de la Ley de
Seguridad.
4.3.5.12.2.
Servicios Ofrecidos
CCIRC le proporciona los servicios a los profesionales y los encargados de la infraestructura crítica y de
otras industrias relacionadas. Estos servicios se hacen sin cargo alguno:
15
Tomado de: http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp. U.A: 2008/09/26. Publicado por: Gobierno
de Canadá. Autor: No determinado.
Página 119 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Coordinación 7*24 y ayuda a la respuesta del incidente.
•
Supervisión 7*24 y análisis del ambiente de la amenaza del ciberespacio.
•
Asesoría técnica 7*24 relacionada con seguridad de la tecnología de información
•
Construcción de la capacidad nacional (estándares, mejores prácticas, conocimiento, educación)
4.3.5.12.3.
Área de Influencia
Canadá
4.3.5.13.
4.3.5.13.1.
Chile – CSIRT-GOV16
Antecedentes
Tiene como propósito contribuir a asegurar el ciberespacio del Gobierno de Chile, en conformidad con lo
señalado en el artículo 17 de la Agenda Digital. Su misión es constituirse como referente en materias de
seguridad informática para todos los servicios que forman parte de la administración del Estado.
CSIRT Chile es dirigido por la jefatura de la División Informática del Ministerio del Interior.
4.3.5.13.2.
Servicios Ofrecidos
El equipo de trabajo CSIRT Chile ofrece a los sistemas y redes gubernamentales los siguientes servicios:
•
Monitoreo de actividades y detección de anomalías.
•
Apoyo forense en respuesta a incidentes computacionales.
•
Asesoría en la generación e implementación de políticas y sistemas de seguridad.
•
Boletines de alertas adecuadamente traducidos y adaptados a las necesidades nacionales.
16
Tomado de: http://www.csirt.gov.cl/. U.A: 2008/09/26. Publicado por: Ministerio del Interior, Palacio de la Moneda,
Santiago de Chile. Autor: No determinado.
Página 120 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Asesoría en la implementación del decreto supremo 83/2004 del Ministerio Secretaría General de la
Presidencia.
•
4.3.5.13.3.
Estructura
El CSIRT Chile es una unidad dependiente de la División de Informática del Ministerio del Interior.
4.3.5.13.4.
Área de Influencia
Chile
4.3.5.14.
4.3.5.14.1.
Chile - CLCERT17 (Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional)
Antecedentes
El Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional – CLCERT, tiene como misión
monitorear y analizar los problemas de seguridad de los sistemas computacionales en Chile, y reducir la
cantidad de incidentes de seguridad perpetrados desde y hacia éstos.
Desde comienzos de 2004, el CLCERT se auto-financia a través de su área de capacitación, asesorías en la
generación de políticas públicas concernientes a seguridad de sistemas informáticos y proyectos de
colaboración con el sector productivo.
Para ello, CLCERT se constituye como un punto nacional de encuentro, contacto y coordinación entre
instituciones y personas relacionadas del medio local.
4.3.5.14.2.
Servicios Ofrecidos
El CLCERT tiene como principales objetivos:
•
Entregar en forma oportuna y sistemática información sobre vulnerabilidades de seguridad y amenazas
•
Divulgar y poner a disposición de la comunidad información que permita prevenir y resolver estos
incidentes de seguridad
17
Tomado de: http://www.clcert.cl. U.A: 2008/09/26. Publicado por: FCFM Ingeniería, Universidad de Chile. Autor: No
determinado.
Página 121 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Educar a la comunidad en general sobre temas de seguridad, promoviendo las políticas que permiten
su implementación.
•
CLCERT promueve el uso de Internet, los sistemas computacionales abiertos, y las tecnologías de la
información, haciendo sus usos más seguros y que por lo tanto gocen de la confianza de la comunidad
que los utiliza.
4.3.5.14.3.
Estructura
El origen del CLCERT (fines de 2001) está estrechamente ligado al del Laboratorio de Criptografía Aplicada
y Seguridad (CASLab). Surge como una forma en que el CASLab se vincula con el medio local.
El CLCERT y el CASLab conforman una misma unidad y comparten financiamiento, pero los ámbitos de
acción son distintos. El CASLab prioriza las actividades de investigación, formación de capital humano
altamente especializado y tiene por ámbitos de acción el medio académico principalmente internacional. El
CLCERT prioriza actividades de formación profesional, extensión, transferencia tecnológica y tiene por
principal ámbito de acción el medio local.
4.3.5.14.4.
Área de Influencia
Chile
4.3.5.15.
4.3.5.15.1.
China - CNCERT/CC18 (National Computer Network Emergency Response Technical Team)
Antecedentes
El Equipo Técnico Nacional de Respuesta a Emergencias de Redes Computacionales / Centro de
Coordinación de China CNCERT/CC (National Computer Network Emergency Response Technical Team /
Coordination Center of China) es una organización funcional que opera en la Oficina de Coordinación de
Respuesta a Emergencia de Internet del Ministerio de la Industria de Información de China y que es
responsable de la coordinación de actividades entre todos los equipos de Respuesta a Emergencias
Computacionales de China relacionadas con incidentes en las redes públicas nacionales.
CNCERT/CC fue fundado en octubre de 2000 y se hizo miembro de FIRST en agosto de 2002. CNCERT/CC
formó parte activa en el establecimiento de APCERT como miembro del comité de dirección de APCERT. Así
CNCERT/CC está parado para una nueva plataforma para una cooperación internacional mejor y un interfaz
prestigioso de la respuesta del incidente de la seguridad de la red de China.
18
Tomado de: http://www.cert.org.cn/english_web/. U.A: 2008/09/26. Publicado por: CNCERT/CC. Autor: No
determinado.
Página 122 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.15.2.
Servicios Ofrecidos
Proporciona servicios de seguridad de la red de ordenadores y brinda orientación para el manejo de los
incidentes de seguridad para las redes públicas nacionales, los sistemas nacionales importantes y las
principales organizaciones, incluyendo la detección, predicción, respuesta y prevención. Recopila, verifica,
acumula y publica la información relacionada con la seguridad del Internet. Es también responsable del
intercambio de la información y la coordinación de acciones con organizaciones de la seguridad
internacional.
•
Recopila información oportuna sobre acontecimientos de seguridad.
•
Supervisión de Incidentes: Detecte los problemas y acontecimientos severos de la seguridad a tiempo,
y entrega prevenciones y apoyo a las organizaciones relacionadas.
•
Dirección del Incidente.
•
Análisis de datos de los incidentes de seguridad.
•
Recopila y mantiene la información básica pertinente, incluyendo vulnerabilidades, correcciones,
herramientas y las últimas tecnologías de seguridad.
•
Investigación sobre las tecnologías de seguridad.
•
Entrenamiento en seguridad: Proporciona los cursos en respuesta de la emergencia, las tecnologías
requeridas, la orientación y la construcción del CERT.
•
Ofrece servicios de consultoría técnica en el manejo de incidentes de seguridad.
•
Promueve el intercambio internacional, organizando CERTs locales para orientar la cooperación y el
intercambio internacionales.
Página 123 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.15.3.
Estructura
Ilustración 4: Estructura CNCERT/CC
El CNCERT/CC hace parte del Sistema de la Red Pública Nacional de Respuesta a Emergencias de
Seguridad China:
Página 124 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Ilustración 5: Sistema de la Red Pública Nacional de Respuesta a Emergencias de Seguridad China
4.3.5.15.4.
Área de Influencia
China
Página 125 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.16.
Corea del Sur - KrCERT/CC19 (CERT Coordination Center Korea)
4.3.5.16.1.
Antecedentes
Para hacer frente a los ataques informáticos, prevenir los casos de infracción de seguridad informática y
reducir al mínimo los posibles daños en Corea, el Centro de Seguridad del Internet de Corea ha dedicado
su energía a definir las medidas y metodología eficaces para dar respuesta técnica a los ataques, para la
protección de la red de comunicaciones, de la infraestructura de la red y para el refuerzo del sistema de la
predicción y de alarmas.
Desde julio de 1996 se establece el equipo coreano de respuestas a la emergencia computacional llamado
CERTCC-KR.
En junio de 1997 se establece la Organización de Respuesta al Incidente en el Asia Pacífico
En febrero de 1998 se establece como el primer miembro coreano en el FIRST (foro de Equipos de la
Respuesta y de la Seguridad del Incidente).
En diciembre de 2003 se establece el KISC (Korea Internet Security Center), con su centro de operaciones
KrCERT/CC's.
4.3.5.16.2.
Servicios Ofrecidos
•
Administración del Centro de Respuesta y Asistencia a Incidentes
•
Análisis de incidentes y tecnología de soporte
•
Establecimiento del sistema de coordinación para respuesta a incidentes de internet.
4.3.5.16.3.
•
Estructura
Equipo de Análisis de Incidentes:
o
Investigación sobre nuevas vulnerabilidades de la red y tendencias de nuevos virus.
o
Verificación y análisis en vulnerabilidades de la red
19
Tomado de: http://www.krcert.or.kr/. U.A: 2008/09/26. Publicado por: Korea Internet Security Center. Autor: No
determinado.
Página 126 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
•
•
o
Análisis en virus.
o
Recopilación de muestras de virus.
o
Establecimiento y gerencia de la base de datos de vulnerabilidades.
Equipo de Monitoreo de la Red:
o
Supervisión del trafico de ISPs y los Web site más importantes nacionales o internacionales.
o
Respuesta temprana a los incidentes, pronóstico y mensajes de alerta al público.
o
Atención de respuestas y direccionamiento de incidentes que ocurren de manera local o
internacional.
o
Publicación de reportes mensuales con estadística y análisis del virus
Equipo de Respuesta a Hacking:
o
Investigación sobre técnicas y tendencias de hacking.
o
Análisis de casos de hacking en redes piloto.
o
Establecimiento y gerencia de investigaciones de incidentes y del sistema del análisis.
o
Desarrollo y distribución de tecnologías para enfrentar ocurrencias de hacking.
o
Respuesta de la emergencia contra incidentes y ayuda tecnológica
Equipo de Coordinación de Respuestas:
o
Muestras incrementales para recopilar y compartir información.
o
Cooperación con FIRST para el CERT.
o
Operación de la oficina administrativa para APCERT y CONCERT.
o
Recepción de correos electrónicos de incidentes y manipulación de ellos.
o
Activación del CERT nacional y establecimiento del sistema cooperativo.
o
Participación en la estandarización con respecto a incidentes del Internet.
Página 127 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.16.4.
Área de Influencia
Corea del Sur
4.3.5.17.
4.3.5.17.1.
Dinamarca – DK.CERT20 (Danish Computer Emergency Response Team)
Antecedentes
DK CERT es el equipo danés de Respuestas a Emergencias Computacionales y es de los pioneros alrededor
del mundo, cuando a inicios de los años noventa FIRST tomó la iniciativa de establecer la cooperación
internacional basada en el concepto original de CERT en los E.E.U.U. Como parte del trabajo cooperativo
internacional DK CERT supervisa la seguridad en Dinamarca.
El objetivo de DK CERT es recopilar información y conocimientos técnicos vía la cooperación en FIRST
permitiendo a DK CERT publicar alarmas y otra información relacionada con riesgos potenciales de la
seguridad. Así mismo recibe información sobre incidentes de seguridad y coordina esfuerzos en el campo.
DK CERT es un miembro del Foro de los Equipos de Respuesta y Seguridad del Incidente (FIRST).
4.3.5.17.2.
Servicios Ofrecidos
•
Consulta con respecto a incidentes de la seguridad
•
DK CERT analiza notificaciones de las personas que se han expuesto a los incidentes de seguridad,
propone soluciones a los problemas y advierte a otros que pudieron ser blancos potenciales para
incidentes similares.
•
DK CERT coordina la información entre las partes implicadas y otras organizaciones, tales como
equipos extranjeros de respuesta y la policía.
•
DK CERT tiene un papel consultivo y no tiene ninguna autoridad para ordenar realizar tareas.
•
DK CERT puede actuar como intermediario de la información entre diversas partes que desean
mantener el anonimato
20
Tomado de: https://www.cert.dk/. U.A: 2008/09/26. Publicado por: DK.CERT - Danish Computer Emergency
Response Team. Autor: No determinado.
Página 128 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
DK CERT proporciona asesoría con respecto a riesgos potenciales de seguridad y ofrece la ayuda por
ejemplo, para identificar el método de ataque. Además da instrucción en cómo los sistemas pueden ser
restaurados y como se pueden remediar los daños posibles.
•
4.3.5.17.3.
Estructura
DK CERT fue establecido en 1991 por el Centro para la Educación y la Investigación Danes UNI-C, bajo el
Ministerio Danés de la Educación, por uno de los primeros casos del hacker en Dinamarca. DK CERT
coordina aproximadamente 10.000 incidentes de seguridad por año.
4.3.5.17.4.
Área de Influencia
Dinamarca
4.3.5.18.
Emiratos Árabes Unidos – aeCERT21 (The United Arab Emirates Computer Emergency
Response Team)
4.3.5.18.1.
Antecedentes
El Equipo de Respuesta a Emergencias Computacionales (aeCERT) es el centro de coordinación de la
seguridad del ciberespacio en los Emiratos Árabes Unidos. Ha sido establecido por la Autoridad Reguladora
de Telecomunicaciones (TRA) como iniciativa para facilitar la detección, la prevención y la respuesta de los
incidentes de la seguridad del ciberespacio en Internet.
Su misión es sostener una infraestructura vigilante de las ciber amenazas de la seguridad y construir una
cultura de la seguridad del ciberespacio en los Emiratos Árabes Unidos.
4.3.5.18.2.
Servicios Ofrecidos
•
Ayudar en la creación de nuevas leyes para la seguridad del ciberespacio.
•
Recopilar conocimiento de la seguridad de la información de los Emiratos Árabes Unidos.
•
Construir experiencia nacional en seguridad de la información, administración del incidente y la
computación forense.
•
Proporcionar a punto central confiable de contacto para el manejo de incidentes de la seguridad del
ciberespacio en los Emiratos Árabes Unidos.
21
Tomado de: http://www.aecert.ae/. U.A: 2008/09/26. Publicado por: aeCERT. Autor: No determinado.
Página 129 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Establecer un centro nacional para divulgar la información sobre las amenazas, vulnerabilidades e
incidentes de la seguridad del ciberespacio.
•
Fomentar el establecimiento de nuevos CSIRTs.
•
Coordinar las operaciones entre CSIRTs doméstico, internacionales y organizaciones relacionadas.
4.3.5.18.3.
Estructura
Ha sido establecido por la Autoridad Reguladora de Telecomunicaciones (TRA) de los Emiratos Árabes
Unidos como un cuerpo consultivo que debe recomendar buenas prácticas, políticas, procedimientos y
tecnologías, sin embargo sin ejercer ninguna autoridad sobre su adopción ni responsabilidad sobre la
administración de los riesgos de la ciberseguridad.
4.3.5.18.4.
Área de Influencia
Emiratos Árabes Unidos
4.3.5.19.
España - ESCERT22 (Equipo de Seguridad para la Coordinación de Emergencias en Redes
Telemáticas)
4.3.5.19.1.
Antecedentes
A principios de la década de los noventa surge en Europa una iniciativa dispuesta a crear Equipos de
Respuestas a Incidentes de Seguridad en Ordenadores. Gracias al apoyo del programa técnico TERENA se
empiezan a crear CSIRT europeos, es entonces cuando aparece, concretamente a finales de 1994, esCERTUPC (Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas - Universidad
Politécnica de Cataluña) como primer centro español dedicado a asesorar, prevenir y resolver incidencias
de seguridad en entornos telemáticos.
esCERT - UPC ayuda y asesora en temas de seguridad informática y gestión de incidentes en redes
telemáticas.
Los principales objetivos son:
Informar sobre vulnerabilidades de seguridad y amenazas.
•
22
Tomado de: http://escert.upc.edu/index.php/web/es/index.html. U.A: 2008/09/26. Publicado por: Equipo de
Seguridad para la Coordinación de Emergencias en Redes Telemáticas. Autor: No determinado.
Página 130 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Divulgar y poner a disposición de la comunidad información que permita prevenir y resolver incidentes
de seguridad.
•
Realizar investigaciones relacionadas con la seguridad informática.
•
Educar a la comunidad en general sobre temas de seguridad.
De esta forma esCERT pretende mejorar la seguridad de los sistemas informáticos y a su vez aumentar el
nivel de confianza de las empresas y de los usuarios en las redes telemáticas.
4.3.5.19.2.
Servicios Ofrecidos
Para llevar a cabo sus objetivos esCERT-UPC ofrece a la comunidad una serie de servicios que van desde la
respuesta a incidentes a la definición de una política de seguridad para las empresas, pasando por la
formación.
•
Respuesta a Incidentes
•
Altair (Servicio de Avisos de Vulnerabilidades)
•
Formación
4.3.5.19.3.
Estructura
esCERT es miembro de TF-CSIRT (Task Force-Collaboration of Incident Response Teams) y junto con otros
equipos de seguridad como los de las compañías Telia o British Telecom.
