Diseño de Un CSIRT Colombiano

DISEO DE UN CSIRT DE COLOMBIA PARA LA ESTRATEGIA GOBIERNO EN LNEA
REA DE INVESTIGACIN Y PLANEACIN Repblica de Colombia - Derechos Reservados
Bogot, D.C., Diciembre de 2008
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
FORMATO PRELIMINAR AL DOCUMENTO MANUAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO SISTEMA DE GESTIN DE CALIDAD PROGRAMA AGENDA DE CONECTIVIDAD 2008-12-04 Corresponde a los entregables No. 12 y 13, primero y segundo avance del CSIRT. CSIRT, Seguridad de la informacin, Incidentes Lenguaje: Direccin de planificacin e investigacin Versin: 2 Estado: En elaboracin Castellano
Ttulo: Fecha elaboracin aaaa-mm-dd: Sumario: Palabras Claves: Formato: Dependencia: Cdigo: Categora: Autor (es): Revis: Aprob: Informacin Adicional: Ubicacin:
Proyecto Diseo de modelo SGSI para la estrategia de Gobierno en Lnea Firmas: Juan C. Alarcn Jairo Pantoja Juan C. Alarcn
Pgina 2 de 183
CONTROL DE CAMBIOS
VERSIN 1 1.1 2 FECHA 23 10 2008 05 11 2008 04 12 2008 No. SOLICITUD RESPONSABLE Fernando Gaona Fernando Gaona Fernando Gaona DESCRIPCIN Primera versin del documento Revisin interna conjunta equipo de Consultora Digiware Revisin con el Programa Gobierno en Lnea
Pgina 3 de 183
TABLA DE CONTENIDO
DERECHOS DE AUTOR...........................................................................................................................................9 AUDIENCIA ........................................................................................................................................................19 INTRODUCCIN..................................................................................................................................................20 1. QU ES UN CSIRT .........................................................................................................................................22 1.1. DEFINICIN ..............................................................................................................................................22 1.2. ANTECEDENTES.........................................................................................................................................22 1.3. BENEFICIOS DE CONTAR CON UN CSIRT ......................................................................................................24 2. INICIATIVAS Y EXPERIENCIAS NACIONALES E INTERNACIONALES EN CSIRTS...................................................25 2.1. ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL MUNDO ..............................................................25 2.1.1. FIRST - FORUM FOR INCIDENT RESPONSE AND SECURITY TEAMS .....................................................................32 2.1.2. ENISA - EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY............................................................40 2.1.3. APCERT - ASIA PACIFIC COMPUTER EMERGENCY RESPONSE TEAM ..................................................................43 2.1.4. CERT - COORDINATION CENTER DE LA UNIVERSIDAD CARNEGIE MELLON........................................................44 2.1.5. TERENA - TRANS-EUROPEAN RESEARCH AND EDUCATION NETWORKING ASSOCIATION.................................47 2.1.6. ALEMANIA - CERT-BUND (COMPUTER EMERGENCY RESPONSE TEAM FR BUNDESBEHRDEN).....................49 2.1.7. ARABIA SAUDITA - CERT-SA (COMPUTER EMERGENCY RESPONSE TEAM - SAUDI ARABIA) ..............................50 2.1.8. ARGENTINA - ARCERT (COORDINACIN DE EMERGENCIAS EN REDES TELEINFORMTICAS)............................51 2.1.9. AUSTRALIA - AUSCERT (AUSTRALIA COMPUTER EMERGENCY RESPONSE TEAM) .............................................54 2.1.10. AUSTRIA - CERT.AT (COMPUTER EMERGENCY RESPONSE TEAM AUSTRIA).....................................................55 2.1.11. BRASIL - CERT.BR (COMPUTER EMERGENCY RESPONSE TEAM BRAZIL)...........................................................56 2.1.12. CANAD - PSEPC (PUBLIC SAFETY EMERGENCY PREPAREDNESS CANADA) .....................................................57 2.1.13. CHILE CSIRT-GOV...........................................................................................................................................58 2.1.14. CHILE - CLCERT (GRUPO CHILENO DE RESPUESTA A INCIDENTES DE SEGURIDAD COMPUTACIONAL) ............59 2.1.15. CHINA - CNCERT/CC (NATIONAL COMPUTER NETWORK EMERGENCY RESPONSE TECHNICAL TEAM)............60 2.1.16. COREA DEL SUR - KRCERT/CC (CERT COORDINATION CENTER KOREA)............................................................64 2.1.17. DINAMARCA DK.CERT (DANISH COMPUTER EMERGENCY RESPONSE TEAM)...............................................66 2.1.18. EMIRATOS RABES UNIDOS AECERT (THE UNITED ARAB EMIRATES COMPUTER EMERGENCY RESPONSE TEAM) 67 2.1.19. ESPAA - ESCERT (EQUIPO DE SEGURIDAD PARA LA COORDINACIN DE EMERGENCIAS EN REDES TELEMTICAS).................................................................................................................................................................68 2.1.20. ESPAA IRIS-CERT (SERVICIO DE SEGURIDAD DE REDIRIS)............................................................................69 2.1.21. ESPAA - CCN-CERT (CRYPTOLOGY NATIONAL CENTER - COMPUTER SECURITY INCIDENT RESPONSE TEAM)71 2.1.22. ESPAA - INTECO-CERT (CENTRO DE RESPUESTAS A INCIDENTES EN TI PARA PYMES Y CIUDADANOS)..........73
Pgina 4 de 183
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO SISTEMA DE GESTIN DE CALIDAD ESTRATEGIA DE GOBIERNO EN LNEA
2.1.23. ESTADOS UNIDOS - US-CERT (UNITED STATES - COMPUTER EMERGENCY READINESS TEAM)........................75 2.1.24. ESTONIA CERT-EE (COMPUTER EMERGENCY RESPONSE TEAM OF ESTONIA)...............................................76 2.1.25. FILIPINAS - PH-CERT (PHILIPPINES COMPUTER EMERGENCY RESPONSE TEAM)..............................................77 2.1.26. FRANCIA-CERTA (CENTRE D'EXPERTISE GOUVERNEMENTAL DE RPONSE ET DE TRAITEMENT DES ATTAQUES INFORMATIQUES) ...........................................................................................................................................................78 2.1.27. HONG KONG - HKCERT (HONG KONG COMPUTER EMERGENCY RESPONSE COORDINATION CENTRE) ..........80 2.1.28. HUNGRA - CERT (CERT-HUNGARY)..................................................................................................................81 2.1.29. INDIA - CERT-IN (INDIAN COMPUTER EMERGENCY RESPONSE TEAM) ............................................................83 2.1.30. JAPAN - JPCERT/CC (JP CERT COORDINATION CENTER) ...................................................................................85 2.1.31. MXICO UNAM-CERT (EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD EN CMPUTO) ....................87 2.1.32. NUEVA ZELANDIA CCIP (CENTRE FOR CRITICAL INFRASTRUCTURE PROTECTION) ........................................88 2.1.33. HOLANDA GOVCERT.NL.................................................................................................................................89 2.1.34. POLONIA - CERT POLSKA (COMPUTER EMERGENCY RESPONSE TEAM POLSKA) .............................................90 2.1.35. QATAR - Q-CERT (QATAR CERT)........................................................................................................................91 2.1.36. REINO UNIDO - GOVCERTUK (CESGS INCIDENT RESPONSE TEAM) .................................................................92 2.1.37. SINGAPUR SINGCERT (SINGAPORE CERT)......................................................................................................93 2.1.38. SRI LANKA SLCERT (SRI LANKA COMPUTER EMERGENCY RESPONSE TEAM).................................................94 2.1.39. TNEZ - CERT-TCC (COMPUTER EMERGENCY RESPONSE TEAM - TUNISIAN COORDINATION CENTER) ..........96 2.1.40. VENEZUELA CERT.VE (VENCERT EQUIPO DE RESPUESTA PARA EMERGENCIAS INFORMTICAS) ...............100 2.2. EXPERIENCIAS O ANTECEDENTES EN COLOMBIA.......................................................................................102 2.2.1. CIRTISI COLOMBIA (CENTRO DE INFORMACIN Y RESPUESTA TCNICA A INCIDENTES DE SEGURIDAD INFORMTICA DE COLOMBIA) ......................................................................................................................................102 2.2.2. CSIRT COLOMBIA (COL CSIRT) ..........................................................................................................................107 2.2.3. COMIT INTERAMERICANO CONTRA EL TERRORISMO DE LA OEA (CICTE) ......................................................108 2.3. EN RESUMEN ..........................................................................................................................................109 2.3.1. CSIRTS PBLICOS..............................................................................................................................................109 2.3.2. CSIRTS PRIVADOS .............................................................................................................................................110 2.3.3. CSIRTS INTERNOS .............................................................................................................................................110 2.3.4. CSIRTS DE COORDINACIN...............................................................................................................................111 2.3.5. ESQUEMA ASOCIATIVO ENTRE EL SECTOR PBLICO Y EL PRIVADO .................................................................111 3. DEFINICIN DE LA ORGANIZACIN CSIRT PARA COLOMBIA ........................................................................112 3.1. 3.2. 3.3. 3.4. 3.5. 3.6. TIPO DE ENTIDAD....................................................................................................................................112 RELACIN CON LAS ENTIDADES ...............................................................................................................115 MISIN...................................................................................................................................................116 VISIN....................................................................................................................................................116 OBJETIVOS ESTRATGICOS ......................................................................................................................116 OBJETIVOS ESPECFICOS ..........................................................................................................................117
4. PORTAFOLIO DE SERVICIOS........................................................................................................................118 4.1. SERVICIOS PREVENTIVOS ........................................................................................................................119 4.2. SERVICIOS REACTIVOS.............................................................................................................................121 4.3. GESTIN DE LA SEGURIDAD DE LA INFORMACIN ....................................................................................123 4.4. CARACTERSTICAS DE LOS SERVICIOS .......................................................................................................125 4.4.1. SERVICIOS PREVENTIVOS .................................................................................................................................126
Pgina 5 de 183
4.4.2. SERVICIOS REACTIVOS......................................................................................................................................126 4.4.3. GESTIN DE LA CALIDAD DE LA SEGURIDAD ....................................................................................................127 5. PROCESOS Y PROCEDIMIENTOS..................................................................................................................128 5.1. DELIMITACIN SISTMICA.......................................................................................................................128 5.2. PROCESOS ..............................................................................................................................................129 5.3. PROCEDIMIENTOS ..................................................................................................................................132 6. ANLISIS DEL MERCADO ............................................................................................................................134 6.1. MACRO ENTORNO ..................................................................................................................................135 6.2. INDUSTRIAS Y SECTORES .........................................................................................................................135 6.3. ALIADOS ESTRATGICOS Y MERCADOS ....................................................................................................137 7. INDICADORES Y METAS..............................................................................................................................139 7.1. 7.2. 7.3. 7.4. 7.5. 7.6. PERSPECTIVA SEGURIDAD DE LA INFORMACIN NACIONAL .....................................................................143 PERSPECTIVA FINANCIERA.......................................................................................................................144 PERSPECTIVA PROCESOS INTERNOS.........................................................................................................144 PERSPECTIVA APRENDIZAJE Y CRECIMIENTO............................................................................................145 RESUMEN DE LOS INDICADORES..............................................................................................................146 CONSIDERACIONES GENERALES...............................................................................................................148
8. ESTRUCTURA ORGANIZACIONAL ................................................................................................................150 8.1. ORGANIGRAMA......................................................................................................................................151 8.1.1. ASESOR JURDICO.............................................................................................................................................151 8.1.2. DIRECCIN TCNICA.........................................................................................................................................151 8.1.3. DIRECCIN DE COOPERACIN Y SOPORTE.......................................................................................................154 8.1.4. DIRECCIN ADMINISTRATIVO Y FINANCIERA ..................................................................................................156 8.2. PROCESO DE SELECCIN..........................................................................................................................158 8.2.1. COMPETENCIAS COMUNES..............................................................................................................................158 8.2.2. COMPETENCIAS COMPORTAMENTALES POR NIVEL JERRQUICO ..................................................................159 8.2.3. COMPETENCIAS TCNICAS...............................................................................................................................159 8.2.4. OTRAS CARACTERSTICAS.................................................................................................................................160 8.3. CAPACITACIN .......................................................................................................................................161 9. ETAPAS PARA LA CONFORMACIN DEL CSIRT COLOMBIA ........................................................................162 10. PRESUPUESTO PRELIMINAR DE INVERSIN Y FUNCIONAMIENTO..............................................................163 10.1. PRESUPUESTO DE INVERSIN ................................................................................................................165 10.2. PRESUPUESTO DE FUNCIONAMIENTO....................................................................................................165
Pgina 6 de 183
11. TERMINOLOGA .......................................................................................................................................169 12. ANEXOS...................................................................................................................................................183
Pgina 7 de 183
LISTA DE ILUSTRACIONES
Ilustracin 1: Pases con CSIRTs Miembros de FIRST........................................................................... 34 Ilustracin 2: Estructura de ENISA ..................................................................................................... 42 Ilustracin 3: Modelo Detallado del Sistema Administrativo Nacional de Seguridad de la Informacin .....112 Ilustracin 4: Delimitacin Sistemtica de la Entidad ..........................................................................128 Ilustracin 5: Modelo Tecnolgico del CSIRT......................................................................................129 Ilustracin 6: Modelo de Segmentacin del CSIRT..............................................................................130 Ilustracin 7: Despliegue de Procesos ...............................................................................................131 Ilustracin 8: Catlogo de Procesos ..................................................................................................132 Ilustracin 9: Catlogo de Procedimientos .........................................................................................132 Ilustracin 10: de Anlisis del Mercado..............................................................................................134 Ilustracin 11: Marco Poltico, Econmico, Social y Tecnolgico del CSIRT............................................135 Ilustracin 12: Anlisis de Competitividad de Porter............................................................................136 Ilustracin 13: Matriz DOFA..............................................................................................................138 Ilustracin 14: Modelo de Gestin.....................................................................................................140 Ilustracin 15: Alineacin de la Visin y la Estrategia..........................................................................141 Ilustracin 16: Mapa Estratgico.......................................................................................................142 Ilustracin 17: Perspectivas y Orientadores Estratgicos .....................................................................143 Ilustracin 18: Estructura Organizacional Propuesta ...........................................................................151
Pgina 8 de 183
DERECHOS DE AUTOR
SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx: No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. FIRST. http://www.first.org/
Copyright 1995 - 2006 by FIRST.org, Inc.

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. ENISA. http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf.
Reproduction of material published on this web site is authorized, provided the source is acknowledged, unless it is stated otherwise. Where prior permission must be obtained for the reproduction or use of material published on this web site the above mentioned permission shall be cancelled and restrictions shall be imposed through a legal notice as appropriate published on that specific material.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. APCERT. http://www.apcert.org/.
Copyright(C) 2008 APCERT. All rights reserved

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Terena. http://www.terena.org/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Alemania - CERT-Bund. http://www.bsi.bund.de/certbund/
Federal Office for Information Security (BSI). All rights reserved

Pgina 9 de 183
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Arabia Saudita - CERT-SA. http://www.cert.gov.sa/
Copyright 2006 - 2007 | Disclaimer. All Rights Reserved

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Argentina ArCERT. http://www.arcert.gov.ar/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Australia AusCERT. http://www.auscert.org.au/
The material on this web site is covered by copyright. Apart from any use permitted under the Copyright Act 1968, no part may be reproduced or distributed by any process or means, without the prior written permission of AusCERT. AusCERT acknowledges all instances where copyright is held by, or shared with, another organisation. In such cases, each copyright owner should be contacted regarding reproduction or use of that material.
Se solicita autorizacin. Respuesta:
Date: Wed, 1 Oct 2008 03:43:58 +0000 CC: auscert@auscert.org.au Subject: RE: RE: (AUSCERT#200869d4a) Re: Permission to use and to make translations about AusCert To: fernandogaona@hotmail.com From: auscert@auscert.org.au -----BEGIN PGP SIGNED MESSAGE----Hash: RIPEMD160 Hi Fernando, We are happy for you to translate the sections of our website that you have highlighted. Additionally we have in the last week assisted New Zealand via a workshop to aid them in the creation of a National CERT, and we also provide training for the purpose of creating National CERT teams. Please do not hesitate to contact us further regarding the possibility of training and further collaboration. Regards,
Pgina 10 de 183
- -- Jonathan Levine Computer Security Analyst | Hotline: +61 7 3365 4417 AusCERT, Australia's National CERT | Fax: +61 7 3365 7031 The University of Queensland | WWW: www.auscert.org.au QLD 4072 Australia | Email: auscert@auscert.org.au
Austria - CERT.at. www.cert.at No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Brasil - CERT.br. http://www.cert.br No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Canad PSEPC. http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Chile CSIRT-GOV. http://www.csirt.gov.cl/
La informacin presentada en este portal tiene finalidad informativa, especialmente dirigida a los responsables de seguridad, administradores de redes y sistemas, personal informtico y en general cualquier individuo que cumpla labores al interior de la Administracin del Estado. El mal uso de la informacin entregada puede ser sancionado en conformidad al estatuto administrativo. Como el acceso a este portal es pblico, en los casos en que se detecte uso malicioso de la informacin, o intentos de quebrantar la seguridad del sistema, CSIRT Chile se reserva el derecho de ejercer todas las acciones legales correspondientes contra quien resulte responsable de dichos actos, amparado en la Ley General de Telecomunicaciones y la Ley de Delito Informtico. Queda estrictamente prohibido utilizar la informacin presentada en este portal sin el conocimiento y consentimiento formal por parte de CSIRT Chile, en especial para efectos contrarios a los buscados por este equipo.
Se solicita autorizacin. Chile CLCERT. http://www.clcert.cl No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Pgina 11 de 183
China - CNCERT/CC. http://www.cert.org.cn/english_web/. No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Corea del Sur - KrCERT/CC. http://www.krcert.or.kr/
COPYRIGHT KRCERT.OR.KR. ALL RIGHTS RESERVED. All materials released by Internet Incident Response Support Center are protected under the copyright law and copyrights of all released materials are owned by the center. Accordingly, it is prohibited to copy or distribute them partially and entirely. If you seek for economic profits or benefits equivalent of it, a prior consultation with the center or prior approval from the center is required. In case those materials are quoted partially or entirely after prior consent or approval, it shall clearly state that the source of quoted contents belongs to the center. The hyperlink from other web sites to the main web page of the center is allowed but not to the other web pages (sub domain). Also, before setting a hyperlink to the main web page of the Center, it should be notified to the center in advance. In case data posted at a web site of the Center is used for the purpose of positing at the other Internet sites in a due manner, the arbitrary change of data except simple error correction is prohibited. The violation of this act is subject to criminal punishment. For the purpose of news report, criticism, education and study activities, data posted in the web page can be quoted as long as they satisfy fair practices within a legal boundary. However, in this case, the quotation of materials is limited to less than 10% of the whole contents. The violation of this act is regarded as infringement on copyright. As long as the data provided by the center is used for individual purpose (not commercial purpose) or within a boundary of household and equivalent boundary, it can be copied for use. However, even if a specific company, non-profit organization, intends to copy them for the purpose of internal use only, it is not allowed to copy materials. The illegal copy and distribution of materials provided by the center falls under infringement on copyright property law and the violator is sentenced to imprisonment not exceeding 5 years and a fine not exceeding 50 Mio.won. For more detailed information, you can contact the Internet Incident Response Support Center (Tel: 118 / cert@certcc.or.kr, cert@krcert.or.kr).
Se solicita autorizacin. Dinamarca DK.CERT. https://www.cert.dk/
Informacin sobre estas pginas pueden ser protegidas por los derechos de autor
Pgina 12 de 183
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Emiratos rabes Unidos aeCERT. http://www.aecert.ae/
2007-2008 aeCERT. All rights reserved

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Espaa ESCERT. http://escert.upc.edu/index.php/web/es/index.html
Los textos, diseos, imgenes, bases de datos, logotipos, estructuras, marcas y otros elementos de esCERT-UPC, incluido todo lo referente a ALTAIR, estn protegidos por la normativa de aplicacin respecto a la propiedad intelectual e industrial. esCERT-UPC autoriza a los usuarios a reproducir, copiar, distribuir, transmitir, adaptar o modificar exclusivamente los contenidos de la web de esCERT-UPC, siempre que se especifique la fuente y/o los autores.
Espaa IRIS-CERT. http://www.rediris.es/cert/ RedIRIS 1994-2008 No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Espaa - CCN-CERT. https://www.ccn-cert.cni.es/
2008 Centro Criptolgico Nacional - C/Argentona s/n 28023 MADRID

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Espaa - INTECO-CERT. http://www.inteco.es/rssRead/Seguridad/INTECOCERT
Todos los elementos que forman el sitio Web, as como su estructura, diseo y cdigo fuente de la misma, son titularidad de INTECO y estn protegidos por la normativa de propiedad intelectual e industrial. Se prohbe la reproduccin total o parcial de los contenidos de este sitio Web, as como su modificacin y/o distribucin sin citar su origen o solicitar previamente autorizacin. INTECO no asumir ninguna responsabilidad derivada del uso por terceros del contenido del sitio Web y podr ejercitar todas las acciones civiles o penales que le correspondan en caso de infraccin de estos derechos por parte del usuario.
Estados Unidos - US-CERT. http://www.us-cert.gov
Pgina 13 de 183
You are permitted to reproduce and distribute documents on this web site in whole or in part, without changing the text you use, provided that you include the copyright statement or "produced by" statement and use the document for noncommercial or internal purposes. For commercial use or translations, send your email request to webmaster@us-cert.gov.
Se solicita autorizacin. Estonia CERT-EE. http://www.ria.ee/?id=28201 No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Filipinas - PH-CERT. http://www.phcert.org/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Francia-CERTA. http://www.certa.ssi.gouv.fr/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Hong Kong HKCERT. http://www.hkcert.org/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Hungra CERT. http://www.cert-hungary.hu/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. India - CERT-In. http://www.cert-in.org.in/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Japan - JPCERT/CC. http://www.jpcert.or.jp/
Copyright 1996-2008 JPCERT/CC All Rights Reserved

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Mxico UNAM-CERT. http://www.cert.org.mx/index.html
Pgina 14 de 183
Copyright Todos los derechos reservados, cert.org.mx. DSC/UNAM-CERT DGSCA

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Nueva Zelandia CCIP. http://www.ccip.govt.nz/
Except where specifically noted, all material on this site is Crown copyright. Material featured on this site is subject to Crown copyright protection unless otherwise indicated. The Crown copyright protected material may be reproduced free of charge in any format or media without requiring specific permission, provided that the material is reproduced accurately and is not further disseminated in any way, and on condition that the source of the material and its copyright status are acknowledged. The permission to reproduce Crown copyright protected material does not extend to any material on this site that is identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained from the copyright holders concerned.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Holanda - GOVCERT.NL. http://www.govcert.nl/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Polonia - CERT Polska. http://www.cert.pl/
Copyright 2004 NASK

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Qatar - Q-CERT. http://www.qcert.orgv No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Reino Unido GovCertUK. www.govcertuk.gov.uk
Crown Copyright 2008

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Reino Unido GovCertUK. www.govcertuk.gov.uk
Pgina 15 de 183
The material featured on this site is subject to Crown Copyright protection unless otherwise indicated. The Crown Copyright protected material (other than CPNI logo and website design) may be reproduced free of charge in any format or medium provided it is reproduced accurately and not used in a misleading context. Where any of the Crown Copyright items on this site are being republished or copied to others, the source of the material must be identified and the copyright status acknowledged. The permission to reproduce Crown protected material does not extend to any material on this site which is identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained from the copyright holders concerned. For further information on Crown copyright policy and licensing arrangements, please refer to the guidance on OPSI's website at www.opsi.gov.uk/advice/crown-copyright/copyright-guidance/index.htm.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Singapur SingCERT. http://www.singcert.org.sg/
1. SingCERT Security Alerts (such as advisories and bulletins): Permission is granted to reproduce and distribute SingCERT security alerts in their entirety, provided the SingCERT PGP signature or the PGP signature of the original creator of the alerts is included and provided the alert is used for noncommercial purposes with the intent of increasing the awareness of the Internet community. 2. All materials produced by SingCERT except as noted in Section 1, "SingCERT security alerts": Requests for permission to reproduce documents or Web pages or to prepare derivative works or external and commercial use should be addressed to SingCERT through email to cert@singcert.org.sgThis e-mail address is being protected from spam bots, you need JavaScript enabled to view it.
Se solicita autorizacin. Sri Lanka SLCERT. http://www.cert.lk/
Copyright Reserved. Sri Lanka CERT. Website Material: All material on this website is covered by copyright. No part may be re-produced or distributed by any process or means. Requests for permission to reproduce documents or Web pages or to prepare derivative works for external and commercial use should be addressed to Sri Lanka CERT through email to slcert@slcert.gov.lk. Security Alerts: Permission is granted to reproduce and distribute Sri Lanka CERT security alerts such as advisories and bulletins in its entirety, provided the signature of the original creator of the alerts is included and provided the alert is used for non-commercial purposes.
Se solicita autorizacin. Tnez - CERT-TCC. http://www.ansi.tn/en/about_cert-tcc.htm
Copyright 2006 ANSI
Pgina 16 de 183
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Venezuela CERT.ve. http://www.cert.gov.ve/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. CIRTISI COLOMBIA. http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de %202007%202.pdf No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. CSIRT Colombia. http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Solicitud de Autorizacin de uso y traduccin presentada a los diferentes organismos que as lo requieren:
Ttulo:
Permission to use and to make translations about CSIRT

Solicitud:
In order to design a CSIRT for the program Gobierno en Lnea (e-government) of Colombia, we want to identify a documented relation of national and international initiatives and experiences in CSIRTs. Then we request authorization to translate and to reproduce available information in your web page relating to precedents, offered services, structure of the CSIRT and area of coverage. The results will be compiled and presented in a technical paper "Design of a CSIRT for the Program Gobierno en Linea of Colombia " in the chapter " Documented Relation of National and International Experiences and Initiatives in CSIRTs ". Cordial greeting, Fernando Gaona Organizations Team Leader Project "Model of the Computer Security Management for e-Government"
Pgina 17 de 183
Telephone (+57 3164720780) Program "Agenda de Conectividad": http://www.agenda.gov.co/ Digiware: http://www.digiware.com.co/Digiware/index1.html
Pgina 18 de 183
AUDIENCIA
El documento de Diseo de un CSIRT para la Estrategia de Gobierno en Lnea de Colombia est dirigido especialmente para las entidades pblicas y privadas, as como la comunidad acadmica que participen en la creacin del CSIRT Colombiano o demanden sus productos o servicios, as como la comunidad nacional e internacional relacionada con el tema de la seguridad de la informacin.
Pgina 19 de 183
INTRODUCCIN
Con el rpido desarrollo de internet, las diferentes entidades del pas son cada vez ms dependientes del uso de redes pblicas, volviendo crtica la proteccin de la estabilidad de las infraestructuras nacionales que componen esta nueva e-economa emergente y as mismo es urgente. Los ataques contra las infraestructuras computacionales estn aumentando de frecuencia, en sofisticacin y en escala. Esta amenaza cada vez mayor requiere un acercamiento y colaboracin con las varias organizaciones pblicas, privadas y la academia, que tomen el papel de liderazgo y coordinacin con el apoyo total del gobierno tanto a nivel central como territorial. Para tratar esta necesidad urgente, se propone el establecimiento de un grupo CSIRT Colombiano que tendra un foco operacional en la atencin de emergencias de seguridad de la informacin para las transacciones en lnea del pas, con una permanente colaboracin nacional e internacional. CMO UTILIZAR ESTE DOCUMENTO El presente documento describe el modelo propuesto para la creacin de un Equipo de Respuesta a Incidentes de Seguridad de la Informacin - CSIRT Colombiano (por las siglas en ingls de Computer Security Incident Response Teams) considerando los siguientes aspectos: En el primer captulo se incluye un marco de referencia donde se define lo que es un CSIRT y algunos beneficios que conlleva. En el segundo captulo se hace una relacin de algunas iniciativas y experiencias nacionales e internacionales en CSIRTs consideradas para el desarrollo de este documento. En el tercer captulo se presenta una definicin general del CSIRT, el tipo de entidad que se recomienda constituir, su misin, visin, el portafolio de productos y servicios, y sus objetivos estratgicos. En el cuarto captulo se propone un potencial portafolio de productos y servicios que hagan auto sostenible la operacin del CSIRT Colombiano.
Pgina 20 de 183
En el quinto captulo se incluyen los procesos y procedimientos que sostengan la operacin de la entidad, haciendo una articulacin del modelo de seguridad con la NTC-GP 1000, MECI e ISO 9000. Su caracterizacin se presenta en el documento anexo. En el sexto captulo se hace una revisin del entorno del mercado que enfrentar el CSIRT. En el sptimo captulo se hace una recomendacin de indicadores y metas que, bajo el enfoque de la metodologa del Balanced Scorecard (Cuadro de Mando Integral), permitan su adecuado control y gestin. En el octavo captulo se incluye una propuesta de estructura organizacional con las competencias requeridas para cada rol, el modelo de contratacin y capacitacin del talento humano del CSIRT Colombiano. En el noveno captulo se sugieren las etapas para la conformacin del CSIRT en Colombia. En el dcimo captulo se elabora una propuesta de presupuesto de inversin y funcionamiento del CSIRT, teniendo en cuenta que sea auto sostenible en el mediano y largo plazo.
Pgina 21 de 183
1.
1.1. DEFINICIN
QU ES UN CSIRT
El trmino CSIRT significa Computer Security Incident Response Team (Equipo de Respuesta a Incidentes de Seguridad Informtica), y ha sido acuado respondiendo simultneamente a diferentes abreviaturas usadas para denotar a nivel mundial este tipo de equipos: CSIRT (Computer Security Incident Response Team / Equipo de Respuesta a Incidentes de Seguridad Informtica): Trmino usado en Europa. CERT o CERT/CC (Computer Emergency Response Team / Coordination Center, equipo de respuesta a emergencias informticas / Centro de coordinacin): Trmino registrado en los Estados Unidos de Amrica por el CERT Coordination Center (CERT/CC). IRT (Incident Response Team / Equipo de respuesta a incidentes). CIRT (Computer Incident Response Team / Equipo de respuesta a incidentes informticos). SERT (Security Emergency Response Team / Equipo de respuesta a emergencias de seguridad).
Un CSIRT es un equipo de expertos en seguridad informtica que pretenden responder a los incidentes de seguridad relacionados con la tecnologa de la informacin y a recuperarse despus de sufrir uno de estos incidentes. Para minimizar los riesgos tambin se ofrecen servicios preventivos y educativos relacionados con vulnerabilidades de software, hardware o comunicaciones y se informa a la comunidad sobre los potenciales riesgos que toman ventaja de las deficiencias de la seguridad.
1.2. ANTECEDENTES
Durante la segunda mitad de los aos ochenta se vio la red Arpanet salir de la fase de I&D y convertirse en una realidad prctica bajo el impulso del mundo universitario y desarrollada por el DoD (el Departamento de Defensa estadounidense). La eficacia y la constante mejora de los distintos servicios, entre los cuales se cuenta el correo electrnico, rpidamente hicieron que esta red sea indispensable para numerosos sitios. En noviembre de 1988, un estudiante de la Universidad de Cornell lanz en esta red un programa que se propagaba y se replicaba solo. Este programa, conocido con el nombre de gusano de Internet, aprovechaba distintos fallos de seguridad del sistema Unix (el sistema operativo de la mayora de los ordenadores conectados en la red). Aunque no fue programado con malas intenciones, este primer virus informtico, se propag rpidamente obstruyendo al mismo tiempo las mquinas infectadas por mltiples
Pgina 22 de 183
copias del gusano. En ese entonces, la red constaba de aproximadamente 60.000 ordenadores. Con slo el 3 o 4 % de las mquinas contaminadas, la red estuvo totalmente indisponible durante varios das, hasta que se tomaron medidas cautelares (incluyendo la desconexin de numerosas mquinas de la red). Para eliminar este gusano de Internet, se cre un equipo de anlisis ad hoc con expertos del MIT, de Berkley, Purdue. Se reconstituy y analiz el cdigo del virus, lo cual permiti, por una parte, identificar y corregir los fallos del sistema operativo, y por otra parte, desarrollar y difundir mecanismos de erradicacin. Despus de este incidente, el director de obras de Arpanet, la DARPA (Defense Advanced Research Projects Agency), decidi instalar una estructura permanente, el CERT Coordination Center (CERT/CC) parecido al equipo reunido para resolver el incidente. Este incidente actu como una alarma e impuls la necesidad de cooperacin y coordinacin multinacional para enfrentarse este tipo de casos. En este sentido, la DARPA (Defence Advanced Research Projects Agency / Agencia de Investigacin de Proyectos Avanzados de Defensa) cre el primer CSIRT: El CERT Coordination Center (CERT/CC1), ubicado en la Universidad Carnegie Mellon, en Pittsburgh (Pensilvania, USA). Poco despus el modelo se adopt en Europa, y en 1992 el proveedor acadmico holands SURFnet puso en marcha el primer CSIRT de Europa, llamado SURFnet-CERT2. El nmero de CSIRTs continu creciendo, cada uno con su propio propsito, financiacin, divulgacin y rea de influencia. La interaccin entre estos equipos experiment dificultades debido a las diferencias en lengua, zona horaria y estndares o convenciones internacionales. Siguieron otros muchos equipos, y en la actualidad existen ms de 100 equipos reconocidos alrededor del mundo. Con el tiempo, los CERT ampliaron sus capacidades y pasaron de ser una fuerza de reaccin a prestadores de servicios de seguridad completos que incluyen servicios preventivos como alertas, avisos de seguridad, formacin y servicios de gestin de la seguridad. Pronto el trmino CERT se consider insuficiente, y a finales de los aos noventa se acu el trmino CSIRT. En la actualidad, ambos trminos (CERT y CSIRT) se usan como sinnimos. Internet comenz su vertiginoso crecimiento y muchas compaas comenzaron a confiar en Internet sus transacciones diarias. As mismo, los CSIRTs continuaron creciendo alrededor del globo, soportando gobiernos enteros u organizaciones multinacionales. Desde ese entonces, Internet ha seguido creciendo hasta llegar a ser la red que se conoce actualmente, con una multiplicacin rpida de las mquinas conectadas (varios millones) y de las fuentes de agresin.
CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute - Carnegie
Mellon University. Autor: No determinado
SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx. U.A: 2008/09/26. Publicado por: SURFnet
network. Autor: No determinado
Pgina 23 de 183
1.3. BENEFICIOS DE CONTAR CON UN CSIRT

Disponer de un equipo dedicado a la seguridad de las TI ayuda a las organizaciones a mitigar y evitar los incidentes graves y a proteger su patrimonio. Otros posibles beneficios son: Disponer de una coordinacin centralizada para las cuestiones relacionadas con la seguridad de las TI dentro de la organizacin (punto de contacto). Reaccionar a los incidentes relacionados con las TI y tratarlos de un modo centralizado y especializado. Tener al alcance de la mano los conocimientos tcnicos necesarios para apoyar y asistir a los usuarios que necesitan recuperarse rpidamente de algn incidente de seguridad. Tratar las cuestiones jurdicas y proteger las pruebas en caso de pleito. Realizar un seguimiento de los progresos conseguidos en el mbito de la seguridad. Fomentar la cooperacin en la seguridad de las TI entre los clientes del grupo atendido (sensibilizacin).
Pgina 24 de 183
2.
INICIATIVAS Y EXPERIENCIAS NACIONALES E INTERNACIONALES EN CSIRTs
2.1. ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL MUNDO

En la actualidad existen mltiples organizaciones que usan el nombre CERT - Computer Emergency Response Team (Equipo de Respuesta a Emergencias de Computacin) o CSIRT (trmino genrico de significado equivalente). A continuacin se presentan algunas de estas experiencias como primer paso fundamental para la definicin de una propuesta de creacin del CSIRT Colombiano (.a = 30/09/2008). Nombre del Documento CSIRT Handbook CSIRT FAQ Incident Management Capability Metrics Incident Management Mission Diagnostic Method State of the Practice of Computer Security Incident Response Teams The Real Secrets of Incident Management The Real Secrets of Incident Management Incident Response SHight Improving CSIRT Communication Resumen Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General en temas de CSIRT Enlace http://www.cert.org/ http://www.cert.org/ http://www.cert.org/ Fuente CSIRT - Handbook.pdf CSIRT FAQ.doc
Teora General en temas de CSIRT
Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General en temas de CSIRT
07tr008 - Incident Management Capability Metrics Version 0.1.pdf http://www.cert.org/ 08tr007 - Incident Management Mission Diagnostic Method, Version 1.0.pdf http://www.cert.org/ State of the Practice of Computer Security Incident Response Teams.pdf http://www.cert.org/ The Real Secrets of Incident Management.pdf http://www.cert.org/ The Real Secrets of Incident Management.MP3 http://www.rediris.es/cert/links/ Incident_Response_SHig csirt.es.html ht.pdf http://www.tesink.org/thesis.pd Thesis.pdf f
Pgina 25 de 183
Nombre del Documento Through Standardized and Secured Information Exchange Limits to Effectiveness in Computer Security Incident Response Teams eCSIRT.net Deliverable Common Language Specification & Guideline to Application of the Common Language part (i) eCSIRT.net Deliverable1 Guideline to Application of the Common Language part (ii) Seguridad Informtica para Administradores de Redes y Servidores Seguridad Informtica para Administradores de Redes y Servidores Helping prevent information security risks in the transition to integrated operations State of the Practice of Computer Security Incident Response Teams (CSIRTs) Expectations for Computer Security Incident Response Site Security Handbook Guidelines for Evidence Collection and Archiving
Resumen
Enlace
Fuente
https://www.cert.org/archive/p df/Limits-to-CSIRTEffectiveness.pdf
Limits-to-CSIRTEffectiveness.pdf
http://www.ecsirt.net/cec/servi ce/documents/wp2-commonlanguage.pdf
wp2-commonlanguage.pdf
http://www.ecsirt.net/cec/servi ce/documents/wp2-and-3guideline.pdf
wp2-and-3-guideline.pdf
Teora General en temas de CSIRT Teora General en temas de CSIRT
http://www.arcert.gov.ar/ncurs os/material/Seg-adm-6p.pdf http://www.arcert.gov.ar/curso s/seguridad_adm/Seguridad%2 0para%20Administradores.pdf
Seg-adm-6p.pdf
Seguridad%20para%20A dministradores.pdf
http://www.telenor.com/telektr onikk/volumes/pdf/1.2005/Page _029-037.pdf
Page_029-037.pdf
Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General en temas de CSIRT
http://www.rediris.es/cert/links/ 03tr001 - State of the csirt.es.html Practice of Computer Security Incident Response Teams.pdf http://www.ietf.org/rfc/rfc2350. Expectations for txt Computer Security Incident Response.doc http://www.ietf.org/rfc/rfc2196. Site Security txt Handbook.doc http://www.ietf.org/rfc/rfc3227. txt Guidelines for Evidence Collection and Archiving.doc
Pgina 26 de 183
Nombre del Documento Why do I need a CSIRT? Description of the different kinds of CSIRT environments Informe del relator del sptimo perodo ordinario de sesiones del Comit Interamericano Contra el Terrorismo Adopcin de una estrategia interamericana integral para combatir las amenazas a la seguridad ciberntica: Un enfoque multidimensional y multidisciplinario para la creacin de una cultura de seguridad ciberntica Puesta en marcha del CSIRT y Gestin de Seguridad de la Informacin de ANTEL FIRST - Forum for Incident Response and Security Teams ENISA - European Network and Information Security Agency APCERT (Asia Pacific Computer Emergency Response Team) CERT Coordination Center de la Universidad Carnegie Mellon Alemania - CERTBund Arabia Saudita -
Resumen Teora General en temas de CSIRT Teora General en temas de CSIRT
Enlace http://www.terena.org/activities /tf-csirt/meeting9/jaroszewskiassistance-csirt.pdf http://www.enisa.europa.eu/cer t_guide/pages/05_01_04.htm
Fuente jaroszewski-assistancecsirt.pdf Description of the different kinds of CSIRT environments.docs CICTE00188E.pdf
Antecedentes de los CSIRT
http://scm.oas.org/pdfs/2007/C ICTE00188E.pdf
http://dgpt.sct.gob.mx/fileadmi n/ccp1/redes/doc._472-04.doc
doc._472-04.doc
http://jiap.org.uy/jiap/JIAP2007 /Presentaciones%20Jiap%2020 07/ANTEL.pdf
Antel.pdf
Experiencias en el Mundo Experiencias en el Mundo
http://www.first.org/
Pgina Web
http://www.enisa.europa.eu/cer Pgina Web t_guide/downloads/CSIRT_setti ng_up_guide_ENISA-ES.pdf http://www.apcert.org/ Pgina Web
http://www.cert.org/
Pgina Web
Experiencias en el Mundo Experiencias en el
http://www.bsi.bund.de/certbu nd/ http://www.cert.gov.sa/

Pgina 27 de 183
Pgina Web Pgina Web
Nombre del Documento CERT-SA (Computer Emergency Response Team - Saudi Arabia) Argentina - ArCERT (Computer Emergency Response Team of the Argentine Public) Australia - AusCERT (Australia Computer Emergency Response Team) Austria - CERT.at (Computer Emergency Response Team Austria) Brasil - CERT.br (Computer Emergency Response Team Brazil) Canad - PSEPC (Public Safety Emergency Preparedness Canada) Chile CSIRT-GOV Chile - CLCERT China - CNCERT/CC (National Computer Network Emergency Response Technical Team) Corea del Sur KrCERT/CC (CERT Coordination Center Korea) Dinamarca DK.CERT (Danish Computer Emergency Response Team) Emiratos rabes Unidos aeCERT (The United Arab Emirates Computer
Resumen Mundo
Enlace
Fuente
Experiencias en el Mundo
http://www.arcert.gov.ar/
Pgina Web
http://www.auscert.org.au/
Pgina Web
www.cert.at
Pgina Web
http://www.cert.br
Pgina Web
http://www.psepcsppcc.gc.ca/prg/em/ccirc/indexen.asp
Pgina Web
Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo
http://www.csirt.gov.cl/ http://www.clcert.cl http://www.cert.org.cn/english _web/
Pgina Web Pgina Web Pgina Web
http://www.krcert.or.kr/
Pgina Web
https://www.cert.dk/
Pgina Web
http://www.aecert.ae/
Pgina Web
Pgina 28 de 183
Nombre del Documento Emergency Response Team) Espaa - ESCERT (Equipo de Seguridad para la Coordinacin de Emergencias en Redes Telemticas) Espaa IRIS-CERT (Universidades) Espaa - CCN-CERT (Cryptology National Center - Computer Security Incident Response Team) Espaa - INTECOCERT (Centro de Respuestas a Incidentes en TI para PYMES y Ciudadanos) Estados Unidos - USCERT (United States Computer Emergency Readiness Team) Estonia CERT-EE Filipinas - PH-CERT (Philippines Computer Emergency Response Team) Francia-CERTA (Centre d'Expertise Gouvernemental de Rponse et de Traitement des Attaques informatiques) Hong Kong - HKCERT (Hong Kong Computer Emergency Response Coordination Centre) Hungra - CERTHungria India - CERT-In Japan - JPCERT/CC
Resumen
Enlace
Fuente
http://escert.upc.edu/index.php /web/es/index.html
Pgina Web
http://www.rediris.es/cert/ https://www.ccn-cert.cni.es/
Pgina Web Pgina Web
http://www.inteco.es/rssRead/S eguridad/INTECOCERT
Pgina Web
http://www.us-cert.gov
Pgina Web
http://www.ria.ee/?id=28201 http://www.phcert.org/
Pgina Web Pgina Web
http://www.certa.ssi.gouv.fr/
Pgina Web
http://www.hkcert.org/
Pgina Web
Experiencias en el Mundo Experiencias en el Mundo Experiencias en el
http://www.cert-hungary.hu/ http://www.cert-in.org.in/ http://www.jpcert.or.jp/
Pgina Web Pgina Web Pgina Web
Pgina 29 de 183
Nombre del Documento (JP CERT Coordination Center) Mxico UNAM-CERT Nueva Zelandia CCIP (Centre for Critical Infrastructure Protection) Holanda GOVCERT.NL Polonia - CERT Polska (Computer Emergency Response Team Polska) Qatar - Q-CERT (Qatar CERT) Reino Unido GovCertUK
Resumen Mundo Experiencias en el Mundo Experiencias en el Mundo
Enlace
Fuente
http://www.cert.org.mx/index.h tml http://www.ccip.govt.nz/
Pgina Web Pgina Web
http://www.govcert.nl/ http://www.cert.pl/
Pgina Web Pgina Web
Singapur SingCERT (Singapore CERT) Sri Lanka SLCERT Tnez - CERT-TCC (Computer Emergency Response Team - Tunisian Coordination Center) Venezuela CERT.ve (VenCERT - Centro de Respuestas ante Incidentes Telemticos del Sector Pblico) EXPERIENCIAS o antecedentes EN COLOMBIA Comit Interamericano Contra el Terrorismo de la OEA (CICTE) CSIRT COLOMBIA
Experiencias Mundo Experiencias Mundo Experiencias Mundo Experiencias Mundo Experiencias Mundo Experiencias Mundo
en el en el en el en el en el en el
http://www.qcert.org www.govcertuk.gov.uk www.cpni.gov.uk http://www.singcert.org.sg/ http://www.cert.lk/ http://www.ansi.tn/en/about_c ert-tcc.htm
Pgina Web Pgina Web Pgina Web Pgina Web Pgina Web Pgina Web
http://www.cert.gov.ve/
Pgina Web
Experiencias en Colombia Aspectos Financieros
Developing an
http://www.udistrital.edu.co/co munidad/grupos/arquisoft/colcsi rt/?q=colcsirt http://www.cicte.oas.org/Rev/E S/Events/Cyber_Events/CSIRT %20training%20course_Colom bia.asp http://www.udistrital.edu.co/co munidad/grupos/arquisoft/colcsi rt/?q=colcsirt http://www.securityfocus.com/i
Pgina 30 de 183
Pgina Web
ENISA work_programme_2006. pdf CSIRT COLOMBIA.doc
Developing an Effective
Nombre del Documento Effective Incident Cost Analysis Mechanism Incident Cost Analysis and Modeling Project Incident Cost Analysis and Modeling Project I-CAMP II Defining Incident Management Processes for CSIRTs Benchmarking CSIRT work Processes
Resumen de un CSIRT nfocus/1592
Enlace
Fuente Incident Cost Analysis Mechanism.doc
Aspectos Financieros de un CSIRT
How to Design a Useful Incident Response Policy Effectiveness of Proactive CSIRT Services Recommended Internet Service Provider Security Services and Procedures CSIRT Services List ENISA - Possible services that a CSIRT can deliver Organizational Models for Computer Security Incident Response Teams (CSIRTs) Organizational Models for Computer Security Incident Response Teams Staffing Your Computer Security Incident Response Team
http://www.cic.uiuc.edu/groups ICAMPReport1.pdf /ITSecurityWorkingGroup/archiv e/Report/ICAMPReport1.pdf Aspectos Financieros http://www.cic.uiuc.edu/groups ICAMPReport2.pdf de un CSIRT /ITSecurityWorkingGroup/archiv e/Report/ICAMPReport2.pdf Procesos de un http://www.cert.org/ 04tr015 - Defining CSIRT Incident Management Processes for CSIRTs.pdf Procesos de un http://www.hig.no/index.php/c Kjrem - Benchmarking CSIRT ontent/download/3302/70468/fi CSIRT work le/Kj%C3%A6rem%20processes.pdf %20Benchmarking%20CSIRT% 20work%20processes.pdf Procesos de un http://www.securityfocus.com/i How to Design a Useful CSIRT nfocus/1467 Incident Response Policy.doc Productos y Servicios http://www.first.org/conference kossakowski-klausde un CSIRT /2006/papers/kossakowskipapers.pdf klaus-papers.pdf Productos y Servicios http://www.ietf.org/rfc/rfc3013. Recommended Internet de un CSIRT txt Service Provider Security Services and Procedures.doc Productos y Servicios http://www.cert.org/ CSIRT-services-list.pdf de un CSIRT Productos y Servicios http://www.enisa.europa.eu/cer ENISA - Possible services de un CSIRT t_guide/pages/05_02.htm that a CSIRT can deliver.doc Estructura de un http://www.rediris.es/cert/links/ 03hb001 - Organizational CSIRT csirt.es.html Models for Computer Security Incident Response Teams (CSIRTs) Estructura de un http://www.sei.cmu.edu/public Organizational Models CSIRT ations/documents/03.reports/03 for Computer Security hb001/03hb001chap07.html Incident Response Teams.doc Estructura de un http://www.cert.org/ Staffing Your Computer CSIRT Security Incident Response Team.doc
Pgina 31 de 183
Nombre del Documento CERT-FI First 12 months A step-by-step approach on how to set up a CSIRT Steps for Creating National CSIRTs Action List for Developing a CSIRT ENISA - Cmo crear un CSIRT paso a paso
Resumen Modelo de Negocio de un CSIRT Modelo de Negocio de un CSIRT
Enlace
Fuente
http://www.terena.org/activities huopio-certfi.pdf /tf-csirt/meeting8/huopiocertfi.pdf http://www.enisa.europa.eu/do enisa_csirt_setting_up_g c/pdf/deliverables/enisa_csirt_s uide.pdf etting_up_guide.pdf http://www.cert.org/archive/pd f/NationalCSIRTs.pdf http://www.cert.org/ NationalCSIRTs.pdf
Modelo de Negocio de un CSIRT Modelo de Negocio de un CSIRT Modelo de Negocio de un CSIRT
Action List for Developing a CSIRT.pdf http://www.enisa.europa.eu/cer CSIRT_setting_up_guide t_guide/downloads/CSIRT_setti _ENISA-ES.pdf ng_up_guide_ENISA-ES.pdf
2.1.1. FIRST - FORUM FOR INCIDENT RESPONSE AND SECURITY TEAMS3

2.1.1.1. Antecedentes
El Foro de Equipos de Seguridad para Respuesta a Incidentes - FIRST es la primera organizacin global reconocida en respuesta a incidentes, tanto de manera reactiva como proactiva. FIRST fue formado en 1990 en respuesta al problema del gusano de internet que atac en 1988. Desde entonces, ha continuado creciendo y desarrollndose en respuesta a las necesidades que cambiaban de los equipos de la respuesta y de la seguridad del incidente. 2.1.1.2. Servicios Ofrecidos
FIRST rene una variedad de equipos de respuesta de incidentes de seguridad informtica para entidades gubernamentales, comerciales y acadmicas. FIRST busca fomentar la cooperacin y coordinacin en la prevencin de incidentes, estimular la reaccin rpida a los incidentes y promover el compartir informacin entre los miembros y la comunidad. FIRST proporciona adicionalmente servicios de valor agregado tales como: Acceso a documentos actualizados de mejores prcticas. Foros tcnicos para expertos en seguridad informtica.
3Tomado
de: http://www.first.org/. U.A: 2008/09/26. Publicado por: FIRST.ORG, Inc. Autor: No determinado.
Pgina 32 de 183
Clases Conferencia Anual Publicaciones y webservices Grupos de inters especial Estructura
2.1.1.3.
FIRST funciona bajo de un marco operacional, que contiene los principios que gobiernan y las reglas de funcionamiento de alto nivel para la organizacin. Sin embargo, FIRST no ejercita ninguna autoridad sobre la organizacin y la operacin de los equipos individuales miembros. Comit de Direccin: El Comit de Direccin es un grupo de individuos responsables de la poltica de funcionamiento general, de procedimientos y de materias relacionadas que afectan a FISRT en su totalidad. Nombre Derrick Scholl (Chair) Ken van Wyk (Vice-Chair) Chris Gibson (Treasurer) Peter Allor Yurie Ito Scott McIntyre Francisco Jesus Monserrat Coll Tom Mullen Steve Adegbite Arnold Yoon Entidad Sun Microsystems, USA KRvW Associates, LLC, USA Citigroup, USA/UK IBM ISS, USA JPCERT/CC, Japan KPN-CERT, NL RedIRIS, Spain British Telecom, UK Microsoft, USA KrCERT/CC, Korea Vigencia 2008-2010 2007-2009 2008-2010 2008-2010 2007-2009 2008-2010 2007-2009 2007-2009 2008-2010 2007-2009
Junta Directiva: La Junta Directiva es un grupo de individuos responsables de la poltica de funcionamiento general, de procedimientos, y de materias relacionadas que afectan la organizacin FIRST en su totalidad. Secretara: La secretara sirve como punto administrativo para FIRST y proporciona un contacto general. Equipos Miembros: Los equipos de la respuesta del incidente que participan en FIRST representan las organizaciones que asisten a la comunidad de la tecnologa de informacin o a entidades gubernamentales que trabajan en la prevencin y manipulacin de incidentes de seguridad informtica. Enlaces: Individuos o representantes de organizaciones con excepcin de los equipos CSIRT que tienen un inters legtimo en y lo valoran a FIRST. Comits: El Comit de Direccin de FIRST establece los comits temporales ad hoc requeridos para alcanzar mejor las metas.
Pgina 33 de 183
2.1.1.4.
rea de Influencia
FIRST est una confederacin internacional de los equipos de respuesta a incidente informticos que de manera cooperativa manejan incidentes de la seguridad y promueven programas de la prevencin del incidente, anima y promueve el desarrollo de productos, polticas y servicios de la seguridad, desarrolla y promulga las mejores prcticas de la seguridad y promueve la creacin y expansin de los equipos de incidente alrededor del mundo. Los miembros de FIRST desarrollan y comparten informacin tcnica, herramientas, metodologas, procesos y mejores prcticas y utilizan su conocimiento, habilidades y experiencia combinados para promover un ambiente electrnico global ms seguro. FIRST tiene actualmente ms de 180 miembros, extienda por frica, las Amricas, Asia, Europa y Oceana. Los siguientes son los equipos CSIRT distribuidos alrededor del mundo, donde Colombia an no hace parte:
Ilustracin 1: Pases con CSIRTs Miembros de FIRST CSIRT AAB GCIRT ACERT ACOnet-CERT AFCERT ARCcert ASEC AT&T AboveSecCERT Apple Nombre Oficial del CSIRT ABN AMRO Global CIRT Army Emergency Response Team ACOnet-CERT Air Force CERT The American Red Cross Computer Emergency Response Team AhnLab Security E-response Center AT&T Above Security Computer Emergency Response Team Apple Computer
Pgina 34 de 183
CSIRT ArCERT AusCERT Avaya-GCERT BCERT BELNET CERT BFK BIRT BMO ISIRT BP DSAC BTCERTCC BadgIRT Bell IPCR Bunker CAIS/RNP CARNet CERT CC-SEC CCIRC CCN-CERT CERT POLSKA CERT TCC CERT-Bund CERT-FI CERT-Hungary CERT-IT CERT-In CERT-Renater CERT-TCC CERT-VW CERT.at CERT.br CERT/CC CERTA CERTBw CFC CGI CIRT CIAC CLCERT CMCERT/CC
Nombre Oficial del CSIRT Computer Emergency Response Team of the Argentine Public Administration Australian Computer Emergency Response Team Avaya Global Computer Emergency Response Team Boeing CERT BELNET CERT BFK edv consulting BrandProtect IRT BMO InfoSec Incident Response Team BP Digital Security Alert Centre British Telecommunications CERT Co-ordination Centre University of Wisconsin-Madison Bell Canada Information Protection Centre (IPC) Response The Bunker Security Team Brazilian Academic and Research Network CSIRT CARNet CERT Cablecom Security Team Canadian Cyber Incident Response Centre CCN-CERT (Spanish Governmental National Cryptology Center Computer Security Incident Response Team) Computer Emergency Response Team Polska TDBFG Computer Security Incident Response Team CERT-Bund CERT-FI Hungarian governmental Computer Emergency Response Team CERT Italiano Indian Computer Emergency Response Team CERT-Renater Computer Emergency Response Team Tunisian Coordination Center CERT-VW CERT.at Computer Emergency Response Team Brazil CERT Coordination Center CERT-Administration Computer Emergency Response Team Bundeswehr Cyber Force Center CGI Computer Incident Response Team US Department of Energy's Computer Incident Advisory Capability Chilean Computer Emergency Response Team China Mobile Computer Network Emergency Response Technical Team /Coordination Center
Pgina 35 de 183
CSIRT CNCERT/CC CSIRT ANTEL CSIRT Banco Real CSIRT.DK CSIRTUK Cert-IST Cisco PSIRT Cisco Systems Citi CIRT ComCERT CyberCIRT DANTE DCSIRT DFN-CERT DIRT DK-CERT E-CERT EDS EMC ESACERT ETISALAT-CERT EWA-Canada/CanCERT EYCIRT Ericsson PSIRT FSC-CERT FSLabs Funet CERT GD-AIS GIST GNS-Cert GOVCERT.NL GTCERT Goldman Sachs GovCertUK HIRT HKCERT HP SSRT IBM IIJ-SECT
Nombre Oficial del CSIRT National Computer Network Emergency Response Technical Team / Coordination Center of China ANTEL's Computer and Telecommunications Security Incident Response Centre Real Bank Brazil Security Incident Response Team Danish Computer Security Incident Repsonse Team CSIRTUK CERT France Industries, Services & Tertiaire Cisco Systems Product Security Incident Response Team Cisco Systems CSIRT Citi CIRT Commerzbank CERT Cyberklix Computer Incident Response Team Delivery of Advanced Network Technology to Europe Limited Diageo CSIRT DFN-CERT DePaul Incident Response Team Danish Computer Emergency Repsonse Team Energis Computer Emergency Response Team EDS EMCs Product Security Response Center ESA Computer and Communications Emergency Response Team ETISALAT Computer Emergency Response EWA-Canada / Canadian Computer Emergency Response Team Ernst & Young Computer Incident Response Team Ericsson Product Security Incident Response Team CERT of Fujitsu-Siemens Computers F-Secure Security Labs Funet CERT General Dynamics AIS Google Information Security Team GNS-Cert GOVCERT.NL Georgia Institute of Technology CERT Goldman, Sachs and Company CESGs Government Computer Emergency Response Team Hitachi Incident Response Team Hong Kong Computer Emergency Response Team Coordination Centre HP Software Security Response Team IBM IIJ Group Security Coordination Team
Pgina 36 de 183
CSIRT ILAN-CERT ILGOV-CERT ING Global CIRT IP+ CERT IPA-CERT IRIS-CERT IRS CSIRC Infosec-CERT Intel FIRST Team JANET CSIRT JPCERT/CC JPMC CIRT JSOC Juniper SIRT KFCERT KKCSIRT KMD IAC KN-CERT KPN-CERT KrCERT/CC LITNET CERT MCERT MCI MCIRT MFCIRT MIT Network Security MLCIRT MODCERT MSCERT MyCERT NAB ITSAR NASIRC NCIRC CC NCSA-IRST NCSIRT NGFIRST NIHIRT NISC NIST NN FIRST Team
Nombre Oficial del CSIRT Israeli Academic CERT Israel governmental computer emergency response team ING Global CIRT IP-Plus CERT IPA-CERT IRIS-CERT IRS (Internal Revenue Service) Computer Security Incident Response Team Infosec Computer Emergency Response Team Intel FIRST Team JANET CSIRT JPCERT Coordination Center JPMorgan Chase Computer Incident Response Team Japan Security Operation Center Juniper Networks Security Incident Response team Korea Financial Computer Emergency Response Team Kakaku.com Security Incident Response Team KMD Internet Alarm Center Korea National Computer Emergency Response Team Computer Emergency Response Team of KPN KrCERT/CC LITNET CERT Motorola Cyber Emergency Response Team MCI, Inc. Metavante Computer Incident Response Team McAfee Computer Incident Response Team Massachusetts Institute of Technology Network Security Team Merrill Lynch Computer Security Incident Response Team MOD Computer Emergency Response Team Microsoft Product Support Services Security Team Malaysian Computer Emergency Response Team National Australia Bank - IT Security Assessments and Response NASA Incident Response Center NATO Computer Incident Response Capability - Coordination Center National Center for Supercomputing Applications IRST NRI SecureTechnologies Computer Security Incident Response Team Northrop Grumman Corporation FIRST NIH Incident Response Team National Information Security Center NIST IT Security Nortel FIRST Team
Pgina 37 de 183
CSIRT NORDUnet NTT-CERT NU-CERT NUSCERT Nokia-NIRT NorCERT ORACERT OS-CIRT OSU-IRT OxCERT PRE-CERT PSU Pentest Q-CERT Q-CIRT RBC FG CSIRT RBSG RM CSIRT RU-CERT RUS-CERT Ricoh PSIRT S-CERT SAFCERT SAIC-IRT SAP CERT SBCSIRT SGI SI-CERT SIRCC SITIC SKY-CERT SLCERT SUNet-CERT SURFcert SWAT SWITCH-CERT SWRX CERT Secunia Research Siemens-CERT
Nombre Oficial del CSIRT NORDUnet NTT Computer Security Incident Response and Readiness Coordination Team Northwestern University NUS Computer Emergency Response Team Nokia Incident Response Team Norwegian Computer Emergency Response Team Oracle Global Security Team Open Systems AG Computer Incident Response Team The Ohio State University Incident Response Team Oxford University IT Security Team PRE-CERT Pennsylvania State University Pentest Security Team Qatar CERT QinetiQ Computer Incident Response Team RBC Financial Group CSIRT Royal Bank of Scotland, Investigation and Threat Management ROYAL MAIL CSIRT CC Computer Security Incident Response Team RU-CERT Stabsstelle DV-Sicherheit der Universitaet Stuttgart Ricoh Product Security Incident Response Team CERT of the German Savings Banks Organization Singapore Armed Forces Computer Emergency Response Team Science Applications International Corporation - Incident Response Team SAP AG CERT Softbank Telecommunications Security Incident Response Team Silicon Graphics, Inc. Slovenian CERT Security Incident Response Control Center Swedish IT Incident Centre Skype Computer Emergency Response Team Sri Lanka Computer Emergency Response Team SUNet-CERT SURFcert A.P.Moller-Maersk Group IT-Security SWAT Swiss Education and Research Network CERT SecureWorks Computer Emergency Response Team Secunia Research Siemens-CERT
Pgina 38 de 183
CSIRT SingCERT Sprint Stanford Sun SymCERT TERIS TESIRT TS-CERT TS/ICSA FIRST TWCERT/CC TWNCERT Team Cymru Telekom-CERT ThaiCERT UB-First UCERT UGaCIRT UM-CERT UNAM-CERT UNINETT CERT US-CERT Uchicago Network Security VISA-CIRT VeriSign YIRD dCERT dbCERT e-Cop e-LC CSIRT esCERT-UPC secu-CERT
Nombre Oficial del CSIRT Singapore CERT Sprint Stanford University Information Security Services Sun Microsystems, Inc. Symantec Computer Emergency Response Team Telefonica del Peru Computer Security Incidents Response Team TELMEX Security Incident Response Team TeliaSoneraCERT CC TruSecure Corporation Taiwan Computer Emergency Response Team/Coordination Center Taiwan National Computer Emergency Response Team Team Cymru Telekom-CERT Thai Computer Emergency Response Team UB-First Unisys CERT The University of Georgia Computer Incident Response Team University of Michigan CERT UNAM-CERT UNINETT CERT United States Computer Emergency Readiness Center The University of Chicago Network Security Center VISA-CIRT VeriSign Yahoo Incident Response Division debis Computer Emergency Response Team Deutsche Bank Computer Emergency Response Team e-Cop Pte Ltd e-LaCaixa CSIRT CERT for the Technical University of Catalunya SECUNET CERT
Pgina 39 de 183
2.1.2. ENISA - EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY4

El 10 de marzo de 2004 se cre una Agencia Europea de Seguridad de las Redes y de la Informacin (ENISA)5. Su objetivo era garantizar un nivel elevado y efectivo de seguridad de las redes y de la informacin en la Comunidad Europea y desarrollar una cultura de la seguridad de las redes y la informacin en beneficio de los ciudadanos, los consumidores, las empresas y las organizaciones del sector pblico de la Unin Europea, contribuyendo as al funcionamiento armonioso del mercado interior. Desde hace varios aos, diferentes grupos europeos dedicados a la seguridad, como los CERT/CSIRT, los equipos de deteccin y respuesta a abusos y los WARP, colaboran para que Internet sea ms seguro. La ENISA desea apoyar el esfuerzo realizado por estos grupos aportando informacin acerca de las medidas que garantizan un nivel adecuado de calidad de los servicios. Adems, la Agencia desea potenciar su capacidad de asesorar a los Estados miembros de la UE y los rganos comunitarios en cuestiones relacionadas con la cobertura de grupos especficos de usuarios de las TI con servicios de seguridad adecuados. Por lo tanto, basndose en los resultados del grupo de trabajo ad-hoc de cooperacin y apoyo a los CERT, creado en 2005, este nuevo grupo de trabajo se encargar de asuntos relativos a la prestacin de servicios de seguridad adecuados (servicios de los CERT) a grupos de usuarios especficos. 2.1.2.2. Servicios Ofrecidos
Para asegurar el cumplimiento de sus objetivos segn lo precisado en su regulacin, las tareas de la agencia se enfocan en: Asesorar y asistir a los Estados miembro en temas de seguridad de la informacin y a la industria en problemas de seguridad relacionados con sus productos de hardware y de software. Recopilar y analizar datos sobre incidentes de la seguridad en Europa y riesgos emergentes. Promover mtodos de gestin de riesgo de la seguridad de la informacin.
Los principales servicios que promueven son:
4Tomado
de: http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf. U.A: 2008/09/26. Publicado
por: ENISA. Autor: No determinado.
Reglamento (CE) n 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la
Agencia Europea de Seguridad de las Redes y de la Informacin. Una agencia europea es un rgano creado por la UE para realizar una tarea tcnica, cientfica o de gestin muy concreta perteneciente al mbito comunitario de la UE.
Pgina 40 de 183
Servicios Reactivos Alertas y advertencias Tratamiento de incidentes Anlisis de incidentes Apoyo a la respuesta a incidentes Coordinacin de la respuesta a incidentes Respuesta a incidentes in situ Tratamiento de la vulnerabilidad Anlisis de la vulnerabilidad Respuesta a la vulnerabilidad Coordinacin de la respuesta a la vulnerabilidad
Servicios Proactivos Comunicados Observatorio de tecnologa Evaluaciones o auditoras de la seguridad Configuracin y mantenimiento de la seguridad Desarrollo de herramientas de seguridad Servicios de deteccin de intrusos Difusin de informacin relacionada con la seguridad
Manejo de Instancias Anlisis de instancias Respuesta a las instancias Coordinacin de la respuesta a las instancias
Gestin de la Calidad de la Seguridad Anlisis de riesgos Continuidad del negocio y recuperacin tras un desastre Consultora de seguridad Sensibilizacin Educacin / Formacin Evaluacin o certificacin de productos
Pgina 41 de 183
2.1.2.3.
Estructura
Ilustracin 2: Estructura de ENISA 2.1.2.4. rea de Influencia
ENISA cubre la Comunidad Econmica Europea y sus pases miembros son: Austria, Blgica, Bulgaria, Chipre, Repblica Checa, Dinamarca, Estonia, Finlandia, Francia, Alemania, Grecia, Hungra, Irlanda, Italia, Latvia, Lituania, Luxemburgo, Malta, Pases Bajos, Polonia, Portugal, Rumania, Eslovaquia, Eslovenia, Espaa, Suecia, Reino Unido, Noruega, Islandia, Liechtenstein.
Pgina 42 de 183
2.1.3. APCERT6 - ASIA PACIFIC COMPUTER EMERGENCY RESPONSE TEAM

APCERT ha sido constituida con la misin de mantener una red de contactos de expertos en seguridad informtica en la regin Pacfica de Asia, para mejorar el conocimiento y la capacidad de la regin en lo referente a incidentes de la seguridad de la computadora. 2.1.3.2. Servicios Ofrecidos
Impulsar la cooperacin regional e internacional de Asia pacfica en seguridad de la informacin. Tomar medidas comunes para atender incidentes de seguridad de la red. Facilitar compartir informacin e intercambio de tecnologa, relacionada con seguridad de la informacin, virus informticos y cdigo malvolo, entre sus miembros. Promover la investigacin y colaboracin en temas del inters en sus miembros. Asistir a otros CERTs y CSIRTS en la regin para conducir respuestas eficiente y eficaz a emergencia computacionales. Generar recomendaciones de ayudar en cuestiones legales relacionadas con la respuesta a incidentes de seguridad y de emergencias informticas en la regin. Estructura
2.1.3.3.
Miembros de pleno derecho Equipo AusCERT BKIS CCERT CERT-En CNCERT/ CC HKCERT ID-CERT JPCERT /CC
6Tomado
Nombre oficial del equipo Australian Computer Emergency Response Team Bach Khoa Internetwork Security Center CERNET Computer Emergency Response Team Indian Computer Emergency Response Team National Computer network Emergency Response technical Team / Coordination Center of China Hong Kong Computer Emergency Response Team Coordination Centre Indonesia Computer Emergency Response Team Japan Computer Emergency Response Team /
Economa Australia Vietnam Repblica Popular de China India Repblica Popular de China Hong Kong, China Indonesia Japn
de: http://www.apcert.org/. U.A: 2008/09/26. Publicado por: APCERT. Autor: No determinado.
Pgina 43 de 183
Equipo KrCERT/CC MyCERT PHCERT SingCERT ThaiCERT TWCERT /CC TWNCERT
Nombre oficial del equipo Coordination Center Korea Internet Security Center Malaysian Computer Emergency Response Team Philippine Computer Emergency Response Team Singapore Computer Emergency Response Team Thai Computer Emergency Response Team Taiwan Computer Emergency Response Team / Coordination Center Taiwan National Computer Emergency Response Team
Economa Corea Malasia Filipino Singapur Tailandia Taipei china Taipei china
Miembros Generales Equipo BP DSIRT BruCERT GCSIRT NUSCERT SLCERT VNCERT 2.1.3.4. Nombre oficial del equipo BP Digital Security Incident Response Team Brunei Computer Emergency Response Team Government Computer Security and Incident Response Team National University of Singapore Computer Emergency Response Team Sri Lanka Computer Emergency Response Team Vietnam Computer Emergency Response Team Economa Singapur Negara Brunei Darussalam Filipinas Singapur Sri Lanka Vietnam
rea de Influencia
La regin de Asia Pacfico
2.1.4. CERT - COORDINATION CENTER DE LA UNIVERSIDAD CARNEGIE MELLON7

El equipo del CERT CSIRT ayuda a organizaciones para desarrollar, para funcionar, y para mejorar capacidades de la gerencia del incidente. Las organizaciones pueden aprovecharse de los productos, del entrenamiento, de los informes, y de los talleres para la comunidad global del Internet. El centro de coordinacin del CERT (CERT/CC), es uno de los grupos con mayor reconocimiento en el campo de los CERTs. Aunque fue establecido como equipo de respuesta a incidente, el CERT/CC se ha desarrollado ms all, centrndose en identificar las amenazas potenciales, de notificar a los
CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute - Carnegie
Mellon University. Autor: No determinado.
Pgina 44 de 183
administradores de sistemas y al personal tcnico acerca de dichas amenazas y de coordinar con los proveedores y los equipos CERT en todo el mundo para tratar las amenazas. 2.1.4.2. Servicios Ofrecidos
Las reas en las cuales puede ayudar son: Anlisis de vulnerabilidades, esperando identificar y atenuar los impactos antes de que se conviertan en una amenaza significativa de la seguridad. Una vez que se identifica una vulnerabilidad, se trabaja con los proveedores apropiados de la tecnologa para resolver la accin. Adems de identificar vulnerabilidades, previenen la introduccin de nuevas amenazas, estableciendo prcticas que los proveedores pueden utilizar mejorar la seguridad y la calidad de su software. Promueven el desarrollo de una capacidad global de la respuesta, ayudando a organizaciones y a pases a establecer los Equipos de Respuesta a Incidente de la Seguridad Informtica (CSIRTs) y trabajan con los equipos existentes para coordinar la comunicacin y la respuesta durante acontecimientos importantes de seguridad. Examinan, catalogan y hacen ingeniera inversa sobre cdigos malvolos. Estas actividades ayudan a entender mejor cmo el cdigo trabaja y permiten que se identifiquen las tendencias y los patrones que pueden revelar vulnerabilidades explotables u otras amenazas potenciales. Promueven el intercambio de informacin referente a los servicios de seguridad: Avisos de prevencin Actualizaciones de las actividades de seguridad Anlisis y entrenamiento en incidentes Alertas Investigacin en tendencias, amenazas y riesgos Generan intercambios Tcnicos Consultora, entrenamiento y desarrollo de habilidades tcnicas. Intercambios tcnicos de personal o afiliados residentes Herramienta de desarrollo y ayuda
Pgina 45 de 183
Anlisis de vulnerabilidad Anlisis de hardware Red de supervisin y anlisis Evalan la madurez y capacidad del CSIRT Interactan para el patrocinio de FIRST y presentacin a otras organizaciones y socios estratgicos Hacen anlisis de la infraestructura crtica Estructura
2.1.4.3.
El Carnegie Mellon CyLab es una iniciativa universitaria, multidisciplinaria que implica ms de 200 facultades, estudiantes, y personal en Carnegie Mellon que han construido el liderazgo en tecnologa de informacin de Carnegie Mellon. Los trabajos de CyLab se centran en la coordinacin del CERT (CERT/CC), el conducir un centro reconocido internacionalmente de seguridad de Internet. A travs de su conexin al CERT/CC, CyLab tambin trabaja de cerca con US-CERT - una sociedad entre el departamento de la divisin nacional de la seguridad de la Ciberseguridad del gobierno (NCSD) y del sector privado, protegiendo la infraestructura nacional de la informacin en Estados Unidos. 2.1.4.4. rea de Influencia
Ilustracin 3: CERT apoyados por el Centro de Coordinacin de la Universidad Carnegie Mellon

Pgina 46 de 183
2.1.5. TERENA8 - TRANS-EUROPEAN RESEARCH AND EDUCATION NETWORKING ASSOCIATION

La Asociacin Trans Europea de Redes de Investigacin y Educacin TERENA (Trans-European Research and Education Networking Association) ofrece un foro de colaboracin, innovacin y compartir conocimiento para fomentar el desarrollo de la tecnologa, de la infraestructura y de los servicios del Internet que se utilizan por la comunidad de Investigacin y educacin. Los objetivos de TERENA se orientan a promover y participar en el desarrollo de informacin de alta calidad y de una infraestructura de telecomunicaciones internacionales en beneficio de la investigacin y de la educacin. 2.1.5.2. Servicios Ofrecidos
Las principales actividades de TERENA son: Proveer un ambiente de fomento de nuevas iniciativas en la investigacin en la comunidad europea para el establecimiento de una red de conocimiento. Empalmar el soporte europeo para evaluar, probar, integrar y promover nuevas tecnologas del establecimiento de una red de conocimiento. Organizar conferencias, talleres y seminarios para el intercambio de la informacin en Comunidad europea para el establecimiento de una red de investigacin y buscar transferencia del conocimiento a organizaciones menos avanzadas.
Junto con FIRST, TERENA organiza regularmente talleres de entrenamiento para los miembros de los Equipos de Respuesta al incidente de Seguridad Computacional (CSIRTs), con base en materiales desarrollados originalmente por el proyecto TRANSITS que funcion entre 2002 y 2005. TRANSITS era originalmente un proyecto financiado por la Comunidad Econmica Europea para promover el establecimiento de los equipos de la respuesta del incidente de la seguridad de la computadora (CSIRTs) tratando el problema de la escasez del personal experto en CSIRTs. Esta meta ha sido tratada proporcionando cursos de especializacin al personal de CSIRTs en temas organizacionales, operacionales, tcnicos, de mercado y temas legales implicados en el establecimiento de un CSIRT. Desde que el proyecto TRANSITS termin en septiembre de 2005, TERENA y FIRST unieron sus fuerzas para organizar talleres a travs de Europa, con la ayuda de ayuda financiera de varias organizaciones. Los talleres ms recientes han sido co-organizados y patrocinados por ENISA.
Tomado de: http://www.terena.org/. U.A: 2008/09/26. Publicado por: Terena. Autor: No determinado.
Pgina 47 de 183
2.1.5.3.
Estructura
La estructura de TERENA incluye: Asamblea General de TERENA Asamblea General Representantes Comit ejecutivo Tcnico de TERENA Comit Tcnico de TERENA Consejo Consultivo Tcnico Secretara rea de Influencia FCCN, Portugal FUNET, Finland GARR, Italy GRNET, Greece HEAnet, Ireland HUNGARNET, Hungary IUCC, Israel JANET(UK), United Kingdom LITNET, Lithuania MARNET, FYR of Macedonia MREN, Montenegro PCSS, Poland RedIRIS, Spain RENATER, France RESTENA, Luxembourg RHnet, Iceland RoEduNet, Romania SANET, Slovakia SigmaNet, Latvia SUNET, Sweden SURFnet, The Netherlands SWITCH, Switzerland UIIP NASB, Belarus ULAKBIM, Turkey UNI-C, Denmark UNINETT, Norway Malta, University of Malta
2.1.5.4.
ACOnet, Austria AMRES - University of Belgrade, Serbia ARNES, Slovenia BELNET, Belgium BREN, Bulgaria CARNet, Croatia CESNET, Czech Republic CYNET, Cyprus DFN, Germany EENet, Estonia
Pgina 48 de 183
2.1.6. ALEMANIA - CERT-BUND9 BUNDESBEHRDEN)