Forma parte de EPCI (European Private CERT Initiative) una agrupación de CERTs europeos privados.
Dentro de EPCI se encuentran compañías como BT, Alcacel o Siemens.
esCERT en el ámbito mundial participa en el FIRST, principal foro de coordinación de los diferentes CERTs
de todo el mundo.
4.3.5.19.4.
Área de Influencia
España
Página 131 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.20.
España – IRIS-CERT23 (Servicio de seguridad de RedIRIS)
4.3.5.20.1.
Antecedentes
El servicio de seguridad de RedIRIS (IRIS-CERT) tiene como finalidad la detección de problemas que
afecten a la seguridad de las redes de centros de RedIRIS, así como la actuación coordinada con dichos
centros para poner solución a estos problemas. También se realiza una labor preventiva, avisando con
tiempo de problemas potenciales, ofreciendo asesoramiento a los centros, organizando actividades de
acuerdo con los mismos, y ofreciendo servicios complementarios.
IRIS-CERT es miembro del FIRST desde el 11 de Febrero de 1997. Además ha sido contribuidor al piloto
EuroCERT desde el 25 de Marzo de 1997 hasta la finalización del mismo en Septiembre de 1999.
Actualmente participa activamente en el Task Force auspiciado por TERENA, TF-CSIRT, para promover la
cooperación entre CSIRTs en Europa.
Los usuarios del servicio de seguridad son de tres tipos:
•
Instituciones afiliadas a RedIRIS: Incluye universidades y otros centros de investigación. Estos usuarios
tienen derecho a todos los servicios (por definición) y pueden participar en la coordinación de los
mismos.
•
Otros servicios de seguridad nacionales e internacionales: IRIS-CERT actúa como punto de contacto y
de coordinación de incidentes para otros servicios de seguridad. El ámbito de coordinación es toda
España. El ámbito de representación es todo el mundo. IRIS-CERT es miembro de FIRST, fue
contribuyente del proyecto EuroCERT y actualmente participa en el Task Force de TERENA TF-CSIRT,
para promover la cooperación entre CSIRTs en Europa. IRIS-CERT también puede actuar de enlace con
las fuerzas de seguridad del Estado (Policía y Guardia Civil), aunque no tomará acción judicial en
nombre de terceros, y limitará su participación en tales procesos a la asesoría técnica.
•
Proveedores y usuarios de Internet en España: El servicio ofrecido a éstos, fuera de las instituciones de
RedIRIS, se limita a lo siguiente:
o
Uso de los recursos públicos de IRIS-CERT (Servidor web, FTP, listas de correo).
o
Atención de incidentes de seguridad. El servicio de atención de incidentes se ofrece a todos por
igual, según los criterios y prioridades establecidos aquí.
23
Tomado de: http://www.rediris.es/cert/. U.A: 2008/09/26. Publicado por: IRIS - CERT. Autor: No determinado.
Página 132 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.20.2.
Servicios Ofrecidos
IRIS-CERT ofrece una serie de servicios principalmente orientados a las instituciones afiliadas a RedIRIS.
Algunos de estos servicios se ofrecen, así mismo, a la comunidad de Internet.
•
•
•
Comunidad RedIRIS
o
Asesoramiento instituciones afiliadas
o
Auditoría en línea
Comunidad de Internet
o
Gestión de incidentes.
o
Listas de Seguridad de RedIRIS
Otros Servicios de Seguridad (Servicios no específicos de IRIS-CERT)
o
Infraestructura de Clave Pública para la comunidad RedIRIS (RedIRIS-PKI)
o
Servidor de claves públicas PGP
o
Red de Sensores AntiVirus de la Comunidad Académica (RESACA)
EL servicio no tiene costo para quien tenga derecho a usar el servicio. No se presta servicio a nadie más. El
Plan Nacional de I+D financia una red para los investigadores, y un servicio de seguridad que garantice la
integridad de la misma. La coordinación de incidentes ajenos a RedIRIS es una tarea adicional, necesaria
para llevar a cabo ese servicio.
4.3.5.20.3.
Estructura
IRIS-CERT funciona bajo el auspicio y con la autoridad delegada del director de RedIRIS.
El IRIS-CERT espera trabajar cooperativo con los administradores y los usuarios de sistema en las
instituciones conectadas RedIRIS, evitando relaciones autoritarias.
4.3.5.20.4.
Área de Influencia
España
Página 133 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.21.
España - CCN-CERT24 (Cryptology National Center - Computer Security Incident Response
Team)
4.3.5.21.1.
Antecedentes
Este servicio se creo a principios de 2007 como CERT gubernamental español y está presente en los
principales foros internacionales en los que se comparte objetivos, ideas e información sobre la seguridad
de forma global.
Su principal objetivo es contribuir a la mejora del nivel de seguridad de los sistemas de información de las
tres administraciones públicas existentes en España (general, autonómica y local).
Su misión es convertirse en el centro de alerta nacional que coopere y ayude a todas las administraciones
públicas a responder de forma rápida y eficiente a los incidentes de seguridad que pudieran surgir y
afrontar de forma activa las nuevas amenazas a las que hoy en día están expuestas.
4.3.5.21.2.
Servicios Ofrecidos
Para contribuir a esta mejora del nivel de seguridad, el CCN-CERT ofrece sus servicios a todos los
responsables de Tecnologías de la Información de las diferentes administraciones públicas a través de
cuatro grandes líneas de actuación:
•
Soporte y coordinación para la resolución de incidentes que sufra la Administración General,
Autonómica o Local. El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actúa
rápidamente ante cualquier ataque recibido en los sistemas de información de las administraciones
públicas.
•
Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los
miembros de las administraciones públicas. En este sentido, las citadas Series CCN-STIC elaboradas por
el CCN ofrecen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los
Sistemas TIC en la Administración.
•
Formación a través de los cursos STIC, destinados a formar al personal de la Administración
especialista en el campo de la seguridad de las TIC e impartidos a lo largo de todo el año. Su principal
objetivo, aparte de actualizar el conocimiento del propio equipo que forma el CCN-CERT, es el de
permitir la sensibilización y mejora de las capacidades del personal para la detección y gestión de
incidentes.
24
Tomado de: https://www.ccn-cert.cni.es/. U.A: 2008/09/26. Publicado por: Centro Criptológico Nacional. Ministerio
de Defensa de España. Autor: No determinado.
Página 134 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de
información, recopiladas de diversas fuentes de reconocido prestigio (incluidas las propias)
•
El CCN-CERT ofrece información, formación y herramientas para que las distintas administraciones puedan
desarrollar sus propios CERTs, permitiendo a este equipo actuar de catalizador y coordinador de CERTs
gubernamentales.
4.3.5.21.3.
Estructura
El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro
Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI).
4.3.5.21.4.
Área de Influencia
España
4.3.5.22.
España - INTECO-CERT25 (Centro de Respuestas a Incidentes en TI para PYMES y
Ciudadanos)
4.3.5.22.1.
Antecedentes
El Centro de Respuesta a Incidentes en Tecnologías de la Información para PYMEs y Ciudadanos sirve de
apoyo al desarrollo del tejido industrial nacional y ofrece los servicios clásicos de un Centro de Respuesta a
Incidentes, dando soluciones reactivas a incidentes informáticos, servicios de prevención frente a posibles
amenazas y servicios de información, concienciación y formación en materia de seguridad a la PYME y
ciudadanos españoles. Para todo el proceso de definición y creación de INTECO-CERT se han seguido las
directrices propuestas por ENISA (European Network and Information Security Agency, Agencia Europea
de Seguridad de las Redes y de la Información).
El centro de respuesta surge como iniciativa pública con los siguientes objetivos:
•
Proporcionar información clara y concisa acerca de la tecnología, su utilización y la seguridad que
mejore su comprensión.
•
Concienciar a las PYMEs y ciudadanos de la importancia de contemplar y abordar adecuadamente todos
los aspectos relacionados con la seguridad informática y de las redes de comunicación.
25
Tomado de: http://www.inteco.es/rssRead/Seguridad/INTECOCERT. U.A: 2008/09/26. Publicado por: Instituto
Nacional de Tecnologías de la comunicación S.A.. Autor: No determinado.
Página 135 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Proporcionar guías de buenas prácticas, recomendaciones y precauciones a tener en cuenta para
mejorar la seguridad.
•
Proporcionar mecanismos y servicios de divulgación, formación, prevención y reacción ante incidencias
en materia de seguridad de la información.
•
Actuar como enlace entre las necesidades de PYMEs y ciudadanos y las soluciones que ofertan las
empresas del sector de la seguridad de las tecnologías de la información.
4.3.5.22.2.
Servicios Ofrecidos
Para llevar a cabo la misión de concienciación, formación, prevención y reacción en materia de seguridad
en tecnologías de la información, INTECO-CERT ofrece un catálogo de servicios a los usuarios:
•
Servicios de información sobre Actualidad de la Seguridad:
o
Suscripción a boletines, alertas y avisos de seguridad.
o
Actualidad, noticias y eventos de relevancia.
o
Avisos sobre nuevos virus, vulnerabilidades y fraude. Estadísticas.
•
Servicios de Formación en seguridad y en la legislacón vigente para Pyme y ciudadanos,
proporcionando guías, manuales, cursos online y otros recursos a los usuarios.
•
Servicios de Protección y prevención: catálogo de útiles gratuitos y actualizaciones de software.
•
Servicios de Respuesta y Soporte:
•
o
Gestión y soporte a incidentes de seguridad.
o
Gestión de malware y análisis en laboratorio del INTECO-CERT.
o
Lucha contra el fraude.
o
Asesoría Legal en materia de seguridad en las tecnologías de la información.
o
Foros de Seguridad.
Cooperación y coordinación con otras entidades de referencia en el sector, tanto a nivel nacional como
internacional.
Página 136 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
INTECO-CERT como servicio público e intermediario INTECO-CERT tiene vocación de servicio
ánimo de lucro. El Centro surge con la vocación de servir de apoyo preventivo y reactivo en
seguridad en tecnologías de la información y la comunicación a una tipología de usuarios, la
Mediana Empresa (PYME) y ciudadanos, que no disponen de la formación, sensibilización
suficientes en dicho campo.
público sin
materia de
Pequeña y
y recursos
INTECO-CERT no vende soluciones tecnológicas o de consultoría. Si en su labor de apoyo a PYME y
ciudadanos, entiende que debe aconsejar alguno de ellos, facilita un directorio de entidades que prestan
esos servicios, para que el usuario elija según su criterio.
El Centro de Respuesta quiere, en este contexto, erigirse como un puente entre las necesidades de la
demanda (PYMEs y ciudadanos) y las soluciones de la oferta (entidades del sector de la seguridad de las
tecnologías de la información).
4.3.5.22.3.
Área de Influencia
España
4.3.5.23.
4.3.5.23.1.
Estados Unidos - US-CERT26 (United States - Computer Emergency Readiness Team)
Antecedentes
Establecido en 2003 para proteger la infraestructura del Internet de la nación, US-CERT coordina la
defensa contra y respuestas a los ataques del ciberespacio a través de la nación.
US-CERT es cargado con la protección de la infraestructura del Internet coordinando la defensa y la
respuesta a los ataques del ciberespacio.
4.3.5.23.2.
Servicios Ofrecidos
US-CERT es responsable de
•
Analizar y reducir amenazas y vulnerabilidades del ciberespacio.
•
Divulgar información y advertencias de amenaza del ciberespacio.
•
Coordinar la respuesta a incidente.
26
Tomado de: http://www.us-cert.gov. U.A: 2008/09/26. Publicado por: Department of Homeland Security - USA.
Autor: No determinado.
Página 137 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
US-CERT obra recíprocamente con las agencias federales, industria, la comunidad de investigación, el
estado y los gobiernos locales, y otros para divulgar la información de la seguridad del ciberespacio
entre el público.
•
4.3.5.23.3.
Estructura
El equipo de la Preparación para Emergencias Computacionales de Estados Unidos (US-CERT) es una
sociedad entre Departamento de la seguridad de la patria y los sectores públicos y privados
4.3.5.23.4.
Área de Influencia
Estados Unidos
4.3.5.24.
4.3.5.24.1.
Estonia – CERT-EE 27 (Computer Emergency Response Team of Estonia)
Antecedentes
El Equipo de la Respuesta a Emergencias Computacionales de Estonia (CERT Estonia), se establece en
2006. Su tarea es asistir a usuarios estonios del Internet en la puesta en práctica de medidas preventivas
para reducir los daños posibles de incidentes de la seguridad y ayudarles a responder a las amenazas de la
seguridad. El CERT Estonia se ocupa de los incidentes de la seguridad que ocurren en redes estonias.
Los incidentes de la seguridad se atienden acorde con una prioridad definida según su severidad y alcance
potenciales considerando el número de usuarios afectados, el tipo de un incidente, la blanco del ataque,
así como el origen del ataquey los recursos requeridos para manejar el incidente. Los incidentes prioritarios
incluyen, por ejemplo: ataques que pueden comprometer la vida de la gente, ataques en la infraestructura
del Internet (servidores de nombres, nodos de red importantes y ataques automáticos en grande en los
servidores de la red), etc.
4.3.5.24.2.
Servicios Ofrecidos
El CERT Estonia ofrece los servicios siguientes:
•
Orientación en el incidente
•
Recepción de informes de incidente
27
Tomado de: http://www.ria.ee/?id=28201. U.A: 2008/09/26. Publicado por: Department for Handling Information
Security Incidents - Estonia. Autor: No determinado.
Página 138 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Asignación de prioridades a los incidentes según su nivel de la severidad
•
Análisis del incidente
•
Respuesta a los incidentes.
4.3.5.24.3.
Área de Influencia
Estonia
4.3.5.25.
4.3.5.25.1.
Filipinas - PH-CERT28 (Philippines Computer Emergency Response Team)
Antecedentes
El Equipo de Respuesta a Emergencias Computacionales de Filipinas (PH-CERT) es una organización sin
ánimo de lucro que pretende brindar un punto confiable de contacto para emergencias computacionales,
de internet y otras emergencias relacionadas de la tecnología de información.
4.3.5.25.2.
Servicios Ofrecidos
•
Proporcione ayuda legal y consultiva.
•
Opera como punto central para divulgar vulnerabilidades de la seguridad computacional y
proporcionará ayuda coordinada en respuesta a tales informes.
•
Genera informes técnicos de análisis referentes a código malévolo.
•
Proporciona información sobre la futura tecnología que puede plantear amenazas de la seguridad.
•
Proporciona entrenamiento para promover el conocimiento de la seguridad.
•
Genera alarmas sobre medidas a tomar contra amenazas existentes o próximas de la seguridad.
•
Proporciona pautas en el uso y la combinación eficaces de las herramientas de la seguridad para
detección y prevención del incidente.
28
Tomado de: http://www.phcert.org/. U.A: 2008/09/26. Publicado por: Philippines Computer Emergency Response
Team. Autor: No determinado.
Página 139 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.25.3.
Área de Influencia
Filipinas
4.3.5.26.
Francia-CERTA29 (Centre d'Expertise Gouvernemental de Réponse et de Traitement des
Attaques informatiques)
4.3.5.26.1.
Antecedentes
El Primer Ministro anunció la creación del CERTA, tras la decisión del Comité Interministerial para la
Sociedad de la Información (CISI), en enero de 1999 e inaugurado en febrero de 2000, con el fin de
reforzar la protección de las redes del Estado contra los ataques. A fin de reforzar y coordinar la lucha
contra las intrusiones en los sistemas informáticos de las administraciones del Estado, el Gobierno decide la
creación de una estructura de alerta y de asistencia en la Internet encargada de la misión de vigilar y
responder a los ataques informáticos.
Los dos principales objetivos del CERTA son:
•
Garantizar la detección de las vulnerabilidades y la resolución de incidentes relativos a la seguridad de
los sistemas de información
•
Asistir en la instalación de medios que permitan prevenir futuros incidentes.
Para alcanzar estos dos objetivos, deben llevarse a cabo en paralelo las tres misiones siguientes:
•
Llevar a cabo una vigilancia tecnológica;
•
Organizar la instalación de una red de confianza;
•
Administrar la resolución de un incidente (si es necesario en relación con la red mundial de los CERT).
El CERTA es miembro del FIRST desde el 12 de setiembre de 2000 y participa en la actividad TF-CSIRT
(Computer Security Incident Response Team) que es la coordinación de los CERT europeos.
En la actualidad existen varios CERT en Francia. Esta es la lista de los equipos miembros del FIRST o de la
TF-CSIRT:
29
Tomado de: http://www.certa.ssi.gouv.fr/. U.A: 2008/09/26. Publicado por: Premier Ministre / Secrétariat Général
de la Défense Nationale / Direction centrale de la sécurité des systèmes d'information. Autor: No determinado.