(COMPUTER
EMERGENCY
RESPONSE
TEAM
FR
La Oficina Federal para la Seguridad en la Tecnologa de Informacin (Bundesamt fr Sicherheit in der Informationstechnik - BSI) es la central de servicios de seguridad del gobierno y por ende, asume la responsabilidad de la seguridad de la sociedad, convirtindose en la columna bsica de la seguridad interna en Alemania. Mantiene contacto con los usuarios (administraciones pblicas, gobierno y los municipios, as como las empresas y los usuarios privados) y fabricantes de tecnologa de informacin. En Septiembre de 2001 se creo el contexto de la reorganizacin del BSI CERT-BUND (Equipo de Respuesta a Emergencias Computacionales para las autoridades federales). Los ataques de virus computacionales repetidos a las redes y sistemas, creo la necesidad de contar con un lugar central para la solucin de los problemas de la seguridad informtica, enfocados en prevenir los agujeros de seguridad en los sistemas informticos del gobierno, con reaccin siete das la semana. 2.1.6.2. Servicios Ofrecidos
Entre las tareas del CERT estn: Generar y publicar recomendaciones preventivas para evitar las acciones que generen daos. Identificar puntos dbiles del hardware y software. Sugerir medidas de recuperacin de los agujeros de seguridad, Advertir situaciones especiales de amenaza relacionadas con la tecnologa de informacin. Recomendar medidas reactivas para delimitar daos. Investigar riesgos de seguridad con el uso de la tecnologa de informacin as como desarrollar las medidas de seguridad. Desarrollar criterios de prueba. Evaluar la seguridad en sistemas informacin.
Tomado de: http://www.bsi.bund.de/certbund/. U.A: 2008/09/26. Publicado por: Bundesamt fr Sicherheit in der
Informationstechnik (BSI). Autor: No determinado.
Pgina 49 de 183
Ayudar de las autoridades gubernamentales en temas relacionados con la seguridad en la tecnologa de informacin. rea de Influencia
2.1.6.3. Alemania
2.1.7. ARABIA SAUDITA - CERT-SA10 (COMPUTER EMERGENCY RESPONSE TEAM - SAUDI ARABIA)
El Equipo de Respuesta a Emergencia Computacionales (CERT-SA) es un organismo sin nimo de lucro establecido para desempear un papel importante en la creacin de conocimiento, la administracin, la deteccin, la prevencin, la coordinacin y la respuesta a los incidentes de seguridad de la informacin a nivel nacional en Arabia Saudita. Su misin se establece en torno a los siguientes objetivos orientados a Arabia Saudita: Incrementar el nivel de conocimiento acerca de la seguridad de la informacin. Coordinar a nivel nacional los esfuerzos para promover las mejores prcticas de la seguridad y crear confianza entre la comunidad del ciberespacio. Ayudar a manejar ataques e incidentes de la seguridad de la informacin. Ser la referencia en seguridad de la informacin para la comunidad de Ciberespacio. Construir talento y capacidad humana en el campo de la seguridad de la informacin. Proporcionar un ambiente de confianza para las e-transacciones. Fomentar la confianza, cooperacin y colaboracin entre los componentes y la ciber-comunidad de Arabia Saudita. Servicios Ofrecidos
2.1.7.2.
Gerencia de la calidad de la seguridad
10
Tomado de: http://www.cert.gov.sa/. U.A: 2008/09/26. Publicado por:CERT-SA. Autor: No determinado.
Pgina 50 de 183
Construccin de conocimiento: Proporciona conocimiento y direccin en temas de seguridad de la informacin para una mejor adecuacin a las prcticas aceptadas en seguridad informtica, va portal, campaa y seminarios. Educacin / Entrenamiento: Provee educacin en seguridad de la informacin con el entrenamiento interno ajustado para requisitos particulares y en colaboracin con instituciones de entrenamiento. Servicios Proactivos Aviso: Genera alarmas de seguridad de la informacin que incluye pero no se limitado a la intrusin, advertencias de vulnerabilidad y asesoras en la seguridad a travs del portal. Difunde informacin relacionada con la seguridad. Servicios reactivos Alarmas y advertencia: Difunde informacin que describe intrusos, vulnerabilidades de la seguridad, alarmas de intrusin, virus informticos, bromas y establece la lnea de conducta relevante para enfrentar problemas especficos. Ayuda de la respuesta del incidente: Asiste en la recuperacin de incidentes va telfono, email, fax, o documentacin. Puede implicar asistencia tcnica en la interpretacin de los datos y orienta en estrategias de mitigacin y recuperacin. Anlisis del incidente: Examina la informacin disponible y evidencia de soporte relacionados con un incidente, con el fin de identificar el alcance del incidente, el grado del dao causado por el incidente, la naturaleza del incidente y las estrategias de respuesta. rea de Influencia
2.1.7.3.
Arabia Saudita
2.1.8. ARGENTINA ARCERT11 TELEINFORMTICAS)

(COORDINACIN
DE
EMERGENCIAS
EN
REDES
En el ao 1999, la Secretara de la Funcin Pblica de la Jefatura de Gabinete de Ministros de Argentina dispuso la creacin de ArCERT, unidad de respuesta ante incidentes en redes que centraliza y coordina los
11
Tomado de: http://www.arcert.gov.ar/. U.A: 2008/09/26. Publicado por:Subsecretara de Tecnologa de Gestin,
Secretara de la Gestin Pblica, Argentina. Autor: No determinado.
Pgina 51 de 183
esfuerzos para el manejo de los incidentes de seguridad que afecten los recursos informticos de la Administracin Pblica Nacional, es decir cualquier ataque o intento de penetracin a travs de sus redes de informacin. Adicionalmente difunde informacin con el fin de neutralizar dichos incidentes, en forma preventiva o correctiva, y capacita al personal tcnico afectado a las redes de los organismos del Sector Pblico Nacional. ArCERT comenz a funcionar en mayo de 1999 en el mbito de la Subsecretara de la Gestin Pblica, siendo sus principales funciones: Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administracin Pblica Nacional y facilitar el intercambio de informacin para afrontarlos. Proveer un servicio especializado de asesoramiento en seguridad de redes. Promover la coordinacin entre los organismos de la Administracin Pblica Nacional para prevenir, detectar, manejar y recuperar incidentes de seguridad. Actuar como repositorio de toda la informacin sobre incidentes de seguridad, herramientas y tcnicas de defensa
ArCERT cumple funciones de naturaleza eminentemente tcnica. No pretende investigar el origen de los ataques ni quienes son sus responsables. Corresponde al responsable de cada organismo efectuar las denuncias para iniciar el proceso de investigacin 2.1.8.2. Servicios Ofrecidos
Servicios: Todos los servicios que el ArCERT brinda a los Usuarios son gratuitos y no implican erogacin alguna para el Organismo representado. Acceso al Sitio Privado de ArCERT Anlisis y seguimiento de los incidentes de seguridad reportados Difusin de informacin sobre las principales fallas de seguridad en productos Recomendacin de material de lectura Asesoras sobre seguridad informtica Acceder a la utilizacin del Producto SiMoS (Sistema de Monitoreo de Seguridad) Acceso a la Base de Conocimiento de Seguridad del ArCERT
Pgina 52 de 183
Acceso a las Herramientas de Seguridad seleccionadas por el ArCERT
Servicios por Pedidos de Asistencia Especficos Instalacin y configuracin de Firewall de libre disponibilidad Instalacin y configuracin de IDS de libre disponibilidad Anlisis de la topologa de red Anlisis perimetrales y visibilidad de la red Bsqueda de vulnerabilidades en los servidores de red Recomendaciones para robustecer los Sistemas Operativos y las Aplicaciones
Productos SIMOS - Sistema de Monitoreo de Seguridad: Permite detectar las vulnerabilidades conocidas de los servidores, que brinden servicio a travs de Internet, de los organismos de la Administracin Pblica FW-APN - Firewall de libre disponibilidad para la Administracin Pblica Nacional: Solucin basada en software de libre disponibilidad, eficiente, robusta y de bajos requerimientos que cubre las necesidades de Firewall en la mayora de las redes de la Administracin Pblica Nacional. Funciona directamente desde CD-ROM. DNSar - Sistema de Anlisis de Servidores y Dominios DNS: DNSar es un software desarrollado por ArCERT para analizar los servidores y dominios DNS en busca de posibles errores de configuracin y funcionamiento. CAL - Coordinacin y Anlisis de Logs (En desarrollo): CAL es un conjunto de software, de fcil instalacin, que los organismos pueden instalar en una mquina dedicada para la deteccin de alertas de seguridad en su red. Adems, estas alertas son reenviadas a ArCERT para una visin macro de estado de seguridad de la administracin pblica. Estructura
2.1.8.3.
ArCERT est sustentado por un grupo de especialistas, que hoy conforman el equipo de seguridad en redes, dedicado a investigar sobre incidentes, hacking, herramientas de proteccin y deteccin, etc., con conocimientos y experiencia entre otras, en las siguientes reas: tecnologas informticas, Firewalls, seguridad en Internet Intranet, deteccin y erradicacin de intrusos, polticas y procedimientos de seguridad, administracin de riesgos, etc.
Pgina 53 de 183
Funciona en la Oficina Nacional de Tecnologas de Informacin de la Subsecretara de Tecnologas de Gestin de la Secretara de Gabinete y Gestin Pblica de la Jefatura de Gabinete de Ministros de Argentina. 2.1.8.4. Argentina rea de Influencia
2.1.9. AUSTRALIA - AUSCERT12 (AUSTRALIA COMPUTER EMERGENCY RESPONSE TEAM)

AusCERT es el Equipo de Respuesta a Emergencias Computacionales nacional para Australia y proporciona asesora en temas de seguridad de la informacin de la computadora, a la comunidad australiana y a sus miembros, como punto nico de contacto para ocuparse de dichos incidentes de seguridad que afectan o que implican redes australianas. AusCERT supervisa y evala amenazas globales de la red de ordenadores y las vulnerabilidades. AusCERT publica boletines de seguridad, incluyendo estrategias recomendadas de prevencin y mitigacin. AusCERT ofrece servicios de administracin de incidentes que puede ser una manera eficaz de parar un ataque en curso de la computadora o proporcionar la asesora prctica en la respuesta y recuperacin de un ataque. 2.1.9.2. Servicios Ofrecidos
Las organizaciones del miembro de AusCERT gozan de un nmero de servicios no disponibles al pblico en general. Estos servicios incluyen: Servicio de la deteccin temprana. Acceso va Web site a contenidos exclusivos. Entrega va email de boletines de seguridad. Acceso a Foros. Servicios de gerencia del incidente: incluyen la coordinacin del incidente y la direccin del incidente.
12
Tomado de: http://www.auscert.org.au/. U.A: 2008/09/26. Publicado por: AusCERT, The University of Queensland, Brisbane QLD 4072, Australia. Autor: No determinado.
Pgina 54 de 183
Supervisin, evaluacin y asesora acerca de la vulnerabilidad y amenazas. Los miembros de AusCERT reciben boletines de la seguridad va email. Los no miembros pueden suscribir al servicio de alerta libre nacional. AusCERT investiga el ambiente de la seguridad del Internet para el gobierno y la industria dentro de Australia. Estructura
AusCERT es una organizacin independiente, sin nimo de lucro, con base en la Universidad de Queensland, como parte del rea de Servicios de Tecnologa de la Informacin. AusCERT cubre sus gastos con una variedad de fuentes incluyendo suscripciones de miembros y el entrenamiento y educacin en seguridad informtica. Es miembro activo del Foro FIRST y del Equipo de Respuesta a Emergencia Informtica de Asia Pacfico (APCERT), AusCERT tiene acceso a la informacin sobre amenazas y vulnerabilidades de la red de ordenadores que surgen de manera regional y global. 2.1.9.3. rea de Influencia
Australia y Asia en la regin pacfica
2.1.10.
AUSTRIA - CERT.AT13 (COMPUTER EMERGENCY RESPONSE TEAM AUSTRIA)
2.1.10.1. Antecedentes CERT.at es el CERT austraco nacional que comenz como un ensayo en marzo de 2008. Como el CERT nacional, CERT.at es el punto de contacto primario para la seguridad informtica en el contexto nacional. CERT.at coordina otro CERT que funciona en el rea de la infraestructura crtica o de la infraestructura de la comunicacin. En el caso de ataques en lnea significativos contra la infraestructura austraca, CERT.at coordina la respuesta de los operadores y de los equipos locales de la seguridad. 2.1.10.2. Servicios Ofrecidos Respuesta al incidente: CERT.at asiste al equipo de seguridad en el manejo de los aspectos tcnicos y de organizacin de incidentes. Particularmente, proporciona ayuda o asesora con respecto a los aspectos siguientes de la administracin del incidente: Determina si un incidente es autntico y define la prioridad requerida.
Tomado de: www.cert.at. U.A: 2008/09/26. Publicado por: Computer Emergency Response Team Austria. Autor: No determinado.
13
Pgina 55 de 183
Coordinacin del incidente: Investiga el incidente y toma las medidas apropiadas. Facilita el contacto con otros participantes que puedan ayudar a resolver el incidente. Resolucin del incidente. Recomienda las acciones apropiadas. Actividades Proactivas: Recopila informacin de contacto de los equipos locales de seguridad. Publica avisos referentes a amenazas serias de la seguridad. Informa acerca de tendencias en tecnologa y distribuyen conocimiento relevante. Ofrece foros para construir la comunidad e intercambiar informacin.
2.1.10.3. rea de Influencia Austria
2.1.11.
BRASIL - CERT.BR14 (COMPUTER EMERGENCY RESPONSE TEAM BRAZIL)
2.1.11.1. Antecedentes El CERT.br es el equipo de respuesta a los incidentes de seguridad para el Internet brasileo, responsable de recibir, analizar y responder a dichos incidentes. Ms all del proceso de respuesta a los incidentes en s mismo, el CERT.br tambin acta sobre los problemas de la seguridad, la correlacin entre los acontecimientos en el Internet brasileo y de ayuda al establecimiento de nuevos CSIRTs en el Brasil. 2.1.11.2. Servicios Ofrecidos Los servicios dados para el CERT.br incluyen: Ser un nico punto para las notificaciones de los incidentes de seguridad, para proveer la coordinacin y la ayuda necesaria en el proceso de respuesta a los incidentes, contactando las piezas implicadas cuando sea necesario.
14Tomado
de: http://www.cert.br. U.A: 2008/09/26. Publicado por: Comit Gestor da Internet no Brasil (CGI.br). Autor:
No determinado.
Pgina 56 de 183
Establecer un trabaje colaborativo con otras entidades, como el gobierno, los proveedores de acceso y servicios y de Internet. Dar apoyo al proceso de recuperacin y al anlisis de sistemas. Entrenar en la respuesta a los incidentes de seguridad, especialmente a los miembros de CSIRTs y de las instituciones que estn creando sus propios grupos.
2.1.11.3. rea de Influencia Brasil
2.1.12.
CANAD - PSEPC15 (PUBLIC SAFETY EMERGENCY PREPAREDNESS CANADA)
2.1.12.1. Antecedentes El Centro Canadiense de Respuesta a Ciberincidentes (CCIRC) es responsable de supervisar amenazas y de coordinar la respuesta nacional a cualquier incidente de la seguridad del ciberespacio. Su foco es la proteccin de la infraestructura crtica nacional contra incidentes. El centro es una parte del Centro de Operaciones del Gobierno y un componente importante en la preparacin de la seguridad nacional para atender emergencias en los peligros que acechan al gobierno. Las iniciativas actuales incluyen: Coordinacin de la respuesta del incidente a travs de jurisdicciones. Fomentar el compartir la informacin entre las organizaciones y las jurisdicciones Generar las advertencias en torno a la seguridad. Divulgacin de incidentes Desarrolla estndares operacionales de seguridad de la tecnologa de informacin y documentacin tcnica en temas tales como supervisin del sistema y software malvolo.
15
Tomado de: http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp. U.A: 2008/09/26. Publicado por: Gobierno de Canad.
Autor: No determinado.
Pgina 57 de 183
Servicios de inteligencia canadienses de la seguridad: Investiga y analiza amenazas del ciberespacio a la seguridad nacional. Tambin proporciona asesora en la seguridad e inteligencia, incluyendo amenazas y la informacin de riesgos. Establecimiento de la seguridad de comunicaciones: Proporciona asesora y direccin en la proteccin del gobierno acerca de la informacin electrnica de Canad y de las infraestructuras de la informacin. Tambin ofrece ayuda tcnica y operacional a las agencias federales en la aplicacin de la Ley de Seguridad.
2.1.12.2. Servicios Ofrecidos CCIRC le proporciona los servicios a los profesionales y los encargados de la infraestructura crtica y de otras industrias relacionadas. Estos servicios se hacen sin cargo alguno: Coordinacin 7*24 y ayuda a la respuesta del incidente. Supervisin 7*24 y anlisis del ambiente de la amenaza del ciberespacio. Asesora tcnica 7*24 relacionada con seguridad de la tecnologa de informacin Construccin de la capacidad nacional (estndares, mejores prcticas, conocimiento, educacin)
2.1.12.3. rea de Influencia Canad
2.1.13.
CHILE CSIRT-GOV16
2.1.13.1. Antecedentes Tiene como propsito contribuir a asegurar el ciberespacio del Gobierno de Chile, en conformidad con lo sealado en el artculo 17 de la Agenda Digital. Su misin es constituirse como referente en materias de seguridad informtica para todos los servicios que forman parte de la administracin del Estado. CSIRT Chile es dirigido por la jefatura de la Divisin Informtica del Ministerio del Interior.
16Tomado
de: http://www.csirt.gov.cl/. U.A: 2008/09/26. Publicado por: Ministerio del Interior, Palacio de la Moneda,
Santiago de Chile. Autor: No determinado.
Pgina 58 de 183
2.1.13.2. Servicios Ofrecidos El equipo de trabajo CSIRT Chile ofrece a los sistemas y redes gubernamentales los siguientes servicios: Monitoreo de actividades y deteccin de anomalas. Apoyo forense en respuesta a incidentes computacionales. Asesora en la generacin e implementacin de polticas y sistemas de seguridad. Boletines de alertas adecuadamente traducidos y adaptados a las necesidades nacionales. Asesora en la implementacin del decreto supremo 83/2004 del Ministerio Secretara General de la Presidencia.
2.1.13.3. Estructura El CSIRT Chile es una unidad dependiente de la Divisin de Informtica del Ministerio del Interior. 2.1.13.4. rea de Influencia Chile
2.1.14.
CHILE - CLCERT17 (GRUPO CHILENO DE RESPUESTA A INCIDENTES DE SEGURIDAD COMPUTACIONAL)
2.1.14.1. Antecedentes El Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional CLCERT, tiene como misin monitorear y analizar los problemas de seguridad de los sistemas computacionales en Chile, y reducir la cantidad de incidentes de seguridad perpetrados desde y hacia stos. Desde comienzos de 2004, el CLCERT se auto-financia a travs de su rea de capacitacin, asesoras en la generacin de polticas pblicas concernientes a seguridad de sistemas informticos y proyectos de colaboracin con el sector productivo. Para ello, CLCERT se constituye como un punto nacional de encuentro, contacto y coordinacin entre instituciones y personas relacionadas del medio local.
17Tomado
de: http://www.clcert.cl. U.A: 2008/09/26. Publicado por: FCFM Ingeniera, Universidad de Chile. Autor: No
determinado.
Pgina 59 de 183
2.1.14.2. Servicios Ofrecidos El CLCERT tiene como principales objetivos: Entregar en forma oportuna y sistemtica informacin sobre vulnerabilidades de seguridad y amenazas Divulgar y poner a disposicin de la comunidad informacin que permita prevenir y resolver estos incidentes de seguridad Educar a la comunidad en general sobre temas de seguridad, promoviendo las polticas que permiten su implementacin. CLCERT promueve el uso de Internet, los sistemas computacionales abiertos, y las tecnologas de la informacin, haciendo sus usos ms seguros y que por lo tanto gocen de la confianza de la comunidad que los utiliza.
2.1.14.3. Estructura El origen del CLCERT (fines de 2001) est estrechamente ligado al del Laboratorio de Criptografa Aplicada y Seguridad (CASLab). Surge como una forma en que el CASLab se vincula con el medio local. El CLCERT y el CASLab conforman una misma unidad y comparten financiamiento, pero los mbitos de accin son distintos. El CASLab prioriza las actividades de investigacin, formacin de capital humano altamente especializado y tiene por mbitos de accin el medio acadmico principalmente internacional. El CLCERT prioriza actividades de formacin profesional, extensin, transferencia tecnolgica y tiene por principal mbito de accin el medio local. 2.1.14.4. rea de Influencia Chile
2.1.15.
CHINA - CNCERT/CC18 (NATIONAL COMPUTER NETWORK EMERGENCY RESPONSE TECHNICAL TEAM)
2.1.15.1. Antecedentes El Equipo Tcnico Nacional de Respuesta a Emergencias de Redes Computacionales / Centro de Coordinacin de China CNCERT/CC (National Computer Network Emergency Response Technical Team / Coordination Center of China) es una organizacin funcional que opera en la Oficina de Coordinacin de Respuesta a Emergencia de Internet del Ministerio de la Industria de Informacin de China y que es
18
Tomado de: http://www.cert.org.cn/english_web/. U.A: 2008/09/26. Publicado por: CNCERT/CC. Autor: No determinado.
Pgina 60 de 183
responsable de la coordinacin de actividades entre todos los equipos de Respuesta a Emergencias Computacionales de China relacionadas con incidentes en las redes pblicas nacionales. CNCERT/CC fue fundado en octubre de 2000 y se hizo miembro de FIRST en agosto de 2002. CNCERT/CC form parte activa en el establecimiento de APCERT como miembro del comit de direccin de APCERT. As CNCERT/CC est parado para una nueva plataforma para una cooperacin internacional mejor y un interfaz prestigioso de la respuesta del incidente de la seguridad de la red de China. 2.1.15.2. Servicios Ofrecidos Proporciona servicios de seguridad de la red de ordenadores y brinda orientacin para el manejo de los incidentes de seguridad para las redes pblicas nacionales, los sistemas nacionales importantes y las principales organizaciones, incluyendo la deteccin, prediccin, respuesta y prevencin. Recopila, verifica, acumula y publica la informacin relacionada con la seguridad del Internet. Es tambin responsable del intercambio de la informacin y la coordinacin de acciones con organizaciones de la seguridad internacional. Recopila informacin oportuna sobre acontecimientos de seguridad. Supervisin de Incidentes: Detecte los problemas y acontecimientos severos de la seguridad a tiempo, y entrega prevenciones y apoyo a las organizaciones relacionadas. Direccin del Incidente. Anlisis de datos de los incidentes de seguridad. Recopila y mantiene la informacin bsica pertinente, incluyendo vulnerabilidades, correcciones, herramientas y las ltimas tecnologas de seguridad. Investigacin sobre las tecnologas de seguridad. Entrenamiento en seguridad: Proporciona los cursos en respuesta de la emergencia, las tecnologas requeridas, la orientacin y la construccin del CERT. Ofrece servicios de consultora tcnica en el manejo de incidentes de seguridad. Promueve el intercambio internacional, organizando CERTs locales para orientar la cooperacin y el intercambio internacionales.
Pgina 61 de 183
2.1.15.3. Estructura
Ilustracin 4: Estructura CNCERT/CC El CNCERT/CC hace parte del Sistema de la Red Pblica Nacional de Respuesta a Emergencias de Seguridad China:
Pgina 62 de 183
Ilustracin 5: Sistema de la Red Pblica Nacional de Respuesta a Emergencias de Seguridad China 2.1.15.4. rea de Influencia China
Pgina 63 de 183
2.1.16.
COREA DEL SUR - KRCERT/CC19 (CERT COORDINATION CENTER KOREA)
2.1.16.1. Antecedentes Para hacer frente a los ataques informticos, prevenir los casos de infraccin de seguridad informtica y reducir al mnimo los posibles daos en Corea, el Centro de Seguridad del Internet de Corea ha dedicado su energa a definir las medidas y metodologa eficaces para dar respuesta tcnica a los ataques, para la proteccin de la red de comunicaciones, de la infraestructura de la red y para el refuerzo del sistema de la prediccin y de alarmas. Desde julio de 1996 se establece el equipo coreano de respuestas a la emergencia computacional llamado CERTCC-KR. En junio de 1997 se establece la Organizacin de Respuesta al Incidente en el Asia Pacfico En febrero de 1998 se establece como el primer miembro coreano en el FIRST (foro de Equipos de la Respuesta y de la Seguridad del Incidente). En diciembre de 2003 se establece el KISC (Korea Internet Security Center), con su centro de operaciones KrCERT/CC's. 2.1.16.2. Servicios Ofrecidos Administracin del Centro de Respuesta y Asistencia a Incidentes Anlisis de incidentes y tecnologa de soporte Establecimiento del sistema de coordinacin para respuesta a incidentes de internet.
2.1.16.3. Estructura Equipo de Anlisis de Incidentes: Investigacin sobre nuevas vulnerabilidades de la red y tendencias de nuevos virus. Verificacin y anlisis en vulnerabilidades de la red Anlisis en virus.
19
Tomado de: http://www.krcert.or.kr/. U.A: 2008/09/26. Publicado por: Korea Internet Security Center. Autor: No determinado.
Pgina 64 de 183
Recopilacin de muestras de virus. Establecimiento y gerencia de la base de datos de vulnerabilidades. Equipo de Monitoreo de la Red: Supervisin del trafico de ISPs y los Web site ms importantes nacionales o internacionales. Respuesta temprana a los incidentes, pronstico y mensajes de alerta al pblico. Atencin de respuestas y direccionamiento de incidentes que ocurren de manera local o internacional. Publicacin de reportes mensuales con estadstica y anlisis del virus Equipo de Respuesta a Hacking: Investigacin sobre tcnicas y tendencias de hacking. Anlisis de casos de hacking en redes piloto. Establecimiento y gerencia de investigaciones de incidentes y del sistema del anlisis. Desarrollo y distribucin de tecnologas para enfrentar ocurrencias de hacking. Respuesta de la emergencia contra incidentes y ayuda tecnolgica Equipo de Coordinacin de Respuestas: Muestras incrementales para recopilar y compartir informacin. Cooperacin con FIRST para el CERT. Operacin de la oficina administrativa para APCERT y CONCERT. Recepcin de correos electrnicos de incidentes y manipulacin de ellos. Activacin del CERT nacional y establecimiento del sistema cooperativo. Participacin en la estandarizacin con respecto a incidentes del Internet.
Pgina 65 de 183
2.1.16.4. rea de Influencia Corea del Sur
2.1.17.
DINAMARCA DK.CERT20 (DANISH COMPUTER EMERGENCY RESPONSE TEAM)
2.1.17.1. Antecedentes DK CERT es el equipo dans de Respuestas a Emergencias Computacionales y es de los pioneros alrededor del mundo, cuando a inicios de los aos noventa FIRST tom la iniciativa de establecer la cooperacin internacional basada en el concepto original de CERT en los E.E.U.U. Como parte del trabajo cooperativo internacional DK CERT supervisa la seguridad en Dinamarca. El objetivo de DK CERT es recopilar informacin y conocimientos tcnicos va la cooperacin en FIRST permitiendo a DK CERT publicar alarmas y otra informacin relacionada con riesgos potenciales de la seguridad. As mismo recibe informacin sobre incidentes de seguridad y coordina esfuerzos en el campo. DK CERT es un miembro del Foro de los Equipos de Respuesta y Seguridad del Incidente (FIRST). 2.1.17.2. Servicios Ofrecidos Consulta con respecto a incidentes de la seguridad DK CERT analiza notificaciones de las personas que se han expuesto a los incidentes de seguridad, propone soluciones a los problemas y advierte a otros que pudieron ser blancos potenciales para incidentes similares. DK CERT coordina la informacin entre las partes implicadas y otras organizaciones, tales como equipos extranjeros de respuesta y la polica. DK CERT tiene un papel consultivo y no tiene ninguna autoridad para ordenar realizar tareas. DK CERT puede actuar como intermediario de la informacin entre diversas partes que desean mantener el anonimato DK CERT proporciona asesora con respecto a riesgos potenciales de seguridad y ofrece la ayuda por ejemplo, para identificar el mtodo de ataque. Adems da instruccin en cmo los sistemas pueden ser restaurados y como se pueden remediar los daos posibles.
20Tomado
de: https://www.cert.dk/. U.A: 2008/09/26. Publicado por: DK.CERT - Danish Computer Emergency Response
Team. Autor: No determinado.
Pgina 66 de 183
2.1.17.3. Estructura DK CERT fue establecido en 1991 por el Centro para la Educacin y la Investigacin Danes UNI-C, bajo el Ministerio Dans de la Educacin, por uno de los primeros casos del hacker en Dinamarca. DK CERT coordina aproximadamente 10.000 incidentes de seguridad por ao. 2.1.17.4. rea de Influencia Dinamarca
2.1.18.
EMIRATOS RABES UNIDOS AECERT21 (THE UNITED ARAB EMIRATES COMPUTER EMERGENCY RESPONSE TEAM)
2.1.18.1. Antecedentes El Equipo de Respuesta a Emergencias Computacionales (aeCERT) es el centro de coordinacin de la seguridad del ciberespacio en los Emiratos rabes Unidos. Ha sido establecido por la Autoridad Reguladora de Telecomunicaciones (TRA) como iniciativa para facilitar la deteccin, la prevencin y la respuesta de los incidentes de la seguridad del ciberespacio en Internet. Su misin es sostener una infraestructura vigilante de las ciber amenazas de la seguridad y construir una cultura de la seguridad del ciberespacio en los Emiratos rabes Unidos. 2.1.18.2. Servicios Ofrecidos Ayudar en la creacin de nuevas leyes para la seguridad del ciberespacio. Recopilar conocimiento de la seguridad de la informacin de los Emiratos rabes Unidos. Construir experiencia nacional en seguridad de la informacin, administracin del incidente y la computacin forense. Proporcionar a punto central confiable de contacto para el manejo de incidentes de la seguridad del ciberespacio en los Emiratos rabes Unidos. Establecer un centro nacional para divulgar la informacin sobre las amenazas, vulnerabilidades e incidentes de la seguridad del ciberespacio. Fomentar el establecimiento de nuevos CSIRTs.
21
Tomado de: http://www.aecert.ae/. U.A: 2008/09/26. Publicado por: aeCERT. Autor: No determinado.
Pgina 67 de 183
Coordinar las operaciones entre CSIRTs domstico, internacionales y organizaciones relacionadas.
2.1.18.3. Estructura Ha sido establecido por la Autoridad Reguladora de Telecomunicaciones (TRA) de los Emiratos rabes Unidos como un cuerpo consultivo que debe recomendar buenas prcticas, polticas, procedimientos y tecnologas, sin embargo sin ejercer ninguna autoridad sobre su adopcin ni responsabilidad sobre la administracin de los riesgos de la ciberseguridad. 2.1.18.4. rea de Influencia Emiratos rabes Unidos
2.1.19.
ESPAA - ESCERT22 (EQUIPO DE SEGURIDAD PARA LA COORDINACIN DE EMERGENCIAS EN REDES TELEMTICAS)
2.1.19.1. Antecedentes A principios de la dcada de los noventa surge en Europa una iniciativa dispuesta a crear Equipos de Respuestas a Incidentes de Seguridad en Ordenadores. Gracias al apoyo del programa tcnico TERENA se empiezan a crear CSIRT europeos, es entonces cuando aparece, concretamente a finales de 1994, esCERTUPC (Equipo de Seguridad para la Coordinacin de Emergencias en Redes Telemticas - Universidad Politcnica de Catalua) como primer centro espaol dedicado a asesorar, prevenir y resolver incidencias de seguridad en entornos telemticos. esCERT - UPC ayuda y asesora en temas de seguridad informtica y gestin de incidentes en redes telemticas. Los principales objetivos son: Informar sobre vulnerabilidades de seguridad y amenazas. Divulgar y poner a disposicin de la comunidad informacin que permita prevenir y resolver incidentes de seguridad. Realizar investigaciones relacionadas con la seguridad informtica. Educar a la comunidad en general sobre temas de seguridad.
22Tomado
de: http://escert.upc.edu/index.php/web/es/index.html. U.A: 2008/09/26. Publicado por: Equipo de Seguridad para la
Coordinacin de Emergencias en Redes Telemticas. Autor: No determinado.
Pgina 68 de 183
De esta forma esCERT pretende mejorar la seguridad de los sistemas informticos y a su vez aumentar el nivel de confianza de las empresas y de los usuarios en las redes telemticas. 2.1.19.2. Servicios Ofrecidos Para llevar a cabo sus objetivos esCERT-UPC ofrece a la comunidad una serie de servicios que van desde la respuesta a incidentes a la definicin de una poltica de seguridad para las empresas, pasando por la formacin. Respuesta a Incidentes Altair (Servicio de Avisos de Vulnerabilidades) Formacin
2.1.19.3. Estructura esCERT es miembro de TF-CSIRT (Task Force-Collaboration of Incident Response Teams) y junto con otros equipos de seguridad como los de las compaas Telia o British Telecom. Forma parte de EPCI (European Private CERT Initiative) una agrupacin de CERTs europeos privados. Dentro de EPCI se encuentran compaas como BT, Alcacel o Siemens. esCERT en el mbito mundial participa en el FIRST, principal foro de coordinacin de los diferentes CERTs de todo el mundo. 2.1.19.4. rea de Influencia Espaa
2.1.20.
ESPAA IRIS-CERT23 (SERVICIO DE SEGURIDAD DE REDIRIS)
2.1.20.1. Antecedentes El servicio de seguridad de RedIRIS (IRIS-CERT) tiene como finalidad la deteccin de problemas que afecten a la seguridad de las redes de centros de RedIRIS, as como la actuacin coordinada con dichos centros para poner solucin a estos problemas. Tambin se realiza una labor preventiva, avisando con tiempo de problemas potenciales, ofreciendo asesoramiento a los centros, organizando actividades de acuerdo con los mismos, y ofreciendo servicios complementarios.
23Tomado
de: http://www.rediris.es/cert/. U.A: 2008/09/26. Publicado por: IRIS - CERT. Autor: No determinado.
Pgina 69 de 183
IRIS-CERT es miembro del FIRST desde el 11 de Febrero de 1997. Adems ha sido contribuidor al piloto EuroCERT desde el 25 de Marzo de 1997 hasta la finalizacin del mismo en Septiembre de 1999. Actualmente participa activamente en el Task Force auspiciado por TERENA, TF-CSIRT, para promover la cooperacin entre CSIRTs en Europa. Los usuarios del servicio de seguridad son de tres tipos: Instituciones afiliadas a RedIRIS: Incluye universidades y otros centros de investigacin. Estos usuarios tienen derecho a todos los servicios (por definicin) y pueden participar en la coordinacin de los mismos. Otros servicios de seguridad nacionales e internacionales: IRIS-CERT acta como punto de contacto y de coordinacin de incidentes para otros servicios de seguridad. El mbito de coordinacin es toda Espaa. El mbito de representacin es todo el mundo. IRIS-CERT es miembro de FIRST, fue contribuyente del proyecto EuroCERT y actualmente participa en el Task Force de TERENA TF-CSIRT, para promover la cooperacin entre CSIRTs en Europa. IRIS-CERT tambin puede actuar de enlace con las fuerzas de seguridad del Estado (Polica y Guardia Civil), aunque no tomar accin judicial en nombre de terceros, y limitar su participacin en tales procesos a la asesora tcnica. Proveedores y usuarios de Internet en Espaa: El servicio ofrecido a stos, fuera de las instituciones de RedIRIS, se limita a lo siguiente: Uso de los recursos pblicos de IRIS-CERT (Servidor web, FTP, listas de correo). Atencin de incidentes de seguridad. El servicio de atencin de incidentes se ofrece a todos por igual, segn los criterios y prioridades establecidos aqu.
2.1.20.2. Servicios Ofrecidos IRIS-CERT ofrece una serie de servicios principalmente orientados a las instituciones afiliadas a RedIRIS. Algunos de estos servicios se ofrecen, as mismo, a la comunidad de Internet. Comunidad RedIRIS Asesoramiento instituciones afiliadas Auditora en lnea Comunidad de Internet Gestin de incidentes. Listas de Seguridad de RedIRIS
Pgina 70 de 183
Otros Servicios de Seguridad (Servicios no especficos de IRIS-CERT) Infraestructura de Clave Pblica para la comunidad RedIRIS (RedIRIS-PKI) Servidor de claves pblicas PGP Red de Sensores AntiVirus de la Comunidad Acadmica (RESACA)
EL servicio no tiene costo para quien tenga derecho a usar el servicio. No se presta servicio a nadie ms. El Plan Nacional de I+D financia una red para los investigadores, y un servicio de seguridad que garantice la integridad de la misma. La coordinacin de incidentes ajenos a RedIRIS es una tarea adicional, necesaria para llevar a cabo ese servicio. 2.1.20.3. Estructura IRIS-CERT funciona bajo el auspicio y con la autoridad delegada del director de RedIRIS. El IRIS-CERT espera trabajar cooperativo con los administradores y los usuarios de sistema en las instituciones conectadas RedIRIS, evitando relaciones autoritarias. 2.1.20.4. rea de Influencia Espaa
2.1.21.
ESPAA - CCN-CERT24 (CRYPTOLOGY NATIONAL CENTER - COMPUTER SECURITY INCIDENT RESPONSE TEAM)
2.1.21.1. Antecedentes Este servicio se creo a principios de 2007 como CERT gubernamental espaol y est presente en los principales foros internacionales en los que se comparte objetivos, ideas e informacin sobre la seguridad de forma global. Su principal objetivo es contribuir a la mejora del nivel de seguridad de los sistemas de informacin de las tres administraciones pblicas existentes en Espaa (general, autonmica y local). Su misin es convertirse en el centro de alerta nacional que coopere y ayude a todas las administraciones pblicas a responder de forma rpida y eficiente a los incidentes de seguridad que pudieran surgir y afrontar de forma activa las nuevas amenazas a las que hoy en da estn expuestas.
24
Tomado de: https://www.ccn-cert.cni.es/. U.A: 2008/09/26. Publicado por: Centro Criptolgico Nacional. Ministerio de Defensa de Espaa. Autor: No determinado.
Pgina 71 de 183
2.1.21.2. Servicios Ofrecidos Para contribuir a esta mejora del nivel de seguridad, el CCN-CERT ofrece sus servicios a todos los responsables de Tecnologas de la Informacin de las diferentes administraciones pblicas a travs de cuatro grandes lneas de actuacin: Soporte y coordinacin para la resolucin de incidentes que sufra la Administracin General, Autonmica o Local. El CCN-CERT, a travs de su servicio de apoyo tcnico y de coordinacin, acta rpidamente ante cualquier ataque recibido en los sistemas de informacin de las administraciones pblicas. Investigacin y divulgacin de las mejores prcticas sobre seguridad de la informacin entre todos los miembros de las administraciones pblicas. En este sentido, las citadas Series CCN-STIC elaboradas por el CCN ofrecen normas, instrucciones, guas y recomendaciones para garantizar la seguridad de los Sistemas TIC en la Administracin. Formacin a travs de los cursos STIC, destinados a formar al personal de la Administracin especialista en el campo de la seguridad de las TIC e impartidos a lo largo de todo el ao. Su principal objetivo, aparte de actualizar el conocimiento del propio equipo que forma el CCN-CERT, es el de permitir la sensibilizacin y mejora de las capacidades del personal para la deteccin y gestin de incidentes. Informacin sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de informacin, recopiladas de diversas fuentes de reconocido prestigio (incluidas las propias)
El CCN-CERT ofrece informacin, formacin y herramientas para que las distintas administraciones puedan desarrollar sus propios CERTs, permitiendo a este equipo actuar de catalizador y coordinador de CERTs gubernamentales. 2.1.21.3. Estructura El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Informacin del Centro Criptolgico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI). 2.1.21.4. rea de Influencia Espaa
Pgina 72 de 183
2.1.22.
ESPAA - INTECO-CERT25 (CENTRO DE RESPUESTAS A INCIDENTES EN TI PARA PYMES Y CIUDADANOS)
2.1.22.1. Antecedentes El Centro de Respuesta a Incidentes en Tecnologas de la Informacin para PYMEs y Ciudadanos sirve de apoyo al desarrollo del tejido industrial nacional y ofrece los servicios clsicos de un Centro de Respuesta a Incidentes, dando soluciones reactivas a incidentes informticos, servicios de prevencin frente a posibles amenazas y servicios de informacin, concienciacin y formacin en materia de seguridad a la PYME y ciudadanos espaoles. Para todo el proceso de definicin y creacin de INTECO-CERT se han seguido las directrices propuestas por ENISA (European Network and Information Security Agency, Agencia Europea de Seguridad de las Redes y de la Informacin). El centro de respuesta surge como iniciativa pblica con los siguientes objetivos: Proporcionar informacin clara y concisa acerca de la tecnologa, su utilizacin y la seguridad que mejore su comprensin. Concienciar a las PYMEs y ciudadanos de la importancia de contemplar y abordar adecuadamente todos los aspectos relacionados con la seguridad informtica y de las redes de comunicacin. Proporcionar guas de buenas prcticas, recomendaciones y precauciones a tener en cuenta para mejorar la seguridad. Proporcionar mecanismos y servicios de divulgacin, formacin, prevencin y reaccin ante incidencias en materia de seguridad de la informacin. Actuar como enlace entre las necesidades de PYMEs y ciudadanos y las soluciones que ofertan las empresas del sector de la seguridad de las tecnologas de la informacin.
2.1.22.2. Servicios Ofrecidos Para llevar a cabo la misin de concienciacin, formacin, prevencin y reaccin en materia de seguridad en tecnologas de la informacin, INTECO-CERT ofrece un catlogo de servicios a los usuarios: Servicios de informacin sobre Actualidad de la Seguridad: Suscripcin a boletines, alertas y avisos de seguridad.
25Tomado
de: http://www.inteco.es/rssRead/Seguridad/INTECOCERT. U.A: 2008/09/26. Publicado por: Instituto Nacional de
Tecnologas de la comunicacin S.A.. Autor: No determinado.
Pgina 73 de 183
Actualidad, noticias y eventos de relevancia. Avisos sobre nuevos virus, vulnerabilidades y fraude. Estadsticas. Servicios de Formacin en seguridad y en la legislacn vigente para Pyme y ciudadanos, proporcionando guas, manuales, cursos online y otros recursos a los usuarios. Servicios de Proteccin y prevencin: catlogo de tiles gratuitos y actualizaciones de software. Servicios de Respuesta y Soporte: Gestin y soporte a incidentes de seguridad. Gestin de malware y anlisis en laboratorio del INTECO-CERT. Lucha contra el fraude. Asesora Legal en materia de seguridad en las tecnologas de la informacin. Foros de Seguridad. Cooperacin y coordinacin con otras entidades de referencia en el sector, tanto a nivel nacional como internacional. pblico sin materia de Pequea y y recursos
INTECO-CERT como servicio pblico e intermediario INTECO-CERT tiene vocacin de servicio nimo de lucro. El Centro surge con la vocacin de servir de apoyo preventivo y reactivo en seguridad en tecnologas de la informacin y la comunicacin a una tipologa de usuarios, la Mediana Empresa (PYME) y ciudadanos, que no disponen de la formacin, sensibilizacin suficientes en dicho campo.
INTECO-CERT no vende soluciones tecnolgicas o de consultora. Si en su labor de apoyo a PYME y ciudadanos, entiende que debe aconsejar alguno de ellos, facilita un directorio de entidades que prestan esos servicios, para que el usuario elija segn su criterio. El Centro de Respuesta quiere, en este contexto, erigirse como un puente entre las necesidades de la demanda (PYMEs y ciudadanos) y las soluciones de la oferta (entidades del sector de la seguridad de las tecnologas de la informacin). 2.1.22.3. rea de Influencia Espaa
Pgina 74 de 183
2.1.23.
ESTADOS UNIDOS - US-CERT26 (UNITED STATES - COMPUTER EMERGENCY READINESS TEAM)
2.1.23.1. Antecedentes Establecido en 2003 para proteger la infraestructura del Internet de la nacin, US-CERT coordina la defensa contra y respuestas a los ataques del ciberespacio a travs de la nacin. US-CERT es cargado con la proteccin de la infraestructura del Internet coordinando la defensa y la respuesta a los ataques del ciberespacio. 2.1.23.2. Servicios Ofrecidos US-CERT es responsable de Analizar y reducir amenazas y vulnerabilidades del ciberespacio. Divulgar informacin y advertencias de amenaza del ciberespacio. Coordinar la respuesta a incidente. US-CERT obra recprocamente con las agencias federales, industria, la comunidad de investigacin, el estado y los gobiernos locales, y otros para divulgar la informacin de la seguridad del ciberespacio entre el pblico.
2.1.23.3. Estructura El equipo de la Preparacin para Emergencias Computacionales de Estados Unidos (US-CERT) es una sociedad entre Departamento de la seguridad de la patria y los sectores pblicos y privados 2.1.23.4. rea de Influencia Estados Unidos
26
Tomado de: http://www.us-cert.gov. U.A: 2008/09/26. Publicado por: Department of Homeland Security - USA. Autor: No determinado.
Pgina 75 de 183
2.1.24.
ESTONIA CERT-EE 27 (COMPUTER EMERGENCY RESPONSE TEAM OF ESTONIA)
2.1.24.1. Antecedentes El Equipo de la Respuesta a Emergencias Computacionales de Estonia (CERT Estonia), se establece en 2006. Su tarea es asistir a usuarios estonios del Internet en la puesta en prctica de medidas preventivas para reducir los daos posibles de incidentes de la seguridad y ayudarles a responder a las amenazas de la seguridad. El CERT Estonia se ocupa de los incidentes de la seguridad que ocurren en redes estonias. Los incidentes de la seguridad se atienden acorde con una prioridad definida segn su severidad y alcance potenciales considerando el nmero de usuarios afectados, el tipo de un incidente, la blanco del ataque, as como el origen del ataquey los recursos requeridos para manejar el incidente. Los incidentes prioritarios incluyen, por ejemplo: ataques que pueden comprometer la vida de la gente, ataques en la infraestructura del Internet (servidores de nombres, nodos de red importantes y ataques automticos en grande en los servidores de la red), etc. 2.1.24.2. Servicios Ofrecidos El CERT Estonia ofrece los servicios siguientes: Orientacin en el incidente Recepcin de informes de incidente Asignacin de prioridades a los incidentes segn su nivel de la severidad Anlisis del incidente Respuesta a los incidentes.
2.1.24.3. rea de Influencia Estonia
27Tomado
de: http://www.ria.ee/?id=28201. U.A: 2008/09/26. Publicado por: Department for Handling Information Security
Incidents - Estonia. Autor: No determinado.
Pgina 76 de 183
2.1.25.
FILIPINAS - PH-CERT28 (PHILIPPINES COMPUTER EMERGENCY RESPONSE TEAM)
2.1.25.1. Antecedentes El Equipo de Respuesta a Emergencias Computacionales de Filipinas (PH-CERT) es una organizacin sin nimo de lucro que pretende brindar un punto confiable de contacto para emergencias computacionales, de internet y otras emergencias relacionadas de la tecnologa de informacin. 2.1.25.2. Servicios Ofrecidos Proporcione ayuda legal y consultiva. Opera como punto central para divulgar vulnerabilidades de la seguridad computacional y proporcionar ayuda coordinada en respuesta a tales informes. Genera informes tcnicos de anlisis referentes a cdigo malvolo. Proporciona informacin sobre la futura tecnologa que puede plantear amenazas de la seguridad. Proporciona entrenamiento para promover el conocimiento de la seguridad. Genera alarmas sobre medidas a tomar contra amenazas existentes o prximas de la seguridad. Proporciona pautas en el uso y la combinacin eficaces de las herramientas de la seguridad para deteccin y prevencin del incidente.
2.1.25.3. rea de Influencia Filipinas
28
Tomado de: http://www.phcert.org/. U.A: 2008/09/26. Publicado por: Philippines Computer Emergency Response Team. Autor: No determinado.
Pgina 77 de 183
2.1.26.
FRANCIA-CERTA29 (CENTRE D'EXPERTISE GOUVERNEMENTAL DE RPONSE ET DE TRAITEMENT DES ATTAQUES INFORMATIQUES)
2.1.26.1. Antecedentes El Primer Ministro anunci la creacin del CERTA, tras la decisin del Comit Interministerial para la Sociedad de la Informacin (CISI), en enero de 1999 e inaugurado en febrero de 2000, con el fin de reforzar la proteccin de las redes del Estado contra los ataques. A fin de reforzar y coordinar la lucha contra las intrusiones en los sistemas informticos de las administraciones del Estado, el Gobierno decide la creacin de una estructura de alerta y de asistencia en la Internet encargada de la misin de vigilar y responder a los ataques informticos. Los dos principales objetivos del CERTA son: Garantizar la deteccin de las vulnerabilidades y la resolucin de incidentes relativos a la seguridad de los sistemas de informacin Asistir en la instalacin de medios que permitan prevenir futuros incidentes.
Para alcanzar estos dos objetivos, deben llevarse a cabo en paralelo las tres misiones siguientes: Llevar a cabo una vigilancia tecnolgica. Organizar la instalacin de una red de confianza. Administrar la resolucin de un incidente (si es necesario en relacin con la red mundial de los CERT).
El CERTA es miembro del FIRST desde el 12 de setiembre de 2000 y participa en la actividad TF-CSIRT (Computer Security Incident Response Team) que es la coordinacin de los CERT europeos. En la actualidad existen varios CERT en Francia. Esta es la lista de los equipos miembros del FIRST o de la TF-CSIRT: El CERTA es el CERT dedicado al sector de la administracin francesa. El Cert-IST es el CERT dedicado al sector de la Industria, de los Servicios y del Terciario (IST). Fue creado a finales del ao 1998 por cuatro socios: ALCATEL, el CNES, ELF y France Telecom.
29Tomado
de: http://www.certa.ssi.gouv.fr/. U.A: 2008/09/26. Publicado por: Premier Ministre / Secrtariat Gnral de la
Dfense Nationale / Direction centrale de la scurit des systmes d'information. Autor: No determinado.
Pgina 78 de 183
El CERT-RENATER es el CERT dedicado a la comunidad de los miembros del GIP RENATER (Red Nacional de telecomunicaciones para la tecnologa, la Enseanza y la Investigacin).
2.1.26.2. Servicios Ofrecidos Las tareas prioritarias del CERT son las siguientes: Centralizacin de las solicitudes de asistencia tras los incidentes de seguridad (ataques) en las redes y sistemas de informaciones: recepcin de las solicitudes, anlisis de los sntomas y eventual correlacin de los incidentes. Tratamiento de las alertas y reaccin a los ataques informticos: anlisis tcnico, intercambio de informaciones con otros CERT, contribucin a estudios tcnicos especficos. Establecimiento y mantenimiento de una base de datos de las vulnerabilidades. Prevencin por difusin de informaciones sobre las precauciones que tomar para minimizar los riesgos de incidente o, por lo menos, sus consecuencias. Coordinacin eventual con las dems entidades (fuera del campo de accin): centros de competencia en redes, operadores y proveedores de acceso a Internet, CERT nacionales e internacionales.
2.1.26.3. Estructura Dicha estructura depende de la Secretara General de la Defensa Nacional y trabajar en red con los servicios encargados de la seguridad de la informacin en todas las administraciones del Estado. Participar en la red mundial de los CERT (Computer Emergency Response Team). El CERTA depende de la Direccin Central de la Seguridad de Sistemas de Informacin (DCSSI) en la Secretara General de la Defensa Nacional (SGDN), y se encarga de asistir a los organismos de la administracin en la instalacin de medios de proteccin y en la resolucin de los incidentes o las agresiones informticas de las cuales son vctimas. Constituye el complemento indispensable para las acciones preventivas ya aseguradas por la DCSSI y que son anteriores en el procedimiento de seguridad de los sistemas de informacin. 2.1.26.4. rea de Influencia Francia
Pgina 79 de 183
2.1.27.
HONG KONG - HKCERT30 COORDINATION CENTRE)
(HONG
KONG
COMPUTER
EMERGENCY
RESPONSE
2.1.27.1. Antecedentes En respuesta a las necesidades de hacer frente a amenazas de la seguridad, el gobierno ha financiado al consejo de la productividad de Hong Kong para poner a funcionar el Centro de Coordinacin del Equipo de Respuesta a Emergencias Computacionales de Hong Kong (HKCERT). El objetivo de HKCERT es proporcionar un contacto centralizado en la divulgacin de incidentes y seguridad computacionales y de la red y brindar la respuesta para las empresas locales y los usuarios del Internet en el caso de los incidentes de la seguridad. Coordinar las acciones de respuesta y recuperacin para los incidentes divulgados, ayuda a supervisar y a divulgar la informacin sobre seguridad y proporciona asesora en medidas preventivas contra amenazas de la seguridad. El HKCERT tambin organiza seminarios del conocimiento y cursos de en asuntos relacionados seguridad de la informacin. 2.1.27.2. Servicios Ofrecidos Respuesta a Incidentes: HKCERT proporciona respuesta durante 24 horas al da, 7 das a la semana. Acepta incidentes por telfono, fax y e-mail. HKCERT asiste y coordina las acciones de recuperacin para los incidentes. Alarma de la Seguridad: HKCERT supervisa de cerca la informacin sobre temas relacionadas con la seguridad tales como ltimos virus, debilidades de la seguridad y divulga la informacin al pblico. Publicacin: HKCERT publica pautas, listas de comprobacin, alarmas y artculos relacionados con la seguridad. Estos documentos incluyen la informacin sobre vulnerabilidades de la seguridad, estrategias de defensa y deteccin temprana de ataques probables. HKCERT tambin publica un boletn de noticias mensual que proporciona la informacin ms reciente en seguridad computacional y de la red. Entrenamiento y educacin: Para elevare el conocimiento de la seguridad de la informacin y para mejorar la comprensin pblica, HKCERT organiza seminarios libres y brinda a los informes a las asociaciones comerciales regularmente. HKCERT tambin organiza los cursos que proporcionan conocimiento profundizado en asuntos del especfico de la seguridad de la informacin. Investigacin y desarrollo: HKCERT conduce estudios en asuntos seleccionados seguridad de la informacin y la situacin en Hong Kong referente ataques de la computadora, prdida, contramedidas, etc.
2.1.27.3. rea de Influencia Hong Kong