Página 140 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
El CERTA es el CERT dedicado al sector de la administración francesa;
•
El Cert-IST es el CERT dedicado al sector de la Industria, de los Servicios y del Terciario (IST). Fue
creado a finales del año 1998 por cuatro socios: ALCATEL, el CNES, ELF y France Télécom;
•
El CERT-RENATER es el CERT dedicado a la comunidad de los miembros del GIP RENATER (Red
Nacional de telecomunicaciones para la tecnología, la Enseñanza y la Investigación).
4.3.5.26.2.
Servicios Ofrecidos
Las tareas prioritarias del CERT son las siguientes:
•
Centralización de las solicitudes de asistencia tras los incidentes de seguridad (ataques) en las redes y
sistemas de informaciones: recepción de las solicitudes, análisis de los síntomas y eventual correlación
de los incidentes;
•
Tratamiento de las alertas y reacción a los ataques informáticos: análisis técnico, intercambio de
informaciones con otros CERT, contribución a estudios técnicos específicos;
•
Establecimiento y mantenimiento de una base de datos de las vulnerabilidades;
•
Prevención por difusión de informaciones sobre las precauciones que tomar para minimizar los riesgos
de incidente o, por lo menos, sus consecuencias;
•
Coordinación eventual con las demás entidades (fuera del campo de acción): centros de competencia
en redes, operadores y proveedores de acceso a Internet, CERT nacionales e internacionales.
4.3.5.26.3.
Estructura
Dicha estructura depende de la Secretaría General de la Defensa Nacional y trabajará en red con los
servicios encargados de la seguridad de la información en todas las administraciones del Estado.
Participará en la red mundial de los CERT (Computer Emergency Response Team).
El CERTA depende de la Dirección Central de la Seguridad de Sistemas de Información (DCSSI) en la
Secretaría General de la Defensa Nacional (SGDN), y se encarga de asistir a los organismos de la
administración en la instalación de medios de protección y en la resolución de los incidentes o las
agresiones informáticas de las cuales son víctimas. Constituye el complemento indispensable para las
acciones preventivas ya aseguradas por la DCSSI y que son anteriores en el procedimiento de seguridad de
los sistemas de información.
4.3.5.26.4.
Área de Influencia
Francia
Página 141 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.27.
4.3.5.27.1.
Hong Kong - HKCERT30 (Hong Kong Computer Emergency Response Coordination Centre)
Antecedentes
En respuesta a las necesidades de hacer frente a amenazas de la seguridad, el gobierno ha financiado al
consejo de la productividad de Hong Kong para poner a funcionar el Centro de Coordinación del Equipo de
Respuesta a Emergencias Computacionales de Hong Kong (HKCERT). El objetivo de HKCERT es
proporcionar un contacto centralizado en la divulgación de incidentes y seguridad computacionales y de la
red y brindar la respuesta para las empresas locales y los usuarios del Internet en el caso de los incidentes
de la seguridad. Coordinará las acciones de respuesta y recuperación para los incidentes divulgados, ayuda
a supervisar y a divulgar la información sobre seguridad y proporciona asesoría en medidas preventivas
contra amenazas de la seguridad. El HKCERT también organiza seminarios del conocimiento y cursos de en
asuntos relacionados seguridad de la información.
4.3.5.27.2.
Servicios Ofrecidos
•
Respuesta a Incidentes: HKCERT proporciona respuesta durante 24 horas al día, 7 días a la semana.
Acepta incidentes por teléfono, fax y e-mail. HKCERT asiste y coordina las acciones de recuperación
para los incidentes.
•
Alarma de la Seguridad: HKCERT supervisa de cerca la información sobre temas relacionadas con la
seguridad tales como últimos virus, debilidades de la seguridad y divulga la información al público.
•
Publicación: HKCERT publica pautas, listas de comprobación, alarmas y artículos relacionados con la
seguridad. Estos documentos incluyen la información sobre vulnerabilidades de la seguridad,
estrategias de defensa y detección temprana de ataques probables. HKCERT también publica un boletín
de noticias mensual que proporciona la información más reciente en seguridad computacional y de la
red.
•
Entrenamiento y educación: Para elevare el conocimiento de la seguridad de la información y para
mejorar la comprensión pública, HKCERT organiza seminarios libres y brinda a los informes a las
asociaciones comerciales regularmente. HKCERT también organiza los cursos que proporcionan
conocimiento profundizado en asuntos del específico de la seguridad de la información.
•
Investigación y desarrollo: HKCERT conduce estudios en asuntos seleccionados seguridad de la
información y la situación en Hong Kong referente ataques de la computadora, pérdida, contramedidas,
etc.
30
Tomado de: http://www.hkcert.org/. U.A: 2008/09/26. Publicado por: HKCERT. Autor: No determinado.
Página 142 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.27.3.
Área de Influencia
Hong Kong
4.3.5.28.
4.3.5.28.1.
Hungría - CERT31 (CERT-Hungary)
Antecedentes
CERT-Hungría es el centro húngaro de la seguridad de la red y de la información del gobierno. Su tarea es
proporcionar la ayuda de la seguridad de la red y de la información al público húngaro entero, a los
negocios y a los sectores privados. El centro tiene un papel vital en la protección crítica de la
infraestructura de la información de Hungría. CERT-Hungría también actúa como base de conocimiento
para profesionales y público húngaro.
CERT-Hungría fue fundada en 2004 en la fundación de Theodore Puskas con la ayuda del Ministerio de la
Informática y de las Comunicaciones.
Los servicios públicos de la organización se ofrecen al gobierno, a los municipios, y a los negocios
húngaros, con la atención especial a la protección de los sistemas informáticos del gobierno húngaro.
CERT-Hungría es lista abordar problemas de la seguridad 24 horas al día 365 días al año. Proporciona
alarmas sobre amenazas nuevamente que emergen. Es responsable de manejar compromisos de la
seguridad en los sistemas informáticos del gobierno húngaro. Proporciona la dirección para reducir
boquetes de la seguridad, y aumenta conocimiento social sobre la información y seguridad de la
computadora a través de varios foros.
4.3.5.28.2.
Servicios Ofrecidos
CERT-Hungría ofrece los servicios siguientes:
Alarmas y advertencias: Este servicio implica que CERT-Hungría divulgue la información que describe
los ataques de intrusos, vulnerabilidades de la seguridad, alarmas de intrusión, virus informáticos,
bromas, proporcionando una línea de conducta recomendada a corto plazo para ocuparse del
problema. La alarma, la advertencia o la asesoría se envían como reacción a un problema existente
para notificar los componentes de la actividad y para proporcionar la orientación para proteger los
sistemas o recuperar cualquier sistema que fuera afectado.
•
31
Tomado de: http://www.cert-hungary.hu/. U.A: 2008/09/26. Publicado por: CERT Hungary. Autor: No determinado.
Página 143 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Avisos: Los avisos incluyen, pero no se limitan a las alarmas de la intrusión, las advertencias de la
vulnerabilidad y las recomendaciones de seguridad. Los avisos permiten proteger sistemas y redes
contra problemas encontrados antes de que puedan explotar.
•
Difusión de la información relacionada con la Seguridad: Este servicio provee una recopilación de
información útil para mejorar la seguridad. Tal información puede incluir:
•
•
o
Información de contactos para CERT-Hungría y pautas de divulgación.
o
Archivos de alarmas, de advertencias y de otros avisos
o
Documentación sobre mejores prácticas actuales
o
Orientación general de la seguridad computacional
o
Políticas, procedimientos y listas de comprobación
o
Información del desarrollo y distribución de correcciones
o
Ajustes de proveedores
o
Estadística y tendencias actuales en la divulgación del incidente
o
Otra información que puede mejorar seguridad total
Dirección del incidente: CERT-Hungría se ocupa solamente de incidentes de la seguridad informática.
Estos incidentes de la seguridad pueden ser acceso desautorizado a los datos sobre un sistema
informático, negación de los ataques del servicio, virus contra un sistema informático, las
vulnerabilidades, o cualquier otra actividad o programa que amenacen la seguridad de un sistema
informático. Durante su incidente los expertos de CERT-Hungría reciben, dan la prioridad, y responden
a los incidentes y a los informes y analizan incidentes y acontecimientos. Las actividades particulares de
la respuesta pueden incluir:
o
Acción a tomar para proteger los sistemas y las redes afectadas o amenazadas por el intrusos
o
Proveer soluciones y estrategias de mitigación de o de alarmas relevantes
o
Filtración de tráfico de la red
Dirección de la vulnerabilidad: Las vulnerabilidades están basadas en errores de la configuración que
crean los agujeros de seguridad en los sistemas informáticos y redes. La dirección de la vulnerabilidad
implica recibir información sobre vulnerabilidades del hardware y del software. CERT-Hungría analiza la
naturaleza, mecanismos y efectos de las vulnerabilidades y desarrollan las estrategias de la respuesta
para detectar y reparar las vulnerabilidades.
Página 144 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Manejo de artefactos: Un artefacto es cualquier archivo u objeto encontrado en un sistema que
impacta en sistemas y redes, que atacan o que se esté utilizando para destruir medidas de seguridad.
CERT-Hungría analiza la naturaleza, mecanismos, versión y el uso de los artefactos y desarrolla (o
sugiere) las estrategias de respuesta para detectar, quitar y defender contra estos artefactos.
•
Educación y entrenamiento: Con seminarios, los talleres, los cursos y clases particulares, CERT-Hungría
educa sobre soluciones de seguridad computacional. Los temas pueden ser:
o
Incidente y pautas
o
Métodos apropiados de respuesta
o
Herramientas de respuesta del incidente
o
Métodos para la prevención del incidente
o
Otra información necesaria para proteger, detectar, divulgar y responder a los incidentes de la
seguridad computacional.
4.3.5.28.3.
Área de Influencia
Hungría
4.3.5.29.
India - CERT-In32 (Indian Computer Emergency Response Team)
4.3.5.29.1.
Antecedentes
El propósito del CERT-In es convertirse en la agencia de confianza de la comunidad india para responder a
los incidentes de la seguridad de computacional. CERT-In asiste a los miembros de la comunidad india para
ejecutar medidas proactivas para reducir los riesgos de los incidentes de la seguridad informática.
4.3.5.29.2.
Servicios Ofrecidos
Servicios Reactivos
•
o
Proporciona un solo punto del contacto para divulgar problemas locales.
32
Tomado de: http://www.cert-in.org.in/. U.A: 2008/09/26. Publicado por: Department of Information Technology.
Ministry of Communications & Information Technology, Government of India. Autor: No determinado.
Página 145 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
•
o
Asiste al gobierno y a la comunidad general en la prevención y la manipulación de incidentes de
la seguridad computacional.
o
Comparte la información y las lecciones aprendidas con el CERT/CC, otros CERTs y las
organizaciones.
o
Respuesta del incidente
o
Proporciona el servicio de una seguridad 24 x 7.
o
Procedimientos de recuperación
o
Análisis de artefactos
o
Trazo del incidente
Servicios Proactivos
o
Publica las pautas de la seguridad, las recomendaciones y consejos oportunos.
o
Análisis y respuesta de la vulnerabilidad
o
Análisis del riesgo
o
Evaluación de producto relacionados con la seguridad
o
Colaboración con los proveedores
o
Perfilar atacantes.
o
Entrenamiento, investigación y desarrollo de la conducta.
Funciones
o
Divulgación
o
Punto central para divulgar incidentes
o
Base de datos de incidentes
o
Análisis
Página 146 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
o
Análisis de tendencias y patrones de la actividad del intruso
o
Desarrollo de las estrategias preventivas
Respuesta
•
o
La respuesta del incidente es un proceso dedicado a restaurar sistemas afectados a la operación
o
Envío de recomendaciones para la recuperación y la contención del daño causada por los
incidentes.
o
Ayuda a los administradores de sistemas a tomar la acción de seguimiento para prevenir la
repetición de incidentes similares
4.3.5.29.3.
Estructura
CERT-In funciona bajo auspicios y con la autoridad delegada del Departamento de Tecnología de
Información, del Ministerio de Comunicaciones y Tecnología de Información, del gobierno de la India.
CERT-In trabaja cooperativamente con los oficiales de información y los administradores de sistema de
varias redes sectoriales y de gobierno.
4.3.5.29.4.
Área de Influencia
India
4.3.5.30.
4.3.5.30.1.
Japan - JPCERT/CC33 (JP CERT Coordination Center)
Antecedentes
JPCERT/CC es el primer CSIRT establecido en Japón. Se coordina con los proveedores de servicios de red,
vendedores de productos de seguridad, agencias estatales, así como las asociaciones gremiales de la
industria. En la región Pacífica de Asia, JPCERT/CC ayudó a formar APCERT (Equipo de Respuesta a
Emergencias Computacionales de Asia Pacífico) y ejerce la función de secretaría para APCERT. Es miembro
del Foro de Equipos de Respuesta y Seguridad del Incidente (FIRST).
Los objetos de JPCERT/CC son:
33
Tomado de: http://www.jpcert.or.jp/. U.A: 2008/09/26. Publicado por: JPCERT/CC. Autor: No determinado.
Página 147 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Proporcionar respuestas a incidente de seguridad computacionales.
•
Coordinar la acción con CSIRTs locales e internacional y organizaciones relacionadas.
•
Ayudar al establecimiento de nuevos CSIRTs y promover la colaboración entre CSIRTs
•
Divulgar información técnica sobre incidentes de seguridad computacional y las vulnerabilidades y
ajustes a la seguridad, generar alarmas y advertencias.
•
Generar investigación y análisis de incidentes de la seguridad computacional.
•
Conducir investigaciones sobre tecnologías relacionadas con la seguridad.
•
Aumentar el entendimiento de la seguridad de la información y del conocimiento técnico, con
educación y entrenamiento.
4.3.5.30.2.
•
Servicios Ofrecidos
Incidente Respuesta y análisis: JPCERT/CC proporciona ayuda técnica para divulgar problemas de la
seguridad de la siguiente manera:
o
Con base en información proporcionada por los sitios afectados, JPCERT/CC determina los
daños.
o
Identifica las vulnerabilidades.
o
Proporciona información técnica relevante.
Adicionalmente genera un informe semanal y trimestral sobre respuestas y análisis de incidentes y otra
información relevante a la seguridad computacional.
•
Alertas de Seguridad: JPCERT/CC recopila la información relacionada con seguridad computacional y
genera alarmas y mensaje para prevenir ataques contra redes locales de las organizaciones, así como
para evitar que el impacto de tales ataques llegue a ser extenso. Un informe semanal, contiene
amenazas potenciales y mensajes de cómo evitarlos o reducir al mínimo el daño causado por incidentes
o las vulnerabilidades.
•
Coordinación con otros CSIRTs: Siendo el primer CSIRT formado en Japón, mantiene relaciones
cercanas establecidas con mucho CSIRTs no sólo en la Asia y la región pacífica, sino también en otras
regiones. La coordinación y la colaboración con esos CSIRTs es crucial para el uso seguro de la
tecnología del Internet en todo el mundo.
•
Coordinación de Proveedores: Con el fin de evitar, reduce al mínimo o recupera del daño con eficacia y
eficiencia, la coordinación con los proveedores que pudieron afectar la seguridad del Internet es
Página 148 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
importante. JPCERT/CC comparte la información con los proveedores locales y distribuyen la
información de la vulnerabilidad de manera oportuna.
•
Educación y entrenamiento: JPCERT/CC proporciona la educación y el entrenamiento relacionados con
la seguridad de la red, incidentes de seguridad, vulnerabilidad y las tendencias y ayudas de seguridad a
partir de seminarios y talleres. Además, vario informes técnicos y otros documentos están disponibles
en el web site.
•
Investigación y análisis: Los incidentes de la computadora se están convirtiendo en un problema cada
vez más difícil de identificar. JPCERT/CC ejerce investigación y análisis para encontrar mejores maneras
de prevenir ataques o de limitar su daño.
4.3.5.30.3.
Área de Influencia
Japón
4.3.5.31.
4.3.5.31.1.
México – UNAM-CERT34 (Equipo de Respuesta a Incidentes de Seguridad en Cómputo)
Antecedentes
El UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo) es un equipo de
profesionales en seguridad en cómputo localizado en el Departamento de Seguridad en Cómputo (DSC) de
la Dirección General de Servicios de Cómputo Académico (DGSCA), de la UNAM.
El UNAM-CERT se encarga de proveer el servicio de respuesta a incidentes de seguridad en cómputo a
sitios que han sido víctimas de algún "ataque", así como de publicar información respecto a
vulnerabilidades de seguridad, alertas de la misma índole y realizar investigaciones de la amplia área del
cómputo y así ayudar a mejorar la seguridad de los sitios.
El DSC (Departamento de Seguridad en Cómputo) de la DGSCA, UNAM, es un punto de encuentro al cual
puede acudir la comunidad de cómputo para obtener información, asesorías y servicios de seguridad, así
como para intercambiar experiencias y puntos de vista, logrando con ello, establecer políticas de seguridad
adecuadas, disminuir la cantidad y gravedad de los problemas de seguridad y difundir la cultura de la
seguridad en cómputo.
34
Tomado de: http://www.cert.org.mx/index.html. U.A: 2008/09/26. Publicado por: UNAM-CERT. Autor: Jefe del
Departamento de Seguridad en Cómputo: Juan Carlos Guel. Líder del Proyecto: Alejandro Núñez Sandoval.
Página 149 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.31.2.
Servicios Ofrecidos
El DSC pone a la disposición de los Institutos, Facultades y organizaciones externas su portafolio de
servicios de Seguridad en Tecnologías de la Información:
•
Análisis de Riesgos.
•
Test de Penetración.
•
Análisis Forense.
•
Auditorias de Seguridad.
•
Administración de Infraestructura de Seguridad en TI.
•
Tecnologías de Seguridad.
•
Desarrollo de Soluciones.
•
Asesorías.
4.3.5.31.3.
Estructura
El UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo) es un equipo de
profesionales en seguridad en cómputo localizado en el Departamento de Seguridad en Cómputo (DSC) de
la Dirección General de Servicios de Cómputo Académico (DGSCA), de la UNAM.
4.3.5.31.4.
Área de Influencia
México
Página 150 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.32.
4.3.5.32.1.
Nueva Zelandia – CCIP35 (Centre for Critical Infrastructure Protection)
Antecedentes
El Centro para la Protección de la infraestructura Crítica (CCIP) es la agencia de estatal dedicada al trabajo
con las organizaciones, la industria y el gobierno relacionados con la infraestructura crítica de Nueva
Zelandia, para mejorar la protección y la seguridad computacional de amenazas.
4.3.5.32.2.
Servicios Ofrecidos
•
Proporcionar un servicio de asesoría 7*24 hacia dueños y operadores de la Infraestructura Crítica
Nacional y del gobierno de Nueva Zelandia.
•
Investigar y analizar los incidentes del ciberespacio que ocurren contra la Infraestructura Crítica
Nacional.
•
Trabajar con las agencias de protección de la Infraestructura Crítica Nacional tanto de manera local
como internacionalmente para mejorar el conocimiento de la seguridad del ciberespacio en Nueva
Zelandia.
4.3.5.32.3.
Estructura
El Centro para la Protección de la Infraestructura Crítica (CCIP) es una unidad de negocio dentro de la
oficina de Seguridad de Comunicaciones del Gobierno (GCSB).
La persona responsable del CCIP y de GCSB es el Primer Ministro de Nueva Zelandia.
4.3.5.32.4.
Área de Influencia
Nueva Zelandia
35
Tomado de: http://www.ccip.govt.nz/. U.A: 2008/09/26. Publicado por: Centre for Critical Infrastructure Protection.
Autor: No determinado.
Página 151 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.33.
4.3.5.33.1.
Holanda – GOVCERT.NL36
Antecedentes
GOVCERT.NL es el Equipo de Respuesta a Emergencias Computacionales para el gobierno holandés. Desde
2002 apoya al gobierno en la prevención y atención de incidentes relacionados con la seguridad.
4.3.5.33.2.
Servicios Ofrecidos
•
Coordinación: Actúa como punto central de la emergencia de incidentes relacionados con la seguridad,
tales como virus informáticos y detección de vulnerabilidades.
•
Información: Proporciona la información correspondiente a temas de seguridad a las partes apropiados.
•
Asiste a oficiales del gobierno en la prevención de incidentes de seguridad.
•
Intercambio internacional del conocimiento: mantiene la cooperación e intercambio de información a
nivel internacional.
•
Banco de datos: GOVCERT. NL es un centro de información. Proporciona acceso al conocimiento y a la
experiencia de su personal y organizaciones que participan. Además, promueve el intercambio de
información entre estas organizaciones. El banco de datos facilita el intercambio por medio de listas de
distribución, de archivos de documentos relevantes y de mejores prácticas.
•
Paneles: Organizamos reuniones periódicas para dar la oportunidad de intercambiar conocimiento e
ideas en temas de actualidad.
•
Ayuda en caso de incidentes: Ofrece ayuda haciendo frente a todas las clases de incidentes,
extendiéndose al correo Spam, a los ataques de la red de la escala grande, con un soporte 7*24.
4.3.5.33.3.
Área de Influencia
Holanda
36
Tomado de: http://www.govcert.nl/. U.A: 2008/09/26. Publicado por: GOV-CERT.NL. Autor: No determinado.
Página 152 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.34.
4.3.5.34.1.
Polonia - CERT Polska37 (Computer Emergency Response Team Polska)
Antecedentes
El CERT Polska es el nombre oficial del equipo desde el enero de 2001. Era conocido antes como CERT
Nask. Desde el febrero de 1997 el CERT Polska ha sido un miembro del Foro Mundial de Equipos de
Respuesta y Seguridad del Incidente - FIRST. El CERT Nask fue establecido en marzo de 1996 según la
disposición del director de Nask (Red Académica y de Investigación en Polonia).
Sus objetivos son constituir un único punto confiable de atención a incidentes y prevención en Polonia para
los clientes de la comunidad Nask y otras redes en Polonia, responder por los incidentes de seguridad,
proveer información referente a la seguridad y advertencias de los ataques en cooperación con otros
equipos de respuesta a incidentes por todo el mundo
4.3.5.34.2.
Servicios Ofrecidos
•
El CERT Polska registra las peticiones, alertas y proporcionará datos e informes estadísticos de
incidentes.
•
Proporciona ayuda a los sitios que tienen problemas de seguridad.
•
El CERT Polska brinda información actual sobre problemas de seguridad y su solución (vía web y lista
de suscripción).
4.3.5.34.3.
Estructura
El equipo lo conforma la Red Académica y de Investigación en Polonia, con la ayuda de expertos de
universidades polacas.
4.3.5.34.4.
Área de Influencia
Polonia
37
Tomado de: http://www.cert.pl/. U.A: 2008/09/26. Publicado por: CERT Polska. Autor: No determinado.
Página 153 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.35.
4.3.5.35.1.
Qatar - Q-CERT38 (Qatar CERT)
Antecedentes
Como Equipo Nacional de Respuesta a Incidente de Seguridad Computacional de Qatar, Q-CERT coordinará
el sistema de actividades de la ciber - seguridad necesarias para mejorar la protección de infraestructuras
críticas en la nación y en la región.
Para alcanzar esta meta, Q-CERT trabajará con las agencias y la industria estatal para formar una
estrategia de la gerencia de riesgo para la seguridad del ciberespacio que incluye los siguientes frentes:
•
Planeamiento, medición y evaluación
•
Disuasión
•
Protección
•
Supervisión, detección y análisis
•
Respuesta
•
Reconstitución y recuperación
•
Investigación y desarrollo
Q-CERT cubre todas las organizaciones autorizadas para utilizar el dominio del código de país.qa, así como
la población en general de Qatar que utiliza el Internet. Incluye al gobierno de Qatar, a los negocios e
instituciones educativas que utilizan el Internet para sus operaciones. Los socios estratégicos incluyen la
industria petrolera del aceite, la industria de servicios financieros, la industria de las telecomunicaciones, y
los ministerios del estado de Qatar. Q-CERT trabajará con los institutos educativos en Qatar para aumentar
conocimiento de la seguridad de la información y para mejorar prácticas de seguridad de la información.
4.3.5.35.2.
•
Servicios Ofrecidos
Talleres, seminarios, y cursos diseñados para aumentar el conocimiento acerca de la seguridad del
ciberespacio.
38
Tomado de: http://www.qcert.org. U.A: 2008/09/26. Publicado por: Supreme Council of Information &
Comunication Technology. Autor: No determinado.
Página 154 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Provee un Web site para brindar información sobre las amenazas que emergen, nuevas
vulnerabilidades y otros temas de seguridad.
•
Explorar la información de la seguridad de sistemas de fuente abierta para prevenir amenazas
emergentes.
•
Genera nuevas alarmas y estrategias de mitigación.
•
Analiza vulnerabilidades y código malévolo para desarrollar estrategias de la mitigación.
•
Analizar incidentes de la seguridad e identifica contramedidas.
•
Coordina a través de las organizaciones internacionales el manejo de atención a incidentes e
investigaciones.
•
Ayuda en la determinación del alcance y de la magnitud de incidentes de seguridad e identifica
estrategias de la recuperación
4.3.5.35.3.
Estructura
Q-CERT es un organismo nacional patrocinado del Consejo Supremo para la Tecnología de Información y
de Comunicaciones (ictQATAR) del estado de Qatar en asocio con el programa CERT que es parte de
Instituto de Ingeniería de Software de la Universidad Carnegie - Mellon en Pittsburgh, Estados Unidos.
4.3.5.35.4.
Área de Influencia
Gobierno y sector privado en Qatar y en la región cercana del golfo.
4.3.5.36.
4.3.5.36.1.
Reino Unido - GovCertUK39 (CESG´s Incident Response Team)
Antecedentes
GovCertUK nace en febrero de 2007, como la autoridad técnica nacional para el aseguramiento de la
información y proporciona la función de CERT al gobierno británico. Asiste a organizaciones del sector
público en la respuesta a los incidentes de seguridad computacional y proporciona asesoría para reducir la
exposición a la amenaza.
39
Tomado de: www.govcertuk.gov.uk. U.A: 2008/09/26. Publicado por: CESG GovCertUK Incident Response Team.
Autor: No determinado.
Página 155 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Este papel incluye disponer de una capacidad de respuesta a emergencias de las organizaciones del sector
público que pueden requerir la ayuda técnica y la asesoría durante períodos de ataque electrónico o de
otros incidentes de la seguridad de la red.
El equipo GovCertUK presta ayuda técnica y asesoría al Centro para la Protección de la Infraestructura
Nacional (Centre for the Protection of National Infrastructure – CPNI40), que proporcionará un papel similar
de ayuda a la infraestructura nacional crítica, a las organizaciones del sector público y privado, protegiendo
la seguridad nacional ayudando así a reducir la vulnerabilidad de la infraestructura nacional al terrorismo y
a otras amenazas.
4.3.5.36.2.
Servicios Ofrecidos
•
Publicaciones orientadas a la protección general de la seguridad.
•
Informes de seguridad de la información destacando los riesgos frente a la infraestructura nacional.
•
Notas técnicas de la Seguridad de la Información.
•
Vulnerabilidades de la Seguridad de la Información.
•
Investigación en vulnerabilidades computacionales para determinar las amenazas, identificar problemas
y se trabaja de la mano con proveedores de tecnología para suministrar patches de software.
•
Promueven las mejores prácticas entre los operadores de la infraestructura nacional, compartiendo la
información.
•
Descripción de tecnologías emergentes.
•
Intercambios de información sobre los riesgos.
4.3.5.36.3.
Área de Influencia
Reino Unido e Irlanda del Norte
40
Tomado de: www.cpni.gov.uk. U.A: 2008/09/26. Publicado por: Centre for the Protection of National Infrastructure
– CPNI. Autor: No determinado.
Página 156 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.37.
4.3.5.37.1.
Singapur – SingCERT41 (Singapore CERT)
Antecedentes
El Equipo de Respuesta a Emergencias Computacionales de Singapur (SingCERT) fue instalado para
facilitar la detección, la resolución y la prevención de incidentes relacionados con la seguridad en Internet.
Sus objetivos son:
•
Ser un punto de contacto confiable.
•
Facilitar la resolución de las amenazas de la seguridad.
•
Aumente la capacidad nacional en seguridad.
4.3.5.37.2.
Servicios Ofrecidos
•
Genera alarmas, recomendaciones y patches de seguridad.
•
Promueve el conocimiento de la seguridad a través de cursos, seminarios y talleres de seguridad.
•
Colabora con los proveedores y otros CERTs para encontrar soluciones a los incidentes de la seguridad
4.3.5.37.3.
Estructura
SingCERT fue establecido inicialmente en octubre de 1997 como programa de la autoridad del desarrollo
de Infocomm de Singapur, en colaboración con el Centro para la Investigación del Internet de la
Universidad Nacional de Singapur.
4.3.5.37.4.
Área de Influencia
Singapur
41
Tomado de: http://www.singcert.org.sg/. U.A: 2008/09/26. Publicado por: Singapur – SingCERT. Autor: No
determinado.
Página 157 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.38.
Sri Lanka – SLCERT42 (Sri Lanka Computer Emergency Response Team)
4.3.5.38.1.
Antecedentes
El Equipo de Respuesta a Emergencia Computacionales de Sri Lanka (SLCERT) es el centro para la
seguridad del ciberespacio, designado por mandato para proteger la infraestructura de la información de la
nación y para coordinar medidas protectoras y respuestas a las amenazas y a las vulnerabilidades de la
seguridad informática.
Un CERT nacional actúa como punto focal para la seguridad de Ciberespacio para una nación. Es la única
fuente confiable para asesorar sobre las amenazas y las vulnerabilidades más recientes que afectan los
sistemas informáticos y las redes y para asistir al gobierno en responder y recuperarse de Ataques
computacionales.
4.3.5.38.2.
Servicios Ofrecidos
SLCERT ofrece tres categorías de servicio:
Servicios de Respuesta: Son los servicios que son activados por los acontecimientos que son capaces
de causar efectos nocivos sobre los sistemas de información. Los ejemplos son ataques de Spam, virus
y acontecimientos inusuales de intrusos.
•
o
Dirección en incidentes: Este servicio implica responder a una petición o a una notificación
asociada a la detección de un acontecimiento inusual, que puede afectar el funcionamiento, la
disponibilidad o la estabilidad de los servicios o sistemas informáticos.
o
SLCERT realizará pasos para identificar el incidente y para clasificar la severidad del incidente,
asesorando en cómo contener el incidente y suprimir la causa. Una vez los sistemas se
recuperan completamente, SLCERT genera un informe de incidente detallando su naturaleza,
medidas tomadas para recuperarse de incidente y medidas preventivas recomendadas para el
futuro.
Servicios del Conocimiento: Se diseñan para educar en la importancia de la seguridad de la información
y de los asuntos relacionados y las mejores prácticas.
•
o
Alarmas: Este servicio se utiliza para divulgar la información en relación con virus informáticos,
bromas y vulnerabilidades de la seguridad, y en lo posible, para proporcionar recomendaciones
a corto plazo para ocuparse de las consecuencias de tales ataques.
42
Tomado de: http://www.cert.lk/. U.A: 2008/09/26. Publicado por: Sri Lanka – SLCERT. Autor: No determinado.
Página 158 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
o
Seminarios y conferencias: Estos servicios tienen la intención de aumentar el conocimiento
sobre la seguridad de la información, seguridad estándares y mejores prácticas. Se busca
ayudar a reducir perceptiblemente la probabilidad de ser atacado.
o
Talleres: Estos servicios son dirigido para aumentar el conocimiento acerca de la seguridad de
la información. Se orientan a los profesionales más técnicos, que realizan tareas diarias
relacionadas con la seguridad de la información.
o
Base de Conocimiento: La base de conocimiento es un servicio pasivo ofrecido por SLCERT a los
interesados con documentos, artículos, noticias, etc., publicado en el Web site de SLCERT y los
medios. Se busca proporcionar una gama de recursos del conocimiento que permitan a
cualquier persona encontrar información útil para ayudar a aumentar su comprensión de la
seguridad de la información.
Servicios de la Consulta: Estos servicios se orientan a proveer medios de toma de decisiones con
respecto a la seguridad de la información, y para tomar las medidas necesarias para consolidar las
defensas.
o
Soporte Técnico: Este servicio de revisión y análisis está dirigido a la infraestructura y
procedimientos de la seguridad adoptados dentro de las organizaciones, de acuerdo con la
experiencia en seguridad de la información del SLCERT y de ciertos parámetros predefinidos. El
resultado final es un identificación detallada de las debilidades de la infraestructura, las mejoras
que deben llevarse a cabo y cómo tales las mejoras deben ser puestas en ejecución.
o
Soporte Consultivo para Política Nacional: Éste es un servicio realizado por SLCERT como
obligación con la nación. Como autoridad primaria en seguridad de la información en Sri Lanka,
SLCERT es responsable de generar y de hacer cumplir estándares de seguridad de la
información a nivel nacional.
4.3.5.38.3.
Área de Influencia
Sri Lanka
Página 159 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.39.
4.3.5.39.1.
Túnez - CERT-TCC43 (Computer Emergency Response Team - Tunisian Coordination Center)
Antecedentes
A partir de 2002 se establece el núcleo de un CSIRT en Túnez, que condujo en 2004 al lanzamiento oficial
del CERT-TCC (Computer Emergency Response Team - Centro Tunecino de Coordinación), un CSIRT
público gestionado por la Agencia Nacional para la Seguridad Computacional.
El CERT-TCC tiene los siguientes objetivos:
•
Aumentar el conocimiento y entendimiento acerca de la seguridad de la información y de la seguridad
de la computadora a través de medidas proactivas.
•
Proporcionar un soporte confiable7*24, con un solo punto de contacto para las emergencias, para
ayudar a manejar incidentes de la seguridad y para asegurar la protección del Ciberespacio nacional y
la continuidad de servicios críticos nacionales a pesar de ataques.