30Tomado
de: http://www.hkcert.org/. U.A: 2008/09/26. Publicado por: HKCERT. Autor: No determinado.
Pgina 80 de 183
2.1.28.
HUNGRA - CERT31 (CERT-HUNGARY)
2.1.28.1. Antecedentes CERT-Hungra es el centro hngaro de la seguridad de la red y de la informacin del gobierno. Su tarea es proporcionar la ayuda de la seguridad de la red y de la informacin al pblico hngaro entero, a los negocios y a los sectores privados. El centro tiene un papel vital en la proteccin crtica de la infraestructura de la informacin de Hungra. CERT-Hungra tambin acta como base de conocimiento para profesionales y pblico hngaro. CERT-Hungra fue fundada en 2004 en la fundacin de Theodore Puskas con la ayuda del Ministerio de la Informtica y de las Comunicaciones. Los servicios pblicos de la organizacin se ofrecen al gobierno, a los municipios, y a los negocios hngaros, con la atencin especial a la proteccin de los sistemas informticos del gobierno hngaro. CERT-Hungra es lista abordar problemas de la seguridad 24 horas al da 365 das al ao. Proporciona alarmas sobre amenazas nuevamente que emergen. Es responsable de manejar compromisos de la seguridad en los sistemas informticos del gobierno hngaro. Proporciona la direccin para reducir boquetes de la seguridad, y aumenta conocimiento social sobre la informacin y seguridad de la computadora a travs de varios foros. 2.1.28.2. Servicios Ofrecidos CERT-Hungra ofrece los servicios siguientes: Alarmas y advertencias: Este servicio implica que CERT-Hungra divulgue la informacin que describe los ataques de intrusos, vulnerabilidades de la seguridad, alarmas de intrusin, virus informticos, bromas, proporcionando una lnea de conducta recomendada a corto plazo para ocuparse del problema. La alarma, la advertencia o la asesora se envan como reaccin a un problema existente para notificar los componentes de la actividad y para proporcionar la orientacin para proteger los sistemas o recuperar cualquier sistema que fuera afectado. Avisos: Los avisos incluyen, pero no se limitan a las alarmas de la intrusin, las advertencias de la vulnerabilidad y las recomendaciones de seguridad. Los avisos permiten proteger sistemas y redes contra problemas encontrados antes de que puedan explotar. Difusin de la informacin relacionada con la Seguridad: Este servicio provee una recopilacin de informacin til para mejorar la seguridad. Tal informacin puede incluir: Informacin de contactos para CERT-Hungra y pautas de divulgacin.
de: http://www.cert-hungary.hu/. U.A: 2008/09/26. Publicado por: CERT Hungary. Autor: No determinado.
31Tomado
Pgina 81 de 183
Archivos de alarmas, de advertencias y de otros avisos Documentacin sobre mejores prcticas actuales Orientacin general de la seguridad computacional Polticas, procedimientos y listas de comprobacin Informacin del desarrollo y distribucin de correcciones Ajustes de proveedores Estadstica y tendencias actuales en la divulgacin del incidente Otra informacin que puede mejorar seguridad total Direccin del incidente: CERT-Hungra se ocupa solamente de incidentes de la seguridad informtica. Estos incidentes de la seguridad pueden ser acceso desautorizado a los datos sobre un sistema informtico, negacin de los ataques del servicio, virus contra un sistema informtico, las vulnerabilidades, o cualquier otra actividad o programa que amenacen la seguridad de un sistema informtico. Durante su incidente los expertos de CERT-Hungra reciben, dan la prioridad, y responden a los incidentes y a los informes y analizan incidentes y acontecimientos. Las actividades particulares de la respuesta pueden incluir: Accin a tomar para proteger los sistemas y las redes afectadas o amenazadas por el intrusos Proveer soluciones y estrategias de mitigacin de o de alarmas relevantes Filtracin de trfico de la red Direccin de la vulnerabilidad: Las vulnerabilidades estn basadas en errores de la configuracin que crean los agujeros de seguridad en los sistemas informticos y redes. La direccin de la vulnerabilidad implica recibir informacin sobre vulnerabilidades del hardware y del software. CERT-Hungra analiza la naturaleza, mecanismos y efectos de las vulnerabilidades y desarrollan las estrategias de la respuesta para detectar y reparar las vulnerabilidades. Manejo de artefactos: Un artefacto es cualquier archivo u objeto encontrado en un sistema que impacta en sistemas y redes, que atacan o que se est utilizando para destruir medidas de seguridad. CERT-Hungra analiza la naturaleza, mecanismos, versin y el uso de los artefactos y desarrolla (o sugiere) las estrategias de respuesta para detectar, quitar y defender contra estos artefactos. Educacin y entrenamiento: Con seminarios, los talleres, los cursos y clases particulares, CERT-Hungra educa sobre soluciones de seguridad computacional. Los temas pueden ser:
Pgina 82 de 183
Incidente y pautas Mtodos apropiados de respuesta Herramientas de respuesta del incidente Mtodos para la prevencin del incidente Otra informacin necesaria para proteger, detectar, divulgar y responder a los incidentes de la seguridad computacional.
2.1.28.3. rea de Influencia Hungra
2.1.29.
INDIA - CERT-IN32 (INDIAN COMPUTER EMERGENCY RESPONSE TEAM)
2.1.29.1. Antecedentes El propsito del CERT-In es convertirse en la agencia de confianza de la comunidad india para responder a los incidentes de la seguridad de computacional. CERT-In asiste a los miembros de la comunidad india para ejecutar medidas proactivas para reducir los riesgos de los incidentes de la seguridad informtica. 2.1.29.2. Servicios Ofrecidos Servicios Reactivos Proporciona un solo punto del contacto para divulgar problemas locales. Asiste al gobierno y a la comunidad general en la prevencin y la manipulacin de incidentes de la seguridad computacional. Comparte la informacin y las lecciones aprendidas con el CERT/CC, otros CERTs y las organizaciones. Respuesta del incidente Proporciona el servicio de una seguridad 24 x 7.
32Tomado
de: http://www.cert-in.org.in/. U.A: 2008/09/26. Publicado por: Department of Information Technology. Ministry
of Communications & Information Technology, Government of India. Autor: No determinado.
Pgina 83 de 183
Procedimientos de recuperacin Anlisis de artefactos Trazo del incidente Servicios Proactivos Publica las pautas de la seguridad, las recomendaciones y consejos oportunos. Anlisis y respuesta de la vulnerabilidad Anlisis del riesgo Evaluacin de producto relacionados con la seguridad Colaboracin con los proveedores Perfilar atacantes. Entrenamiento, investigacin y desarrollo de la conducta. Funciones Divulgacin Punto central para divulgar incidentes Base de datos de incidentes Anlisis Anlisis de tendencias y patrones de la actividad del intruso Desarrollo de las estrategias preventivas Respuesta La respuesta del incidente es un proceso dedicado a restaurar sistemas afectados a la operacin Envo de recomendaciones para la recuperacin y la contencin del dao causada por los incidentes.
Pgina 84 de 183
Ayuda a los administradores de sistemas a tomar la accin de seguimiento para prevenir la repeticin de incidentes similares
2.1.29.3. Estructura CERT-In funciona bajo auspicios y con la autoridad delegada del Departamento de Tecnologa de Informacin, del Ministerio de Comunicaciones y Tecnologa de Informacin, del gobierno de la India. CERT-In trabaja cooperativamente con los oficiales de informacin y los administradores de sistema de varias redes sectoriales y de gobierno. 2.1.29.4. rea de Influencia India
2.1.30.
JAPAN - JPCERT/CC33 (JP CERT COORDINATION CENTER)
2.1.30.1. Antecedentes JPCERT/CC es el primer CSIRT establecido en Japn. Se coordina con los proveedores de servicios de red, vendedores de productos de seguridad, agencias estatales, as como las asociaciones gremiales de la industria. En la regin Pacfica de Asia, JPCERT/CC ayud a formar APCERT (Equipo de Respuesta a Emergencias Computacionales de Asia Pacfico) y ejerce la funcin de secretara para APCERT. Es miembro del Foro de Equipos de Respuesta y Seguridad del Incidente (FIRST). Los objetos de JPCERT/CC son: Proporcionar respuestas a incidente de seguridad computacionales. Coordinar la accin con CSIRTs locales e internacional y organizaciones relacionadas. Ayudar al establecimiento de nuevos CSIRTs y promover la colaboracin entre CSIRTs Divulgar informacin tcnica sobre incidentes de seguridad computacional y las vulnerabilidades y ajustes a la seguridad, generar alarmas y advertencias. Generar investigacin y anlisis de incidentes de la seguridad computacional. Conducir investigaciones sobre tecnologas relacionadas con la seguridad.
33
Tomado de: http://www.jpcert.or.jp/. U.A: 2008/09/26. Publicado por: JPCERT/CC. Autor: No determinado.
Pgina 85 de 183
Aumentar el entendimiento de la seguridad de la informacin y del conocimiento tcnico, con educacin y entrenamiento.
2.1.30.2. Servicios Ofrecidos Incidente Respuesta y anlisis: JPCERT/CC proporciona ayuda tcnica para divulgar problemas de la seguridad de la siguiente manera: Con base en informacin proporcionada por los sitios afectados, JPCERT/CC determina los daos. Identifica las vulnerabilidades. Proporciona informacin tcnica relevante. Adicionalmente genera un informe semanal y trimestral sobre respuestas y anlisis de incidentes y otra informacin relevante a la seguridad computacional. Alertas de Seguridad: JPCERT/CC recopila la informacin relacionada con seguridad computacional y genera alarmas y mensaje para prevenir ataques contra redes locales de las organizaciones, as como para evitar que el impacto de tales ataques llegue a ser extenso. Un informe semanal, contiene amenazas potenciales y mensajes de cmo evitarlos o reducir al mnimo el dao causado por incidentes o las vulnerabilidades. Coordinacin con otros CSIRTs: Siendo el primer CSIRT formado en Japn, mantiene relaciones cercanas establecidas con mucho CSIRTs no slo en la Asia y la regin pacfica, sino tambin en otras regiones. La coordinacin y la colaboracin con esos CSIRTs es crucial para el uso seguro de la tecnologa del Internet en todo el mundo. Coordinacin de Proveedores: Con el fin de evitar, reduce al mnimo o recupera del dao con eficacia y eficiencia, la coordinacin con los proveedores que pudieron afectar la seguridad del Internet es importante. JPCERT/CC comparte la informacin con los proveedores locales y distribuyen la informacin de la vulnerabilidad de manera oportuna. Educacin y entrenamiento: JPCERT/CC proporciona la educacin y el entrenamiento relacionados con la seguridad de la red, incidentes de seguridad, vulnerabilidad y las tendencias y ayudas de seguridad a partir de seminarios y talleres. Adems, vario informes tcnicos y otros documentos estn disponibles en el web site. Investigacin y anlisis: Los incidentes de la computadora se estn convirtiendo en un problema cada vez ms difcil de identificar. JPCERT/CC ejerce investigacin y anlisis para encontrar mejores maneras de prevenir ataques o de limitar su dao.
Pgina 86 de 183
2.1.30.3. rea de Influencia Japn
2.1.31.
MXICO UNAM-CERT34 (EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD EN CMPUTO)
2.1.31.1. Antecedentes El UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cmputo) es un equipo de profesionales en seguridad en cmputo localizado en el Departamento de Seguridad en Cmputo (DSC) de la Direccin General de Servicios de Cmputo Acadmico (DGSCA), de la UNAM. El UNAM-CERT se encarga de proveer el servicio de respuesta a incidentes de seguridad en cmputo a sitios que han sido vctimas de algn "ataque", as como de publicar informacin respecto a vulnerabilidades de seguridad, alertas de la misma ndole y realizar investigaciones de la amplia rea del cmputo y as ayudar a mejorar la seguridad de los sitios. El DSC (Departamento de Seguridad en Cmputo) de la DGSCA, UNAM, es un punto de encuentro al cual puede acudir la comunidad de cmputo para obtener informacin, asesoras y servicios de seguridad, as como para intercambiar experiencias y puntos de vista, logrando con ello, establecer polticas de seguridad adecuadas, disminuir la cantidad y gravedad de los problemas de seguridad y difundir la cultura de la seguridad en cmputo. 2.1.31.2. Servicios Ofrecidos El DSC pone a la disposicin de los Institutos, Facultades y organizaciones externas su portafolio de servicios de Seguridad en Tecnologas de la Informacin: Anlisis de Riesgos. Test de Penetracin. Anlisis Forense. Auditorias de Seguridad. Administracin de Infraestructura de Seguridad en TI.
34Tomado
de: http://www.cert.org.mx/index.html. U.A: 2008/09/26. Publicado por: UNAM-CERT. Autor: Jefe del
Departamento de Seguridad en Cmputo: Juan Carlos Guel. Lder del Proyecto: Alejandro Nez Sandoval.
Pgina 87 de 183
Tecnologas de Seguridad. Desarrollo de Soluciones. Asesoras.
2.1.31.3. Estructura El UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cmputo) es un equipo de profesionales en seguridad en cmputo localizado en el Departamento de Seguridad en Cmputo (DSC) de la Direccin General de Servicios de Cmputo Acadmico (DGSCA), de la UNAM. 2.1.31.4. rea de Influencia Mxico
2.1.32.
NUEVA ZELANDIA CCIP35 (CENTRE FOR CRITICAL INFRASTRUCTURE PROTECTION)
2.1.32.1. Antecedentes El Centro para la Proteccin de la infraestructura Crtica (CCIP) es la agencia de estatal dedicada al trabajo con las organizaciones, la industria y el gobierno relacionados con la infraestructura crtica de Nueva Zelandia, para mejorar la proteccin y la seguridad computacional de amenazas. 2.1.32.2. Servicios Ofrecidos Proporcionar un servicio de asesora 7*24 hacia dueos y operadores de la Infraestructura Crtica Nacional y del gobierno de Nueva Zelandia. Investigar y analizar los incidentes del ciberespacio que ocurren contra la Infraestructura Crtica Nacional. Trabajar con las agencias de proteccin de la Infraestructura Crtica Nacional tanto de manera local como internacionalmente para mejorar el conocimiento de la seguridad del ciberespacio en Nueva Zelandia.
35
Tomado de: http://www.ccip.govt.nz/. U.A: 2008/09/26. Publicado por: Centre for Critical Infrastructure Protection. Autor: No determinado.
Pgina 88 de 183
2.1.32.3. Estructura El Centro para la Proteccin de la Infraestructura Crtica (CCIP) es una unidad de negocio dentro de la oficina de Seguridad de Comunicaciones del Gobierno (GCSB). La persona responsable del CCIP y de GCSB es el Primer Ministro de Nueva Zelandia. 2.1.32.4. rea de Influencia Nueva Zelandia
2.1.33.
HOLANDA GOVCERT.NL36
2.1.33.1. Antecedentes GOVCERT.NL es el Equipo de Respuesta a Emergencias Computacionales para el gobierno holands. Desde 2002 apoya al gobierno en la prevencin y atencin de incidentes relacionados con la seguridad. 2.1.33.2. Servicios Ofrecidos Coordinacin: Acta como punto central de la emergencia de incidentes relacionados con la seguridad, tales como virus informticos y deteccin de vulnerabilidades. Informacin: Proporciona la informacin correspondiente a temas de seguridad a las partes apropiados. Asiste a oficiales del gobierno en la prevencin de incidentes de seguridad. Intercambio internacional del conocimiento: mantiene la cooperacin e intercambio de informacin a nivel internacional. Banco de datos: GOVCERT. NL es un centro de informacin. Proporciona acceso al conocimiento y a la experiencia de su personal y organizaciones que participan. Adems, promueve el intercambio de informacin entre estas organizaciones. El banco de datos facilita el intercambio por medio de listas de distribucin, de archivos de documentos relevantes y de mejores prcticas. Paneles: Organizamos reuniones peridicas para dar la oportunidad de intercambiar conocimiento e ideas en temas de actualidad. Ayuda en caso de incidentes: Ofrece ayuda haciendo frente a todas las clases de incidentes, extendindose al correo Spam, a los ataques de la red de la escala grande, con un soporte 7*24.
Tomado de: http://www.govcert.nl/. U.A: 2008/09/26. Publicado por: GOV-CERT.NL. Autor: No determinado.
36
Pgina 89 de 183
2.1.33.3. rea de Influencia Holanda
2.1.34.
POLONIA - CERT POLSKA37 (COMPUTER EMERGENCY RESPONSE TEAM POLSKA)
2.1.34.1. Antecedentes El CERT Polska es el nombre oficial del equipo desde el enero de 2001. Era conocido antes como CERT Nask. Desde el febrero de 1997 el CERT Polska ha sido un miembro del Foro Mundial de Equipos de Respuesta y Seguridad del Incidente - FIRST. El CERT Nask fue establecido en marzo de 1996 segn la disposicin del director de Nask (Red Acadmica y de Investigacin en Polonia). Sus objetivos son constituir un nico punto confiable de atencin a incidentes y prevencin en Polonia para los clientes de la comunidad Nask y otras redes en Polonia, responder por los incidentes de seguridad, proveer informacin referente a la seguridad y advertencias de los ataques en cooperacin con otros equipos de respuesta a incidentes por todo el mundo 2.1.34.2. Servicios Ofrecidos El CERT Polska registra las peticiones, alertas y proporcionar datos e informes estadsticos de incidentes. Proporciona ayuda a los sitios que tienen problemas de seguridad. El CERT Polska brinda informacin actual sobre problemas de seguridad y su solucin (va web y lista de suscripcin).
2.1.34.3. Estructura El equipo lo conforma la Red Acadmica y de Investigacin en Polonia, con la ayuda de expertos de universidades polacas. 2.1.34.4. rea de Influencia Polonia
37
Tomado de: http://www.cert.pl/. U.A: 2008/09/26. Publicado por: CERT Polska. Autor: No determinado.
Pgina 90 de 183
2.1.35.
QATAR - Q-CERT38 (QATAR CERT)
2.1.35.1. Antecedentes Como Equipo Nacional de Respuesta a Incidente de Seguridad Computacional de Qatar, Q-CERT coordinar el sistema de actividades de la ciber - seguridad necesarias para mejorar la proteccin de infraestructuras crticas en la nacin y en la regin. Para alcanzar esta meta, Q-CERT trabajar con las agencias y la industria estatal para formar una estrategia de la gerencia de riesgo para la seguridad del ciberespacio que incluye los siguientes frentes: Planeamiento, medicin y evaluacin Disuasin Proteccin Supervisin, deteccin y anlisis Respuesta Reconstitucin y recuperacin Investigacin y desarrollo
Q-CERT cubre todas las organizaciones autorizadas para utilizar el dominio del cdigo de pas.qa, as como la poblacin en general de Qatar que utiliza el Internet. Incluye al gobierno de Qatar, a los negocios e instituciones educativas que utilizan el Internet para sus operaciones. Los socios estratgicos incluyen la industria petrolera del aceite, la industria de servicios financieros, la industria de las telecomunicaciones, y los ministerios del estado de Qatar. Q-CERT trabajar con los institutos educativos en Qatar para aumentar conocimiento de la seguridad de la informacin y para mejorar prcticas de seguridad de la informacin. 2.1.35.2. Servicios Ofrecidos Talleres, seminarios, y cursos diseados para aumentar el conocimiento acerca de la seguridad del ciberespacio. Provee un Web site para brindar informacin sobre las amenazas que emergen, nuevas vulnerabilidades y otros temas de seguridad.
Tomado de: http://www.qcert.org. U.A: 2008/09/26. Publicado por: Supreme Council of Information & Comunication Technology. Autor: No determinado.
38
Pgina 91 de 183
Explorar la informacin de la seguridad de sistemas de fuente abierta para prevenir amenazas emergentes. Genera nuevas alarmas y estrategias de mitigacin. Analiza vulnerabilidades y cdigo malvolo para desarrollar estrategias de la mitigacin. Analizar incidentes de la seguridad e identifica contramedidas. Coordina a travs de las organizaciones internacionales el manejo de atencin a incidentes e investigaciones. Ayuda en la determinacin del alcance y de la magnitud de incidentes de seguridad e identifica estrategias de la recuperacin
2.1.35.3. Estructura Q-CERT es un organismo nacional patrocinado del Consejo Supremo para la Tecnologa de Informacin y de Comunicaciones (ictQATAR) del estado de Qatar en asocio con el programa CERT que es parte de Instituto de Ingeniera de Software de la Universidad Carnegie - Mellon en Pittsburgh, Estados Unidos. 2.1.35.4. rea de Influencia Gobierno y sector privado en Qatar y en la regin cercana del golfo.
2.1.36.
REINO UNIDO - GOVCERTUK39 (CESGS INCIDENT RESPONSE TEAM)
2.1.36.1. Antecedentes GovCertUK nace en febrero de 2007, como la autoridad tcnica nacional para el aseguramiento de la informacin y proporciona la funcin de CERT al gobierno britnico. Asiste a organizaciones del sector pblico en la respuesta a los incidentes de seguridad computacional y proporciona asesora para reducir la exposicin a la amenaza. Este papel incluye disponer de una capacidad de respuesta a emergencias de las organizaciones del sector pblico que pueden requerir la ayuda tcnica y la asesora durante perodos de ataque electrnico o de otros incidentes de la seguridad de la red. El equipo GovCertUK presta ayuda tcnica y asesora al Centro para la Proteccin de la Infraestructura Nacional (Centre for the Protection of National Infrastructure CPNI40), que proporcionar un papel similar
39
Tomado de: www.govcertuk.gov.uk. U.A: 2008/09/26. Publicado por: CESG GovCertUK Incident Response Team. Autor: No determinado.
Pgina 92 de 183
de ayuda a la infraestructura nacional crtica, a las organizaciones del sector pblico y privado, protegiendo la seguridad nacional ayudando as a reducir la vulnerabilidad de la infraestructura nacional al terrorismo y a otras amenazas. 2.1.36.2. Servicios Ofrecidos Publicaciones orientadas a la proteccin general de la seguridad. Informes de seguridad de la informacin destacando los riesgos frente a la infraestructura nacional. Notas tcnicas de la Seguridad de la Informacin. Vulnerabilidades de la Seguridad de la Informacin. Investigacin en vulnerabilidades computacionales para determinar las amenazas, identificar problemas y se trabaja de la mano con proveedores de tecnologa para suministrar patches de software. Promueven las mejores prcticas entre los operadores de la infraestructura nacional, compartiendo la informacin. Descripcin de tecnologas emergentes. Intercambios de informacin sobre los riesgos.
2.1.36.3. rea de Influencia Reino Unido e Irlanda del Norte
2.1.37.
SINGAPUR SINGCERT41 (SINGAPORE CERT)
2.1.37.1. Antecedentes El Equipo de Respuesta a Emergencias Computacionales de Singapur (SingCERT) fue instalado para facilitar la deteccin, la resolucin y la prevencin de incidentes relacionados con la seguridad en Internet. Sus objetivos son:
40
Tomado de: www.cpni.gov.uk. U.A: 2008/09/26. Publicado por: Centre for the Protection of National Infrastructure CPNI. Autor: No determinado.
41
Tomado de: http://www.singcert.org.sg/. U.A: 2008/09/26. Publicado por: Singapur SingCERT. Autor: No determinado.
Pgina 93 de 183
Ser un punto de contacto confiable. Facilitar la resolucin de las amenazas de la seguridad. Aumente la capacidad nacional en seguridad.
2.1.37.2. Servicios Ofrecidos Genera alarmas, recomendaciones y patches de seguridad. Promueve el conocimiento de la seguridad a travs de cursos, seminarios y talleres de seguridad. Colabora con los proveedores y otros CERTs para encontrar soluciones a los incidentes de la seguridad
2.1.37.3. Estructura SingCERT fue establecido inicialmente en octubre de 1997 como programa de la autoridad del desarrollo de Infocomm de Singapur, en colaboracin con el Centro para la Investigacin del Internet de la Universidad Nacional de Singapur. 2.1.37.4. rea de Influencia Singapur
2.1.38.
SRI LANKA SLCERT42 (SRI LANKA COMPUTER EMERGENCY RESPONSE TEAM)
2.1.38.1. Antecedentes El Equipo de Respuesta a Emergencia Computacionales de Sri Lanka (SLCERT) es el centro para la seguridad del ciberespacio, designado por mandato para proteger la infraestructura de la informacin de la nacin y para coordinar medidas protectoras y respuestas a las amenazas y a las vulnerabilidades de la seguridad informtica. Un CERT nacional acta como punto focal para la seguridad de Ciberespacio para una nacin. Es la nica fuente confiable para asesorar sobre las amenazas y las vulnerabilidades ms recientes que afectan los sistemas informticos y las redes y para asistir al gobierno en responder y recuperarse de Ataques computacionales.
42
Tomado de: http://www.cert.lk/. U.A: 2008/09/26. Publicado por: Sri Lanka SLCERT. Autor: No determinado.
Pgina 94 de 183
2.1.38.2. Servicios Ofrecidos SLCERT ofrece tres categoras de servicio: Servicios de Respuesta: Son los servicios que son activados por los acontecimientos que son capaces de causar efectos nocivos sobre los sistemas de informacin. Los ejemplos son ataques de Spam, virus y acontecimientos inusuales de intrusos. Direccin en incidentes: Este servicio implica responder a una peticin o a una notificacin asociada a la deteccin de un acontecimiento inusual, que puede afectar el funcionamiento, la disponibilidad o la estabilidad de los servicios o sistemas informticos. SLCERT realizar pasos para identificar el incidente y para clasificar la severidad del incidente, asesorando en cmo contener el incidente y suprimir la causa. Una vez los sistemas se recuperan completamente, SLCERT genera un informe de incidente detallando su naturaleza, medidas tomadas para recuperarse de incidente y medidas preventivas recomendadas para el futuro. Servicios del Conocimiento: Se disean para educar en la importancia de la seguridad de la informacin y de los asuntos relacionados y las mejores prcticas. Alarmas: Este servicio se utiliza para divulgar la informacin en relacin con virus informticos, bromas y vulnerabilidades de la seguridad, y en lo posible, para proporcionar recomendaciones a corto plazo para ocuparse de las consecuencias de tales ataques. Seminarios y conferencias: Estos servicios tienen la intencin de aumentar el conocimiento sobre la seguridad de la informacin, seguridad estndares y mejores prcticas. Se busca ayudar a reducir perceptiblemente la probabilidad de ser atacado. Talleres: Estos servicios son dirigido para aumentar el conocimiento acerca de la seguridad de la informacin. Se orientan a los profesionales ms tcnicos, que realizan tareas diarias relacionadas con la seguridad de la informacin. Base de Conocimiento: La base de conocimiento es un servicio pasivo ofrecido por SLCERT a los interesados con documentos, artculos, noticias, etc., publicado en el Web site de SLCERT y los medios. Se busca proporcionar una gama de recursos del conocimiento que permitan a cualquier persona encontrar informacin til para ayudar a aumentar su comprensin de la seguridad de la informacin. Servicios de la Consulta: Estos servicios se orientan a proveer medios de toma de decisiones con respecto a la seguridad de la informacin, y para tomar las medidas necesarias para consolidar las defensas. Soporte Tcnico: Este servicio de revisin y anlisis est dirigido a la infraestructura y procedimientos de la seguridad adoptados dentro de las organizaciones, de acuerdo con la experiencia en seguridad de la informacin del SLCERT y de ciertos parmetros predefinidos. El resultado final es un identificacin
Pgina 95 de 183
detallada de las debilidades de la infraestructura, las mejoras que deben llevarse a cabo y cmo tales las mejoras deben ser puestas en ejecucin. Soporte Consultivo para Poltica Nacional: ste es un servicio realizado por SLCERT como obligacin con la nacin. Como autoridad primaria en seguridad de la informacin en Sri Lanka, SLCERT es responsable de generar y de hacer cumplir estndares de seguridad de la informacin a nivel nacional.
2.1.38.3. rea de Influencia Sri Lanka
2.1.39.
TNEZ - CERT-TCC43 (COMPUTER EMERGENCY RESPONSE TEAM - TUNISIAN COORDINATION CENTER)
2.1.39.1. Antecedentes A partir de 2002 se establece el ncleo de un CSIRT en Tnez, que condujo en 2004 al lanzamiento oficial del CERT-TCC (Computer Emergency Response Team - Centro Tunecino de Coordinacin), un CSIRT pblico gestionado por la Agencia Nacional para la Seguridad Computacional. El CERT-TCC tiene los siguientes objetivos: Aumentar el conocimiento y entendimiento acerca de la seguridad de la informacin y de la seguridad de la computadora a travs de medidas proactivas. Proporcionar un soporte confiable7*24, con un solo punto de contacto para las emergencias, para ayudar a manejar incidentes de la seguridad y para asegurar la proteccin del Ciberespacio nacional y la continuidad de servicios crticos nacionales a pesar de ataques. Proporcionar el entrenamiento y la certificacin de alto nivel para los aprendices y los profesionales. Informar sobre las mejores prcticas y sobre aspectos de organizacin de la seguridad, con un foco especial en la gerencia de la intervencin y de riesgo. Informar sobre vulnerabilidades y respuestas correspondientes y sirve como un punto confiable de contacto para recopilar e identificar vulnerabilidades en sistemas informticos. Informar sobre mecanismos y herramientas de la seguridad y asegurar que la tecnologa apropiada y las mejores prcticas de gerencia sean utilizadas.
de: http://www.ansi.tn/en/about_cert-tcc.htm. U.A: 2008/09/26. Publicado por: National Agency for Computer
43Tomado
Security - Tunez. Autor: No determinado.
Pgina 96 de 183
Poner en ejecucin los mecanismos que permitan alertar y dar respuesta a organizaciones y a instituciones, para desarrollar sus propias capacidades de la gerencia del incidente Facilitar la comunicacin entre el profesional y los expertos que trabajan en estructuras de seguridad y estimular la cooperacin entre y a travs de los negocios pblicos y privados de las agencias estatal y de las organizaciones acadmicas. Colaborar con la comunidad internacional y nacional en incidentes de deteccin y de resolucin de la seguridad computacional. Promover o emprende el desarrollo de los materiales educativos, de conocimiento y de entrenamiento apropiados para mejorar las habilidades y el conocimiento tcnico de los usuarios y los profesionales de la seguridad.
2.1.39.2. Servicios Ofrecidos Actividades del conocimiento Publicaciones: Como material del conocimiento, se desarrollan y distribuyen folletos y guas que explican a los usuarios de una manera simple y clara las amenazas y cmo proteger sus sistemas. Tambin distribuyen libremente los CDs con las herramientas de seguridad y de control parental, libres para el uso domstico, pero tambin los patches. Presentaciones: Co-organizan e intervienen en conferencias nacionales y talleres relacionados con la seguridad, con demostraciones en vivo de ataques, para sensibilizar a la gente con la realidad de los riesgos y la importancia de las mejores prcticas. Juventud y padres: Referente a conocimiento de la juventud y de los padres, preparan material del conocimiento. Un manual Pasaporte de la seguridad para la familia incluyendo concursos, historietas y juego pedaggico, que explican a los nios de una manera divertida, los riesgos (pedofilia, virus, etc) y las reglas bsicas de proteccin. Prensa: Participa en emisiones semanales en medios nacionales, creando un posicionamiento. Informacin y actividades de alertas: Una de las principales tareas es detectar y analizar amenazas y transmitir esa informacin a los administradores de sistema y a la comunidad de usuarios. CERT-TCC divulga regularmente informacin y alarmas sobre vulnerabilidades crticas y actividades malvolas a travs de sus listas de distribucin y con su web site. Analiza las vulnerabilidades potenciales, recogiendo la informacin, trabajando con otros CSIRTs y proveedores de software para conseguir las soluciones a estos problemas. Entrenamiento y educacin: CERT-TCC est actuando para la construccin de un grupo de trabajo de los multiplicadores y e la creacin de diplomados especializados en seguridad, junto con el estmulo de los profesionales para obtener certificacin internacional. Para solucionar eficientemente el problema de la carencia del entrenamiento especializado en seguridad, el CERT-TCC organiza entrenamientos para
Pgina 97 de 183
los multiplicadores que estarn en cargo de reproducir esos cursos en una escala mayor. Los primeros asuntos identificados son los siguientes: Tcnicas de seguridad del permetro de la red: Arquitecturas seguras, cortafuegos, identificaciones, servidores de marcado manual seguros. Organizacin y tcnicas internas: Desarrollo de poltica de la seguridad, desarrollo del plan de seguridad, herramientas de seguridad de la red (Cortafuegos, entradas distribuidos contra-virus, PKI.). Tecnologas de supervivencia de la informacin: Planes de recuperacin de desastres. Base tcnica para la prevencin de la intrusin: Identifica y previene intrusiones y defectos de seguridad. Fundamentos en la orientacin del manejo del incidente. Metodologas de la autovaloracin de la seguridad. ISO 17799 e ISO 27000. Curso de CBK, para la preparacin a la certificacin de CISSP. Cursos especializados para el personal judicial y de investigacin. Tambin desarrollan un programa de entrenamiento para la certificacin de personas del sector privado, que permite la obtencin de la certificacin nacional de interventor de la seguridad, adems, al entrenamiento para los administradores de los sistemas de e-gobierno, y como motivacin para la certificacin de CISSP, los entrenamientos que cubren todos los captulos del CBK. CERT-TCC trabaja con profesionales e instituciones acadmicas para desarrollar planes de estudios en seguridad de la informacin y se tiene el proyecto para lanzar un centro de entrenamiento regional en seguridad en sociedad con el sector privado. Prepara adicionalmente los entrenamientos especiales para los jueces, y periodistas. Educacin: En colaboracin con dos instituciones acadmicas, se lanz la primera maestra en seguridad en 2004 y ahora tres universidades pblicas y cuatro privadas, proponen programas de maestra similares. Para motivar a estudiantes a atender a esos cursos, se les ofrece la posibilidad de postular a la certificacin nacional del interventor de la seguridad. De otro lado, consideran que todos los estudiantes deben ser preparados para obtener conocimiento apropiado sobre riesgos y la existencia de las mejores prcticas y de herramientas de seguridad para la proteccin. Con ese propsito, comenzaron sesiones del conocimiento de verano para los nuevos profesores de las escuelas secundarias y estn motivando a todas las entidades de educacin para la introduccin de los cursos bsicos del conocimiento dentro de programas acadmicos, desde las escuelas secundarias hasta la
Pgina 98 de 183
universidad. CERT-TCC comenz el desarrollo del material y de los programas del conocimiento para las escuelas secundarias. Direccin y ayuda del incidente: Segn la ley relacionado con la seguridad computacional, las corporaciones privadas y pblicas deben informar al CERT-TCC sobre cualquier incidente, que pueda tener impacto en otros sistemas de informacin nacionales, con la garanta de confidencialidad ala que estn obligados los empleados del CERT-TCC y los interventores de la seguridad, bajo sanciones penales. Las organizaciones tanto privadas como pblicas deben confiar en el CERT-TCC por lo cual se obligan a guardar confidencial sobre sus identidades y la informacin sensible proporcionada. Tambin deben ser neutrales, que permita trabajar con las entidades y las entidades sin predisposicin. Se establecieron telfonos 7*24 que permiten a los profesionales y a los ciudadanos divulgar y llamar para solicitar ayuda en caso de incidentes de la seguridad computacional y tambin para solicitar la informacin y/o la ayuda en cualquier tema relacionado a la seguridad. En las actividades de direccin de la vulnerabilidad y del incidente se asigna una prioridad ms alta a los ataques y a las vulnerabilidades que afectan directamente el ciberespacio nacional. En este sentido se comenz a desarrollar un sistema llamado Saher que permite determinar y predecir amenazas grandes y potenciales a las infraestructuras de telecomunicacin sensibles y al Ciberespacio local, basado en cdigo abierto que permite supervisar la seguridad del Ciberespacio nacional en tiempo real para la deteccin temprana de ataques masivos. El primer prototipo fue desplegado en noviembre de 2005. Para asegurar una respuesta rpida y correcta en caso de ataques grandes contra el Ciberespacio, se ha desarrollado un plan global de la reaccin basado en el establecimiento de clulas de crisis coordinadas a nivel de varios agentes del Ciberespacio nacional ( ISPs, IDCs, proveedores de acceso, redes corporativas grandes) con CERT-TCC actuando como coordinador entre ellos. Colaboracin con asociaciones: Co-organizan regularmente talleres del conocimiento y entrenamiento buscando sinergia entre los profesionales y los agentes nacionales. Animan la creacin de dos asociaciones especializadas en el campo de la seguridad informtica: Una asociacin acadmica lanzada en 2005 (Asociacin Tunecina para la Seguridad Numrica) y durante 2006 (Asociacin Tunecina de Expertos en Seguridad Computacional). Con el propsito de motivar la agregacin tcnica de esas asociaciones, las estn motivando para la creacin de equipos de trabajo tcnicos. Colaboracin internacional: CERT-TCC se ha establecido como miembro de pleno derecho de FIRST en mayo de 2007 y busca colaborar con otros CSIRTs para lograr un apoyo mayor y colaboracin en investigaciones. Tambin intentan ser activos a nivel regional en frica y en organizaciones internacionales.
2.1.39.3. Estructura Cuenta con dos equipos: Equipo Amen: A cargo del anlisis del incidente y coordinacin y respuesta en sitio y en caso de emergencia nacional.
Pgina 99 de 183
Equipo Saherel: A cargo de la deteccin del incidente y del artefacto, que desarrolla y maneja un sistema de supervisin para el ciberespacio nacional, basado en soluciones de cdigo abierto. Est tambin a cargo de dar asistencia tcnica y ayuda para el despliegue de las soluciones de cdigo abierto.
2.1.39.4. rea de Influencia Tnez
2.1.40.
VENEZUELA CERT.VE44 (VENCERT EQUIPO DE RESPUESTA PARA EMERGENCIAS INFORMTICAS)
2.1.40.1. Antecedentes El Ministerio de Ciencia y Tecnologa, cumpliendo su competencia en materia de Tecnologas de Informacin y Comunicacin, pone en marcha el proyecto parea conformar un Equipo de Respuesta para Emergencias Informticas a travs de la Superintendencia de Servicios de Certificacin Electrnica SUSCERTE. Este equipo en conjunto con la academia, centralizar y coordinar los esfuerzos para el manejo de incidentes que afecten oi puedan afectar los recursos informticos de la Administracin Pblica, as como difundir informacin de cmo neutralizar incidentes, tomar precauciones para las amenazas de virus que puedan comprometer la disponibilidad y confiabilidad de las redes. Adems centralizar los reportes sobre incidentes de seguridad ocurridos en la Administracin Pblica y facilitar el intercambio de informacin para afrontarlos, provee documentacin y asesora sobre la seguridad informtica. Sus objetivos son combinar esfuerzos con la comunidad internet nacional e internacional para facilitar y proporcionar respuesta a los problemas de seguridad informtica que afecten o puedan afectar a los sistemas centrales, as como elevar la conciencia colectiva sobre temas de seguridad informtica y llevar a cabo tareas de investigacin que tengan como finalidad mejorar la seguridad de los sistemas existentes. Coordinar las acciones de monitoreo, deteccin temprana y respuesta ante incidentes de seguridad de informtica entre los rganos del Poder Pblico, as como el tratamiento formal de estos incidentes y su escalamiento ante las instancias correspondientes. La Superintendencia debe promocionar y divulgar el uso de Polticas de Seguridad, la firma electrnica y certificado electrnico apoyndose en los centros educativos, plantendose programas acadmicos que apoyen a dichos centros en las carreras jurdicas para dar a conocer la Ley sobre mensaje de Datos y Firma Electrnica, los reglamentos y las resoluciones de la superintendencia. As se pretende lograr que la Administracin Pblica venezolana identifique sus requisitos de seguridad y aplique medidas para alcanzarlos, mediante el uso de tres fuentes principales:
44
Tomado de: http://www.cert.gov.ve/. U.A: 2008/09/26. Publicado por: Venezuela CERT.ve. Autor: No determinado.
Pgina 100 de 183
Valoracin de los riesgos de cada uno de los Entes Gubernamentales. Con ello se identifican las amenazas a los activos, se evala la vulnerabilidad y la probabilidad de su ocurrencia y se estima su posible impacto. Determinacin de requisitos legales, estatutarios y regulatorios que deberan satisfacer los entes de la Administracin Pblica, sus usuarios, contratistas y proveedores de servicios. Establecimiento de los principios, objetivos y requisitos que forman parte del tratamiento de la informacin que el Gobierno Nacional ha desarrollado para apoyar sus operaciones.
Para ello el VenCERT (Centro de Respuestas ante incidentes telemticos del Sector Pblico) implementar un conjunto de polticas, prcticas, y procedimientos y los controles que garanticen el cumplimiento de los objetivos especficos de seguridad. Asimismo, orientar y asesorar en la definicin de estructuras organizativas, funciones de software y necesidades de formacin. El VenCERT deber igualmente constituirse en eje central de un sistema de investigacin cientfica aplicada a la seguridad telemtica, convirtindose en demandante principal de sus productos y proveedor permanente de nuevos temas de investigacin. 2.1.40.2. Servicios Ofrecidos Proveer un servicio especializado de asesoramiento en seguridad de redes Promover la coordinacin entre los organismos de la Administracin Pblica para prevenir, detectar, manejar y recuperar incidentes de seguridad. Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administracin Pblica y facilitar el intercambio de informacin para afrontarlos. Crear listas de correo con el fin de mantener informados a los directores de informtica sobre las noticias ms recientes en materia de seguridad.
2.1.40.2.1. Estructura El VenCERT hace parte de la Superintendencia de Servicios de Certificacin Electrnica de Venezuela SUSCERTE. 2.1.40.3. rea de Influencia Administracin Pblica de Venezuela
Pgina 101 de 183
2.2. EXPERIENCIAS O ANTECEDENTES EN COLOMBIA

2.2.1. CIRTISI COLOMBIA45 (CENTRO DE INFORMACIN Y RESPUESTA TCNICA A INCIDENTES DE SEGURIDAD INFORMTICA DE COLOMBIA)
En colaboracin de varas entidades gubernamentales se desarroll una primera propuesta para la constitucin de un Centro de Informacin y Respuesta Tcnica a Incidentes de Seguridad Informtica de Colombia CIRTISI. Segn esta propuesta, CIRTISI Colombia buscara propender por la prevencin, deteccin y reaccin frente a incidentes de seguridad informtica que amenacen y/o desestabilicen la normal operacin de entidades gubernamentales e incluso la seguridad nacional, mediante apoyo tecnolgico, entrenamiento y generacin de una cultura global de manejo de la informacin. Sus objetivos generales seran: Brindar apoyo a las entidades gubernamentales para la prevencin y rpida deteccin, identificacin, manejo y recuperacin frente a amenazas a la seguridad informtica. Interactuar con los entes de polica judicial generando un espacio de consulta frente a las amenazas de seguridad e investigaciones informticas. Proporcionar informacin especializada y conocimiento a las autoridades de polica judicial durante los procesos investigativos relacionados con la seguridad informtica. Construir un laboratorio de deteccin e identificacin, control y erradicacin de amenazas informticas para los diferentes organismos gubernamentales. Consolidar el capitulo HTCIA (High Technology Crime Investigation Association) Colombia y adelantar las actividades necesarias para su permanencia y crecimiento
Sus objetivos especficos seran: Proporcionar alertas tempranas frente a amenazas informticas que puedan desestabilizar la tecnologa y la seguridad nacional.
Documento: CIRTISI COLOMBIA, Tomado de U.A:
45
http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de%202007%202.pdf. 2008/09/26. Publicado por: Gobierno en Lnea. Autor: No determinado.
Pgina 102 de 183
Fomentar la investigacin y desarrollo de estrategias de seguridad informtica. Brindar una adecuada respuesta a incidentes de seguridad informtica, con un enfoque metodolgico que propenda por la eficiencia de las investigaciones realizadas. Establecer canales de comunicacin nacionales expeditos de manera que sea posible ofrecer una atencin a incidentes en forma efectiva. Generar redes de apoyo temticas en materia de seguridad de la informacin. Promover la coordinacin nacional con otras entidades pertinentes del orden regional Fortalecer la cooperacin con organismos intergubernamentales en el mbito subregional, regional e internacional. Impulsar la cooperacin internacional con organismos de similar naturaleza y propsito. Participar en el Forum of Incident Response and Security Teams (FIRST) Consolidar, mantener y liderar el capitulo HTCIA Colombia Fomentar una conciencia global de seguridad informtica Proveer un servicio especializado de asesoramiento en seguridad de redes. Servicios Propuestos
2.2.1.2.
Investigacin tcnica de amenazas informticas existentes e identificacin de tendencias. Generacin de alertas tempranas frente a las amenazas existentes, conocidas y potenciales. Entrenamiento local, nacional o internacional en materia de seguridad informtica y procedimientos de computacin forense para los organismos de polica judicial colombiana. Respuesta efectiva a incidentes de seguridad informtica que se presenten en cualquier rgano gubernamental, brindando apoyo tcnico para la recoleccin, anlisis, preservacin y presentacin de evidencia digital en incidentes que den lugar a investigaciones informticas. Promover la cultura de la seguridad informtica y la estandarizacin de protocolos de seguridad. Establecer contactos con equipos de similar naturaleza o propsito y con organizaciones que agrupen estos equipos, tanto a nivel nacional como internacional.
Pgina 103 de 183
El CIRTISI - Colombia propone desarrollar sus actividades dentro de los siguientes ejes estratgicos: Desarrollo de Polticas: Promover la formulacin de polticas que contribuyan con la prevencin, deteccin, identificacin, manejo y recuperacin frente a amenazas a la seguridad informtica as como con la adopcin de legislacin para adecuar y actualizar la tipificacin de las conductas conocidas por el CIRTISI. Actividad Operacional: Obtener diagnsticos reales sobre las diferentes amenazas informticas que se generan a partir de una cobertura de servicios y sectores definida y, de la permanente capacitacin y optimizacin tecnolgica. Impacto Social: Generacin de una cultura global de manejo de la informacin y fomento de la conciencia frente a la seguridad informtica mediante la permanente socializacin de las amenazas conocidas y nuevas y su impacto sobre la seguridad informtica en Colombia. Estructura Sugerida
2.2.1.3.
La conformacin del CIRTISI involucrara cinco reas o divisiones con liderazgo propio de manera que se puedan cubrir diversos aspectos de la seguridad informtica nacional.
Ilustracin 6: Estructura CIRTISI Colombia Divisin de Infraestructura y Asesora: Esta divisin ser la encargada de todo el planeamiento logstico y estratgico necesario para la conformacin y puesta en operacin del CIRTISI - Colombia, apoyando directamente a la direccin general y junta directiva que se designe. Divisin de Alertas Tempranas y Coordinacin: Esta divisin se concentrar en el monitoreo de amenazas y coordinacin con CERTs nacionales e internacionales, generando las alertas tempranas
Pgina 104 de 183
frente a amenazas potenciales. En conjunto con la investigacin y desarrollo son el corazn del CIRTISI en la medida que se convierte en el punto de deteccin de amenazas globales. Adicionalmente, esta divisin est encargada de mantener una base estadstica de amenazas a la seguridad de la informacin. Divisin de Investigacin y Desarrollo: La divisin de Investigacin y Desarrollo estar encargada del laboratorio de amenazas, proporcionadas por la divisin de alertas tempranas, con el fin de identificar riesgos efectivos. Esta divisin afinar la base estadstica de amenazas convirtindolas en riesgos y generando las alertas acerca de aquellos riesgos que podran impactar de mayor manera la seguridad nacional. Estos estudios contribuirn con la elaboracin de diagnsticos sobre la situacin real del pas en materia de seguridad informtica. Adicionalmente, esta Divisin se encargar todo lo relacionado con capacitacin y entrenamiento tanto al interior del CIRTISI como hacia los diferentes entes del Gobierno. Asimismo, administrar y distribuir entre las entidades nacionales competentes las ofertas de cooperacin, asistencia y capacitacin en nuevas tecnologas y manejo de incidentes de seguridad informtica. Divisin de Respuesta a Incidentes: La Divisin de Respuesta a Incidentes ser el grupo de reaccin frente a cualquier incidente de seguridad de la informacin que se presente en el sector Gobierno. Esta divisin estar a cargo de los mecanismos de comunicacin nicos nacionales que atenderan y manejaran los requerimientos de incidentes. Adicionalmente, los funcionarios de esta divisin podrn interactuar con las entidades con funciones de polica judicial en el desarrollo de investigaciones informticas ofreciendo apoyo tcnico y especializado. Asimismo, el CIRTISI pondra a disposicin de dichas entidades las estadsticas sobre investigaciones informticas a nivel nacional. Inicialmente, contar con la infraestructura necesaria para brindar asistencia de lunes a viernes de 9:00 a 18:00 horas, y en el mediano plazo, a medida que aumente la capacidad y la demanda, entrara a operar en el modelo 24 horas al da, 7 das a la semana (7/24). Divisin de Divulgacin y Concienciacin: Esta Divisin ser la nica encargada de proporcionar la informacin oficial que se derive de las actividades del CIRTISI hacia los medios de comunicacin y la comunidad en general. Adicionalmente y, como parte de la misin social del CIRTISI, promover la generacin de conciencia en el adecuado manejo de la seguridad de la informacin.
Las entidades involucradas en su constitucin seran: Ministerio del Interior y de Justicia Ministerio de Defensa Nacional Ministerio de Relaciones Exteriores Ministerio de Comunicaciones Ministerio de Comercio, Industria y Turismo Departamento Administrativo de Seguridad (DAS)
Pgina 105 de 183
Polica Nacional (DIPOL, DIJIN) Comisin de Regulacin de Telecomunicaciones (CRT) Direccin Nacional de Planeacin (DNP) Fiscala General de la Nacin Cuerpo Tcnico de Investigacin (CTI) Procuradura General de la Nacin rea de Influencia
2.2.1.4.
El CIRTISI Colombia tendra un alcance nacional que abarca el sector Gobierno y brindara apoyo a las entidades gubernamentales para la prevencin y rpida deteccin, identificacin, manejo y recuperacin frente a amenazas a la seguridad informtica. Tambin brindara apoyo tcnico y proporcionara informacin especializada a los cuerpos de polica judicial y de control en aspectos relacionados con la seguridad informtica. En estos casos, manteniendo reserva en la informacin reportada a los organismos y teniendo en cuenta las responsabilidades y controles que el manejo de este tipo de informacin requiere. El CIRTISI establecera canales de interlocucin con usuarios del sector privado y la academia con el propsito de ampliar la informacin en materia de tendencias e investigacin. En este sentido, har seguimiento a los principales dispositivos, aplicaciones y herramientas (hardware, software), a fin de conocer las vulnerabilidades de los sistemas operativos, alertar y obrar en consecuencia. Adicionalmente, mantendr una base de datos de incidentes de seguridad, la cual servir para consulta, seguimiento, y permitir llevar un registro histrico de los mismos. El CIRTISI brindara capacitacin especializada a las reas tcnicas de las diferentes entidades nacionales. Teniendo en cuenta que la cooperacin e intercambio de informacin entre equipos de esta naturaleza est basada en la confianza, el CIRTISI - Colombia estara llamado a constituirse en el punto focal confiable para organismos similares en el mbito internacional. El CIRTISI entrara en contacto con otros Equipos de Seguridad existentes en el mundo, y con las organizaciones que los agrupan, y establecera canales comunicacin permanente para facilitar el intercambio de informacin tcnica, experiencias, metodologas, procesos, buenas prcticas y otros servicios que ofrecen dichas organizaciones.
Pgina 106 de 183
2.2.2. CSIRT COLOMBIA46 (COL CSIRT)

El COL-CSIRT es un grupo de investigacin de la Universidad Distrital Francisco Jos de Caldas que pretende un marco de operacin nacional y cuyo constituyente estar dado por entidades de educacin superior y entidades oficiales del estado. Su objetivo es ofrecer un servicio de soporte a las entidades estatales y de educacin superior, para la prevencin, deteccin y correccin de los incidentes de seguridad informticos, con los siguientes objetivos especficos. Desarrollar una Base de Datos que contenga la informacin concerniente a los diferentes incidentes de seguridad informticos existentes y las preguntas ms frecuentemente contestadas (FAQ's). Prestar el soporte sobre Sistemas Operativos Windows y Linux (Unix). Utilizar la clasificacin taxonmica de los incidentes y ataques con cdigo malicioso propuesta en el proyecto de maestra en Teleinformtica titulado "ANLISIS DE INCIDENTES RECIENTES DE SEGURIDAD EN INTERNET 1995 a 2003" para ofrecer una respuesta oportuna, eficaz y eficiente a los distintos reportes y alertas que se reciban diariamente en el centro de respuesta. Establecer detalladamente los servicios que prestar el centro de respuesta con respecto a los incidentes de seguridad informticos. Integrar la base de datos del Centro de Respuesta a incidentes y ataques con cdigo malicioso, al portal WEB del COL-CSIRT que est siendo desarrollado por el grupo de investigacin ARQUISOFT de la Universidad Distrital Francisco Jos de Caldas.
46
Tomado de: http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt. U.A: 2008/09/26. Publicado por:Universidad Distrital
Francisco Jos de Caldas. Autores: Coordinadora: MsC. Zulima Ortiz Bayona. Docentes asistentes: Ing. Claudia Liliana Bucheli, Mara del Pilar Bohorquez. Estudiantes coordinadores: Erika Tatiana Luque Melo, Jeffrey Steve Borbn Sanabria, Anthony Molina. Estudiantes investigadores: Lina Rocio Infante, Diego Alfonso Barrios Contreras, Ivon Carolina Rodrguez Parra, Laura Patricia Ortiz Ortiz, Diego Ivn Arango, Jorge Eduardo Ibez Seplveda, Edwin Giovanny Gutierrez Ramrez, Jairo Andrs Gmez Monrroy, Rene Alejandro Rangel Segura, Alvaro Hernando Talero Nio, Daniel Arturo Acosta, Camilo Andrs Alfonso Vargas, Mnica Patricia Basto Guevara, Wilmer Daniel Galvis, Saira Carvajal, Diana Marcela Cotte Corredor, Luis Francisco Fontalvo Romero, Cristian Camilo Betancourt Lemus, Rodrigo Cruz Hernndez, Julin Bonilla M, Jorge Gamba V, Giulio Leonardo Aquite Pinzn, Nidia Marcela Corcovado B, Jorge Andrs Diab, Daniel Felipe Rentera Martnez
Pgina 107 de 183
2.2.2.2.
Servicios Ofrecidos
Prestar el servicio de manejo de incidentes de seguridad informticos, a travs del anlisis de incidentes, respuesta a los incidentes en l-nea, soporte a la respuesta del incidente y la coordinacin de la respuesta del incidente. 2.2.2.3. Estructura
El grupo est compuesto por una coordinacin, docentes asistentes, estudiantes coordinadores y estudiantes investigadores. 2.2.2.4. Colombia rea de Influencia
2.2.3. COMIT INTERAMERICANO CONTRA EL TERRORISMO DE LA OEA (CICTE)

En junio de 2004 se llev a cabo un taller para practicantes en materia de seguridad ciberntica del CICTE sobre la estrategia integral de seguridad ciberntica de la OEA47, y sirvi como marco para establecer una Red Interamericana CSIRT de vigilancia y alerta. Su objetivo era crear una red hemisfrica de puntos nacionales de contacto entre equipos de respuesta a incidentes de seguridad en computadoras (Computer Security Incident Response Teams: CSIRT) con responsabilidad nacional (CSIRT nacionales), en los Estados Miembros de la OEA, con el mandato y la capacidad de responder debida y rpidamente a las crisis, incidentes y peligros relacionados con la seguridad ciberntica. Estos equipos podran comenzar simplemente como puntos de contacto oficiales en cada uno de los Estados y estaran a cargo de recibir informacin sobre seguridad ciberntica. En el futuro se convertiran en un CSIRT. Reviste importancia creciente la colaboracin mundial y la capacidad de respuesta en tiempo real entre los equipos. Dicha colaboracin debe permitir lo siguiente: El establecimiento de CSIRT en cada uno de los Estados Miembros El fortalecimiento de los CSIRT hemisfricos La identificacin de los puntos de contacto nacionales
de: http://www.cicte.oas.org/Rev/en/Documents/OAS_GA/AG-RES.%202004%20(XXXIV-O-04)_SP.pdf. U.A: 2008/09/26.
47Tomado
Publicado por: Comit Interamericano Contra el Terrorismo de la OEA. Autor: No determinado.
Pgina 108 de 183
La identificacin de los servicios crticos El diagnstico rpido y preciso del problema El establecimiento de protocolos y procedimientos para el intercambio de informacin La pronta diseminacin regional de advertencias sobre ataques La pronta diseminacin regional de advertencias sobre vulnerabilidades genricas a difusin de un alerta regional sobre actividades sospechosas y la colaboracin para analizar y diagnosticar tales actividades El suministro de informacin sobre medidas para mitigar y remediar los ataques y amenazas La reduccin de duplicaciones de anlisis entre los equipos El fortalecimiento de la cooperacin tcnica y la capacitacin en materia de seguridad ciberntica para establecer los CSIRTs nacionales La utilizacin de los mecanismos subregionales existentes.
En mayo de 2008 se llev a cabo en la ciudad de Bogot una capacitacin en Fundamentos para creacin y manejo de un CSIRT organizada por la Secretara del CICTE en coordinacin con la Cancillera y la Polica Nacional de Colombia (DIJIN), con la participacin de representantes de Bolivia, Chile, Ecuador, Paraguay, Per, Repblica Dominicana, y Colombia, con responsabilidades tcnicas y/o polticas relativas al desarrollo de su infraestructura nacional de seguridad ciberntica, incluida la creacin y desarrollo de Computer Security Incident Response Teams (CSIRT).
2.3. EN RESUMEN
A modo de resumen de la revisin documental acerca de las iniciativas y experiencias de CSIRT nacionales e internacionales y en concordancia con los comentarios recibidos de la firma Surez Beltrn & Asociados por medio del Programa Gobierno en Lnea, se identifica una tipificacin de los CSIRT acorde con sus estructuras, objetivos y funciones.
2.3.1. CSIRTs PBLICOS

El carcter pblico de los CSIRT suelen ser los responsables por la seguridad de la informacin para las entidades gubernamentales, enfocndose en servir como punto nico y de coordinacin para el manejo de incidentes de la informacin relacionados con las infraestructuras crticas nacionales. As mismo, son responsables por la definicin de estndares y buenas prcticas e impulsan la formacin y difusin del conocimiento en temas de seguridad de la informacin. Se identifican dos tipos de estructuras: Unidades pblicas independientes o unidades de negocio dependientes de entidades existentes.
Pgina 109 de 183
Unidades pblicas independientes: Tiene su rea de influencia limitada al pas y a las entidades pblicas, pero cuentan con plena autoridad para impulsar medidas y tomar acciones preventivas a lo largo de los sectores econmicos y administrativos. Dentro de los beneficios de contar con un CSIRT dentro de la estructura del gobierno se pueden considerar el permitir identificar un punto nico de contacto central, as como la capacidad de tener un equipo capaz de instrumentar y conducir una rpida respuesta para contener un incidente de seguridad de la informacin que pueda poner en riesgo la infraestructura crtica nacional. Unidades de negocio dependientes de entidades existentes. Estas dependencias suelen estar asociadas a las reas de inteligencia, sector de las comunicaciones, la ciencia y tecnologa, directamente vinculadas a gabinetes de gobierno o a las entidades policiales o militares. Suelen tener autoridad compartida con otras instancias para el manejo del incidente informtico.
2.3.2. CSIRTs PRIVADOS

Organismos consultivos sin nimo de lucro: Despliegan gran parte de sus servicios y actividades a favor de sus miembros inscritos, quienes pagan una suma por la afiliacin para el mantenimiento de la estructura del CSIRT. Tiene un papel consultivo y no tiene ninguna autoridad para ordenar o realizar tareas por parte de sus miembros o el rea de influencia. Son fuentes generalizadas de buenas prcticas, documentos tcnicas compartidos con la comunidad y creacin de estndares de mercado. De igual forma, promueven foros para la creacin y difusin de conocimiento tcnico. Organismo con nimo de lucro: Identificados como proveedores, el mercado ofrece los servicios de los CSIRT a travs de varias alternativas: o Centros de Anlisis, que se concentran en la agrupacin y anlisis de datos desde varias fuentes para determinar las tendencias y patrones en la actividad de incidentes. Equipos de Proveedores, que manejen informes de vulnerabilidades en sus productos de software o hardware. Proveedores de Respuesta a Incidentes, que ofrecen servicios de manejo de incidentes para otras organizaciones.
No tienen ningn tipo de autoridad para la mitigacin o tratamiento en los incidentes informticos. Iniciativas Acadmicas: Bajo este esquema universitario, se generan equipos con nfasis en la investigacin y el anlisis de la seguridad informtica. Se elaboran publicaciones, foros y talleres, cursos de capacitacin y boletines peridicos.
2.3.3. CSIRTs INTERNOS

Estos equipos slo responden a las necesidades de las organizaciones privadas a las que pertenecen, imparte instrucciones, polticas y reglas de aplicacin. Su principal actividad es la gestin de incidentes en sus propias entidades.
Pgina 110 de 183
2.3.4. CSIRTs DE COORDINACIN

Estas organizaciones coordinan y facilitan el manejo de incidentes de seguridad de la informacion con el apoyo de todas las entidades relacionadas con el tema a nivel nacional y a travs de varios CSIRTs nacionales e internacionales.
2.3.5. ESQUEMA ASOCIATIVO ENTRE EL SECTOR PBLICO Y EL PRIVADO

Esta alianza se organiza con el fin de proteger la infraestructura de internet del pas, ante ataques que pongan en juego su seguridad de la informacin, beneficindose del patrocinio econmico del sector privado.
Pgina 111 de 183
3.
DEFINICIN DE LA ORGANIZACIN CSIRT PARA COLOMBIA
3.1. TIPO DE ENTIDAD

Iniciando el proceso de definicin y diseo de un CSIRT48 en Colombia, es muy importante tener en cuenta la naturaleza del programa Gobierno en Lnea en el cual se enmarca este proyecto. El CSIRT entra a apoyar el modelo de Seguridad de la Informacin definido para el programa Gobierno en Lnea, facilitando la rpida y efectiva accin para el manejo estratgico de incidentes de seguridad de la informacin, e interactuando con el Grupo Tcnico de Apoyo que tiene entre sus responsabilidades los estudios tcnicos y el soporte tcnico - jurdico para la preparacin de los documentos, polticas, objetivos de control y controles recomendados que son avalados por la Comisin. Asesora a las entidades en su implementacin, certifica su cumplimiento y proporciona apoyo tcnico y jurdico para la operatividad del modelo.
Ilustracin 3: Modelo Detallado del Sistema Administrativo Nacional de Seguridad de la Informacin