•
Proporcionar el entrenamiento y la certificación de alto nivel para los aprendices y los profesionales.
•
Informar sobre las mejores prácticas y sobre aspectos de organización de la seguridad, con un foco
especial en la gerencia de la intervención y de riesgo.
•
Informar sobre vulnerabilidades y respuestas correspondientes y sirve como un punto confiable de
contacto para recopilar e identificar vulnerabilidades en sistemas informáticos.
•
Informar sobre mecanismos y herramientas de la seguridad y asegurar que la tecnología apropiada y
las mejores prácticas de gerencia sean utilizadas.
•
Poner en ejecución los mecanismos que permitan alertar y dar respuesta a organizaciones y a
instituciones, para desarrollar sus propias capacidades de la gerencia del incidente
•
Facilitar la comunicación entre el profesional y los expertos que trabajan en estructuras de seguridad y
estimular la cooperación entre y a través de los negocios públicos y privados de las agencias estatal y
de las organizaciones académicas.
•
Colaborar con la comunidad internacional y nacional en incidentes de detección y de resolución de la
seguridad computacional.
43
Tomado de: http://www.ansi.tn/en/about_cert-tcc.htm. U.A: 2008/09/26. Publicado por: National Agency for
Computer Security - Tunez. Autor: No determinado.
Página 160 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Promover o emprende el desarrollo de los materiales educativos, de conocimiento y de entrenamiento
apropiados para mejorar las habilidades y el conocimiento técnico de los usuarios y los profesionales de
la seguridad.
4.3.5.39.2.
•
Servicios Ofrecidos
Actividades del conocimiento
o
Publicaciones: Como material del conocimiento, se desarrollan y distribuyen folletos y guías que
explican a los usuarios de una manera simple y clara las amenazas y cómo proteger sus
sistemas. También distribuyen libremente los CDs con las herramientas de seguridad y de
control parental, libres para el uso doméstico, pero también los patches.
o
Presentaciones: Co-organizan e intervienen en conferencias nacionales y talleres relacionados
con la seguridad, con demostraciones en vivo de ataques, para sensibilizar a la gente con la
realidad de los riesgos y la importancia de las mejores prácticas.
o
Juventud y padres: Referente a conocimiento de la juventud y de los padres, preparan material
del conocimiento. Un manual “Pasaporte de la seguridad para la familia” incluyendo concursos,
historietas y juego pedagógico, que explican a los niños de una manera divertida, los riesgos
(pedofilia, virus, etc…) y las reglas básicas de protección.
o
Prensa: Participa en emisiones semanales en medios nacionales, creando un posicionamiento.
•
Información y actividades de alertas: Una de las principales tareas es detectar y analizar amenazas y
transmitir esa información a los administradores de sistema y a la comunidad de usuarios. CERT-TCC
divulga regularmente información y alarmas sobre vulnerabilidades críticas y actividades malévolas a
través de sus listas de distribución y con su web site. Analiza las vulnerabilidades potenciales,
recogiendo la información, trabajando con otros CSIRTs y proveedores de software para conseguir las
soluciones a estos problemas.
•
Entrenamiento y educación: CERT-TCC está actuando para la construcción de un grupo de trabajo de
los multiplicadores y e la creación de diplomados especializados en seguridad, junto con el estímulo de
los profesionales para obtener certificación internacional. Para solucionar eficientemente el problema de
la carencia del entrenamiento especializado en seguridad, el CERT-TCC organiza entrenamientos para
los multiplicadores que estarán en cargo de reproducir esos cursos en una escala mayor. Los primeros
asuntos identificados son los siguientes :
o
Técnicas de seguridad del perímetro de la red: Arquitecturas seguras, cortafuegos,
identificaciones, servidores de marcado manual seguros.
o
Organización y técnicas internas: Desarrollo de política de la seguridad, desarrollo del plan de
seguridad, herramientas de seguridad de la red (Cortafuegos, entradas distribuidos contra-virus,
PKI.).
Página 161 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
o
Tecnologías de supervivencia de la información: Planes de recuperación de desastres.
o
Base técnica para la prevención de la intrusión: Identifica y previene intrusiones y defectos de
seguridad.
o
Fundamentos en la orientación del manejo del incidente.
o
Metodologías de la autovaloración de la seguridad.
o
ISO 17799 e ISO 27000.
o
Curso de CBK, para la preparación a la certificación de CISSP.
o
Cursos especializados para el personal judicial y de investigación.
También desarrollan un programa de entrenamiento para la certificación de personas del sector
privado, que permite la obtención de la certificación nacional de interventor de la seguridad,
además, al entrenamiento para los administradores de los sistemas de e-gobierno, y como
motivación para la certificación de CISSP, los entrenamientos que cubren todos los capítulos del
CBK.
CERT-TCC trabaja con profesionales e instituciones académicas para desarrollar planes de estudios
en seguridad de la información y se tiene el proyecto para lanzar un centro de entrenamiento
regional en seguridad en sociedad con el sector privado.
Prepara adicionalmente los entrenamientos especiales para los jueces, y periodistas.
•
Educación: En colaboración con dos instituciones académicas, se lanzó la primera maestría en
seguridad en 2004 y ahora tres universidades públicas y cuatro privadas, proponen programas de
maestría similares. Para motivar a estudiantes a atender a esos cursos, se les ofrece la posibilidad de
postular a la certificación nacional del interventor de la seguridad. De otro lado, consideran que todos
los estudiantes deben ser preparados para obtener conocimiento apropiado sobre riesgos y la
existencia de las mejores prácticas y de herramientas de seguridad para la protección. Con ese
propósito, comenzaron sesiones del conocimiento de verano para los nuevos profesores de las escuelas
secundarias y están motivando a todas las entidades de educación para la introducción de los cursos
básicos del conocimiento dentro de programas académicos, desde las escuelas secundarias hasta la
universidad. CERT-TCC comenzó el desarrollo del material y de los programas del conocimiento para las
escuelas secundarias.
•
Dirección y ayuda del incidente: Según la ley relacionado con la seguridad computacional, las
corporaciones privadas y públicas deben informar al CERT-TCC sobre cualquier incidente, que pueda
tener impacto en otros sistemas de información nacionales, con la garantía de confidencialidad ala que
están obligados los empleados del CERT-TCC y los interventores de la seguridad, bajo sanciones
penales. Las organizaciones tanto privadas como públicas deben confiar en el CERT-TCC por lo cual se
Página 162 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
obligan a guardar confidencial sobre sus identidades y la información sensible proporcionada. También
deben ser neutrales, que permita trabajar con las entidades y las entidades sin predisposición.
Se establecieron teléfonos 7*24 que permiten a los profesionales y a los ciudadanos divulgar y llamar
para solicitar ayuda en caso de incidentes de la seguridad computacional y también para solicitar la
información y/o la ayuda en cualquier tema relacionado a la seguridad.
En las actividades de dirección de la vulnerabilidad y del incidente se asigna una prioridad más alta a
los ataques y a las vulnerabilidades que afectan directamente el ciberespacio nacional. En este sentido
se comenzó a desarrollar un sistema llamado “Saher” que permite determinar y predecir amenazas
grandes y potenciales a las infraestructuras de telecomunicación sensibles y al Ciberespacio local,
basado en código abierto que permite supervisar la seguridad del Ciberespacio nacional en tiempo real
para la detección temprana de ataques masivos. El primer prototipo fue desplegado en noviembre de
2005.
Para asegurar una respuesta rápida y correcta en caso de ataques grandes contra el Ciberespacio, se
ha desarrollado un plan global de la reacción basado en el establecimiento de células de crisis
coordinadas a nivel de varios agentes del Ciberespacio nacional ( ISPs, IDCs, proveedores de acceso,
redes corporativas grandes) con CERT-TCC actuando como coordinador entre ellos.
•
Colaboración con asociaciones: Co-organizan regularmente talleres del conocimiento y entrenamiento
buscando sinergia entre los profesionales y los agentes nacionales. Animan la creación de dos
asociaciones especializadas en el campo de la seguridad informática: Una asociación académica
lanzada en 2005 (“Asociación Tunecina para la Seguridad Numérica”) y durante 2006 (“Asociación
Tunecina de Expertos en Seguridad Computacional”). Con el propósito de motivar la agregación técnica
de esas asociaciones, las están motivando para la creación de equipos de trabajo técnicos.
•
Colaboración internacional: CERT-TCC se ha establecido como miembro de pleno derecho de FIRST en
mayo de 2007 y busca colaborar con otros CSIRTs para lograr un apoyo mayor y colaboración en
investigaciones. También intentan ser activos a nivel regional en África y en organizaciones
internacionales.
4.3.5.39.3.
Estructura
Cuenta con dos equipos:
•
Equipo Amen: A cargo del análisis del incidente y coordinación y respuesta en sitio y en caso de
emergencia nacional.
•
Equipo Saherel: A cargo de la detección del incidente y del artefacto, que desarrolla y maneja un
sistema de supervisión para el ciberespacio nacional, basado en soluciones de código abierto. Está
también a cargo de dar asistencia técnica y ayuda para el despliegue de las soluciones de código
abierto.
Página 163 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.5.39.4.
Área de Influencia
Túnez
4.3.5.40.
4.3.5.40.1.
Venezuela CERT.ve44 (VenCERT – Equipo de Respuesta para Emergencias Informáticas)
Antecedentes
El Ministerio de Ciencia y Tecnología, cumpliendo su competencia en materia de Tecnologías de
Información y Comunicación, pone en marcha el proyecto parea conformar un Equipo de Respuesta para
Emergencias Informáticas a través de la Superintendencia de Servicios de Certificación Electrónica SUSCERTE. Este equipo en conjunto con la academia, centralizará y coordinará los esfuerzos para el
manejo de incidentes que afecten oi puedan afectar los recursos informáticos de la Administración Pública,
así como difundir información de cómo neutralizar incidentes, tomar precauciones para las amenazas de
virus que puedan comprometer la disponibilidad y confiabilidad de las redes.
Además centralizará los reportes sobre incidentes de seguridad ocurridos en la Administración Pública y
facilitará el intercambio de información para afrontarlos, provee documentación y asesoría sobre la
seguridad informática.
Sus objetivos son combinar esfuerzos con la comunidad internet nacional e internacional para facilitar y
proporcionar respuesta a los problemas de seguridad informática que afecten o puedan afectar a los
sistemas centrales, así como elevar la conciencia colectiva sobre temas de seguridad informática y llevar a
cabo tareas de investigación que tengan como finalidad mejorar la seguridad de los sistemas existentes.
Coordinar las acciones de monitoreo, detección temprana y respuesta ante incidentes de seguridad de
informática entre los órganos del Poder Público, así como el tratamiento formal de estos incidentes y su
escalamiento ante las instancias correspondientes.
La Superintendencia debe promocionar y divulgar el uso de Políticas de Seguridad, la firma electrónica y
certificado electrónico apoyándose en los centros educativos, planteándose programas académicos que
apoyen a dichos centros en las carreras jurídicas para dar a conocer la Ley sobre mensaje de Datos y
Firma Electrónica, los reglamentos y las resoluciones de la superintendencia. Así se pretende lograr que la
Administración Pública venezolana identifique sus requisitos de seguridad y aplique medidas para
alcanzarlos, mediante el uso de tres fuentes principales:
Valoración de los riesgos de cada uno de los Entes Gubernamentales. Con ello se identifican las
amenazas a los activos, se evalúa la vulnerabilidad y la probabilidad de su ocurrencia y se estima su
posible impacto.
•
44
Tomado de: http://www.cert.gov.ve/. U.A: 2008/09/26. Publicado por: Venezuela CERT.ve. Autor: No determinado.
Página 164 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Determinación de requisitos legales, estatutarios y regulatorios que deberían satisfacer los entes de la
Administración Pública, sus usuarios, contratistas y proveedores de servicios.
•
Establecimiento de los principios, objetivos y requisitos que forman parte del tratamiento de la
información que el Gobierno Nacional ha desarrollado para apoyar sus operaciones.
Para ello el VenCERT (Centro de Respuestas ante incidentes telemáticos del Sector Público) implementará
un conjunto de políticas, prácticas, y procedimientos y los controles que garanticen el cumplimiento de los
objetivos específicos de seguridad. Asimismo, orientará y asesorará en la definición de estructuras
organizativas, funciones de software y necesidades de formación.
El VenCERT deberá igualmente constituirse en eje central de un sistema de investigación científica aplicada
a la seguridad telemática, convirtiéndose en demandante principal de sus productos y proveedor
permanente de nuevos temas de investigación.
4.3.5.40.2.
Servicios Ofrecidos
•
Proveer un servicio especializado de asesoramiento en seguridad de redes
•
Promover la coordinación entre los organismos de la Administración Pública para prevenir, detectar,
manejar y recuperar incidentes de seguridad.
•
Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administración Pública y facilitar
el intercambio de información para afrontarlos.
•
Crear listas de correo con el fin de mantener informados a los directores de informática sobre las
noticias más recientes en materia de seguridad.
4.3.5.40.3.
Estructura
El VenCERT hace parte de la Superintendencia de Servicios de Certificación Electrónica de Venezuela –
SUSCERTE.
4.3.5.40.4.
Área de Influencia
Administración Pública de Venezuela
Página 165 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.6.
EXPERIENCIAS O ANTECEDENTES EN COLOMBIA
4.3.6.1. CIRTISI – Colombia45 (Centro de Información y Respuesta Técnica a Incidentes de Seguridad
Informática de Colombia)
4.3.6.1.1. Antecedentes
En colaboración de varías entidades gubernamentales se desarrolló una primera propuesta para la
constitución de un Centro de Información y Respuesta Técnica a Incidentes de Seguridad Informática de
Colombia – CIRTISI.
Según esta propuesta, CIRTISI Colombia buscaría propender por la prevención, detección y reacción frente
a incidentes de seguridad informática que amenacen y/o desestabilicen la normal operación de entidades
gubernamentales e incluso la seguridad nacional, mediante apoyo tecnológico, entrenamiento y generación
de una cultura global de manejo de la información.
Sus objetivos generales serían:
•
Brindar apoyo a las entidades gubernamentales para la prevención y rápida detección, identificación,
manejo y recuperación frente a amenazas a la seguridad informática.
•
Interactuar con los entes de policía judicial generando un espacio de consulta frente a las amenazas de
seguridad e investigaciones informáticas.
•
Proporcionar información especializada y conocimiento a las autoridades de policía judicial durante los
procesos investigativos relacionados con la seguridad informática.
•
Construir un laboratorio de detección e identificación, control y erradicación de amenazas informáticas
para los diferentes organismos gubernamentales.
•
Consolidar el capitulo HTCIA (High Technology Crime Investigation Association) Colombia y adelantar
las actividades necesarias para su permanencia y crecimiento
Sus objetivos específicos serían:
45
Documento: CIRTISI COLOMBIA, Tomado de
http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de%20
2007%202.pdf. U.A: 2008/09/26. Publicado por: el Programa Gobierno en Línea. Autor: No determinado.
Página 166 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Proporcionar alertas tempranas frente a amenazas informáticas que puedan desestabilizar la tecnología
y la seguridad nacional.
•
Fomentar la investigación y desarrollo de estrategias de seguridad informática.
•
Brindar una adecuada respuesta a incidentes de seguridad informática, con un enfoque metodológico
que propenda por la eficiencia de las investigaciones realizadas.
•
Establecer canales de comunicación nacionales expeditos de manera que sea posible ofrecer una
atención a incidentes en forma efectiva.
•
Generar redes de apoyo temáticas en materia de seguridad de la información.
•
Promover la coordinación nacional con otras entidades pertinentes del orden regional
•
Fortalecer la cooperación con organismos intergubernamentales en el ámbito subregional, regional e
internacional.
•
Impulsar la cooperación internacional con organismos de similar naturaleza y propósito.
•
Participar en el Forum of Incident Response and Security Teams (FIRST)
•
Consolidar, mantener y liderar el capitulo HTCIA Colombia
•
Fomentar una conciencia global de seguridad informática
•
Proveer un servicio especializado de asesoramiento en seguridad de redes.
4.3.6.1.2. Servicios Ofrecidos
•
Investigación técnica de amenazas informáticas existentes e identificación de tendencias.
•
Generación de alertas tempranas frente a las amenazas existentes, conocidas y potenciales.
•
Entrenamiento local, nacional o internacional en materia de seguridad informática y procedimientos de
computación forense para los organismos de policía judicial colombiana.
•
Respuesta efectiva a incidentes de seguridad informática que se presenten en cualquier órgano
gubernamental, brindando apoyo técnico para la recolección, análisis, preservación y presentación de
evidencia digital en incidentes que den lugar a investigaciones informáticas.
•
Promover la cultura de la seguridad informática y la estandarización de protocolos de seguridad.
Página 167 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Establecer contactos con equipos de similar naturaleza o propósito y con organizaciones que agrupen
estos equipos, tanto a nivel nacional como internacional.