48
CSIRT: Computer Security Incident Response Team (Equipo de Respuesta a Incidentes de Seguridad
Computacional)
Pgina 112 de 183
Si bien es cierto que en el marco de este proyecto, el CSIRT que se constituya se orientar a los aspectos de seguridad de la informacin para la Estrategia de Gobierno en Lnea, con el nimo de hacerlo auto sostenible en el tiempo, es necesario considerar un amplio portafolio de servicios orientados tanto al sector pblico como privado, para lo cual se han considerado 3 alternativas de tipo de entidad, cada una con ventajas y desventajas respectivamente: Ventajas Consideradas: MODELO 1 (Como Direccin del Ministerio de Comunicaciones) Est sometida al control fiscal y social que verifica que los fondos pblicos sean utilizados de acuerdo con la Ley y la eficiencia administrativa - competitividad. Brinda mayor transparencia a su operacin. MODELO 2 (Como Asociacin Pblica sin nimo de lucro) MODELO 3 (Como Asociacin con Participacin Mixta) Foco de la entidad en el objeto misional del CSIRT.
Est sometida al control fiscal y social que verifica que los fondos pblicos sean utilizados de acuerdo con la Ley y la eficiencia administrativa competitividad. Brinda mayor transparencia a su operacin. No pueden suspender sus No pueden suspender sus funciones por voluntad de las funciones por voluntad de las personas que estn a su cargo. personas que estn a su Los rganos de la administracin cargo. Los rganos de la y los servicios que se han administracin y los servicios establecido deben continuar que se han establecido deben mientras la Ley no autorice la continuar mientras la Ley no suspensin o supresin de ellos, autorice la suspensin o con lo cual se garantiza la supresin de ellos, con lo cual continuidad del servicio. se garantiza la continuidad del servicio. Los resultados de un Los resultados de un establecimiento pblico no se establecimiento pblico no se miden en trminos de utilidades miden en trminos de o ganancias que se reparten en utilidades o ganancias que se beneficio de particulares sino por reparten en beneficio de el grado de eficiencia del servicio particulares sino por el grado que se le lleva a la comunidad y de eficiencia del servicio que la seguridad es un tema de alto se le lleva a la comunidad y la impacto en el que todas las seguridad es un tema de alto entidades deben involucrarse. impacto en el que todas las entidades deben involucrarse. Toma de decisiones depende de La adopcin de decisiones se un nico actor hace de manera coordinada, por cuanto ellas suponen un ejercicio colegiado, y opera segn lo que el acto constitutivo establezca.
Pgina 113 de 183
Mayor credibilidad por parte de la comunidad.
Menor costo de operacin ya que se puede transferir a las empresas privadas
La adopcin de decisiones se hace de manera coordinada por cuanto ellas suponen un ejercicio colegiado, y opera segn lo que el acto constitutivo establezca.
MODELO 1 (Como Direccin del Ministerio de Comunicaciones)
MODELO 2 (Como Asociacin Pblica sin nimo de lucro) Foco de la entidad en el objeto misional del CSIRT. Rgimen Laboral de derecho privado, salvo a los Directivos y Ordenadores de Gasto, lo cual permite mejorar la escala de remuneracin.
MODELO 3 (Como Asociacin con Participacin Mixta)
Estructuracin a travs de decreto lo cual permite contar con un CSIRT rpidamente.
Rgimen Laboral de derecho privado, salvo a los Directivos y Ordenadores de Gasto, lo cual permite mejorar la escala de remuneracin.
Desventajas Consideradas: MODELO 1 (Como Direccin del Ministerio de Comunicaciones) En la comunidad Colombiana existe una baja confianza en la efectividad de las instituciones pblicas. El CSIRT no tendra jerarqua como centro de respuesta. Limitado a la burocracia del Ministerio. La constitucin y los actos de una entidad pblica se rigen por leyes y decretos de funcin pblica. Todos sus actos son reglamentados y estn encaminados a la prestacin de servicios de inters general para la sociedad, sin embargo esto puede hacer ms lenta su operacin. Ausencia de personal especializado para cubrir los frentes de trabajo del C-SIRT, aunque podra acudirse a contrataciones de prestacin de servicios. MODELO 2 (Como Asociacin Pblica sin nimo de lucro) Se debe entrar a negociar la participacin de los integrantes de la sociedad. MODELO 3 (Como Asociacin con Participacin Mixta) Se debe entrar a negociar la participacin de los integrantes de la sociedad.
Rgimen legal mixto.
Rgimen legal mixto.
La constitucin de la asociacin supone la elaboracin de actos de constitucin que se deben concertar con cada uno de los miembros, lo cual toma
Pgina 114 de 183
La constitucin de la asociacin supone la elaboracin de actos de constitucin que se deben concertar con cada uno de los miembros, lo cual toma tiempo.
MODELO 1 (Como Direccin del Ministerio de Comunicaciones)
MODELO 2 (Como Asociacin Pblica sin nimo de lucro)
MODELO 3 (Como Asociacin con Participacin Mixta)
tiempo. Sujecin a las reglas de Sujecin a las reglas de ejecucin presupuestal. Rigidez y ejecucin presupuestal. problemas operativos. Rigidez y problemas operativos. La seguridad de la informacin nacional es un punto crtico del Estado y se convierte en soporte bsico para la seguridad nacional, siendo la seguridad nacional y la seguridad de su infraestructura crtica una responsabilidad del mismo Estado, que no puede dejarse en manos de particulares. Por esta razn, se recomienda el establecimiento de una Asociacin de carcter pblico sin nimo de lucro, adscrita al Ministerio de Comunicaciones, que favorezca los intereses de seguridad nacional sobre intereses particulares y que garantice la transparente e igualitaria gestin de sus servicios. La composicin de esta sociedad puede establecerse con la participacin del Ministerio de Comunicaciones (50%), los entes policivos (DAS, Polica, Fiscala con el 25%) y la academia (25%), representada por el Instituto Colombiano para el Desarrollo de la Ciencia y la Tecnologa, Francisco Jos de Caldas, COLCIENCIAS (ahora constituido como Departamento Administrativo). Algunas de las ventajas de contar con un CSIRT como entidad pblica son: Velar con prioridad por la seguridad de la informacin de la infraestructura crtica nacional. Contar con un adecuado, seguro, transparente e igualitario manejo de la informacin confidencial de cada organizacin cuando se presente un incidente de seguridad de la informacin. Contar con un grupo de personal especializado, certificado y entrenado en aspectos tcnicos a los cuales muchas entidades pblicas no tendran acceso de manera individual. Establecer canales y acuerdos de intercambio de informacin de manera oficial con otros CSIRT de carcter gubernamental, policivo y privado as como con organizaciones que agrupan equipos de seguridad de la informacin a nivel internacional (por ejemplo, el FIRST y la Red Interamericana de Respuesta a Incidentes de Seguridad Ciberntica de la Organizacin de Estados Americanos).
3.2. RELACIN CON LAS ENTIDADES

El CSIRT entra a apoyar el Modelo de Seguridad de la Informacin definido para la Estrategia de Gobierno en Lnea y como tal, su relacin con las entidades corresponder a la definida en el Sistema Administrativo Nacional de Seguridad de la Informacin (ver documento Modelo Seguridad - SANSI SGSI.doc, numeral 3 Estructura Institucional). As mismo, en el captulo de definicin de los Procesos y Procedimientos, en el numeral 5, se detallar la relacin con las diferentes entidades.
Pgina 115 de 183
3.3. MISIN
El CSIRT es el rgano tcnico que lidera y coordina los procesos de aseguramiento de la informacin en el mbito Colombiano, para prevenir, detectar, proteger y reaccionar frente a amenazas, vulnerabilidades e incidentes de seguridad de la informacin, a usuarios en entidades pblicas y privadas, mediante apoyo tecnolgico, entrenamiento y generacin de una cultura e higiene para el manejo adecuado de la seguridad de la informacin.
3.4. VISIN
El CSIRT se consolidar como referente a nivel regional en temas de prevencin, deteccin, coordinacin y respuesta a incidentes de seguridad de la informacin buscando el mejoramiento continuo y coordinando el trabajo de grupos de apoyo nacionales e internacionales.
3.5. OBJETIVOS ESTRATGICOS

Perspectiva Objetivos Estratgicos Definicin Brindar apoyo a las entidades pblicas y privadas para la prevencin, rpida deteccin, identificacin, manejo, coordinacin y recuperacin frente a incidentes relacionados con la seguridad de la informacin, proporcionando servicios preventivos y reactivos frente a las amenazas y vulnerabilidades potenciales. Consolidar actuaciones que posicionen al CSIRT Colombia, de acuerdo con su objeto misional a nivel nacional, as como reforzar la nueva marca y la creacin de una cultura de Empresa a la sociedad en general, fundamentado en la credibilidad generada en la poblacin objetivo, por los resultados obtenidos. Ofrecer productos y servicios que garanticen la auto sostenibilidad de la organizacin. Hacer de manera correcta los procesos internos y hacer que estos se traduzcan en mejores resultados en la satisfaccin de clientes y estados financieros. Identificar, registrar y administrar el conocimiento esencial con el cual se dar un eficiente y eficaz cumplimiento a las ideas rectoras del CSIRT.
Brindar apoyo para optimizar la seguridad de la informacin en las entidades pblicas y privadas. SEGURIDAD DE LA INFORMACIN NACIONAL Consolidar la marca CSIRT Colombia, con base en la credibilidad de los usuarios.
FINANCIERA PROCESOS INTERNOS
Ser una entidad auto sostenible. Lograr la cultura, excelencia operacional y la competitividad.
APRENDIZAJE Y CRECIMIENTO
Gestionar el Conocimiento.
Pgina 116 de 183
Perspectiva
Objetivos Estratgicos
Tener el Mejor Talento Humano.
Definicin Contar con el mejor Talento Humano en tcnicas de seguridad de la informacin, personal profesional con certificaciones y/o especializaciones en seguridad de la informacin.
3.6. OBJETIVOS ESPECFICOS

Impulsar la cooperacin e interactuar con organismos nacionales e internacionales de similar naturaleza y propsito, con entidades pblicas, privadas, la academia y las instituciones policivas generando un espacio de trabajo conjunto frente a las amenazas e investigaciones y redes de apoyo temticas en materia de seguridad de la informacin. Proporcionar alertas tempranas frente a amenazas de la seguridad de la informacin que puedan desestabilizar la seguridad nacional relacionada con la informacin. Fomentar la investigacin y desarrollo de estrategias de seguridad de la informacin. Brindar una adecuada respuesta a incidentes de seguridad de la informacin, con un enfoque metodolgico. Fomentar una conciencia nacional de seguridad de la informacin. Proveer un servicio especializado de asesoramiento en seguridad de la informacin.
Por defecto, todos los usuarios de informacin en Colombia, tanto personas jurdicas como naturales, entidades pblicas o privadas, podrn ser apoyados por el CSIRT.
Pgina 117 de 183
4.
PORTAFOLIO DE SERVICIOS
Para el CSIRT, la adecuada seleccin de servicios se convierte en una decisin relevante para su definicin, fortalecimiento, sostenimiento y continuidad. A continuacin, se presenta una recopilacin de los principales tipos de servicios que podra llegar a ofrecer el CSIRT partiendo de la experiencia de otros CSIRT a nivel mundial. De manera general, los posibles servicios se agrupan as: Servicios Preventivos Comunicados Anlisis de riesgos Observatorio de tecnologa Planificacin de la continuidad del negocio y recuperacin tras un desastre Evaluaciones de la seguridad Auditoras de la seguridad Alertas y advertencias Configuracin y mantenimiento de la seguridad Desarrollo de herramientas de seguridad Difusin de informacin relacionada con la seguridad Servicios Reactivos Tratamiento de incidentes Anlisis de incidentes Recopilacin de pruebas forenses Seguimiento o rastreo Coordinacin de la respuesta a incidentes Apoyo a la respuesta a incidentes Coordinacin del Manejo de evidencias Respuesta a incidentes in situ Gestin de la Seguridad de la informacin Consultora de seguridad Publicaciones Sensibilizacin Prensa Educacin / Formacin Formacin Comunitaria Evaluacin y graduacin de Entidades Evaluacin y graduacin de Establecimientos. Alquiler de Software Alquiler equipos forenses Centro de interaccin multimedia. Estandarizacin pliegos de seguridad informtica para el sector gobierno.
Es importante anotar que a pesar que todos los servicios ofrecidos sern responsabilidad y experticia del CSIRT, su labor principal ser la de coordinacin de todas las acciones y entidades involucradas en el manejo de incidentes de la informacin a nivel nacional y el desarrollo de estas actividades ser objeto de tercerizacin, buscando el beneficio de las mejores experiencias y conocimientos a nivel nacional e internacional. En este sentido, ejercer las funciones de coordinador de otros CSIRT nacionales o internacionales, las entidades pblicas y privadas involucradas en los incidentes de seguridad de la informacin, los proveedores de servicios relacionados con la seguridad de la informacin, los proveedores de hardware y software y la academia. En particular con los entes policivos, su responsabilidad llegar hasta la entrega de los casos y sus insumos correspondientes para su posterior judicializacin. A continuacin, se detalla cada uno de los servicios que puede brindar con el apoyo de las entidades coordinadas.
Pgina 118 de 183
4.1. SERVICIOS PREVENTIVOS

Aquellos servicios que proveen asistencia y atencin para ayudar a preparar, proteger y asegurar un componente de sistema en anticipacin a futuros ataques, problemas o eventos. Llevar a cabo este tipo de servicios reducir directamente el nmero de incidentes en el futuro. Comunicados: Este servicio busca informar de manera proactiva a sus clientes, nuevas vulnerabilidades o herramientas de intrusin recientemente detectadas. Estos comunicados tales como: alertas de intrusos, advertencias de vulnerabilidad y avisos sobre seguridad, permiten proteger sistemas y redes de nuevos problemas antes de que stos se presenten. Anlisis de riesgos: Este servicio busca diagnosticar y evaluar los posibles riesgos sobre los activos crticos relacionados con la informacin, para mejorar as o determinar las estrategias de proteccin y respuesta. Observatorio de la tecnologa: Busca que a travs del anlisis al entorno de su injerencia, el CSIRT observe y haga seguimiento a nuevos desarrollos tcnicos, actividades de intrusos y tendencias en identificacin de futuras amenazas. Lo cual podr incluir las disposiciones jurdicas y legislativas, las amenazas sociales o polticas y las nuevas tecnologas. Todo lo anterior se deber desarrollar mediante diferentes actividades tales como: lectura de listas de correo de seguridad, sitios web de seguridad y noticias y artculos periodsticos de carcter cientfico, tecnolgico, poltico y pblico, con lo cual se lograr una buena retroalimentacin en informacin relacionada con la seguridad de los sistemas y las redes de los clientes. Adicionalmente y con el objeto de obtener y validar la informacin e interpretacin exacta, se debern buscar alianzas o conexiones con otros CSIRT o partes consideradas autoridades en este mbito. El producto de este servicio podr materializarse a travs de comunicados, directrices o unas recomendaciones centradas en las cuestiones de seguridad a medio o largo plazo. Planificacin de la continuidad de los negocios y la recuperacin tras un desastre: Teniendo en cuenta que cada vez sern ms los incidentes potenciales que provoquen una degradacin grave de las operaciones comerciales, se ofrece este servicio que permite aprovechar el conocimiento y experiencia del CSIRT, para la planificacin de la continuidad de negocio y la recuperacin tras un desastre en los eventos relacionados con los ataques y las amenazas a la seguridad de la informacin. Evaluaciones de la seguridad: Estudio y evaluacin de la infraestructura de seguridad de una organizacin, basados en los requisitos establecidos por sta o por otras normas nacionales o internacionales aplicables. Existen varios tipos entre las que se destacan: Revisin de las infraestructuras: Con el fin de asegurar las polticas de mejores prcticas y las configuraciones estndar de la organizacin o de la industria, se revisan manualmente todos los dispositivos informticos que intervengan o prevengan un incidente informtico, entre los que se destacan de manera general el hardware, software, enrutadores, cortafuegos, servidores, etc. Revisin de las mejores prcticas: Con el objeto de determinar si las prcticas de seguridad se adaptan a la poltica establecidas y definida por la organizacin u otras normas establecidas, se realizaran entrevistas con los empleados y con los administradores del sistema y de la red.
Pgina 119 de 183
Escaneo: Uso de detectores de vulnerabilidades o de virus para averiguar qu sistemas y redes son vulnerables. Pruebas de penetracin: Con esta evaluacin o auditoria se busca comprobar la seguridad de un sitio a travs de un ataque deliberado a sus sistemas y redes. Auditoras de la seguridad: Las auditoras de seguridad pueden ser tcnicas, que se centran en los riesgos existentes en los sistemas de informacin de la organizacin y en la calidad tcnica de las medidas de proteccin introducidas, y no tcnicas o procedimentales, que estudian el cumplimiento efectivo de la Poltica de Seguridad de la organizacin y de sus procedimientos. Alertas y advertencias: Servicio que difunde informacin, por medio de la cual se describe el ataque de un intruso, vulnerabilidades de seguridad, alertas de intrusos, virus informticos o hoaxes49, etc. Este a su vez recomienda, acciones a corto plazo para la atencin o solucin a problemas consecuentes. Configuracin y mantenimiento de herramientas, aplicaciones, infraestructuras y servicios de seguridad: Este servicio, tiene como objeto principal la identificacin y orientacin para configurar y mantener de un modo seguro las herramientas, las aplicaciones y la infraestructura informtica general que usan los clientes atendidos por el CSIRT. El alcance a este servicio ser cualquier cuestin o problema que surja con las configuraciones o con el uso de herramientas y aplicaciones que el CSIRT considere podra dejar a un sistema, vulnerable a un ataque. Dentro de este servicio, se podr actualizar la configuracin y realizar el mantenimiento de herramientas y servicios de seguridad, como los sistemas de deteccin de intrusos, el escaneo de la red o el control de los sistemas, filtros, cortafuegos, redes privadas virtuales (VPN) y mecanismos de autenticacin. Incluso se podr configurar los servidores, los ordenadores personales y porttiles, los asistentes digitales personales (PDA) y otros dispositivos inalmbricos de acuerdo con las polticas de seguridad, as como encargarse de su propio mantenimiento. Desarrollo de herramientas de seguridad: Este servicio ofrece desarrollar herramientas especficas para necesidades particulares o generales de sus clientes o propias del CSIRT. Como por ejemplo, desarrollo de actualizaciones correctivas de seguridad para el software utilizado por el grupo de clientes o la distribucin de software protegido que se pueda utilizar para reconstruir ordenadores comprometidos. As mismo se podr desarrollar herramientas o secuencias de comandos que amplen la funcionalidad de las herramientas de seguridad existentes, tales como un nuevo plug-in para una vulnerabilidad o escner de red, secuencias de comandos que faciliten el uso de la tecnologa de encripcin o mecanismos de distribucin automtica de actualizaciones correctivas. Difusin de informacin relacionada con la seguridad: Servicio que proporciona de manera fcil y completa, informacin til para mejorar la seguridad. Dicha informacin puede incluir: o Directrices de comunicacin e informacin de contacto del CSIRT
49
Mensajes de correo electrnico engaosos que se distribuyen en cadena.
Pgina 120 de 183
o o o
Ficheros de alertas, advertencias y otros comunicados Estadsticas y tendencias actuales de los incidentes de seguridad de la informacin. Recoleccin, anlisis y publicacin de estadsticas de seguridad de la informacin para Colombia por medio de redes de investigacin abiertas. Asesoramiento general sobre seguridad de la informacin Documentacin acerca de las mejores prcticas actuales Polticas, procedimientos y listas de comprobacin Desarrollo de actualizaciones correctivas y difusin de informacin Enlaces con proveedores Otras informaciones que puedan mejorar las prcticas generales de seguridad.
o o o o o o
Esta informacin podr proceder de fuentes externas tales como otros CSIRT, proveedores, y expertos en seguridad.
4.2. SERVICIOS REACTIVOS

Aquellos servicios que se provocan o se desencadenan por un evento o requerimiento. Este tipo de servicios, son un componente clave para un trabajo de atencin de incidentes. Tratamiento de incidentes: Servicio que abarca la recepcin, evaluacin, priorizacin y respuesta a peticiones y comunicaciones, as mismo al anlisis de incidentes y acontecimientos. Las actividades de respuestas pueden ser entre otras las siguientes: o Actuaciones para proteger sistemas y redes afectadas o amenazadas por la actividad de intrusos. Aportacin de soluciones y estrategias de mitigacin a partir de avisos o alertas. Reconstruccin de sistemas. Filtrado del trfico de la red. Bsqueda de actividad de intrusos en otras partes de la red.
o o o o
Pgina 121 de 183
o o
Correccin o reparacin de sistemas. Desarrollo de otras estrategias de respuesta o provisionales.
Anlisis de Incidentes: Este servicio busca definir el alcance del dao e incidentes causados, su naturaleza, as como tambin la estrategia definitiva o temporal de respuesta. Este anlisis es un examen general de la informacin disponible y de las pruebas o instancias relacionadas con un incidente o evento. Existen muchos niveles de anlisis de incidentes y numerosos subservicios, que dependen del servicio mismo, objetivos y procesos del CSIRT. A continuacin se detallan dos subservicios. o Recopilacin de pruebas forenses: Accin que incluye la recoleccin, la conservacin, la documentacin y anlisis de las pruebas procedentes de un sistema informtico comprometido, para determinar cambios en el sistema y ayudar a reconstruir los eventos que han desembocado en el compromiso. Las actividades de recopilacin de pruebas forenses incluyen, entre otras cosas, la realizacin de una copia bit a bit del disco duro de los sistemas afectados, la bsqueda de cambios en el sistema, tales como nuevos programas, archivos, servicios y usuarios, el examen de los procesos en ejecucin y los puertos abiertos, y la bsqueda de troyanos y juegos de herramientas. Es usual que las personas que tengan a cargo este tipo de responsabilidades, declaren como testigos periciales en actos judiciales. Seguimiento o rastreo: Busca rastrear los orgenes de un intruso o identificar sistemas a los que ste haya tenido acceso. Con este servicio adems de incluir la identificacin del intruso, se podr en los sistemas afectados y redes relacionadas, incluir el seguimiento al acceso del intruso.
Coordinacin de la respuesta a incidentes: Servicio que busca coordinar tareas de respuesta entre las partes implicadas en el incidente. Dentro de estos se incluye, la vctima del ataque, los sitios relacionados con el ataque y cualquier otro sitio necesario de asistencia para el anlisis del ataque. Este se hace extensivo inclusive, aquellas reas de soporte (IT) de la vctima, tales como proveedores de servicio de internet, administradores de sistema y la red, as como tambin a otros CSIRT. La recoleccin de informacin sobre contactos, la notificacin a los sitios de su implicacin potencial (como vctimas o como orgenes de un ataque), la recoleccin de datos estadsticos sobre el nmero de sitios implicados y tareas dirigidas a facilitar el intercambio y el anlisis de la informacin, as como el reporte del incidente a departamentos internos o externos, sern entre otras las tareas de coordinacin que pueden abarcar este servicio. Este no incluye una respuesta a los incidentes directa e in situ. Apoyo respuesta a incidentes: Servicio proporcionado a travs de orientacin remota, para que el personal in situ realice por si mismo las tareas de recuperacin. La funcin del CSIRT ser la de orientar y ayudar al grupo vctima del ataque, a recuperarse del incidente, pero lo har por medios telefnicos, correo electrnico fax o documentacin. Dentro del servicio se podr incluir, entre otros, la interpretacin de los datos recogidos, la entrega de informacin sobre contactos o la orientacin en cuanto a estrategias de mitigacin y recuperacin. Coordinacin del Manejo de evidencias: Con fines policivos, se coordina la labor de recopilacin y manejo de evidencias en casos de incidentes de la informacin, con el fin de garantizar el debido proceso en el manejo de evidencias digitales (Servicios Forenses).
Pgina 122 de 183
Respuesta a incidentes in situ: Asistencia directa, que busca ayudar a los clientes del grupo atendido a recuperarse de un incidente. El CSIRT se encargara de analizar fsicamente los sistemas afectados, repararlos y recuperarlos, en especial en aquellos casos que no exista un equipo local respondiendo al incidente. Para sospecha de incidente, el servicio incluye todas las actividades necesarias para su correccin o mitigacin.
4.3. GESTIN DE LA SEGURIDAD DE LA INFORMACIN

Son servicios establecidos y muy conocidos, diseados para mejorar la seguridad general de una organizacin. Estos servicios estn diseados para tener en cuenta los comentarios recibidos y las lecciones aprendidas basndose en los conocimientos adquiridos al responder a incidentes, vulnerabilidades y ataques. Lo anterior hace que se oferten productos que permitan a terceros ayudar a mejorar toda la seguridad de una organizacin, identificar riesgos, amenazas y debilidades del sistema. Son servicios generalmente no tcnicos pero preventivos en naturaleza, contribuyendo indirectamente a la reduccin en el nmero de incidentes. Consultora sobre seguridad: Este servicio busca asesorar y orientar, a los grupos de clientes atendidos en las mejores prcticas de seguridad. Por lo cual el CSIRT participar en las recomendaciones o identificacin de requisitos de compra, instalacin o proteccin de nuevos sistemas, aplicaciones de software, dispositivos de red entre otros. As mismo se ofrece asistencia y orientacin en la definicin de polticas de seguridad. Publicaciones: Se busca elaborar y distribuir folletos que expliquen de manera simple, las diferentes amenazas, acciones preventivas y correctivas para el tratamiento de riesgos informticos. Estas publicaciones podrn tener adjuntos Discos Compactos de libre uso domstico de herramientas de seguridad y de control parental50. Sensibilizacin: Buscando que los grupos de clientes atendidos y/o potenciales, desarrollen sus labores cotidianas de manera ms segura, as como tambin de mejorar el grado de entendimiento de las temticas relacionadas con seguridad, se ofrece un servicio que intenta reducir el nmero de ataques con xito y aumentar la probabilidad de que se detecten y comuniquen ataques. Lo anterior, por medio de la sensibilizacin de incidentes de seguridad de la informacin a travs de artculos y desarrollando psteres, boletines, sitios web u otros recursos informativos que explican las mejores prcticas en seguridad y consejos sobre las precauciones que conviene tomar. Durante este proceso de sensibilizacin tambin se incluye reuniones o seminarios de actualizacin. Prensa: Participar en emisiones peridicas en los principales medios nacionales, creando as un posicionamiento del CSIRT. Educacin / Formacin: Este servicio busca capacitar tanto a primer respondiente en las entidades, como a los grupos de clientes atendidos y/o potenciales, entre otros temas en la comunicacin de
Programas (software) que tienen la capacidad de bloquear, restringir o filtrar el acceso a determinada
50
informacin ofensiva para los nios o personas susceptibles.
Pgina 123 de 183
incidentes, mtodos de respuesta adecuados, herramientas de respuesta a incidentes, mtodos de prevencin de incidentes y otras temticas necesarias para protegerse de incidentes de seguridad de la informacin, detectarlos, comunicarlos y responder a ellos. El servicio podr ofrecerse a travs de seminarios, talleres, cursos y/o tutoriales. Incluso podr crearse diplomados especializados en seguridad. Teniendo en cuenta la importancia de la seguridad de la informacin dentro de cualquier organizacin, su amplio campo de accin laboral y el incremento a la demanda de personal capacitado, se pueden crear y ofrecer con colaboracin de la academia programas de capacitacin. Estos servicios se enfocarn y desarrollarn teniendo en cuenta las necesidades propias de cada uno de los sectores pblicos y privados, sin embargo este servicio ser cobrado nicamente al sector privado. Formacin Comunitaria: Este servicio podra enfocarse y ofrecerse a la sociedad en general y especficamente a la familia a travs de entidades estatales que lo promuevan. El objeto principal ser la de explicar de manera didctica en especial a los nios, los riesgos y reglas bsicas de la proteccin, en diferentes temas que afecten su vida cotidiana. Este servicio busca inculcar a edades tempranas una cultura de proteccin y mitigacin de cualquier tipo de riesgo, incluidos los informticos. Lo anterior podr ser ofrecido a travs de concursos, historietas, obras de teatro, juegos pedaggicos, etc. Graduacin y certificacin: El CSIRT valorar el grado al cual las entidades se nivelen dentro del Modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea: RSI Grado 1, Grado 2 y Grado 3, siendo el RSI Grado 1 el ms bsico y el RSI Grado 3 el ms avanzado. Lo anterior, se realizar inicialmente en las entidades a travs de una auto-evaluacin de diferentes criterios (ver documento Modelo Seguridad - SANSI SGSI.doc, captulo 6.11), para el cual, el CSIRT generar un registro del grado que ser otorgado a las entidades y establecimientos como sello de operacin y facilitar a los usuarios identificar que establecimientos son seguros para realizar sus trmites electrnicos. De la misma forma, el SANSI a travs del CSIRT podr facultar a terceros para que acten como empresas certificadoras basndose en sus competencias, conocimiento, caractersticas tcnicas, de infraestructura y know how en torno a la seguridad de la informacin, para que certifiquen de manera directa, a las entidades pblicas y privadas que cumplan con el Modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea. Lo anterior se realizar a travs de una marca de certificacin para el Modelo de Seguridad, la cual ser validada nacionalmente como un sello de seguridad en la informacin a las empresas premiadas, esto actuar como un incentivo para fomentar la participacin de las entidades en el Modelo de Seguridad y la ventaja competitiva entre entidades. A continuacin, se detallan los tipos de certificacin otorgadas por los terceros facultados: o Certificacin de entidades: Certificacin otorgada a las entidades pblicas y privadas que cumplan con los requerimientos plasmados en el Modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea, evidenciando el mejoramiento y evolucin de su sistema de gestin en seguridad de la informacin SGSI. Esta certificacin se otorga teniendo en cuenta los siguientes criterios: La certificacin es renovada anualmente. La certificacin provee un sello que puede ser usado tanto en la pgina web de la Entidad como en las firmas de sus empleados.
Pgina 124 de 183
La certificacin no es renovada cuando la Entidad no evidencie el mejoramiento de su sistema de gestin en seguridad de la informacin SGSI o cuando una auditora encuentre no conformidades mayores con el Modelo. o Certificacin de establecimientos: Otorgada a los establecimientos que pertenezcan a la cadena de prestacin de servicios para la Estrategia de Gobierno en Lnea (ISP, Telecentros, Compartel, centros de acceso comunitario, cafs Internet, entre otros), que cumplan con los requerimientos plasmados en el Modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea, evidenciando la implementacin de sus controles y recomendaciones. Estas certificaciones se otorgan con los siguientes periodos de renovacin para los establecimientos: Certificacin renovada anualmente para los ISP. Certificacin renovada bi-anualmente para los Telecentros, Compartels y centros de acceso comunitario. Certificacin renovada tri-anualmente para los cafs internet / otros. Alquiler de Software: Este servicio permite que el CSIRT, tenga la posibilidad de cobrar el uso de sus licencias de software de seguridad de la informacin (por internet), a travs del pago de una cuota peridica. Entre las ventajas para el cliente, estn entre otras dedicar el dinero que destinara a las licencias y al proyecto, a su actividad principal, ahorro de costos, reducir el riesgo de obsolescencia del software, libertad de continuidad en caso de que el software no cumpla con las expectativas, etc. Alquiler de Equipo Forense: Permite al CSIRT la generacin de ingresos provenientes de la plataforma instalada y su ptimo aprovechamiento. Centro de interaccin multimedia: Lnea de atencin a nivel de seguridad, que tendr como funcin, facilitar la comunicacin entre el CSIRT y los clientes a travs de cualquier medio interactivo (Ej, internet, chat, telfono, SMS, etc), permitiendo que estos ltimos contacten o sean contactados para solucin de problemas e inquietudes de seguridad de la informacin. Este servicio ser fuente de informacin que podr materializarse en estadsticas y diseo de nuevos servicios. Estandarizacin de pliegos de seguridad de la informacin del sector gobierno: Con el objeto de apoyar la contratacin pblica, y dar un acompaamiento a las interventoras de seguridad de la informacin, el CSIRT con su experiencia normalizara parmetros que permitan a las entidades del Gobierno, de acuerdo con sus necesidades de seguridad de la informacin, realizar contrataciones pblicas con estndares mnimos exigibles para cada caso.
4.4. CARACTERSTICAS DE LOS SERVICIOS

Todos los servicios propuestos sern responsabilidad del CSIRT, sin embargo algunos de ellos tendrn la posibilidad de ser ofrecidos por firmas externas (terceros) que tengan la competencia necesaria, para soportar las actividades del CSIRT. Todas las compaas pblicas y privadas que usen servicios del CSIRT, debern estar matriculados por medio de una membreca peridica pagada, la cual le otorga el uso de
Pgina 125 de 183
algunos de esos servicios que se incluyen en el valor de la membreca. Existen otros servicios que se excluyen de esta membreca y debern ser pagados de manera independiente, as como algunos servicios que se ofrecen gratuitamente. A continuacin se resumen los servicios de acuerdo con lo anterior.
Del total de servicios ofrecidos, solo el 32% sern ejecutados directamente por el CSIRT, el 68% restante sern responsabilidad de este mismo, pero ejecutados por Terceros. As mismo el 94% de los servicios ofrecido, traer para este ente tcnico retribuciones de tipo econmico.
4.4.1. SERVICIOS PREVENTIVOS

Servicios Preventivos
Comunicados Anlisis de riesgos Observatorio de tecnologa Continuidad del negocio y recuperacin tras un desastre Evaluaciones de seguridad Auditoras de la seguridad Alertas y advertencias Configuracin y mantenimiento de la seguridad Desarrollo de herramientas de seguridad Difusin de informacin relacionada con la seguridad
Tipo de Oferta
Directa Tercerizada Directa Tercerizada Tercerizada Tercerizada Tercerizada Tercerizada Tercerizada Directa
Tarifa
Incluida en la Membresa Costo Incluida en la Membresa Incluida en la Membresa Costo Costo Incluida en la Membresa Costo Costo Incluida en la Membresa
4.4.2. SERVICIOS REACTIVOS

Servicios Reactivos
Tratamiento de incidentes Anlisis de incidentes Recopilacin de pruebas forenses Seguimiento o rastreo Coordinacin de la respuesta a incidentes Apoyo a la respuesta a incidentes Coordinacin del Manejo de evidencias
Tipo de Oferta
Tercerizada Tercerizada Tercerizada Tercerizada Directa Directa Directa
Tarifa
Incluida en la Membresa Incluida en la Membresa Incluida en la Membresa Incluida en la Membresa Incluida en la Membresa Incluida en la Membresa Incluida en la Membresa
Pgina 126 de 183
Servicios Reactivos
Respuesta a incidentes in situ
Tipo de Oferta
Tercerizada
Tarifa
Incluida en la Membresa
4.4.3. GESTIN DE LA CALIDAD DE LA SEGURIDAD

Gestin de la Calidad de la Seguridad
Consultora en seguridad Publicaciones Sensibilizacin Prensa Educacin / Formacin sector publico Educacin / Formacin sector privado Formacin Comunitaria Graduacin a terceros para entidades Directa Graduacin a terceros para productos Alquiler Software Alquiler equipos forenses Centro de interaccin multimedia Estandarizacin pliegos de seguridad de la informacin Directa Tercerizada Tercerizada Tercerizada Directa
Tipo de Oferta
Tercerizada Directa Tercerizada Directa Tercerizada Tercerizada Tercerizada
Tarifa
Costo Gratis para toda la comunidad Costo Gratis para toda la comunidad Incluida en la Membresa Costo Costo Costo para los grados 2 y 3, subsididado para grado 1. Costo Costo Costo Incluida en la Membresa Incluida en la Membresa
Pgina 127 de 183
5.
5.1. DELIMITACIN SISTMICA
PROCESOS Y PROCEDIMIENTOS
Para entender una organizacin en trminos de procesos es fundamental delimitar con precisin los bordes de la institucin creada o a crear, identificando los procesos y los diferentes actores o agentes que definen el quehacer de la entidad. En la grfica siguiente se muestra dicha delimitacin, partiendo del nemnico TASCOI que permite precisar seis elementos necesarios para esta tarea: Transformacin (Misin de la entidad), Actores (Quienes participan directamente en la transformacin que adelanta la entidad), Suministradores (Proveedores), Clientes (Beneficiarios o usuarios), Organizadores (Quien dirige y orienta el curso de la entidad) e Intervinientes (Aunque no hacen parte de la entidad regulan su propsito). Espejo et al., 1996).
Ilustracin 4: Delimitacin Sistemtica de la Entidad
Pgina 128 de 183
Esta grafica ilustra de manera general el comportamiento de la entidad en trminos de su proceso de transformacin y quienes intervienen en l, permitiendo abordar con ms precisin el anlisis de procesos a continuacin.
5.2. PROCESOS
Con este captulo se pretende evitar la fragmentacin funcional y promover la integracin de actividades en una estructura organizacional por procesos, que permita identificar las relaciones de estos (interaccin) y su secuencia lgica para maximizar el valor a ofertar al usuario final del producto institucional, para el efecto se ha partido de identificar un modelo tecnolgico de procesos y un modelo de segmentacin por servicios, despus de esto se cruzan los dos modelos y se despliegan los procesos para al final caracterizar los mismos. El Modelo Tecnolgico o Mapa de Procesos permite identificar 4 niveles de procesos, estratgicos, misionales, evaluacin y de apoyo, permitiendo visualizar de manera grafica el comportamiento de los mismos y un primer acercamiento a las necesidades de herramientas tecnolgicas de informacin para apoyarlos. Es el mapa de procesos de la entidad.
Ilustracin 5: Modelo Tecnolgico del CSIRT El Modelo de Segmentacin permite un acercamiento de manera general a los servicios que puede prestar la nueva institucin, de tal forma que pueda ir previendo la estructura funcional, los cargos y competencias requeridas para operar.
Pgina 129 de 183
Ilustracin 6: Modelo de Segmentacin del CSIRT En seguida se cruzan los dos modelos y esto permite establecer de qu manera se despliegan los procesos en la entidad, base para poder iniciar el proceso de caracterizacin, es decir, de identificacin de los rasgos diferenciadores de cada proceso:
Pgina 130 de 183
Ilustracin 7: Despliegue de Procesos
Pgina 131 de 183
Con esta informacin se define el catlogo final de procesos y se inicia la caracterizacin de los mismos, disponible en el documento ANEXO A CARACTERIZACIN DE PROCESOS Y PROCEDIMIENTOS.
Ilustracin 8: Catlogo de Procesos
5.3. PROCEDIMIENTOS
Los procedimientos no son otra cosa que la forma especificada de llevar a cabo los procesos, en otras palabras, el como se adelanta de manera operativa la tarea. As las cosas y basados en el esquema del numeral anterior, se ha definido el siguiente catalogo de procedimientos:
Ilustracin 9: Catlogo de Procedimientos
Pgina 132 de 183
El catalogo se desarrolla PROCEDIMIENTOS.
en
documento
ANEXO
CARACTERIZACIN
DE
PROCESOS
Pgina 133 de 183
6.
ANLISIS DEL MERCADO
En este anlisis se busca identificar las influencias externas generadas por tres diferentes niveles del entorno empresarial, que afectan directa o indirectamente al CSIRT. Todo el anlisis en su conjunto permitir a los directivos de esta nueva Entidad, entender que factores pueden influir en el xito o fracasos de las estrategias a implementar.
Ilustracin 10: de Anlisis del Mercado El anlisis propuesto, resulta efectivo en la medida que se haga una peridica retroalimentacin a cada uno de los niveles, ya que el entorno empresarial tiene como caractersticas, su amplia diversidad, complejidad y alto velocidad de cambio. A continuacin se describe brevemente cada uno de los tres niveles y su metodologa de anlisis.
Pgina 134 de 183
6.1. MACRO ENTORNO

Detalla los factores generales del entorno que afectan en mayor o menor medida al CSIRT. El marco PEST permite identificar como pueden afectar a la organizacin las tendencias polticas, econmicas, sociales, tecnolgicas.
Ilustracin 11: Marco Poltico, Econmico, Social y Tecnolgico del CSIRT Dentro de este abanico de factores externos, se resalta el tema regulatorio, las tendencias informacionales a nivel mundial y el compromiso del Gobierno por garantizar la seguridad nacional y all la seguridad de la seguridad de la informacin en Colombia.
6.2. INDUSTRIAS Y SECTORES

Grupo de empresas que prestan similares o iguales servicios, que son sustitutos cercanos a los ofertados por el nuevo CSIRT. El modelos de las cinco fuerzas de Porter resulta til para comprender los cambios de
Pgina 135 de 183
la dinmica competitiva dentro y fuera del sector de seguridad de TIC. A continuacin se detalla su anlisis.
Ilustracin 12: Anlisis de Competitividad de Porter Por su naturaleza es una industria con bastante competencia, en la cual se ofertan varios tipos de servicios y productos focalizados en la seguridad de la informacin, los usuarios tienen un buen poder de negociacin, ya que adems de tener acceso a informacin, poseen una variedad de posibilidades que les permiten hacer procesos de seleccin variados y ajustados a cada unas de sus realidades informticas. Por lo cual no existe una dependencia a los proveedores de estos servicios o productos, sino ms bien infinidad de los mismos, los cuales podrn ser sustituidos en su gran mayora. Es importante resaltar que existen barreras de entradas, para empresas que busquen incurrir en negocios de seguridad TICs, tales como los grandes capitales de inversin en el desarrollo y oferta de servicios y productos, as como tambin una insipiente regulacin en trminos de seguridad de la informacin los cuales se espera se concreten en el mediano plazo. No se evidencia en el pas, casos generales a nivel nacional (solo algunos casos, especialmente en universidades), en la que tanto empresas pblicas como privadas presenten una oferta variada de servicios integrados, dirigidos a cubrir servicios de seguridad de la informacin, a nivel departamental o nacional.
Pgina 136 de 183
6.3. ALIADOS ESTRATGICOS Y MERCADOS

Dentro de este sector existen varias organizaciones con distintas caractersticas, participando del mercado sobre bases diferentes. El principal objetivo ser el de identificar este tipo de proveedores directos e indirectos, con el fin de crear alianzas estratgicas que permitan el cumplimiento de los objetivos misionales del nuevo CSIRT. Es importante considerar iniciativas y actuales modelos de seguridad de la informacin, como aliados estratgicos en el propsito mismo del nuevo CSIRT, el cual est enfocado principalmente a la coordinacin de incidentes computacionales a travs de proveedores que faciliten esta gran responsabilidad. Lo anterior abarcar de igual forma alianzas con proveedores de servicios informticos, de software y hardware, la academia, sectores pblicos y privados as como gremios, que se ajusten a los objetivos institucionales de esta Entidad y al portafolio de servicio y productos, que se busca ofertar. Los conceptos analizados en los tres anteriores niveles ayudan a comprender los factores macroeconmicos, de la industria y el mercado del CSIRT. Sin embargo, lo verdaderamente importante son las implicaciones que se derivan de esta comprensin general para las decisiones y elecciones estratgicas. Por lo cual se hace necesario comprender a detalle cmo puede influir este conjunto de factores sobre el xito o fracaso estratgico. Para lo anterior se realiza un anlisis DOFA.
Pgina 137 de 183
Ilustracin 13: Matriz DOFA De los diferentes anlisis hechos, se puede concluir de manera general, que la competencia de servicios y productos que cubren necesidades de seguridad de la informacin es alta, as mismo se observa que no hay una masa crtica de competidores directos, que integren un conjunto de servicios es pos de la seguridad de la informacin. Lo anterior y para el caso particular del nuevo CSIRT, ser ms una oportunidad para poder ofertar la mejor y mayor variedad de servicios en este campo, para lo cual se vislumbran posibles oportunidades de demanda y crecimiento econmico dentro del pas, as como en la regin.
Pgina 138 de 183
7.
INDICADORES Y METAS
La propuesta planteada a travs de este documento no podr quedarse solo en planes, sino que deber ser implementada y sus resultados debern evaluarse y medirse. Por lo cual ser responsabilidad de este nuevo CSIRT, la implementacin y control estratgico de su accionar. Como mecanismo de control y seguimiento, se propone un modelo integral de gestin, basado en la filosofa Balanced Scorecard (BSC) o Cuadro de Mando Integral51, con lo cual se busca que el nuevo CSIRT, sea una organizacin enfocada en su estrategia. Este alineamiento estratgico se divide en planeacin, difusin, revisin y ajuste, con lo que se busca entre otros lo siguiente: Movilizar el cambio a travs del liderazgo ejecutivo, Traducir la estrategia en trminos operativos: Definir los mapas estratgicos, los objetivos, indicadores y metas, Alinear la organizacin con una nica estrategia, Hacer de la estrategia un trabajo de todos: Proporcionar formacin, comunicacin, definicin de metas, compensacin por incentivos y capacitacin del personal, Hacer de la estrategia un proceso continuo: integrar la estrategia en la planificacin, el presupuesto, la generacin de informes y las revisiones de gestin,
51
KAPLAN, Robert, NORTON, David. Cuadro de Mando Integral.
Pgina 139 de 183
Ilustracin 14: Modelo de Gestin52 Este conjunto de elementos ayudar como instrumento de planificacin, informacin y control simultaneo de las diversas partes de esta organizacin, al mismo tiempo que: Proveer una clara definicin de lo que el nuevo CSIRT debe medir, Alinear los elementos ya estructurados en la fase de formulacin estratgica, Establecer indicadores cuantitativos en cada una de sus perspectivas, Mantendr las mtricas financieras tradicionales e introducir nuevos componentes como gua para los nuevos elementos de gestin empresarial, Traducir las directrices del nuevo CSIRT en un conjunto equilibrado de indicadores de desempeo, Comunicar los objetivos estratgicos a travs de toda la organizacin, Alinear las iniciativas individuales y organizacionales, SERNA GOMEZ, Humberto. ndices de Gestin.

52
Pgina 140 de 183
Mejorar el aprendizaje y la retroalimentacin estratgica del CSIRT.
Esta herramienta tiene un conjunto de componentes que es importante conocer y definir. El Cuadro de Mando propuesto se divide en cuatro perspectivas, que representan de manera general las reas ms relevantes del nuevo CSIRT. Es importante tener en cuenta en el diseo detallado se definir de manera tctica y operativa a travs de toda la gestin de la entidad.
Ilustracin 15: Alineacin de la Visin y la Estrategia Perspectiva Seguridad de la informacin Nacional: Esta perspectiva es la razn de ser del CSIRT, buscando minimizar el impacto de fallos informticos con base en la prevencin y proteccin frente a amenazas, vulnerabilidades e incidentes computacionales a usuarios de la tecnologa de informacin, logrando una permanente incorporacin y retencin de clientes, con base en su satisfaccin, garantizndoles el soporte efectivo y eficiente. Perspectiva Financiera: Garantizar la auto sostenibilidad de la operacin del CSIRT, generando rentabilidad a sus accionistas. Perspectiva Interna: Lograr un excelente desempeo ante el cliente que se deriva de procesos, decisiones y acciones basadas en las mejores prcticas mundiales en seguridad de la informacin. As como tambin crear e inculcar una cultura propia para el eficiente y efectivo desarrollo de las actividades de esta nueva organizacin.
Pgina 141 de 183
Perspectiva de Aprendizaje y Crecimiento: A partir del mejor talento humano y el permanente desarrollo de las personas, el CSIRT estar en capacidad de crear conocimiento en torno a la seguridad de la informacin, aprender de su propio actuar, lanzar nuevos productos y servicios, crear ms valor para los clientes y mejorar la eficiencia operativa continuamente. El aprendizaje organizacional se convierte en una ventaja competitiva y se integra al mejoramiento continuo de esta nueva organizacin.
Estas cuatro perspectivas debern interrelacionarse, por medio de algunos orientadores estratgicos, tales como: posicionamiento, calidad, servicio al cliente, motivacin y cultura. Y sern la base y propsito de la gestin gerencial del CSIRT. A continuacin se detallan a nivel estratgico, los principales objetivos por cada una de las perspectivas, con su respectivo indicador y meta, as como su interaccin con los orientadores estratgicos, a travs del esquema de un mapa estratgico.
Ilustracin 16: Mapa Estratgico
Pgina 142 de 183
Ilustracin 17: Perspectivas y Orientadores Estratgicos
7.1. PERSPECTIVA SEGURIDAD DE LA INFORMACIN NACIONAL

Cobertura del CSIRT en entidades a nivel nacional: Con este indicador se pretende medir el apoyo brindado en seguridad de la informacin al mayor nmero de entidades a nivel nacional, de manera peridica no menor a 1 ao. Se separa en entidades pblicas y en entidades privadas. Cobertura del CSIRT en departamentos a nivel nacional: Este indicador busca definir porcentualmente el nmero de departamentos al que se espera llegar con el alcance del CSIRT, de manera peridica no menor a 1 ao. Porcentaje de de incidencia de seguridad declaradas con impacto negativo. Este indicador busca definir porcentualmente para los diferentes grupos de clientes, de manera peridica no mayor a 3 meses, el total de incidencias ocurridas a nivel nacional, las cuales se discriminen por incidencias ocurridas, incidencias prevenidas y incidencias de impacto. Entre las incidencias a definir se podr incluir: la denegacin de servicios, troyanos, recepcin de correo no deseado, virus informtico, software espa o
Pgina 143 de 183
spyware, instrucciones remotas de ordenadores, intrusiones en su correo electrnico, intrusiones en otras cuentas de servicio web, bombas lgicas, robos de informacin, fraudes, robo de ancho de banda, etc. Posicionamiento (Top of Mind): Este indicador busca entender la dinmica de la marca CSIRT en Colombia, se recomienda hacerse de manera peridica no menor a un ao. Con este indicador la compaa podr darse cuenta a travs del mercado objetivo, si existe o se tiene un bajo o alto grado de recordacin de la marca CSIRT. Este ndice es una relacin entre el numero de menciones de marca sobre el total de entrevistados. ndice de Satisfaccin de Usuarios: Mediante encuestas, se pretende determinar la satisfaccin de los usuarios basada en la calidad percibida como medicin de una satisfaccin general, el cumplimiento de expectativas y la cercana a la compaa perfecta acorde con el estndar internacional del ndice Americano de Satisfaccin de Clientes (ACSI American Customer Satisfaction Index)53
7.2. PERSPECTIVA FINANCIERA

Gasto versus Punto de Equilibrio: El nuevo CSIRT deber verificar en el volumen de venta que, luego de deducidos los costos variables, queda un excedente suficiente para cubrir los costos fijos. Este punto umbral de rentabilidad ser el punto en el que el CSIRT ingresa a una zona de ganancias, mientras que por debajo, no cubrir sus costos. Por esta razn el CSIRT debe operar a un nivel superior al punto de equilibrio para poder reponer sus equipos, distribuir sus dividendos y tomar providencias para su expansin. Este indicador se recomienda sea teniendo en cuenta slo para un periodo de tiempo definido por la propia organizacin (no mayor a un ao), este despus deber ser remplazado por uno que mida y exija beneficios monetarios ascendentes. Este indicador busca medir la auto sostenibilidad financiera y de crecimiento del CSIRT para que pueda ofrecer servicios sostenibles a los diferentes mercados objetivos. Se deber observar en este una tendencia de crecimiento y diversificacin sana y sostenida de la oferta de servicios, con una muy buena calidad de cartera y adecuados niveles de eficiencia y rentabilidad. As mismo este, busca medir como mnimo en un periodo inferior a 6 meses. Se medir como mnimo, con base en el cubrimiento de los costos fijos del negocio (punto de equilibrio), teniendo en cuenta el margen bruto de rentabilidad.
7.3. PERSPECTIVA PROCESOS INTERNOS

Promedio de la Evaluacin de 360 grados: La Evaluacin de 360 grados o evaluacin integral es una herramienta que permite medir el desempeo de los funcionarios y sus competencias, y de esta forma disear programas de desarrollo para individuales y colectivos. La evaluacin de 360 grados pretende dar a los empleados una perspectiva de su desempeo desde el punto de vista de sus jefes, sus compaeros, subordinados, clientes internos, etc. El propsito de aplicar esta evaluacin es brindar al funcionario la retroalimentacin necesaria para mejorar su desempeo, su comportamiento o ambos y dar a la direccin la informacin necesaria para tomar decisiones oportunas. Se recomienda aplicarse semestralmente.
53
The American Customer Satisfaction Index (ACSI). http://www.theacsi.org/
Pgina 144 de 183
Certificaciones obtenidas: Este indicador busca garantizar la calidad de los procesos del CSIRT. El trmino se refiere a una serie de normas universales basadas inicialmente en la norma NTGCP 1000 y la norma ISO 27000. Una certificacin indica a los clientes que el CSIRT ha implementado un sistema para garantizar que cualquier producto o servicio que ofrezca cumplir constantemente con las normas internacionales de calidad.
7.4. PERSPECTIVA APRENDIZAJE Y CRECIMIENTO

La principal funcin de la gestin del conocimiento es que el CSIRT no deba pasar dos veces por un mismo proceso para resolver de nuevo el mismo problema, sino que ya disponga de mecanismos para abordarlo utilizando informacin guardada sobre situaciones previas. Este indicador busca transformar el conocimiento tcito en conocimiento explcito, se recomienda se logre alcanzar este objetivo en no menos a seis meses. Para este fin pueden emplearse nuevas herramientas, como las bases de datos o las intranets, u otras ms clsicas (revistas, manuales y bibliotecas), que en su conjunto forman la denominada "memoria organizacional" que permite organizar el conocimiento explicitado. Existen diferentes tcnicas para representar y gestionar el conocimiento, codificado desde reas diferentes: La inteligencia artificial, los sistemas de gestin de bases de datos, como text mining, la ingeniera del software, y otras tcnicas empleadas desde la perspectiva del estudio de los sistemas de informacin. Esta tendencia se denomina orientacin al conocimiento, y es la que el CSIRT deber tener como objetivo en el desarrollo al propsito de crear un sistema de gestin documental. La Gestin del Conocimiento contribuye a: o Mejorar la rapidez de respuesta en un entorno, tanto interno como externo, en continua evolucin Tiempo promedio de atencin de incidentes) Mejorar la calidad de los productos o servicios desarrollados por la propia entidad y reducir los errores en el proceso productivo (Nmero de errores en el proceso productivo). Publicacin y difusin de conocimiento concerniente al tema de seguridad de la informacin (Nmero de Investigaciones publicadas al ao) Proteccin y registro de Derechos de Propiedad Intelectual.
Porcentaje de funcionarios directivos y tcnicos certificados en CISSP o CISM: El Talento Humano ser el elemento de mayor participacin dentro del nuevo CSIRT, siendo sta la base para crear valor agregado intangible que le permita sobresalir en un mercado competitivo y exigente. Debido a lo anterior ser importante el proceso de seleccin de cada uno de los empleados, en el que se debern contemplar las aptitudes, conocimiento y habilidades tcnicas / gerenciales definidas a travs de este documento. El objetivo ser el de cumplir con el mayor numero de requerimientos establecidos para cada cargo y del mismo modo desarrollarlos o capacitarlos en el total de los mismos. Algunas de las certificaciones para los perfiles de trabajo en el CSIRT son:
Pgina 145 de 183
o o o o o
CISSP54: Dominio de conocimiento en tecnologa y gerencia en Seguridad de la Informacin. CISM55: Conocimiento en gerencia de Seguridad de la Informacin. ABCP o CBCP56: Conocimiento en planes y gestin de la continuidad del negocio. CISA57: Experiencia en auditora de sistemas. ISO 27001 Lead Auditor: Conocimiento en auditora de sistemas de gestin en seguridad de la informacin SGSI.
7.5. RESUMEN DE LOS INDICADORES

OBJETIVOS ESTRATGICOS METAS INDICADOR Ao 1 Cobertura del CSIRT en entidades pblicas del orden nacional (grados 2 y 3) Brindar apoyo para optimizar la seguridad de la informacin en las entidades pblicas y privadas. Cobertura del CSIRT en entidades privadas a nivel nacional Cobertura del CSIRT en departamentos a nivel nacional Porcentaje de incidencia de seguridad declaradas con impacto negativo Ao 2 UNIVERSO
PERSPECTIVA
SEGURIDAD DE LA INFORMACIN NACIONAL
50
100
182
50
100
21.210
15
32
30%
10%
Total de incidentes reportados al CSIRT
54
www.isc2.org www.isaca.org www.drii.org www.isaca.org
55
56
57
Pgina 146 de 183
PERSPECTIVA
OBJETIVOS ESTRATGICOS
METAS INDICADOR Ao 1 Posicionamiento (Top of Mind) Ao 2 Total de Encuestas realizadas Total de Encuestas realizadas Total gastos Evaluaciones 360 grados al total de funcionarios Total de certificaciones de calidad aplicables al CSIRT Total de incidentes atendidos Total de errores registrados y total de incidentes atendidos Total de investigaciones publicadas por el CSIRT Total de patentes registradas por el CSIRT Total de funcionarios directivos y tcnicos UNIVERSO
Consolidar la marca CSIRT Colombia, con base en la credibilidad de los usuarios. Ser una entidad auto sostenible.
>80%
>80%
ndice de Satisfaccin de Usuarios Gasto versus Punto de Equilibrio (P.E.) Promedio de la Evaluacin de 360 grados
>65%
>75%
FINANCIERA
Gastos <= P.E.
Gastos <= P.E.
80%
85%
PROCESOS INTERNOS
Lograr la cultura y excelencia operacional. Certificaciones obtenidas NTGCP 1000
NTGCP 1000, ISO 27000
Tiempo promedio de atencin de incidentes
4 horas
1 horas
Nmero de errores en el proceso productivo Gestionar el conocimiento. APRENDIZAJE Y CRECIMIENTO Nmero de Investigaciones publicadas al ao
3 errores por cada 10 incidencias atendidas
1 error por cada 10 incidencias atendidas
10
Nmero de patentes registradas al ao
Tener el mejor Talento Humano.
Porcentaje de funcionarios directivos y tcnicos certificados en CISSP o CISM
> 60%
> 80%
Pgina 147 de 183
7.6. CONSIDERACIONES GENERALES

Una vez descrita la formulacin a nivel estratgico del posible sistema integrado de medicin, a travs del Cuadro de Mando Integral, finalmente es importante tener en cuenta para el diseo e implementacin, los siguientes puntos: El marco previo de referencia al proceso de planeacin estratgica, antes de la ejecucin de los planes y control de la gestin, ser la formulacin del concepto estratgico, formulacin del plan estratgico basado en la estrategia y la formulacin de los planes tcticos y operacionales. El presupuesto, el Talento Humano, la tecnologa y el negocio deben alinearse con la estrategia, El CSIRT deber crear un contexto positivo para la medicin, El enfoque de la medicin ser la creacin de valor, La medicin deber ser integral (horizontal y vertical), La recoleccin de informacin y experiencias debern ser transformadas en estrategias, La medicin y control deber ser parte de la cultura organizacional, Clarificar las condiciones que crearan valor para el cliente, Definir los procesos que transformaran los activos intangibles a resultados financieros y del cliente, Definir los activos intangibles que deben ser alineados e integrados para facilitar la creacin de valor, Los componentes del Sistema Integrado de Medicin son el direccionamiento estratgico y las perspectivas, Los indicadores se debern definir en diferentes niveles organizacionales: Estratgicos (Monitorean y miden fundamentalmente el desempeo de los macro procesos), tcticos (Monitorean y miden los procesos), operativos (Monitorean y miden las actividades) y de frontera o compartidos (Monitorean y miden el desempeo de los procesos donde existe responsabilidad compartida), Los indicadores debern tener necesariamente una relacin causa efecto, El mapa estratgico har explicita y comunicable a cualquier nivel la estrategia, La ejecucin a este modelo debe ser el elemento central de la cultura de una organizacin,
Pgina 148 de 183
Comunicacin, Implantacin y Sistematizacin: Incluye divulgacin, automatizacin, agenda gerencial con el Cuadro de Mando Integral, planes de accin para detalles, plan de alineacin de iniciativas y objetivos estratgicos, plan de despliegue a toda la empresa.
Con todo lo anterior se propone y plantea que a partir de los diferentes lineamientos dados en este documento, se disee e implemente esta iniciativa estratgica, la cual permitir al nuevo CSIRT monitorear y evaluar su desempeo de una manera integral frente a sus objetivos estratgicos.
Pgina 149 de 183
8.
ESTRUCTURA ORGANIZACIONAL
De acuerdo con el Software Engineering Institute en su documento Organizational Models for Computer 58 Security Incident Response Teams (CSIRTs) , existen criterios definidos para tres tipos de estructuras organizacionales para un CSIRT, con lo cual se proceder a determinar cuales de estas, se ajustan a la realidad de la estrategia de Gobierno en Lnea. Estos grupos son: Equipos de Seguridad CSIRT Coordinado CSIRT Interno
Teniendo en cuenta el modelo de Seguridad de la Informacin definido para el programa Gobierno en Lnea, el CSIRT propuesto ser un ente tcnico que funcione como un ente coordinador, que faculte a terceros en el desarrollo y prestacin de los servicios, de este modelo se destaca: Su equipo coordina el esfuerzo de respuesta de incidentes e intercambio de informacin a travs de muchos CSIRT, equipos de seguridad, terceros u otras organizaciones externas. Su equipo no pertenece a la misma organizacin de su jurisdiccin. El CSIRT, ser el responsable de la prestacin de servicios ofrecidos por terceros.
Su principal servicio es coordinar intercambio de informacin y facilitar la discusin de incidentes.
58
Tomado de: http://www.rediris.es/cert/links/csirt.es.html. Fecha de acceso: 2008/10/10. Publicado por
Carnegie Mellon University - Software Engineering Institute. Autores: Georgia Killcrece, Klaus-Peter Kossakowski, Robin Ruefle, Mark Zajicek.
Pgina 150 de 183
8.1. ORGANIGRAMA
Ilustracin 18: Estructura Organizacional Propuesta A continuacin se describen cada uno de los principales objetivos de las direcciones que conforman el CSIRT, y sus principales responsabilidades generales.
8.1.1. ASESOR JURDICO

La Asesora Jurdica tiene por objetivo asesorar a la Direccin General, en todo lo relacionado con temas legales de competencia del CSIRT, relacionados tanto a nivel administrativo y comercial como a nivel de la consultora, prestacin de servicios y temas forenses de seguridad de la informacin.
8.1.2. DIRECCIN TCNICA

8.1.2.1. Grupo de Incidentes
Grupo que busca proveer a las empresas facultadas o tercerizadas por el CSIRT (en la prestacin de los diferentes servicios), la coordinacin, asistencia y atencin, para ayudar a preparar, proteger y asegurar componentes de sistemas de clientes objetivos, en anticipacin a futuros ataques, problemas o eventos derivados de la seguridad de la informacin. Hacer seguimiento de los principales indicadores y polticas relacionadas con la seguridad de la informacin en el mbito nacional e internacional.
Pgina 151 de 183
Crear una base de conocimiento que permita el anlisis y evaluacin de la seguridad de la informacin. Definir, planificar y fomentar las responsabilidades y respuestas primarias, de carcter operacional, para el control de cualquier tipo de emergencia de seguridad de informacin. Promover y velar para que mtodos probados internacionalmente, para el control de las emergencias hechas por terceros, se apliquen eficiente y eficazmente. Definir y fomentar equipos de trabajo que puedan utilizar las tcnicas elementales de accin ante emergencias. Definir tcnicas o herramientas que permitan rastrear los orgenes de un incidente o identificar sistemas a los se haya tenido acceso no autorizado. Definir y fomentar la integracin de equipos de trabajo tcnico, con roles perfectamente definidos ante una emergencia. Asistir en la recuperacin tras desastres relacionados con los ataques y las amenazas a la seguridad de informacin de las Entidades, mediante la coordinacin de los diferentes recursos. Mediante actividades de coordinacin, velar por la eficiente y eficaz deteccin, tratamiento, anlisis y respuesta de incidentes de seguridad de la informacin, hechas por las empresas facultadas por el CSIRT en esta materia. Gestionar la recopilacin de pruebas forenses, en lo que se refiere a la recoleccin, la conservacin, la documentacin y el anlisis de las pruebas procedentes del sistema informtico comprometido. Grupo Gestin y Control
8.1.2.2.
Este grupo tiene como fin coordinar y dar soporte a las empresas tercerizadas por el CSIRT, para que consoliden y apliquen los conocimientos y habilidades requeridas, para administrar, controlar y auditar los sistemas informticos. Realizar la validacin y monitoreo del modelo de seguridad de la informacin. Soportar la evaluacin de infraestructuras de seguridad de la informacin, a travs de evaluaciones y/o auditorias de seguridad, basados en los requisitos establecidos por el sistema y/o normas nacionales e internacionales aplicables. Administrar la herramienta de autoevaluacin y soportar las auditorias, monitoreos y anlisis a la informacin, desarrollada por los terceros contratados por el CSIRT. Brindar soporte en lo relacionado con la herramienta de autoevaluacin y auditoria.
Pgina 152 de 183
Desarrollar y complementar las herramientas de auto-evaluacin y de auditora con base en las necesidades y requisitos actuales y futuros del Modelo de Seguridad. Recopilar las estadsticas, mtricas e indicadores que permitan medir el desempeo y evidenciar el mejoramiento del modelo de seguridad en las Entidades. Centralizar la informacin enviada por los diferentes terceros contratados por el CSIRT. Grupo de Investigacin y Desarrollo
8.1.2.3.
El Grupo de Investigacin y Desarrollo, tiene como principal propsito la investigacin cientfica, el desarrollo y la innovacin de la seguridad de la informacin. En este grupo se establecen instrumentos y/o medios que garanticen el cumplimiento del modelo de seguridad de la informacin. Adicionalmente se busca el desarrollo y la gestin del conocimiento del CSIRT, a travs de eficientes y eficaces vas de comunicacin. Asesorar a las Entidades pblicas y privadas en materia de seguridad de la informacin, as como apoyar a la elaboracin, seguimiento y evaluacin de polticas en este mbito. Difundir informacin relacionada con la seguridad de la informacin a todos los actores relacionados. Desarrollar herramientas especficas para necesidades particulares o generales de sus clientes o propias del CSIRT. Convocar al sector privado y a la academia para obtener apoyo en la investigacin en materia de seguridad de la informacin. Mantener contacto permanente con los distintos sectores de la industria para la identificacin de necesidades tecnolgicas y de seguridad de la informacin. Recomendar o identificar para las Entidades objetivo, requisitos de compra, instalacin o proteccin de nuevos sistemas de seguridad, aplicaciones de software, dispositivos de seguridad, entre otros. As mismo, ofrecer asistencia y orientacin en la implementacin de las polticas de seguridad del modelo. Proponer los lineamientos, temas y elementos de sensibilizacin al Grupo CSIRT Funcin de Capacitacin, en lo concerniente a las campaas de Concienciacin - sensibilizacin. Gestionar la informacin y documentacin del CSIRT. Disear herramientas de organizacin y difusin del conocimiento dentro del CSIRT. Gestionar la comunicacin interna de la Institucin. Gestionar el aprendizaje organizativo del CSIRT.
Pgina 153 de 183
Gestionar del cambio y la innovacin institucional. Adecuar la taxonoma de las piezas de conocimiento conforme se incremente el conjunto de conocimiento derivado de la experiencia y conocimiento del CSIRT. Generar estrategias de difusin de piezas de conocimiento de inters general. Fomentar la automatizacin de los procesos relacionados con seguridad de la informacin. Realizar auditoras anuales de conocimiento a los empleados del CSIRT. Vigilar que el conocimiento fluya de forma gil a travs del CSIRT. Disear polticas para el uso de las bases de datos institucionales.
8.1.3. DIRECCIN DE COOPERACIN Y SOPORTE

8.1.3.1. Grupo Capacitacin
El Grupo de Capacitacin tiene como principal objeto, ayudar a sensibilizar, dar a conocer y preparar al mercado objetivo, en los beneficios y amenazas que se derivan de la seguridad de la informacin, desarrollar la capacidad de estos para alcanzar objetivos de desarrollo informtico y a promover el uso de herramientas y procedimientos que prevengan posibles incidentes de seguridad de la informacin. Promover campaas de capacitacin peridicas para el sector pblico y privado, en temas relacionados con la seguridad de la informacin, coordinando los diferentes cursos, charlas y/o conferencias. Mantener la articulacin con los entes policivos para la atencin de los incidentes de seguridad de la informacin. Buscar convenios con terceros, para soportar, ejecutar y/o fortaleces los diferentes programas de capacitacin, en los que se incluya de manera integrada, la academia, el sector pblico y privado. Dar lineamientos generales, a los responsables directos de los programas de capacitacin, en las diferentes reas de seguridad de la informacin. Soportar a terceros en la capacitacin y entrenamiento a las Entidades, en temas relacionados con la herramienta de autoevaluacin y auditoria. Planear el desarrollo de capacitaciones internas para el desarrollo de las competencias y habilidades tcnico/gerenciales para todo el personal del Grupo Tcnico de Apoyo y el de la Comisin Nacional de Seguridad de la Informacin.
Pgina 154 de 183
8.1.3.2.
Grupo Relaciones Pblicas y Comunicacin
Grupo que tiene como objetivo, gestionar y proyectar de manera integral los sistemas de comunicacin e informacin del CSIRT, liderar cambios, establecer programas de cultura e identidad corporativa, diagnosticar y planear estratgicamente y de manera armnica la comunicacin segn los diferentes pblicos y entornos. Disear e implementar el plan de comunicaciones del CSIRT. Gestionar la comunicacin entre el CSIRT y pblico clave para construir, administrar y mantener su imagen positiva. Construir la identidad, la cultura y la reputacin del CSIRT, como un camino que facilitar la construccin de vnculos con los involucrados (Stakeholders), mediante el desarrollo de programas de identidad corporativa. Definir y disear la Poltica de imagen corporativa que deba adoptar el CSIRT. Crear estrategias de publicidad para lograr difundir y promocionar el programa de capacitacin. Posicionar la nueva marca CSIRT en el mercado nacional y regional, por medio de rutinas de campaas de publicidad. Disear mtodos y mecanismos que permitan conocer el grado de aceptacin de los programas y proyectos desarrollados por el CSIRT. Sensibilizar a los grupos objetivo en el conocimiento y uso de los temas relacionados con la seguridad de informacin. Coordinar la emisin de boletines, revistas y toda clase de documentos relacionados con la accin del CSIRT. Difundir estudios e informes publicados por otras entidades y organismos nacionales e internacionales, as como de informacin sobre la actualidad en materia de la seguridad y confianza de la Informacin. Propender por las buenas relaciones y comunicaciones, con la prensa local, seccional, nacional e internacional. Crear alianzas con CSIRT nacionales e internacionales. Crear alianzas de largo plazo con el sector acadmico, privado, proveedores de tecnologa, etc, las cuales permitan entre otros crear, gestionar y trasmitir el conocimiento del CSIRT. Disear mecanismos y establecer los conductos de divulgacin del CSIRT.
Pgina 155 de 183
8.1.4. DIRECCIN ADMINISTRATIVO Y FINANCIERA

Este grupo tiene como principal objeto administrar los recursos financieros, tecnolgicos (IT), legales y humanos del CSIRT. 8.1.4.1. Financieros
Administrar el proceso de elaboracin presupuestaria. Controlar y supervisar la ejecucin del presupuesto de manera articulada con la planificacin estratgica y el control de gestin de la institucin. Realizar la gestin contable, patrimonial y la administracin de recursos de la institucin, procurando el estricto cumplimiento en la aplicacin de todos los sistemas y procedimientos administrativos establecidos. Administrar el proceso de compras y contrataciones de bienes y servicios del CSIRT. Intervenir desde el punto de vista presupuestario en el financiamiento de los proyectos. Desarrollar criterios, metodologas e instrumentos de aspectos administrativos, contables y de control. Administrar la gestin de desarrollo de la infraestructura fsica y la gestin de servicios de mantenimiento y soporte logstico de las distintas direcciones. Establecer e implantar mecanismos idneos para la administracin de los recursos financieros, de bienes, materiales y servicios asignados al funcionamiento del CSIRT. Coordinar con la Gerencia de Recursos Humanos las tareas contables, administrativas y financieras requeridas para la administracin del personal de la Institucin. Dirigir y supervisar la elaboracin de los estados contables del CSIRT. Tecnologicos
8.1.4.2.
Mantener, monitorear y reparar la infraestructura de redes del CSIRT. Implementar y mantener servidores y servicios de red comunes dentro del CSIRT. Disear, implementar y mantener sistemas de monitoreo y respaldo para la infraestructura de redes del CSIRT.
Pgina 156 de 183
Asegurar la calidad y la performance en el funcionamiento de la infraestructura de redes y servicios de la organizacin. Legales
8.1.4.3.
Auxiliar en la elaboracin de todo tipo de contratos, actas constitutivas, actas de Asamblea e instrumentos jurdicos de la competencia del CSIRT. Participar en la negociacin, seguimiento y hasta el cierre de distintos tipos de operaciones con clientes y proveedores de naturaleza comercial, de alianza estratgica, societaria, etc. Emitir consultas y opiniones acerca de asuntos que influyan de manera directa en el patrimonio y responsabilidad de la empresa y sus socios dentro de su operacin comercial. Auxiliar en la realizacin de todo tipo de trmites ante dependencias gubernamentales de carcter departamental y nacional. Humanos
8.1.4.4.
Asesorar y participar en la formulacin de la poltica de personal. Dar a conocer las polticas de personal y asegurar su cumplimiento. Establecer y normalizar el perfil y el rol de cada uno de los puestos de trabajo dentro del CSIRT. Reclutar, seleccionar y contratar al personal del CSIRT. Desarrollar y gestionar la estructura y poltica salarial. Planear las diferentes capacitaciones internas para promover y desarrollar las competencias y habilidades tcnico/gerenciales para todo el personal del CSIRT. Mantener todos los registros necesarios concernientes al personal. Incentivar la integracin y buenas relaciones humanas entre el personal. Recibir quejas, sugerencias y resuelve los problemas de los colaboradores. Hacer la evaluacin del desempeo de los colaboradores.
Pgina 157 de 183
8.2. PROCESO DE SELECCIN

Las competencias laborales generales se establecern de acuerdo con el Decreto nmero 2539 de 2005, en el cual se detallan para los empleos pblicos de los distintos niveles jerrquicos de las entidades, las competencias requeridas. Estas debern tenerse en cuenta a la hora de realizar los procesos de seleccin de los diferentes vacantes creadas para el CSIRT. A continuacin se enumeran dichas competencias:
8.2.1. COMPETENCIAS COMUNES

Orientacin a resultados Orientacin al usuario y al ciudadano Transparencia Compromiso con la Organizacin
Nivel Directivo Liderazgo Planeacin Toma de decisiones Direccin y Desarrollo de Personal Conocimiento del entorno
Nivel Asesor Experticia Profesional Conocimiento del entorno Construccin de relaciones Iniciativa
Nivel Profesional Aprendizaje Continuo Experticia profesional Trabajo en Equipo y Colaboracin Creatividad e Innovacin
Pgina 158 de 183
Nivel Tcnico Experticia Tcnica Trabajo en equipo Creatividad e innovacin
Nivel Asistencial Manejo de la Informacin Adaptacin al cambio Disciplina Relaciones Interpersonales Colaboracin
8.2.2. COMPETENCIAS COMPORTAMENTALES POR NIVEL JERRQUICO

Cuando se tengan personal a cargo, se deber incluir; liderazgo de grupos de trabajo y toma de decisiones
8.2.3. COMPETENCIAS TCNICAS

Estas debern evaluarse con mayor exigencia dependiendo de las responsabilidades propias del cargo. Principios de seguridad de la informacin. Amplio conocimiento de la tecnologa y los protocolos de Internet y redes. Conocimiento de diversos sistemas operativos tipo Windows, Unix, Linux. Conocimiento de los equipos de infraestructura de redes (enrutador, switches, DNS, proxy, correo, etc.). Conocimiento de las aplicaciones de Internet. Conocimiento de amenazas a la seguridad (phishing, defacing, sniffing, etc.). Conocimiento de la evaluacin del riesgo y las implementaciones prcticas. Servicios y aplicaciones de red. Habilidades de programacin.
Pgina 159 de 183
Habilidades en manejo y anlisis de incidentes. Certificaciones. CISSP59 - Dominio de conocimiento tecnologa y gerencia en seguridad de la informacin. Obligatoria. CISM60 - Conocimiento en gerencia de seguridad de la informacin. Obligatoria. ABCP o CBCP61 - Conocimiento en planes y gestin de la continuidad del negocio. Opcional. CISA62 Experiencia en auditora de sistemas. Opcional. ISO27001 Lead Auditor conocimiento en auditora de sistemas de gestin en seguridad de la informacin SGSI. Opcional.
8.2.4. OTRAS CARACTERSTICAS

Disponibilidad para viajar a soportar operaciones en lugares diferentes a su ciudad base. Nivel educativo. Dependiendo del cargo se requerirn carreras tcnicas profesionales o a nivel de posgrado. Experiencia laboral en el mbito de la seguridad de las TI principalmente. Disposicin a trabajar por turnos.
Es importante que el tipo de contratacin se haga a trmino indefinido, haciendo un seguimiento por cada empleado a travs de una evaluacin de desempeo, la cual evalu de manera general entre otros los siguientes puntos.
59
Cumplimiento de objetivos. www.isc2.org www.isaca.org www.drii.org www.isaca.org
60
61
62
Pgina 160 de 183
Competencias tcnicas. Competencias Administrativas. Eficiencia en el gerenciamiento de las responsabilidades. Excelencia de servicio. Eficiencia en el liderazgo.
La calificacin de estas evaluaciones de desempeo, afectaran individualmente o en grupo, cualquiera que sea el caso, en las retribuciones, en la promocin, en los concursos, y en las capacitaciones a ofrecer.
8.3. CAPACITACIN
Dentro del proyecto se deber destinar un presupuesto dirigido a la capacitacin del personal. Esto como consecuencia a la dificultad de encontrar personal, con el total de las habilidades anteriormente descritas y a que constantemente se presentaran avances y mejoras en la practicas informticas o de soporte, a utilizar en cada una de las responsabilidades. Si bien es cierto que el personal a contratar, deber contar con un conocimiento y experiencia previa a la mayora de las habilidades. No se hace necesario que cumpla con el 100% de estas. Por esto se deber priorizar para cada uno de los cargos las principales competencia y de las faltantes se suplirn con una posterior capacitacin. Es importante que la relaciones con entes como el sector privado, acadmico y publico, ayuden a formalizar este plan de capacitacin. El plan de capacitacin deber fundamentarse en las habilidades anteriormente detalladas y en el dominio de: rea de cobertura y sistemas y operaciones de su rea de cobertura. Polticas y procedimientos estndares de operacin. Poltica sobre revelacin de informacin. Poltica sobre uso aceptable del equipamiento y de la red.
Pgina 161 de 183
9.
ETAPAS PARA LA CONFORMACIN DEL CSIRT COLOMBIA
La constitucin del CSIRT en Colombia supone el cumplimiento de ciertas etapas, considerando que iniciar una nueva etapa supone la estabilizacin y permanente sostenibilidad y continuidad de las etapas anteriores. Para la conformacin del proyecto CSIRT en Colombia se consideran las siguientes etapas: Etapa I Alistamiento: Se definirn todos los procesos, procedimientos, roles y responsabilidades necesarias para poner en operacin el CSIRT- Colombia. De la misma manera, se llevara a cabo el alistamiento tecnolgico, logstico y estratgico para la definicin de los alcances visibles e indicadores de gestin del CSIRT. Etapa II Capacitacin y Entrenamiento Involucra la capacitacin y entrenamiento necesarios para iniciar el proceso. Una vez iniciado, esta capacitacin podra gestionarse a travs de la cooperacin nacional e internacional, tanto a nivel bilateral como multilateral. En todo caso, la capacitacin o entrenamiento deber ser permanente a lo largo de la existencia del CSIRT. Etapa III Generacin de Alertas e Investigacin: Se busca un servicio de alertas tempranas e investigacin y desarrollo en laboratorio, para comenzar a prestar un servicio informativo a las entidades de tanto pblicas como privadas. Etapa IV - Respuesta a Incidentes y Apoyo en Investigacin del Delito: Supone una madurez suficiente en procesos, procedimientos, capacitacin, entrenamiento e informacin de amenazas y riesgos como para poder conformar operativamente el grupo de respuesta a incidentes y apoyar las investigaciones informticas adelantadas por las autoridades competentes. Etapa V Operacin, Revisin y Mejoramiento Continuo: Involucra la revisin constante de los procesos, procedimientos, indicadores de gestin y genera la retroalimentacin interna para el mejoramiento continuo.
Pgina 162 de 183
10. PRESUPUESTO PRELIMINAR DE INVERSIN Y FUNCIONAMIENTO