El CIRTISI - Colombia propone desarrollar sus actividades dentro de los siguientes ejes estratégicos:
•
Desarrollo de Políticas: Promover la formulación de políticas que contribuyan con la prevención,
detección, identificación, manejo y recuperación frente a amenazas a la seguridad informática así como
con la adopción de legislación para adecuar y actualizar la tipificación de las conductas conocidas por el
CIRTISI.
•
Actividad Operacional: Obtener diagnósticos reales sobre las diferentes amenazas informáticas que se
generan a partir de una cobertura de servicios y sectores definida y, de la permanente capacitación y
optimización tecnológica.
•
Impacto Social: Generación de una cultura global de manejo de la información y fomento de la
conciencia frente a la seguridad informática mediante la permanente socialización de las amenazas
conocidas y nuevas y su impacto sobre la seguridad informática en Colombia.
4.3.6.1.3. Estructura
La conformación del CIRTISI involucraría cinco áreas o divisiones con liderazgo propio de manera que se
puedan cubrir diversos aspectos de la seguridad informática nacional.
Ilustración 6: Estructura CIRTISI Colombia
•
División de Infraestructura y Asesoría: Esta división será la encargada de todo el planeamiento logístico
y estratégico necesario para la conformación y puesta en operación del CIRTISI - Colombia, apoyando
directamente a la dirección general y junta directiva que se designe.
Página 168 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
División de Alertas Tempranas y Coordinación: Esta división se concentrará en el monitoreo de
amenazas y coordinación con CERT’s nacionales e internacionales, generando las alertas tempranas
frente a amenazas potenciales. En conjunto con la investigación y desarrollo son el corazón del CIRTISI
en la medida que se convierte en el punto de detección de amenazas globales. Adicionalmente, esta
división está encargada de mantener una base estadística de amenazas a la seguridad de la
información.
•
División de Investigación y Desarrollo: La división de Investigación y Desarrollo estará encargada del
laboratorio de amenazas, proporcionadas por la división de alertas tempranas, con el fin de identificar
riesgos efectivos. Esta división afinará la base estadística de amenazas convirtiéndolas en riesgos y
generando las alertas acerca de aquellos riesgos que podrían impactar de mayor manera la seguridad
nacional. Estos estudios contribuirán con la elaboración de diagnósticos sobre la situación real del país
en materia de seguridad informática. Adicionalmente, esta División se encargará todo lo relacionado
con capacitación y entrenamiento tanto al interior del CIRTISI como hacia los diferentes entes del
Gobierno. Asimismo, administrará y distribuirá entre las entidades nacionales competentes las ofertas
de cooperación, asistencia y capacitación en nuevas tecnologías y manejo de incidentes de seguridad
informática.
•
División de Respuesta a Incidentes: La División de Respuesta a Incidentes será el grupo de reacción
frente a cualquier incidente de seguridad de la información que se presente en el sector Gobierno. Esta
división estará a cargo de los mecanismos de comunicación únicos nacionales que atenderían y
manejarían los requerimientos de incidentes. Adicionalmente, los funcionarios de esta división podrán
interactuar con las entidades con funciones de policía judicial en el desarrollo de investigaciones
informáticas ofreciendo apoyo técnico y especializado. Asimismo, el CIRTISI pondría a disposición de
dichas entidades las estadísticas sobre investigaciones informáticas a nivel nacional. Inicialmente,
contará con la infraestructura necesaria para brindar asistencia de lunes a viernes de 9:00 a 18:00
horas, y en el mediano plazo, a medida que aumente la capacidad y la demanda, entraría a operar en
el modelo 24 horas al día, 7 días a la semana (7/24).
•
División de Divulgación y Concienciación: Esta División será la única encargada de proporcionar la
información oficial que se derive de las actividades del CIRTISI hacia los medios de comunicación y la
comunidad en general. Adicionalmente y, como parte de la misión social del CIRTISI, promoverá la
generación de conciencia en el adecuado manejo de la seguridad de la información.
Las entidades involucradas en su constitución serían:
•
Ministerio del Interior y de Justicia
•
Ministerio de Defensa Nacional
•
Ministerio de Relaciones Exteriores
•
Ministerio de Comunicaciones
•
Ministerio de Comercio, Industria y Turismo
Página 169 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Departamento Administrativo de Seguridad (DAS)
•
Policía Nacional (DIPOL, DIJIN)
•
Comisión de Regulación de Telecomunicaciones (CRT)
•
Dirección Nacional de Planeación (DNP)
•
Fiscalía General de la Nación
•
Cuerpo Técnico de Investigación (CTI)
•
Procuraduría General de la Nación
4.3.6.1.4. Área de Influencia
El CIRTISI Colombia tendría un alcance nacional que abarca el sector Gobierno y brindaría apoyo a las
entidades gubernamentales para la prevención y rápida detección, identificación, manejo y recuperación
frente a amenazas a la seguridad informática.
También brindaría apoyo técnico y proporcionaría información especializada a los cuerpos de policía judicial
y de control en aspectos relacionados con la seguridad informática. En estos casos, manteniendo reserva
en la información reportada a los organismos y teniendo en cuenta las responsabilidades y controles que el
manejo de este tipo de información requiere.
El CIRTISI establecería canales de interlocución con usuarios del sector privado y la academia con el
propósito de ampliar la información en materia de tendencias e investigación. En este sentido, hará
seguimiento a los principales dispositivos, aplicaciones y herramientas (hardware, software), a fin de
conocer las vulnerabilidades de los sistemas operativos, alertar y obrar en consecuencia. Adicionalmente,
mantendrá una base de datos de incidentes de seguridad, la cual servirá para consulta, seguimiento, y
permitirá llevar un registro histórico de los mismos.
El CIRTISI brindaría capacitación especializada a las áreas técnicas de las diferentes entidades nacionales.
Teniendo en cuenta que la cooperación e intercambio de información entre equipos de esta naturaleza está
basada en la confianza, el CIRTISI - Colombia estaría llamado a constituirse en el punto focal confiable
para organismos similares en el ámbito internacional. El CIRTISI entraría en contacto con otros Equipos de
Seguridad existentes en el mundo, y con las organizaciones que los agrupan, y establecería canales
comunicación permanente para facilitar el intercambio de información técnica, experiencias, metodologías,
procesos, buenas prácticas y otros servicios que ofrecen dichas organizaciones.
Página 170 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.6.2. CSIRT Colombia46 (COL CSIRT)
4.3.6.2.1. Antecedentes
El COL-CSIRT es un grupo de investigación de la Universidad Distrital Francisco José de Caldas que
pretende un marco de operación nacional y cuyo constituyente estará dado por entidades de educación
superior y entidades oficiales del estado.
Su objetivo es ofrecer un servicio de soporte a las entidades estatales y de educación superior, para la
prevención, detección y corrección de los incidentes de seguridad informáticos, con los siguientes objetivos
específicos.
•
Desarrollar una Base de Datos que contenga la información concerniente a los diferentes incidentes de
seguridad informáticos existentes y las preguntas más frecuentemente contestadas (FAQ's).
•
Prestar el soporte sobre Sistemas Operativos Windows y Linux (Unix).
•
Utilizar la clasificación taxonómica de los incidentes y ataques con código malicioso propuesta en el
proyecto de maestría en Teleinformática titulado "ANÁLISIS DE INCIDENTES RECIENTES DE
SEGURIDAD EN INTERNET 1995 a 2003" para ofrecer una respuesta oportuna, eficaz y eficiente a los
distintos reportes y alertas que se reciban diariamente en el centro de respuesta.
•
Establecer detalladamente los servicios que prestará el centro de respuesta con respecto a los
incidentes de seguridad informáticos.
•
Integrar la base de datos del Centro de Respuesta a incidentes y ataques con código malicioso, al
portal WEB del COL-CSIRT que está siendo desarrollado por el grupo de investigación ARQUISOFT de
la Universidad Distrital Francisco José de Caldas.
46
Tomado de: http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt. U.A: 2008/09/26.
Publicado por:Universidad Distrital Francisco José de Caldas. Autores: Coordinadora: MsC. Zulima Ortiz Bayona.
Docentes asistentes: Ing. Claudia Liliana Bucheli, María del Pilar Bohorquez. Estudiantes coordinadores: Erika Tatiana
Luque Melo, Jeffrey Steve Borbón Sanabria, Anthony Molina. Estudiantes investigadores: Lina Rocio Infante, Diego
Alfonso Barrios Contreras, Ivon Carolina Rodríguez Parra, Laura Patricia Ortiz Ortiz, Diego Iván Arango, Jorge Eduardo
Ibáñez Sepúlveda, Edwin Giovanny Gutierrez Ramírez, Jairo Andrés Gómez Monrroy, Rene Alejandro Rangel Segura,
Alvaro Hernando Talero Niño, Daniel Arturo Acosta, Camilo Andrés Alfonso Vargas, Mónica Patricia Basto Guevara,
Wilmer Daniel Galvis, Saira Carvajal, Diana Marcela Cotte Corredor, Luis Francisco Fontalvo Romero, Cristian Camilo
Betancourt Lemus, Rodrigo Cruz Hernández, Julián Bonilla M, Jorge Gamba V, Giulio Leonardo Aquite Pinzón, Nidia
Marcela Corcovado B, Jorge Andrés Diab, Daniel Felipe Rentería Martínez
Página 171 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.3.6.2.2. Servicios Ofrecidos
Prestará el servicio de manejo de incidentes de seguridad informáticos, a través del análisis de incidentes,
respuesta a los incidentes en lí-nea, soporte a la respuesta del incidente y la coordinación de la respuesta
del incidente.
4.3.6.2.3. Estructura
El grupo está compuesto por una coordinación, docentes asistentes, estudiantes coordinadores y
estudiantes investigadores.
4.3.6.2.4. Área de Influencia
Colombia
4.3.6.3. Comité Interamericano Contra el Terrorismo de la OEA (CICTE)
4.3.6.3.1. Antecedentes
En junio de 2004 se llevó a cabo un taller para practicantes en materia de seguridad cibernética del CICTE
sobre la estrategia integral de seguridad cibernética de la OEA47, y sirvió como marco para establecer una
Red Interamericana CSIRT de vigilancia y alerta.
Su objetivo era crear una red hemisférica de puntos nacionales de contacto entre equipos de respuesta a
incidentes de seguridad en computadoras (Computer Security Incident Response Teams: CSIRT) con
responsabilidad nacional (CSIRT nacionales), en los Estados Miembros de la OEA, con el mandato y la
capacidad de responder debida y rápidamente a las crisis, incidentes y peligros relacionados con la
seguridad cibernética.
Estos equipos podrían comenzar simplemente como puntos de contacto oficiales en cada uno de los
Estados y estarían a cargo de recibir información sobre seguridad cibernética. En el futuro se convertirían
en un CSIRT.
Reviste importancia creciente la colaboración mundial y la capacidad de respuesta en tiempo real entre los
equipos. Dicha colaboración debe permitir lo siguiente:
El establecimiento de CSIRT en cada uno de los Estados Miembros
•
47
Tomado
de:
http://www.cicte.oas.org/Rev/en/Documents/OAS_GA/AG-RES.%202004%20(XXXIV-O-04)_SP.pdf.
U.A: 2008/09/26. Publicado por: Comité Interamericano Contra el Terrorismo de la OEA. Autor: No determinado.
Página 172 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
•
El fortalecimiento de los CSIRT hemisféricos
•
La identificación de los puntos de contacto nacionales
•
La identificación de los servicios críticos
•
El diagnóstico rápido y preciso del problema
•
El establecimiento de protocolos y procedimientos para el intercambio de información
•
La pronta diseminación regional de advertencias sobre ataques
•
La pronta diseminación regional de advertencias sobre vulnerabilidades genéricas
•
a difusión de un alerta regional sobre actividades sospechosas y la colaboración para analizar y
diagnosticar tales actividades
•
El suministro de información sobre medidas para mitigar y remediar los ataques y amenazas
•
La reducción de duplicaciones de análisis entre los equipos
•
El fortalecimiento de la cooperación técnica y la capacitación en materia de seguridad cibernética para
establecer los CSIRTs nacionales
•
La utilización de los mecanismos subregionales existentes.
En mayo de 2008 se llevó a cabo en la ciudad de Bogotá una capacitación en “Fundamentos para creación
y manejo de un CSIRT” organizada por la Secretaría del CICTE en coordinación con la Cancillería y la
Policía Nacional de Colombia (DIJIN), con la participación de representantes de Bolivia, Chile, Ecuador,
Paraguay, Perú, República Dominicana, y Colombia, con responsabilidades técnicas y/o políticas relativas al
desarrollo de su infraestructura nacional de seguridad cibernética, incluida la creación y desarrollo de
Computer Security Incident Response Teams (CSIRT).
Página 173 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
4.4. DIAGNÓSTICO 4: INICIATIVAS Y PROGRAMAS NACIONALES DE
SENSIBILIZACIÓN A LA COMUNIDAD PARA EL USO ADECUADO DE LOS
SERVICIOS ELECTRÓNICOS
4.4.1. Introducción
Relación documental, con descripción temática, enlace, vigencia y fuente de la iniciativa o
programas nacionales de sensibilización a la comunidad para el uso adecuado de los servicios electrónicos.
4.4.2. Relación documentada
El avance en Colombia de este tipo de iniciativas es bien incipiente. La búsqueda documental condujo al
hallazgo de publicaciones en Internet de una serie de recomendaciones para el uso de servicios
electrónicos a nivel del sector financiero del cual se incluyen algunos ejemplos y un par de ejemplos del
sector telecomunicaciones, los dos sectores más golpeados por incidentes de seguridad informática. En
cuanto a iniciativas, se encontró el proyecto “Prepárese” de Agenda de Conectividad. A continuación la
relación de los documentos consultados:
Nombre Documento
PHISHING
Resumen
Enlace documento
Recomendaciones tanto para la empresa
www.asobancaria.com/uploa
como para los clientes sobre los ataques por d/docs/docPub2820_1.pdf
Internet tipo Phishing (pesca de información)
que utilizan correos electrónicos mal
intencionados con mensajes inquietantes
para llamar la atención y sitios en Internet
URLs para
engañar a las personas de manera que
divulguen su información financiera como el
número de
cuenta, números tarjeta de crédito, nombre y
contraseña de su cuenta, número de cédula,
etc..
SEGURIDAD EN EL USO Información y recomendaciones de Seguridad http://www.bancodebogota.c
DE LOS MEDIOS Y
al cliente, las cuales le permitan identificar om.co/portal/page?_pageid=
CANALES
posibles situaciones de riesgo y darle guías 793,4216291&_dad=portal&_
sobre como actuar ante ellas en los servicios schema=PORTAL
de Internet, banca móvil, cajeros
automáticos, servilínea y call center, tarjetas
y seguridad física en oficinas
Página 174 de 197
Vigencia y
Aplicación
Fuente
2004/11/01
Asociación
Bancaria y de
Entidades
Financieras de
Colombia Asobancaria
No Aplica
Banco de
Bogotá
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicación
Fuente
No Aplica.
Empresa de
Telecomunicaci
ones de
Bogotá – ETB
E.S.P.
No Aplica.
Grupo
Bancolombia
CONSEJOS PARA
TENER SIEMPRE
PRESENTES
Consejos para los clientes en cuanto al
http://suite.etb.net.co/seguri
manejo del correo electrónico, navegacion en dad/tips_seguridad.asp
internet, mensajería instantánea, Chat,
comercio electrónico y entidades bancarias,
juegos en línea, etc.
SEGURIDAD EN LAS
TRANSACCIONES, UN
COMPROMISO
COMPARTIDO ENTRE
BANCOLOMBIA Y SUS
CLIENTES
Recomendaciones de seguridad para que los http://www.grupobancolombi
clientes estén alertas a la hora de utilizar los a.com/personal/informacionE
servicios del banco como: Tarjetas, cajero mpresarial/aprendaSeguridad
electrónicos, Internet y seguridad en oficinas. /cajeroAutomaticos/index.asp
?opcion=op1
BIENVENIDO A LA
CAPACITACION
VIRTUAL
Presentación y acceso a los módulos de
http://preparese.agenda.gov. 2007/11/01
capacitación virtual en los temas de: “Gestión co/
del Cambio y Servicio al Cliente”, “Gerencia
de Proyectos de Tecnología, Seguridad
Informática y Mejores Prácticas en la Gestión
de Tecnología”, “Arquitectura Orientada a
Servicios – SOA y Plataforma de
Interoperabilidad”
EL "PRESTAR EL
NOMBRE" ES UNA
PRÁCTICA INDEBIDA
QUE UTILIZAN LOS
FRAUDULENTOS PARA
ADQUIRIR NUESTROS
SERVICIOS
Recomendaciones a los clientes para prevenir www.telefonica.com.pe/notici
fraudes ya que los delincuentes utilizan
as/pdf/servicios.pdf
identidades falsas ocasionando que al cliente
se le incremente la cuenta telefónica o le
involucran en servicios no solicitados.
No Aplica.
Ministerio de
Comunicacione
s de Colombia
– Proyecto
Prepárese de
Agenda de
Conectividad.