A continuacin se presenta un presupuesto preliminar de Inversin y Funcionamiento, que deber ser ajustado de acuerdo con las validaciones que se realicen al modelo con la comunidad.
Costo Unitario / Mensual
Rubro Presupuesto de Inversin Estudios y Diseos Plataforma Tecnolgica Hardware Software Servicios de seguridad Mantenimiento y reparaciones Desarrollo Web Tecnologas de seguridad de la red y de la informacin Gestin de equipos de seguridad (hasta 20 elementos) Monitoreo de equipos de seguridad (hasta 20 elementos) Correlacin de equipos de seguridad (hasta 20 elementos) Proteccin a los sistemas Total Plataforma Tecnolgica Muebles Seguros de equipos e Infraestructura Total Presupuesto de Inversin
Unidades
Frecuencia Anual
Total
40.000.000
40.000.000
1 1 1 1 1 1 1 1 1 1
1 1 1 1 1 1 1 1 1 1
20.000.000 20.000.000 25.000.000 15.000.000 50.000.000 75.000.000 20.000.000 5.000.000 20.000.000 50.000.000
20.000.000 20.000.000 25.000.000 15.000.000 50.000.000 75.000.000 20.000.000 5.000.000 20.000.000 50.000.000 300.000.000 20.000.000 10.000.000 370.000.000
1 1
1 1
20.000.000 10.000.000
Presupuesto de Funcionamiento Costo de Personal - Salarios Director General Directores
1 3
14 14
9.600.000 7.200.000
134.400.000 302.400.000
Pgina 163 de 183
Rubro Jefes Grupo Profesionales Certificados en seguridad Equipo base Administrativo Total Costo de Personal - Salarios Entrenamiento y Capacitacin Operacin Logstica para Conferencias y talleres Costos de representacin Suscripciones a medios especializados Traducciones Elaboracin de Talleres Publicaciones y materiales informativos Viticos Total Costo de Operacin Infraestructura Alquiler del Establecimiento Servicios Pblicos Mantenimiento Total Costo Infraestructura Costo Variable Auditoras de la seguridad Configuracin y mantenimiento de la seguridad Anlisis de riesgos Planificacin de la continuidad del negocio y recuperacin tras un desastre Recopilacin de pruebas forenses Respuesta a incidentes in situ Evaluacin de productos Total Presupuesto Variable Total Presupuesto Costo de Funcionamiento Ao 1
Unidades 6 3 10 1
Frecuencia Anual 14 14 14 14
Costo Unitario / Mensual 6.000.000 4.800.000 2.400.000 1.200.000
Total 504.000.000 201.600.000 336.000.000 16.800.000 1.495.200.000
30.000.000
30.000.000
1 1 1 1 1 1 2
6 1 1 1 1 1 12
20.000.000 20.000.000 2.000.000 5.000.000 20.000.000 20.000.000 2.000.000
120.000.000 20.000.000 2.000.000 5.000.000 20.000.000 20.000.000 48.000.000 235.000.000
1 1 1
12 12 12
5.000.000 1.900.000 3.000.000
60.000.000 22.800.000 36.000.000 118.800.000
1 1 1 1 1 1 1
25 13 12 3 10 21 3
14.666.667 1.600.000 32.000.000 66.666.667 1.600.000 800.000 4.000.000
366.666.667 20.800.000 384.000.000 200.000.000 16.000.000 16.800.000 12.000.000 1.016.266.667 2.895.266.667
Presupuesto de Ventas Presupuesto de Ventas de Servicios para miembros y no miembros Graduacin Nivel 2 Graduacin Nivel 3 Auditoras de la seguridad
1 1 1
0 50 25
4.000.000 8.000.000 36.666.667
0 400.000.000 916.666.667
Pgina 164 de 183
Rubro Configuracin y mantenimiento de la seguridad Anlisis de riesgos Planificacin de la continuidad del negocio y recuperacin tras un desastre Presupuesto de Ventas de Servicios para no miembros Recopilacin de pruebas forenses Respuesta a incidentes in situ Evaluacin de productos Total Presupuesto de Ventas Ao 1
Unidades 1 1 1 1 1 1
Frecuencia Anual 13 12 3 10 21 3
Costo Unitario / Mensual 4.000.000 80.000.000 166.666.667 4.000.000 2.000.000 10.000.000
Total 52.000.000 960.000.000 500.000.000 40.000.000 42.000.000 30.000.000 2.940.666.667
A continuacin se describen algunos de los criterios utilizados para la estimacin preliminar del presupuesto de Inversin y Funcionamiento para el montaje del CSIRT en Colombia.
10.1. PRESUPUESTO DE INVERSIN

El Presupuesto de Inversin comprende todo el cuadro de adquisicin de maquina y equipo que permitan asegurar el proceso productivo y ampliar la cobertura del mercado. Los principales componentes considerados para el Presupuesto de Inversin son: Estudios y Diseos: Los costos de Estudios y Diseos incluyen las evaluaciones de riesgos y vulnerabilidades de seguridad de la informacin tanto nacionales como internacionales, que permitan prevenir la accin de los incidentes y crear una lnea base para el desarrollo de los servicios y el monitoreo de la seguridad nacional de la informacin en las entidades atendidas por la Estrategia de Gobierno en Lnea. Plataforma Tecnolgica: incluye el hardware y software requerido para garantizar la operacin y la seguridad de la informacin propia del CSIRT as como la necesaria para la prestacin de los servicios ofrecidos. Infraestructura: Incluye la planta fsica requerida para la operacin del CSIRT.
10.2. PRESUPUESTO DE FUNCIONAMIENTO

El presupuesto de funcionamiento incluye las actividades para el perodo siguiente al cual se elabora (en el caso de este documento ser el ejercicio 2009). Son estimados que en forma directa tienen que ver con la razn principal de la entidad. Los principales componentes del Presupuesto de Funcionamiento son: Costos de Personal - Salarios: Se considera la estructura organizacional considerada de manera preliminar en el presente documento, con salarios acordes el mercado laboral y los perfiles requeridos.
Pgina 165 de 183
Costos de Reclutamiento: Asume la contratacin de un tercero para el proceso de bsqueda y reclutamiento del personal del CSIRT. Entrenamiento: Costos asociados con la preparacin tcnica del personal para un mejor desempeo en la operacin. Operacin: Costos estimados asociados a la operacin diaria del CSIRT en la prestacin de los servicios ofrecidos: Atencin de incidentes y la sensibilizacin de la comunidad, entre otros. Costos de Infraestructura, considerando el posible alquiler del espacio fsico para la operacin, los servicios pblicos y le mantenimiento de la planta y equipos. Costo Variable adicional: Es el costo variable que depende de volumen de ventas. A este costo se descuenta el costo de personal de planta disponible permanentemente para e desarrollo de proyectos. Presupuesto de ventas: Se estima con base en tarifas y comportamientos esperados del mercado y considerando que la operacin del CSIRT en Colombia comience en mayo de 2009.
Pgina 166 de 183
Detalle Presupuesto de Ventas (Millones de Pesos) - Ao 1

Presupuesto de Ventas: Rango de Precios dependiendo del tamao de la entidad y alcance del servicio Unidades 8 Unidades 15
Ventas
Precio Unitario Ponderado
May
Jun
Jul
Ago
Sep
Oct
Nov
Dic
Totales
Graduacin Nivel 2 Graduacin Nivel 3
4 8
0 2 16
0 3 24
0 5 40
0 6 48
0 6 48
0 8 64
0 11 88
0 9 72
0 0 50 400
Presupuesto de Ventas de Servicios para miembros y no miembros
Auditoras de la seguridad Configuracin y mantenimiento de la seguridad Anlisis de riesgos Planificacin de la continuidad del negocio y recuperacin tras un desastre
Unidades "5 - 100 Unidades 1 - 10 Unidades 20 - 200 4 80 37
1 37 1 4 1 80
2 73 1 4 1 80
2 73 1 4 1 80
2 73 2 8 1 80
4 147 2 8 2 160
4 147 2 8 2 160
4 147 2 8 2 160
6 220 2 8 2 160
25 917 13 52 12 960
Unidades
50 - 400
167
167
167
167
500
Pgina 167 de 183
Presupuesto de Ventas de Servicios para no miembros Recopilacin de pruebas forenses Respuesta a incidentes in situ Evaluacin de productos
Unidades 1 - 10 Unidades 2 Unidades 10 10 2 4
1 4
1 4
1 4 1
1 4 2 4
1 4 3 6
1 4 4 8 1
2 8 5 10 1 10
2 8 6 12 1 10
10 40 21 42 3 30
10
Pgina 168 de 183
11. TERMINOLOGA
A Accin correctiva: (Ingls: Corrective action). Medida de tipo reactivo orientada a eliminar la causa de una no-conformidad asociada a la implementacin y operacin del SGSI con el fin de prevenir su repeticin. Accin preventiva: (Ingls: Preventive action). Medida de tipo pro-activo orientada a prevenir potenciales no-conformidades asociadas a la implementacin y operacin del SGSI. Accreditation body: Vase: Entidad de acreditacin. Aceptacin del Riesgo: (Ingls: Risk acceptance). Segn [ISO/IEC Gua 73:2002]: Decisin de aceptar un riesgo. Activo: (Ingls: Asset). En relacin con la seguridad de la informacin, se refiere a cualquier informacin o sistema relacionado con el tratamiento de la misma que tenga valor para la organizacin. Segn [ISO/IEC 13335-1:2004]: Cualquier cosa que tiene valor para la organizacin. Alcance: (Ingls: Scope). mbito de la organizacin que queda sometido al SGSI. Debe incluir la identificacin clara de las dependencias, interfaces y lmites con el entorno, sobre todo si slo incluye una parte de la organizacin. Alerta: (Ingls: Alert). Una notificacin formal de que se ha producido un incidente relacionado con la seguridad de la informacin que puede evolucionar hasta convertirse en desastre. Amenaza: (Ingls: Threat). Segn [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el dao a un sistema o la organizacin. Anlisis de riesgos: (Ingls: Risk analysis). Segn [ISO/IEC Gua 73:2002]: Uso sistemtico de la informacin para identificar fuentes y estimar el riesgo. Anlisis de riesgos cualitativo: (Ingls: Qualitative risk analysis). Anlisis de riesgos en el que se usa una escala de puntuaciones para situar la gravedad del impacto.
Pgina 169 de 183
Anlisis de riesgos cuantitativo: (Ingls: Quantitative risk analysis). Anlisis de riesgos en funcin de las prdidas financieras que causara el impacto. Asset: Vase: Activo. Assets inventory: Vase: Inventario de activos. Audit: Vase: Auditora. Auditor: (Ingls: Auditor). Persona encargada de verificar, de manera independiente, la calidad e integridad del trabajo que se ha realizado en un rea particular. Auditor de primera parte: (Ingls: First party auditor). Auditor interno que audita la organizacin en nombre de ella misma. En general, se hace como mantenimiento del sistema de gestin y como preparacin a la auditora de certificacin. Auditor de segunda parte: (Ingls: Second party auditor). Auditor de cliente, es decir, que audita una organizacin en nombre de un cliente de la misma. Por ejemplo, una empresa que audita a su proveedor de outsourcing. Auditor de tercera parte: (Ingls: Third party auditor). Auditor independiente, es decir, que audita una organizacin como tercera parte independiente. Normalmente, porque la organizacin tiene la intencin de lograr la certificacin. Auditor jefe: (Ingls: Lead auditor). Auditor responsable de asegurar la conduccin y realizacin eficiente y efectiva de la auditora, dentro del alcance y del plan de auditora aprobado por el cliente. Auditora: (Ingls: Audit). Proceso planificado y sistemtico en el cual un auditor obtiene evidencias objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una organizacin. Autenticacin: (Ingls: Authentication). Proceso que tiene por objetivo asegurar la identificacin de una persona o sistema. Authentication: Vase: Autenticacin. Availability: Vase: Disponibilidad. B BS7799: Estndar britnico de seguridad de la informacin, publicado por primera vez en 1995. En 1998, fue publicada la segunda parte. La parte primera es un conjunto de buenas prcticas para la gestin de la seguridad de la informacin -no es certificable- y la parte segunda especifica el sistema de gestin de
Pgina 170 de 183
seguridad de la informacin -es certificable-. La parte primera es el origen de ISO 17799 e ISO 27002 y la parte segunda de ISO 27001. Como tal estndar, ha sido derogado ya, por la aparicin de estos ltimos. BSI: British Standards Institution. Comparable al AENOR espaol, es la Organizacin que ha publicado la serie de normas BS 7799, adems de otros varios miles de normas de muy diferentes mbitos. Business Continuity Plan: Vase: Plan de continuidad del negocio. C CERT (Computer Emergency Response Team): Equipo de Respuesta a Emergencias Computacionales (Marca registrada por la Universidad Carnegie - Melon). Certification body: Vase: Entidad de certificacin. CIA: Acrnimo ingls de confidencialidad, integridad y disponibilidad, los parmetros bsicos de la seguridad de la informacin. CID: Acrnimo espaol de confidencialidad, integridad y disponibilidad, los parmetros bsicos de la seguridad de la informacin. CCEB: Criterio Comn para la Seguridad de Tecnologa de Informacin. Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los objetivos de la auditora, sirve de evidencia del plan de auditora, asegura su continuidad y profundidad y reduce los prejuicios del auditor y su carga de trabajo. Este tipo de listas tambin se pueden utilizar durante la implantacin del SGSI para facilitar su desarrollo. Clear desk policy: Vase: Poltica de escritorio despejado. CobiT: Control Objectives for Information and related Technology. Publicados y mantenidos por ISACA. Su misin es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnologa de Informacin rectores, actualizados, internacional y generalmente aceptados para ser empleados por gerentes de empresas y auditores. Cdigo malicioso (Malicious Code, Malware): Cubre virus, gusanos, y Troyanos electrnicos. Se pueden distribuir a travs de varios mtodos incluyendo el email, Web site, shareware / freeware y de otros medios tales como material promocional. Compromiso de la Direccin: (Ingls: Management commitment). Alineamiento firme de la Direccin de la organizacin con el establecimiento, implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del SGSI.
Pgina 171 de 183
Confidencialidad: (Ingls: Confidenciality). Acceso a la informacin por parte nicamente de quienes estn autorizados. Segn [ISO/IEC 13335-1:2004]:" caracterstica/propiedad por la que la informacin no est disponible o revelada a individuos, entidades, o procesos no autorizados. Confidenciality: Vase: Confidencialidad. Contramedida: (Ingls: Countermeasure). Vase: Control. Control: Las polticas, los procedimientos, las prcticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la informacin por debajo del nivel de riesgo asumido. (Nota: Control es tambin utilizado como sinnimo de salvaguarda o contramedida. Control correctivo: (Ingls: Corrective control). Control que corrige un riesgo, error, omisin o acto deliberado antes de que produzca prdidas. Supone que la amenaza ya se ha materializado pero que se corrige. Control detectivo: (Ingls: Detective control). Control que detecta la aparicin de un riesgo, error, omisin o acto deliberado. Supone que la amenaza ya se ha materializado, pero por s mismo no la corrige. Control disuasorio: (Ingls: Deterrent control). Control que reduce la posibilidad de materializacin de una amenaza, p.ej., por medio de avisos disuasorios. Control preventivo: (Ingls: Preventive control). Control que evita que se produzca un riesgo, error, omisin o acto deliberado. Impide que una amenaza llegue siquiera a materializarse. Control selection: Vase: Seleccin de controles. Corrective action: Vase: Accin correctiva. Corrective control: Vase: Control correctivo. COSO: Committee of Sponsoring Organizations of the Treadway Commission. Comit de Organizaciones Patrocinadoras de la Comisin Treadway. Se centra en el control interno, especialmente el financiero. En Colombia este estndar fue utilizado para realizar el estndar de control interno MECI. Countermeasure: Contramedida. Vase: Control. CSIRT (Computer Security Incident Response Team): Equipo de Respuesta a Incidentes de Seguridad Computacional D Declaracin de aplicabilidad: (Ingls: Statement of Applicability, SOA). Documento que enumera los controles aplicados por el SGSI de la organizacin -tras el resultado de los procesos de evaluacin y
Pgina 172 de 183
tratamiento de riesgos- adems de la justificacin tanto de su seleccin como de la exclusin de controles incluidos en el anexo A de la norma. Denial of service: Vase: Negacin de Servicios. Desastre: (Ingls: Disaster). Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios habituales de una organizacin durante el tiempo suficiente como para verse la misma afectada de manera significativa. Detective control: Vase: Control detectivo. Deterrent control: Vase: Control disuasorio. Directiva: (Ingls: Guideline). Segn [ISO/IEC 13335-1:2004]: una descripcin que clarifica qu debera ser hecho y cmo, con el propsito de alcanzar los objetivos establecidos en las polticas. Disaster: Vase: Desastre. Disponibilidad: (Ingls: Availability). Acceso a la informacin y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. Segn [ISO/IEC 13335-1:2004]: caracterstica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada. E Entidad de acreditacin: (Ingls: Accreditation body). Un organismo oficial que acredita a las entidades certificadoras como aptas para certificar segn diversas normas. Suele haber una por pas. Son ejemplos de entidades de acreditacin: ENAC (Espaa), UKAS (Reino Unido), EMA (Mxico), OAA (Argentina)... Entidad de certificacin: (Ingls: Certification body). Una empresa u organismo acreditado por una entidad de acreditacin para auditar y certificar segn diversas normas (ISO 27000, ISO 9000, ISO 14000, etc.) a empresas usuarias de sistemas de gestin. ESF: Foro europeo de seguridad, en el que cooperan ms de 70 multinacionales fundamentalmente europeas con el objeto de llevar a cabo investigaciones relativas a los problema comunes de seguridad y control en TI. Evaluacin de riesgos: (Ingls: Risk evaluation). Segn [ISO/IEC Gua 73:2002]: proceso de comparar el riesgo estimado contra un criterio de riesgo dado con el objeto de determinar la importancia del riesgo. Evento: (Ingls: information security event). Segn [ISO/IEC TR 18044:2004]: Suceso identificado en un sistema, servicio o estado de la red que indica una posible brecha en la poltica de seguridad de la informacin o fallo de las salvaguardias, o una situacin anterior desconocida que podra ser relevante para la seguridad.
Pgina 173 de 183
Evidencia objetiva: (Ingls: Objective evidence). Informacin, registro o declaracin de hechos, cualitativa o cuantitativa, verificable y basada en observacin, medida o test, sobre aspectos relacionados con la confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e implementacin de un elemento del sistema de seguridad de la informacin. F Fase 1 de la auditora: Fase en la que, fundamentalmente a travs de la revisin de documentacin, se analiza en SGSI en el contexto de la poltica de seguridad de la organizacin, sus objetivos, el alcance, la evaluacin de riesgos, la declaracin de aplicabilidad y los documentos principales, estableciendo un marco para planificar la fase 2. Fase 2 de la auditora: Fase en la que se comprueba que la organizacin se ajusta a sus propias polticas, objetivos y procedimientos, que el SGSI cumple con los requisitos de ISO 27001 y que est siendo efectivo. FIRST (Forum of Incident Response and Security Teams): Foro global de Equipos de Respuesta a Incidentes y Seguridad. First party auditor: Vase: Auditor de primera parte. G Gestin de claves: (Ingls: Key management). Controles referidos a la gestin de claves criptogrficas. Gestin de riesgos: (Ingls: Risk management). Proceso de identificacin, control y minimizacin o eliminacin, a un coste aceptable, de los riesgos que afecten a la informacin de la organizacin. Incluye la valoracin de riesgos y el tratamiento de riesgos. Segn [ISO/IEC Gua 73:2002]: actividades coordinadas para dirigir y controlar una organizacin con respecto al riesgo. Guideline: Vase: Directiva. H Hacking: Es el trmino que cubre cualquier tentativa de tener acceso desautorizado a un sistema informtico. Humphreys, Ted: Experto en seguridad de la informacin y gestin del riesgo, considerado "padre" de las normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002. I I4: Instituto Internacional para la Integridad de la Informacin, asociacin similar a la ESF, con metas anlogas y con sede principal en los EE.UU. Es manejado por el Instituto de Investigacin de Standford.
Pgina 174 de 183
IBAG: Grupo asesor de empresas de Infosec, representantes de la industria que asesoran al Comit de Infosec. Este comit est integrado por funcionarios de los gobiernos de la Comunidad Europea y brinda su asesoramiento a la Comisin Europea en asuntos relativos a la seguridad de TI. IEC: International Electrotechnical Commission. Organizacin internacional que publica estndares relacionados con todo tipo de tecnologas elctricas y electrnicas. IIA: Instituto de Auditores Internos. Impacto: (Ingls: Impact). El coste para la empresa de un incidente -de la escala que sea-, que puede o no ser medido en trminos estrictamente financieros -p.ej., prdida de reputacin, implicaciones legales, etc. Impact: Vase: Impacto. Incidente: Segn [ISO/IEC TR 18044:2004]: Evento nico o serie de eventos de seguridad de la informacin inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la informacin. Algunos ejemplos comunes son: Spam: Envo de correo masivo no solicitado. Tomar el control de la computadora del alguien diferente usando un virus informtico, un error del software, un Troyano, etc. Negacin del servicio de la computadora o de la red. Infraccin de copyright: msica, pelculas, programas de computadora, etc. Phishing: Generalmente enviando correos electrnicos que intentan inducir a brindar datos importantes. Pharming: Redirigir trfico de la red de un servidor a otra red controlada para descubrir cdigos de acceso o informacin confidencial.
Information processing facilities: Vase: Servicios de tratamiento de informacin. Information Systems Management System: Vase: SGSI. Information security: Vase: Seguridad de la informacin. INFOSEC: Comit asesor en asuntos relativos a la seguridad de TI de la Comisin Europea.
Pgina 175 de 183
Integridad: (Ingls: Integrity). Mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Segn [ISO/IEC 13335-1:2004]: propiedad/caracterstica de salvaguardar la exactitud y completitud de los activos. Integrity: Vase: Integridad. Inventario de activos: (Ingls: Assets inventory). Lista de todos aquellos recursos (fsicos, de informacin, software, documentos, servicios, personas, reputacin de la organizacin, etc.) dentro del alcance del SGSI, que tengan valor para la organizacin y necesiten por tanto ser protegidos de potenciales riesgos. IRCA: International Register of Certified Auditors. Acredita a los auditores de diversas normas, entre ellas ISO 27001. ISACA: Information Systems Audit and Control Association. Publica CobiT y emite diversas acreditaciones en el mbito de la seguridad de la informacin. ISACF: Fundacin de Auditora y Control de Sistemas de Informacin. ISC2: Information Systems Security Certification Consortium, Inc. Organizacin sin nimo de lucro que emite diversas acreditaciones en el mbito de la seguridad de la informacin. ISMS: Information Systems Management System. Vase: SGSI. ISO: Organizacin Internacional de Normalizacin, con sede en Ginebra (Suiza). Es una agrupacin de organizaciones nacionales de normalizacin cuyo objetivo es establecer, promocionar y gestionar estndares. ISO 17799: Cdigo de buenas prcticas en gestin de la seguridad de la informacin adoptado por ISO transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio de nomenclatura el 1 de Julio de 2007. ISO 19011: Guidelines for quality and/or environmental management systems auditing. Gua de utilidad para el desarrollo de las funciones de auditor interno para un SGSI. ISO 27001: Estndar para sistemas de gestin de la seguridad de la informacin adoptado por ISO transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicacin en 2005. ISO 27002: Cdigo de buenas prcticas en gestin de la seguridad de la informacin (transcripcin de ISO 17799). No es certificable. Cambio de oficial de nomenclatura de ISO 17799:2005 a ISO 27002:2005 el 1 de Julio de 2007. ISO 9000: Normas de gestin y garanta de calidad definidas por la ISO.
Pgina 176 de 183
ISO/IEC TR 13335-3: Information technology. Guidelines for the management of IT Security.Techniques for the management of IT Security. Gua de utilidad en la aplicacin de metodologas de evaluacin del riesgo. ISO/IEC TR 18044: Information technology. Security techniques. Information security incident management Gua de utilidad para la gestin de incidentes de seguridad de la informacin. ISSA: Information Systems Security Association. ISSAP: Information Systems Security Architecture Professional. Una acreditacin de ISC2. ISSEP: Information Systems Security Engineering Professional. Una acreditacin de ISC2. ISSMP: Information Systems Security Management Professional. Una acreditacin de ISC2. ITIL: IT Infrastructure Library. Un marco de gestin de los servicios de tecnologas de la informacin. ITSEC: Criterios de evaluacin de la seguridad de la tecnologa de informacin. Se trata de criterios unificados adoptados por Francia, Alemania, Holanda y el Reino Unido. Tambin cuentan con el respaldo de la Comisin Europea (vase tambin TCSEC, el equivalente de EEUU). J JTC1: Joint Technical Committee. Comit tcnico conjunto de ISO e IEC especfico para las TI. K Key management: Vase: Gestin de claves. L Lead auditor: Vase: Auditor jefe. M Major nonconformity: Vase: No conformidad grave. Malware: Vase: Cdigo malicioso. Management commitment: Vase: Compromiso de la Direccin. N
Pgina 177 de 183
NBS: Oficina Nacional de Normas de los EE.UU. Negacin del Servicio (Denial of Service DoS): Los ataques de negacin del servicio se disean generalmente para obstruir sistemas informticos de red con una inundacin de trfico en la red. Esta inundacin del trfico tiene a menudo el efecto de negar el acceso al sistema informtico para los usuarios legtimos. El trfico indeseado se genera a menudo usando los sistemas informticos inocentes conocidos como zombis, que se ha infectado previamente con cdigo malvolo. NIST: (ex NBS) Instituto Nacional de Normas y Tecnologa, con sede en Washington, D.C. No conformidad: (Ingls: Nonconformity). Situacin aislada que, basada en evidencias objetivas, demuestra el incumplimiento de algn aspecto de un requerimiento de control que permita dudar de la adecuacin de las medidas para preservar la confidencialidad, integridad o disponibilidad de informacin sensible, o representa un riesgo menor. No conformidad grave: (Ingls: Major nonconformity). Ausencia o fallo de uno o varios requerimientos de la ISO 27001 que, basada en evidencias objetivas, permita dudar seriamente de la adecuacin de las medidas para preservar la confidencialidad, integridad o disponibilidad de informacin sensible, o representa un riesgo inaceptable. Nonconformity: Vase: No conformidad. O Objective evidence: Vase: Evidencia objetiva. Objetivo: (Ingls: Objetive). Declaracin del resultado o fin que se desea lograr mediante la implementacin de procedimientos de control en una actividad de TI determinada. OCDE: Organizacin de Cooperacin y Desarrollo Econmico. Tiene publicadas unas guas para la seguridad de la informacin. P PDCA: Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las actividades de planificar (establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el SGSI). Plan de continuidad del negocio: (Ingls: Bussines Continuity Plan). Plan orientado a permitir la continuacin de las principales funciones del negocio en el caso de un evento imprevisto que las ponga en peligro.
Pgina 178 de 183
Plan de tratamiento de riesgos: (Ingls: Risk treatment plan). Documento de gestin que define las acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la informacin inaceptables e implantar los controles necesarios para proteger la misma. Poltica de seguridad: (Ingls: Security policy). Documento que establece el compromiso de la Direccin y el enfoque de la organizacin en la gestin de la seguridad de la informacin. Segn [ISO/IEC 27002:2005]: intencin y direccin general expresada formalmente por la Direccin. Poltica de escritorio despejado: (Ingls: Clear desk policy). La poltica de la empresa que indica a los empleados que deben dejar su escritorio libre de cualquier tipo de informaciones susceptibles de mal uso al finalizar el da. Preventive action: Vase: Accin preventiva. Preventive control: Vase: Control preventivo. Q Qualitative risk analysis: Vase: Anlisis de riesgos cualitativo. Quantitative risk analysis: Vase: Anlisis de riesgos cuantitativo. R Residual Risk: Vase: Riesgo Residual. Riesgo: (Ingls: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una prdida o dao en un activo de informacin. Segn [ISO Gua 73:2002]: combinacin de la probabilidad de un evento y sus consecuencias. Riesgo Residual: (Ingls: Residual Risk). Segn [ISO/IEC Gua 73:2002] El riesgo que permanece tras el tratamiento del riesgo. Risk: Vase: Riesgo. Risk acceptance: Vase: Aceptacin del riesgo. Risk analysis: Vase: Anlisis de riesgos. Risk assessment: Vase: Valoracin de riesgos. Risk evaluation: Vase: Evaluacin de riesgos.
Pgina 179 de 183
Risk management: Vase: Gestin de riesgos. Risk treatment: Vase: Tratamiento de riesgos. Risk treatment plan: Vase: Plan de tratamiento de riesgos. S Safeguard: Salvaguardia. Vase: Control. Salvaguardia: (Ingls: Safeguard). Vase: Control. Sarbanes-Oxley: Ley de Reforma de la Contabilidad de Compaas Pblicas y Proteccin de los Inversores aplicada en EEUU desde 2002. Crea un consejo de supervisin independiente para supervisar a los auditores de compaas pblicas y le permite a este consejo establecer normas de contabilidad as como investigar y disciplinar a los contables. Tambin obliga a los responsables de las empresas a garantizar la seguridad de la informacin financiera. Scope: Vase: Alcance. Second party auditor: Vase: Auditor de segunda parte. Security Policy: Vase: Poltica de seguridad. Segregacin de tareas: (Ingls: Segregation of duties). Reparto de tareas sensibles entre distintos empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por negligencia. Segregation of duties: Vase: Segregacin de tareas. Seguridad de la informacin: Segn [ISO/IEC 27002:2005]: Preservacin de la confidencialidad, integridad y disponibilidad de la informacin, adems otras propiedades como autenticidad, responsabilidad, no repudio y fiabilidad pueden ser tambin consideradas. Seleccin de controles: Proceso de eleccin de los controles que aseguren la reduccin de los riesgos a un nivel aceptable. SGSI: (Ingls: ISMS). Sistema de Gestin de la Seguridad de la Informacin. Segn [ISO/IEC 27001:2005]: la parte de un sistema global de gestin que, basado en el anlisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la seguridad de la informacin. (Nota: el sistema de gestin incluye una estructura de organizacin, polticas, planificacin de actividades, responsabilidades, procedimientos, procesos y recursos.)
Pgina 180 de 183
Servicios de tratamiento de informacin: (Ingls: Information processing facilities). Segn [ISO/IEC 27002:2005]: cualquier sistema, servicio o infraestructura de tratamiento de informacin o ubicaciones fsicas utilizados para su alojamiento. Sistema de Gestin de la Seguridad de la Informacin: (Ingls: Information Systems Management System). Ver SGSI. SOA: Statement of Applicability. Vase: Declaracin de aplicabilidad. SSCP: Systems Security Certified Practitioner. Una acreditacin de ISC2. Statement of Applicability: Vase: Declaracin de aplicabilidad. T TCSEC: Criterios de evaluacin de la seguridad de los sistemas de computacin, conocidos tambin con el nombre de Orange Book (Libro naranja), definidos originalmente por el Ministerio de Defensa de los EE.UU. Vase tambin ITSEC, el equivalente europeo. TERENA (Trans-European Research and Education Networking Association): Una organizacin europea que soporta la Internet y las actividades y servicios sobre la infraestructura con la comunidad acadmica. TF-CSIRT: Foro internacional para la cooperacin en CSIRT a nivel Europeo. Consiste en 2 grupos, uno cerrado accessible solo para equipos acreditados y uno abierto acesible a cualquier persona interesada en CSIRT. TF-CSIRT es una de las actividades de la organizacin internacional TERENA. Third party auditor: Vase: Auditor de tercera parte. Threat: Vase: Amenaza. TickIT: Gua para la Construccin y Certificacin del Sistema de Administracin de Calidad del Software. Tratamiento de riesgos: (Ingls: Risk treatment). Segn [ISO/IEC Gua 73:2002]: Proceso de seleccin e implementacin de medidas para modificar el riesgo. V Valoracin de riesgos: (Ingls: Risk assessment). Segn [ISO/IEC Gua 73:2002]: Proceso completo de anlisis y evaluacin de riesgos. Vulnerabilidad: (Ingls: Vulnerability). Debilidad en la seguridad de la informacin de una organizacin que potencialmente permite que una amenaza afecte a un activo. Segn [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.
Pgina 181 de 183
Vulnerability: Vase: Vulnerabilidad. W WG1, WG2, WG3, WG4, WG5: WorkGroup 1, 2, 3, 4, 5. Grupos de trabajo del subcomit SC27 de JTC1 (Joint Technical Committee) de ISO e IEC. Estos grupos de trabajo se encargan del desarrollo de los estndares relacionados con tcnicas de seguridad de la informacin.
Pgina 182 de 183
12. ANEXOS
Pgina 183 de 183

Diseño de Un CSIRT Colombiano

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Diseño de Un CSIRT Colombiano

Încărcat de

Drepturi de autor:

Formate disponibile

DISEO DE UN CSIRT DE COLOMBIA PARA LA ESTRATEGIA GOBIERNO EN LNEA

REA DE INVESTIGACIN Y PLANEACIN Repblica de Colombia - Derechos Reservados

Bogot, D.C., Diciembre de 2008

Copyright 1995 - 2006 by FIRST.org, Inc.

Copyright(C) 2008 APCERT. All rights reserved

Federal Office for Information Security (BSI). All rights reserved

Copyright 2006 - 2007 | Disclaimer. All Rights Reserved

Corea del Sur - KrCERT/CC. http://www.krcert.or.kr/

2007-2008 aeCERT. All rights reserved

2008 Centro Criptolgico Nacional - C/Argentona s/n 28023 MADRID

Copyright 1996-2008 JPCERT/CC All Rights Reserved

Copyright Todos los derechos reservados, cert.org.mx. DSC/UNAM-CERT DGSCA

Copyright 2004 NASK

Crown Copyright 2008

Copyright 2006 ANSI

Permission to use and to make translations about CSIRT

Telephone (+57 3164720780) Program "Agenda de Conectividad": http://www.agenda.gov.co/ Digiware: http://www.digiware.com.co/Digiware/index1.html

Mellon University. Autor: No determinado

SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx. U.A: 2008/09/26. Publicado por: SURFnet

network. Autor: No determinado

1.3. BENEFICIOS DE CONTAR CON UN CSIRT

INICIATIVAS Y EXPERIENCIAS NACIONALES E INTERNACIONALES EN CSIRTs

2.1. ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL MUNDO

Teora General en temas de CSIRT

Teora General en temas de CSIRT

Teora General en temas de CSIRT

Teora General en temas de CSIRT

Teora General en temas de CSIRT Teora General en temas de CSIRT

http://www.arcert.gov.ar/ncurs os/material/Seg-adm-6p.pdf http://www.arcert.gov.ar/curso s/seguridad_adm/Seguridad%2 0para%20Administradores.pdf

Teora General en temas de CSIRT

http://www.telenor.com/telektr onikk/volumes/pdf/1.2005/Page _029-037.pdf

Teora General en temas de CSIRT

Resumen Teora General en temas de CSIRT Teora General en temas de CSIRT

Enlace http://www.terena.org/activities /tf-csirt/meeting9/jaroszewskiassistance-csirt.pdf http://www.enisa.europa.eu/cer t_guide/pages/05_01_04.htm

Fuente jaroszewski-assistancecsirt.pdf Description of the different kinds of CSIRT environments.docs CICTE00188E.pdf

Antecedentes de los CSIRT

Antecedentes de los CSIRT

Antecedentes de los CSIRT

http://jiap.org.uy/jiap/JIAP2007 /Presentaciones%20Jiap%2020 07/ANTEL.pdf

Experiencias en el Mundo Experiencias en el Mundo

http://www.enisa.europa.eu/cer Pgina Web t_guide/downloads/CSIRT_setti ng_up_guide_ENISA-ES.pdf http://www.apcert.org/ Pgina Web

Experiencias en el Mundo Experiencias en el Mundo

Experiencias en el Mundo Experiencias en el

http://www.bsi.bund.de/certbu nd/ http://www.cert.gov.sa/

Pgina Web Pgina Web

Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo

http://www.csirt.gov.cl/ http://www.clcert.cl http://www.cert.org.cn/english _web/

Pgina Web Pgina Web Pgina Web

Experiencias en el Mundo Experiencias en el Mundo

Pgina Web Pgina Web

Experiencias en el Mundo Experiencias en el Mundo

Pgina Web Pgina Web

Experiencias en el Mundo Experiencias en el Mundo Experiencias en el

http://www.cert-hungary.hu/ http://www.cert-in.org.in/ http://www.jpcert.or.jp/

Pgina Web Pgina Web Pgina Web

Resumen Mundo Experiencias en el Mundo Experiencias en el Mundo

http://www.cert.org.mx/index.h tml http://www.ccip.govt.nz/

Pgina Web Pgina Web

Experiencias en el Mundo Experiencias en el Mundo

Pgina Web Pgina Web

http://www.qcert.org www.govcertuk.gov.uk www.cpni.gov.uk http://www.singcert.org.sg/ http://www.cert.lk/ http://www.ansi.tn/en/about_c ert-tcc.htm

Experiencias en el Mundo Experiencias en el Mundo

Experiencias en Colombia Aspectos Financieros