Telefónica S.A.
4.4.3. Conclusiones
La búsqueda en cuanto a iniciativas nacionales en temas de sensibilización a la comunidad en el uso
adecuado de las tecnologías permite establecer que los avances en este aspecto en Colombia son tenues
por no decir nulos. Las entidades que más han desarrollado esfuerzos sobre el particular son las entidades
del sector financiero y las de las telecomunicaciones en razón a que el fraude es uno de sus riesgos
inherentes y que han sido víctimas de ataques informáticos. Dichas iniciativas tienen por limitante que sólo
llegan al universo de clientes y usuarios de los servicios de cada una de dichas entidades.
En cuanto al proyecto “Prepárese” desarrollado por Agenda de Conectividad, es un esfuerzo más orientado
a la difusión de conocimientos técnicos que a campañas de sensibilización, aunque su diseño puede
tomarse como base para el desarrollo de campañas de toma de conciencia en seguridad de la información,
un reto bien importante que enfrenta Gobierno en Línea y que puede ser el diferenciador para que el
modelo de seguridad definido por la consultoría se implemente de manera exitosa.
Página 175 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
5. TERMINOLOGÍA48
A
Acción correctiva: (Inglés: Corrective action). Medida de tipo reactivo orientada a eliminar la causa de una
no-conformidad asociada a la implementación y operación del SGSI con el fin de prevenir su repetición.
Acción preventiva: (Inglés: Preventive action). Medida de tipo pro-activo orientada a prevenir potenciales
no-conformidades asociadas a la implementación y operación del SGSI.
Accreditation body: Véase: Entidad de acreditación.
Aceptación del Riesgo: (Inglés: Risk acceptance). Según [ISO/IEC Guía 73:2002]: Decisión de aceptar un
riesgo.
Activo: (Inglés: Asset). En relación con la seguridad de la información, se refiere a cualquier información o
sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Según [ISO/IEC
13335-1:2004]: Cualquier cosa que tiene valor para la organización.
Alcance: (Inglés: Scope). Ámbito de la organización que queda sometido al SGSI. Debe incluir la
identificación clara de las dependencias, interfaces y límites con el entorno, sobre todo si sólo incluye una
parte de la organización.
Alerta: (Inglés: Alert). Una notificación formal de que se ha producido un incidente relacionado con la
seguridad de la información que puede evolucionar hasta convertirse en desastre.
Amenaza: (Inglés: Threat). Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el
cual puede causar el daño a un sistema o la organización.
48
Créditos, glosario tomado de www.iso27000.es. Permisos solicitados.
Página 176 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Análisis de riesgos: (Inglés: Risk analysis). Según [ISO/IEC Guía 73:2002]: Uso sistemático de la
información para identificar fuentes y estimar el riesgo.
Análisis de riesgos cualitativo: (Inglés: Qualitative risk analysis). Análisis de riesgos en el que se usa una
escala de puntuaciones para situar la gravedad del impacto.
Análisis de riesgos cuantitativo: (Inglés: Quantitative risk analysis). Análisis de riesgos en función de las
pérdidas financieras que causaría el impacto.
Asset: Véase: Activo.
Assets inventory: Véase: Inventario de activos.
Audit: Véase: Auditoría.
Auditor: (Inglés: Auditor). Persona encargada de verificar, de manera independiente, la calidad e
integridad del trabajo que se ha realizado en un área particular.
Auditor de primera parte: (Inglés: First party auditor). Auditor interno que audita la organización en
nombre de ella misma. En general, se hace como mantenimiento del sistema de gestión y como
preparación a la auditoría de certificación.
Auditor de segunda parte: (Inglés: Second party auditor). Auditor de cliente, es decir, que audita una
organización en nombre de un cliente de la misma. Por ejemplo, una empresa que audita a su proveedor
de outsourcing.
Auditor de tercera parte: (Inglés: Third party auditor). Auditor independiente, es decir, que audita una
organización como tercera parte independiente. Normalmente, porque la organización tiene la intención de
lograr la certificación.
Auditor jefe: (Inglés: Lead auditor). Auditor responsable de asegurar la conducción y realización eficiente y
efectiva de la auditoría, dentro del alcance y del plan de auditoría aprobado por el cliente.
Auditoría: (Inglés: Audit). Proceso planificado y sistemático en el cual un auditor obtiene evidencias
objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una
organización.
Autenticación: (Inglés: Authentication). Proceso que tiene por objetivo asegurar la identificación de una
persona o sistema.
Authentication: Véase: Autenticación.
Availability: Véase: Disponibilidad.
Página 177 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
B
BS7799: Estándar británico de seguridad de la información, publicado por primera vez en 1995. En 1998,
fue publicada la segunda parte. La parte primera es un conjunto de buenas prácticas para la gestión de la
seguridad de la información -no es certificable- y la parte segunda especifica el sistema de gestión de
seguridad de la información -es certificable-. La parte primera es el origen de ISO 17799 e ISO 27002 y la
parte segunda de ISO 27001. Como tal estándar, ha sido derogado ya, por la aparición de estos últimos.
BSI: British Standards Institution. Comparable al AENOR español, es la Organización que ha publicado la
serie de normas BS 7799, además de otros varios miles de normas de muy diferentes ámbitos.
Business Continuity Plan: Véase: Plan de continuidad del negocio.
C
CERT (Computer Emergency Response Team): Equipo de Respuesta a Emergencias Computacionales
(Marca registrada por la Universidad Carnegie - Melon).
Certification body: Véase: Entidad de certificación.
CIA: Acrónimo inglés de confidencialidad, integridad y disponibilidad, los parámetros básicos de la
seguridad de la información.
CID: Acrónimo español de confidencialidad, integridad y disponibilidad, los parámetros básicos de la
seguridad de la información.
CCEB: Criterio Común para la Seguridad de Tecnología de Información.
Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los
objetivos de la auditoría, sirve de evidencia del plan de auditoría, asegura su continuidad y profundidad y
reduce los prejuicios del auditor y su carga de trabajo. Este tipo de listas también se pueden utilizar
durante la implantación del SGSI para facilitar su desarrollo.
Clear desk policy: Véase: Política de escritorio despejado.
CobiT: Control Objectives for Information and related Technology. Publicados y mantenidos por ISACA. Su
misión es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnología de
Información rectores, actualizados, internacional y generalmente aceptados para ser empleados por
gerentes de empresas y auditores.
Página 178 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Código malicioso (Malicious Code, Malware): Cubre virus, gusanos, y Troyanos electrónicos. Se pueden
distribuir a través de varios métodos incluyendo el email, Web site, shareware / freeware y de otros
medios tales como material promocional.
Compromiso de la Dirección: (Inglés: Management commitment). Alineamiento firme de la Dirección de la
organización con el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y
mejora del SGSI.
Confidencialidad: (Inglés: Confidenciality). Acceso a la información por parte únicamente de quienes estén
autorizados. Según [ISO/IEC 13335-1:2004]:" característica/propiedad por la que la información no está
disponible o revelada a individuos, entidades, o procesos no autorizados.
Confidenciality: Véase: Confidencialidad.
Contramedida: (Inglés: Countermeasure). Véase: Control.
Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para
mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. (Nota: Control
es también utilizado como sinónimo de salvaguarda o contramedida.
Control correctivo: (Inglés: Corrective control). Control que corrige un riesgo, error, omisión o acto
deliberado antes de que produzca pérdidas. Supone que la amenaza ya se ha materializado pero que se
corrige.
Control detectivo: (Inglés: Detective control). Control que detecta la aparición de un riesgo, error, omisión
o acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige.
Control disuasorio: (Inglés: Deterrent control). Control que reduce la posibilidad de materialización de una
amenaza, p.ej., por medio de avisos disuasorios.
Control preventivo: (Inglés: Preventive control). Control que evita que se produzca un riesgo, error,
omisión o acto deliberado. Impide que una amenaza llegue siquiera a materializarse.
Control selection: Véase: Selección de controles.
Corrective action: Véase: Acción correctiva.
Corrective control: Véase: Control correctivo.
COSO: Committee of Sponsoring Organizations of the Treadway Commission. Comité de Organizaciones
Patrocinadoras de la Comisión Treadway. Se centra en el control interno, especialmente el financiero. En
Colombia este estándar fue utilizado para realizar el estándar de control interno MECI.
Countermeasure: Contramedida. Véase: Control.
Página 179 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
CSIRT (Computer Security Incident Response Team): Equipo de Respuesta a Incidentes de Seguridad
Computacional
D
Declaración de aplicabilidad: (Inglés: Statement of Applicability; SOA). Documento que enumera los
controles aplicados por el SGSI de la organización -tras el resultado de los procesos de evaluación y
tratamiento de riesgos- además de la justificación tanto de su selección como de la exclusión de controles
incluidos en el anexo A de la norma.
Denial of service: Véase: Negación de Servicios.
Desastre: (Inglés: Disaster). Cualquier evento accidental, natural o malintencionado que interrumpe las
operaciones o servicios habituales de una organización durante el tiempo suficiente como para verse la
misma afectada de manera significativa.
Detective control: Véase: Control detectivo.
Deterrent control: Véase: Control disuasorio.
Directiva: (Inglés: Guideline). Según [ISO/IEC 13335-1:2004]: una descripción que clarifica qué debería ser
hecho y cómo, con el propósito de alcanzar los objetivos establecidos en las políticas.
Disaster: Véase: Desastre.
Disponibilidad: (Inglés: Availability). Acceso a la información y los sistemas de tratamiento de la misma por
parte de los usuarios autorizados cuando lo requieran. Según [ISO/IEC 13335-1:2004]: característica o
propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada.
E
Entidad de acreditación: (Inglés: Accreditation body). Un organismo oficial que acredita a las entidades
certificadoras como aptas para certificar según diversas normas. Suele haber una por país. Son ejemplos
de entidades de acreditación: ENAC (España), UKAS (Reino Unido), EMA (México), OAA (Argentina)...
Entidad de certificación: (Inglés: Certification body). Una empresa u organismo acreditado por una entidad
de acreditación para auditar y certificar según diversas normas (ISO 27000, ISO 9000, ISO 14000, etc.) a
empresas usuarias de sistemas de gestión.
Página 180 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
ESF: Foro europeo de seguridad, en el que cooperan más de 70 multinacionales fundamentalmente
europeas con el objeto de llevar a cabo investigaciones relativas a los problema comunes de seguridad y
control en TI.
Evaluación de riesgos: (Inglés: Risk evaluation). Según [ISO/IEC Guía 73:2002]: proceso de comparar el
riesgo estimado contra un criterio de riesgo dado con el objeto de determinar la importancia del riesgo.
Evento: (Inglés: information security event). Según [ISO/IEC TR 18044:2004]: Suceso identificado en un
sistema, servicio o estado de la red que indica una posible brecha en la política de seguridad de la
información o fallo de las salvaguardias, o una situación anterior desconocida que podría ser relevante para
la seguridad.
Evidencia objetiva: (Inglés: Objective evidence). Información, registro o declaración de hechos, cualitativa
o cuantitativa, verificable y basada en observación, medida o test, sobre aspectos relacionados con la
confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e implementación
de un elemento del sistema de seguridad de la información.
F
Fase 1 de la auditoría: Fase en la que, fundamentalmente a través de la revisión de documentación, se
analiza en SGSI en el contexto de la política de seguridad de la organización, sus objetivos, el alcance, la
evaluación de riesgos, la declaración de aplicabilidad y los documentos principales, estableciendo un marco
para planificar la fase 2.
Fase 2 de la auditoría: Fase en la que se comprueba que la organización se ajusta a sus propias políticas,
objetivos y procedimientos, que el SGSI cumple con los requisitos de ISO 27001 y que está siendo efectivo.
FIRST (Forum of Incident Response and Security Teams): Foro global de Equipos de Respuesta a
Incidentes y Seguridad.
First party auditor: Véase: Auditor de primera parte.
G
Gestión de claves: (Inglés: Key management). Controles referidos a la gestión de claves criptográficas.
Gestión de riesgos: (Inglés: Risk management). Proceso de identificación, control y minimización o
eliminación, a un coste aceptable, de los riesgos que afecten a la información de la organización. Incluye la
valoración de riesgos y el tratamiento de riesgos. Según [ISO/IEC Guía 73:2002]: actividades coordinadas
para dirigir y controlar una organización con respecto al riesgo.
Página 181 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Guideline: Véase: Directiva.
H
Hacking: Es el término que cubre cualquier tentativa de tener acceso desautorizado a un sistema
informático.
Humphreys, Ted: Experto en seguridad de la información y gestión del riesgo, considerado "padre" de las
normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002.
I
I4: Instituto Internacional para la Integridad de la Información, asociación similar a la ESF, con metas
análogas y con sede principal en los EE.UU. Es manejado por el Instituto de Investigación de Standford.
IBAG: Grupo asesor de empresas de Infosec, representantes de la industria que asesoran al Comité de
Infosec. Este comité está integrado por funcionarios de los gobiernos de la Comunidad Europea y brinda su
asesoramiento a la Comisión Europea en asuntos relativos a la seguridad de TI.
IEC: International Electrotechnical Commission. Organización internacional que publica estándares
relacionados con todo tipo de tecnologías eléctricas y electrónicas.
IIA: Instituto de Auditores Internos.
Impacto: (Inglés: Impact). El coste para la empresa de un incidente -de la escala que sea-, que puede o
no ser medido en términos estrictamente financieros -p.ej., pérdida de reputación, implicaciones legales,
etc.
Impact: Véase: Impacto.
•
Incidente: Según [ISO/IEC TR 18044:2004]: Evento único o serie de eventos de seguridad de la
información inesperados o no deseados que poseen una probabilidad significativa de comprometer las
operaciones del negocio y amenazar la seguridad de la información. Algunos ejemplos comunes son:
o
Spam: Envío de correo masivo no solicitado.
o
Tomar el control de la computadora del alguien diferente usando un virus informático, un error
del software, un Troyano, etc.
Página 182 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
o
Negación del servicio de la computadora o de la red.
o
Infracción de copyright: música, películas, programas de computadora, etc.
o
Phishing: Generalmente enviando correos electrónicos que intentan inducir a brindar datos
importantes.
o
Pharming: Redirigir tráfico de la red de un servidor a otra red controlada para descubrir códigos
de acceso o información confidencial.
Information processing facilities: Véase: Servicios de tratamiento de información.
Information Systems Management System: Véase: SGSI.
Information security: Véase: Seguridad de la información.
INFOSEC: Comité asesor en asuntos relativos a la seguridad de TI de la Comisión Europea.
Integridad: (Inglés: Integrity). Mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso. Según [ISO/IEC 13335-1:2004]: propiedad/característica de salvaguardar la exactitud
y completitud de los activos.
Integrity: Véase: Integridad.
Inventario de activos: (Inglés: Assets inventory). Lista de todos aquellos recursos (físicos, de información,
software, documentos, servicios, personas, reputación de la organización, etc.) dentro del alcance del
SGSI, que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos.
IRCA: International Register of Certified Auditors. Acredita a los auditores de diversas normas, entre ellas
ISO 27001.
ISACA: Information Systems Audit and Control Association. Publica CobiT y emite diversas acreditaciones
en el ámbito de la seguridad de la información.
ISACF: Fundación de Auditoría y Control de Sistemas de Información.
ISC2: Information Systems Security Certification Consortium, Inc. Organización sin ánimo de lucro que
emite diversas acreditaciones en el ámbito de la seguridad de la información.
ISMS: Information Systems Management System. Véase: SGSI.
Página 183 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
ISO: Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una agrupación de
organizaciones nacionales de normalización cuyo objetivo es establecer, promocionar y gestionar
estándares.
ISO 17799: Código de buenas prácticas en gestión de la seguridad de la información adoptado por ISO
transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio de nomenclatura el
1 de Julio de 2007.
ISO 19011: “Guidelines for quality and/or environmental management systems auditing”. Guía de utilidad
para el desarrollo de las funciones de auditor interno para un SGSI.
ISO 27001: Estándar para sistemas de gestión de la seguridad de la información adoptado por ISO
transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicación en 2005.
ISO 27002: Código de buenas prácticas en gestión de la seguridad de la información (transcripción de ISO
17799). No es certificable. Cambio de oficial de nomenclatura de ISO 17799:2005 a ISO 27002:2005 el 1
de Julio de 2007.
ISO 9000: Normas de gestión y garantía de calidad definidas por la ISO.
ISO/IEC TR 13335-3: “Information technology . Guidelines for the management of IT Security .Techniques
for the management of IT Security.” Guía de utilidad en la aplicación de metodologías de evaluación del
riesgo.
ISO/IEC TR 18044: „Information technology . Security techniques . Information security incident
management“ Guía de utilidad para la gestión de incidentes de seguridad de la información.
ISSA: Information Systems Security Association.
ISSAP: Information Systems Security Architecture Professional. Una acreditación de ISC2.
ISSEP: Information Systems Security Engineering Professional. Una acreditación de ISC2.
ISSMP: Information Systems Security Management Professional. Una acreditación de ISC2.
ITIL: IT Infrastructure Library. Un marco de gestión de los servicios de tecnologías de la información.
ITSEC: Criterios de evaluación de la seguridad de la tecnología de información. Se trata de criterios
unificados adoptados por Francia, Alemania, Holanda y el Reino Unido. También cuentan con el respaldo
de la Comisión Europea (véase también TCSEC, el equivalente de EEUU).
Página 184 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
J
JTC1: Joint Technical Committee. Comité técnico conjunto de ISO e IEC específico para las TI.
K
Key management: Véase: Gestión de claves.
L
Lead auditor: Véase: Auditor jefe.
M
Major nonconformity: Véase: No conformidad grave.
Malware: Véase: Código malicioso.
Management commitment: Véase: Compromiso de la Dirección.
N
NBS: Oficina Nacional de Normas de los EE.UU.
Negación del Servicio (Denial of Service – DoS): Los ataques de negación del servicio se diseñan
generalmente para obstruir sistemas informáticos de red con una inundación de tráfico en la red. Esta
inundación del tráfico tiene a menudo el efecto de negar el acceso al sistema informático para los usuarios
legítimos. El tráfico indeseado se genera a menudo usando los sistemas informáticos inocentes conocidos
como zombis, que se ha infectado previamente con código malévolo.
NIST: (ex NBS) Instituto Nacional de Normas y Tecnología, con sede en Washington, D.C.
No conformidad: (Inglés: Nonconformity). Situación aislada que, basada en evidencias objetivas,
demuestra el incumplimiento de algún aspecto de un requerimiento de control que permita dudar de la
Página 185 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
adecuación de las medidas para preservar la confidencialidad, integridad o disponibilidad de información
sensible, o representa un riesgo menor.
No conformidad grave: (Inglés: Major nonconformity). Ausencia o fallo de uno o varios requerimientos de
la ISO 27001 que, basada en evidencias objetivas, permita dudar seriamente de la adecuación de las
medidas para preservar la confidencialidad, integridad o disponibilidad de información sensible, o
representa un riesgo inaceptable.
Nonconformity: Véase: No conformidad.
O
Objective evidence: Véase: Evidencia objetiva.
Objetivo: (Inglés: Objetive). Declaración del resultado o fin que se desea lograr mediante la
implementación de procedimientos de control en una actividad de TI determinada.
OCDE: Organización de Cooperación y Desarrollo Económico. Tiene publicadas unas guías para la
seguridad de la información.
P
PDCA: Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las actividades de planificar
(establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y
actuar (mantener y mejorar el SGSI).
Plan de continuidad del negocio: (Inglés: Bussines Continuity Plan). Plan orientado a permitir la
continuación de las principales funciones del negocio en el caso de un evento imprevisto que las ponga en
peligro.
Plan de tratamiento de riesgos: (Inglés: Risk treatment plan). Documento de gestión que define las
acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la información inaceptables
e implantar los controles necesarios para proteger la misma.
Política de seguridad: (Inglés: Security policy). Documento que establece el compromiso de la Dirección y
el enfoque de la organización en la gestión de la seguridad de la información. Según [ISO/IEC
27002:2005]: intención y dirección general expresada formalmente por la Dirección.
Página 186 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Política de escritorio despejado: (Inglés: Clear desk policy). La política de la empresa que indica a los
empleados que deben dejar su escritorio libre de cualquier tipo de informaciones susceptibles de mal uso al
finalizar el día.
Preventive action: Véase: Acción preventiva.
Preventive control: Véase: Control preventivo.
Q
Qualitative risk analysis: Véase: Análisis de riesgos cualitativo.
Quantitative risk analysis: Véase: Análisis de riesgos cuantitativo.
R
Residual Risk: Véase: Riesgo Residual.
Riesgo: (Inglés: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para
causar una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la
probabilidad de un evento y sus consecuencias.
Riesgo Residual: (Inglés: Residual Risk). Según [ISO/IEC Guía 73:2002] El riesgo que permanece tras el
tratamiento del riesgo.
Risk: Véase: Riesgo.
Risk acceptance: Véase: Aceptación del riesgo.
Risk analysis: Véase: Análisis de riesgos.
Risk assessment: Véase: Valoración de riesgos.
Risk evaluation: Véase: Evaluación de riesgos.
Risk management: Véase: Gestión de riesgos.
Risk treatment: Véase: Tratamiento de riesgos.
Página 187 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Risk treatment plan: Véase: Plan de tratamiento de riesgos.
S
Safeguard: Salvaguardia. Véase: Control.
Salvaguardia: (Inglés: Safeguard). Véase: Control.
Sarbanes-Oxley: Ley de Reforma de la Contabilidad de Compañías Públicas y Protección de los Inversores
aplicada en EEUU desde 2002. Crea un consejo de supervisión independiente para supervisar a los
auditores de compañías públicas y le permite a este consejo establecer normas de contabilidad así como
investigar y disciplinar a los contables. También obliga a los responsables de las empresas a garantizar la
seguridad de la información financiera.
Scope: Véase: Alcance.
Second party auditor: Véase: Auditor de segunda parte.
Security Policy: Véase: Política de seguridad.
Segregación de tareas: (Inglés: Segregation of duties). Reparto de tareas sensibles entre distintos
empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por
negligencia.
Segregation of duties: Véase: Segregación de tareas.
Seguridad de la información: Según [ISO/IEC 27002:2005]: Preservación de la confidencialidad, integridad
y disponibilidad de la información; además, otras propiedades como autenticidad, responsabilidad, no
repudio y fiabilidad pueden ser también consideradas.
Selección de controles: Proceso de elección de los controles que aseguren la reducción de los riesgos a un
nivel aceptable.
SGSI: (Inglés: ISMS). Sistema de Gestión de la Seguridad de la Información. Según [ISO/IEC 27001:2005]:
la parte de un sistema global de gestión que, basado en el análisis de riesgos, establece, implementa,
opera, monitoriza, revisa, mantiene y mejora la seguridad de la información. (Nota: el sistema de gestión
incluye una estructura de organización, políticas, planificación de actividades, responsabilidades,
procedimientos, procesos y recursos.)
Servicios de tratamiento de información: (Inglés: Information processing facilities). Según [ISO/IEC
27002:2005]: cualquier sistema, servicio o infraestructura de tratamiento de información o ubicaciones
físicas utilizados para su alojamiento.
Página 188 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Sistema de Gestión de la Seguridad de la Información: (Inglés: Information Systems Management System).
Ver SGSI.
SOA: Statement of Applicability. Véase: Declaración de aplicabilidad.
SSCP: Systems Security Certified Practitioner. Una acreditación de ISC2.
Statement of Applicability: Véase: Declaración de aplicabilidad.
T
TCSEC: Criterios de evaluación de la seguridad de los sistemas de computación, conocidos también con el
nombre de Orange Book (Libro naranja), definidos originalmente por el Ministerio de Defensa de los
EE.UU. Véase también ITSEC, el equivalente europeo.
TERENA (Trans-European Research and Education Networking Association): Una organización europea que
soporta la Internet y las actividades y servicios sobre la infraestructura con la comunidad académica.
TF-CSIRT: Foro internacional para la cooperación en CSIRT a nivel Europeo. Consiste en 2 grupos, uno
cerrado accessible solo para equipos acreditados y uno abierto acesible a cualquier persona interesada en
CSIRT. TF-CSIRT es una de las actividades de la organización internacional TERENA.
Third party auditor: Véase: Auditor de tercera parte.
Threat: Véase: Amenaza.
TickIT: Guía para la Construcción y Certificación del Sistema de Administración de Calidad del Software.
Tratamiento de riesgos: (Inglés: Risk treatment). Según [ISO/IEC Guía 73:2002]: Proceso de selección e
implementación de medidas para modificar el riesgo.
U
V
Valoración de riesgos: (Inglés: Risk assessment). Según [ISO/IEC Guía 73:2002]: Proceso completo de
análisis y evaluación de riesgos.
Página 189 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Vulnerabilidad: (Inglés: Vulnerability). Debilidad en la seguridad de la información de una organización que
potencialmente permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de
un activo o conjunto de activos que puede ser explotado por una amenaza.
Vulnerability: Véase: Vulnerabilidad.
W
WG1, WG2, WG3, WG4, WG5: WorkGroup 1, 2, 3, 4, 5. Grupos de trabajo del subcomité SC27 de JTC1
(Joint Technical Committee) de ISO e IEC. Estos grupos de trabajo se encargan del desarrollo de los
estándares relacionados con técnicas de seguridad de la información.
Página 190 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
6. APÉNDICES
Anexo 1
Mapa de Interrelación de Estándares de Seguridad de la Información
En formato electrónico –ver documentación CDROM:
Anexo 2
ACTO LEGISLATIVO 01 DE 2003.pdf
Anexo 3
ACUERDO 184 DE 2005.pdf
Anexo 4
Acuerdos.pdf
Anexo 5
AG RES 2004 XXXIV004.pdf
Anexo 6
ARTICULO 583.pdf
Anexo 7
CNUDM COMERCIO ELECTRONICO.pdf
Anexo 8
CODIGO CONTENCIOSO ADMINISTRATIVO.pdf
Anexo 9
CONPES 203072.pdf
Anexo 10
CONST. POLITICA DE COLOMBIA 1991.pdf
Anexo 11
Const. Portuguesa de 2 abril 76.pdf
Anexo 12
CONSTITUCION POLITICA DE COLOMBIA 1991.pdf
Anexo 13
Constitución Española de 1978.pdf
Anexo 14
CONVENCION AMERICANA SOBRE DERECHOS HUMANOS.pdf
Anexo 15
CONVENIO Nº 108 DEL CONSEJO.pdf
Página 191 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Anexo 16
CORTE SUPREMA DE JUSTICIA.pdf
Anexo 17
Decisión 638.pdf
Anexo 18
Decisión CAN 638.pdf
Anexo 19
Decisión CAN 691.pdf
Anexo 20
Declaración Universal de los Derechos humanos.pdf
Anexo 21
DECRETO 1151 DE 2008.pdf
Anexo 22
DECRETO 1474 DE 2001.pdf
Anexo 23
DECRETO 1474 DE 2002.pdf
Anexo 24
DECRETO 1524 DE 2002.pdf
Anexo 25
DECRETO 1599 DE 2005.pdf
Anexo 26
DECRETO 1747 DE 2000.pdf
Anexo 27
DECRETO 1900 DE 1990.pdf
Anexo 28
DECRETO 1929 DE 2007.pdf
Anexo 29
Decreto 2170 de 2002..pdf
Anexo 30
DECRETO 2178 DE 2006.pdf
Anexo 31
DECRETO 229 DE 1995.pdf
Anexo 32
DECRETO 2474 DE 2008.pdf
Anexo 33
DECRETO 2870 DE 2007.pdf
Anexo 34
DECRETO 3512 DE 2003.pdf
Anexo 35
DECRETO 3816 DE 2003.pdf
Anexo 36
DECRETO 4124 DE 2004.pdf
Anexo 37
DECRETO 4510 DE 2007.pdf
Página 192 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Anexo 38
DECRETO 619 DE 2001.pdf
Anexo 39
DECRETO 619 DE 2002.pdf
Anexo 40
DECRETO 619 DE 2007.pdf
Anexo 41
DECRETO No. 300 DE 1997.pdf
Anexo 42
DECRETO No. 4110 DE 2004.pdf
Anexo 43
DECRETO NUMERO 2110 DE 1992.pdf
Anexo 44
DIRECTIVA 2006 24 CE.pdf
Anexo 45
DIRECTIVA 95.pdf
Anexo 46
Directrices De-Proteccion de Datos de la ONU.pdf
Anexo 47
LEY 25326.pdf
Anexo 48
LEY 1065 DE 2006.pdf
Anexo 49
LEY 1150 DE 2007.pdf
Anexo 50
LEY 1221 DE 2008.pdf
Anexo 51
LEY 1231 DE 2008.pdf
Anexo 52
LEY 1236 DE 2008.pdf
Anexo 53
LEY 1238 DE 2008.pdf
Anexo 54
LEY 178 DE 1994.pdf
Anexo 55
LEY 190 DE 1995.pdf
Anexo 56
LEY 23 DE 1981.pdf
Anexo 57
LEY 23 DE 1982.pdf
Anexo 58
LEY 252 DE 1991.pdf
Anexo 59
Ley 252 de 1995.pdf
Página 193 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Anexo 60
Ley 25326.pdf
Anexo 61
Ley 256 de 1996.pdf
Anexo 62
LEY 270 DE 1996.pdf
Anexo 63
LEY 30 DE 1986.pdf
Anexo 64
LEY 43 DE 1990.pdf
Anexo 65
LEY 489 DE 1998.pdf
Anexo 66
LEY 52 DE 1990.pdf
Anexo 67
LEY 527 DE 1991.pdf
Anexo 68
LEY 527 DE 1999.pdf
Anexo 69
LEY 550 DE 1999.pdf
Anexo 70
LEY 555 DE 2000.pdf
Anexo 71
LEY 588 DE 2000.pdf
Anexo 72
LEY 594 DE 2000.pdf
Anexo 73
LEY 598 DE 2000.pdf
Anexo 74
LEY 599 DE 2000.pdf
Anexo 75
LEY 679 DE 2001.pdf
Anexo 76
LEY 766 DE 2002.pdf
Anexo 77
LEY 79 DE 1993.pdf
Anexo 78
LEY 794 DE 2003.pdf
Anexo 79
LEY 872 DE 2003.pdf
Anexo 80
LEY 892 DE 2004.pdf
Anexo 81
LEY 909 DE 2004.pdf
Página 194 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Anexo 82
LEY 96 DE 1985.pdf
Anexo 83
LEY 962 DE 2005.pdf
Anexo 84
LEY 964 DE 2005.pdf
Anexo 85
LEY 970 DE 2005.pdf
Anexo 86
LEY DE LIBERTAD DE INFORMACION.pdf
Anexo 87
LEY ESTATUTARIA 221 DE 2006.pdf
Anexo 88
LEY MODELO DE LA CNUDMI.pdf
Anexo 89
LEY Nº 19.pdf
Anexo 90
Ley Orgánica 15 de 1999.pdf
Anexo 91
LEY PARA REGULAR LAS SOCIEDADES.pdf
Anexo 92
OCDE.pdf
Anexo 93
Pacto Internacional de Derechos Civiles y Políticos.pdf
Anexo 94
PROYECTO LEY ESTATUTARIA 221 DE 2006.pdf
Anexo 95
REGLAMENTO No. 45 2001.pdf
Anexo 96
RESOLUCION No. 000999 DE 2007.pdf
Anexo 97
RESOLUCIÓN 1652 DE 2008.pdf
Anexo 98
RESOLUCIÓN 1732 DE 2007.pdf
Anexo 99
RESOLUCIÓN 1764 DE 2007.pdf
Anexo 100
RESOLUCIÓN 26930 DE 2000.pdf
Anexo 101
Régimen Legal _ Consulta Temática.pdf
Anexo 102
Sentencia C-662-00.pdf
Anexo 103
SENTENCIA C-692 03.pdf
Página 195 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Anexo 104
SENTENCIA C-729 DE 2000.pdf
Anexo 105
Sentencia No. SU 082 95.pdf
Anexo 106
Sentencia No. T-110 93pdf.pdf
Anexo 107
Sentencia No. T-414.pdf
Anexo 108
Sentencia No. T-577.pdf
Anexo 109
Sentencia T 1105 05.pdf
Anexo 110
Sentencia T 729 septiembre 5 de 2002.pdf
Anexo 111
Sentencia T-552-97.pdf
Anexo 112
Tratado de la OMPI sobre derechos de autor.pdf
Anexo 113
UNV. ANDES LEY 527 DE 1999.pdf
Página 196 de 197
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA
LA ESTRATEGIA DE GOBIERNO EN LÍNEA
7. BIBLIOGRAFÍA
NTC-ISO-IEC 27001, Tecnología de la Información. Técnicas de Seguridad. Sistemas de gestión
de la seguridad de la información (SGSI). Requisitos.
NTC-ISO-IEC 17799, Tecnología de la información. Técnicas de seguridad. Código de práctica
para la gestión de la seguridad de la información.
Manual Directrices de Gestión del Riesgo, complementa la NTC 5254 2006
NTCGP 1000:2004 Norma Técnica de calidad en la Gestión Pública.
Modelo Estándar de Control Interno para el Estado Colombiano, MECI 1000:2005.
ISM3 v 2.00 Information Security Management Maturity Model, 2007, ISM3 Consortium.
Cobit Mapping: Mapping of ITIL v 3 with Cobit 4.1, 2008, IT Governance Institute.
The Standard of Good Practice for Information Security, 2007, Information Security Forum.
Estado del arte en modelos de control, seguridad y auditoría, Latincacs 2005, Fernando Ferrer
Olivares, CISA.
Estándares de Seguridad de la Información, Digiware, Ramiro Merchán P, CISA.
Página 197 de 197
Descargar