Documente Academic
Documente Profesional
Documente Cultură
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
FORMATO PRELIMINAR AL DOCUMENTO Ttulo: Fecha elaboracin aaaa-mm-dd: Sumario: Palabras Claves: Formato: Dependencia: Cdigo: Categora: Autor (es): Revis: MANUAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO SISTEMA DE GESTIN DE CALIDAD PROGRAMA AGENDA DE CONECTIVIDAD 2008-12-04 Corresponde a los entregables No. 12 y 13, primero y segundo avance del CSIRT. CSIRT, Seguridad de la informacin, Incidentes Lenguaje: Direccin de planificacin e investigacin Versin: 2 Estado: En elaboracin Castellano
Proyecto Diseo de modelo SGSI para la estrategia de Gobierno en Lnea Juan C. Alarcn Aprob: Jairo Pantoja Informacin Adicional: Juan C. Alarcn Ubicacin:
Firmas:
Pgina 2 de 192
CONTROL DE CAMBIOS
VERSIN 1 1.1 2 FECHA 23 10 2008 05 11 2008 04 12 2008 No. SOLICITUD RESPONSABLE Fernando Gaona Fernando Gaona Fernando Gaona DESCRIPCIN Primera versin del documento Revisin interna conjunta equipo de Consultora Digiware Revisin con el Programa Gobierno en Lnea
Pgina 3 de 192
TABLA DE CONTENIDO
DERECHOS DE AUTOR .................................................................................................................................................... 9 AUDIENCIA .................................................................................................................................................................. 20 INTRODUCCIN ........................................................................................................................................................... 21 1. QU ES UN CSIRT .................................................................................................................................................. 23 1.1. 1.2. 1.3. DEFINICIN ....................................................................................................................................................... 23 ANTECEDENTES .................................................................................................................................................. 23 BENEFICIOSDE CONTAR CON UNCSIRT ............................................................................................................. 25
2. INICIATIVAS Y EXPERIENCIAS NACIONALES E INTERNACIONALES EN CSIRTS ....................................................... 26 2.1. ALGUNASINICIATIVASYEXPERIENCIAS ALREDEDOR DEL MUNDO ................................................................... 26 2.1.1. FIRST -FORUM FOR INCIDENTRESPONSE AND SECURITY TEAMS ..................................................................... 33 2.1.2. ENISA-EUROPEANNETWORK AND INFORMATIONSECURITY AGENCY ............................................................ 41 2.1.3. APCERT-ASIA PACIFIC COMPUTEREMERGENCY RESPONSE TEAM .................................................................. 44 2.1.4. CERT-COORDINATION CENTERDELAUNIVERSIDAD CARNEGIE MELLON ........................................................ 45 2.1.5. TERENA-TRANS-EUROPEANRESEARCH AND EDUCATIONNETWORKING ASSOCIATION ................................ 48 2.1.6. ALEMANIA-CERT-BUND (COMPUTER EMERGENCY RESPONSE TEAM FR BUNDESBEHRDEN) ................... 50 2.1.7. ARABIA SAUDITA-CERT-SA(COMPUTER EMERGENCY RESPONSE TEAM -SAUDIARABIA) .............................. 51 2.1.8. ARGENTINA-ARCERT (COORDINACINDEEMERGENCIASENREDES TELEINFORMTICAS) ........................... 52 2.1.9. AUSTRALIA-AUSCERT (AUSTRALIA COMPUTER EMERGENCY RESPONSE TEAM) ............................................. 55 2.1.10. AUSTRIA-CERT.AT (COMPUTER EMERGENCY RESPONSE TEAM AUSTRIA) .................................................... 56 2.1.11. BRASIL -CERT.BR (COMPUTER EMERGENCYRESPONSE TEAM BRAZIL) .......................................................... 57 2.1.12. CANAD-PSEPC(PUBLIC SAFETY EMERGENCY PREPAREDNESS CANADA) .................................................... 58 2.1.13. CHILE CSIRT-GOV ....................................................................................................................................... 59 2.1.14. CHILE -CLCERT (GRUPOCHILENO DE RESPUESTAAINCIDENTESDE SEGURIDAD COMPUTACIONAL) ............. 60 2.1.15. CHINA-CNCERT/CC (NATIONAL COMPUTERNETWORK EMERGENCY RESPONSE TECHNICAL TEAM) ............ 61 2.1.16. COREA DEL SUR-KRCERT/CC (CERT COORDINATION CENTER KOREA) ........................................................... 65 2.1.17. DINAMARCADK.CERT (DANISH COMPUTER EMERGENCYRESPONSE TEAM) .............................................. 67 2.1.18. EMIRATOSRABESUNIDOSAECERT (THE UNITED ARAB EMIRATES COMPUTER EMERGENCY RESPONSE TEAM) 68 2.1.19. ESPAA-ESCERT (EQUIPODE SEGURIDADPARALACOORDINACINDEEMERGENCIASENREDES TELEMTICAS) 69 2.1.20. ESPAA IRIS-CERT (SERVICIO DE SEGURIDAD DE REDIRIS) ......................................................................... 70 2.1.21. ESPAA-CCN-CERT (CRYPTOLOGY NATIONAL CENTER-COMPUTER SECURITY INCIDENT RESPONSE TEAM)72 2.1.22. ESPAA-INTECO-CERT (CENTRODERESPUESTASAINCIDENTESENTIPARA PYMESY CIUDADANOS) ......... 74
Pgina 4 de 192
2.1.23. ESTADOS UNIDOS-US-CERT (UNITEDSTATES-COMPUTEREMERGENCY READINESS TEAM) ...................... 76 2.1.24. ESTONIA CERT-EE (COMPUTER EMERGENCY RESPONSE TEAMOFESTONIA) ............................................ 77 2.1.25. FILIPINAS-PH-CERT (PHILIPPINESCOMPUTEREMERGENCY RESPONSE TEAM) ........................................... 78 2.1.26. FRANCIA-CERTA (CENTRE D'EXPERTISE GOUVERNEMENTAL DERPONSE ETDETRAITEMENT DES ATTAQUES INFORMATIQUES) ........................................................................................................................................................ 79 2.1.27. HONGKONG-HKCERT (HONGKONG COMPUTEREMERGENCY RESPONSE COORDINATION CENTRE) ......... 81 2.1.28. HUNGRA-CERT (CERT-HUNGARY) .............................................................................................................. 82 2.1.29. INDIA-CERT-IN (INDIAN COMPUTEREMERGENCY RESPONSE TEAM) ........................................................... 84 2.1.30. JAPAN-JPCERT/CC (JP CERT COORDINATION CENTER) ................................................................................ 86 2.1.31. MXICO UNAM-CERT(EQUIPODE RESPUESTAAINCIDENTESDE SEGURIDADENCMPUTO) .................. 88 2.1.32. NUEVA ZELANDIA CCIP (CENTRE FOR CRITICAL INFRASTRUCTURE PROTECTION) ...................................... 89 2.1.33. HOLANDAGOVCERT.NL .............................................................................................................................. 90 2.1.34. POLONIA-CERT POLSKA (COMPUTER EMERGENCY RESPONSE TEAMPOLSKA) ............................................ 91 2.1.35. QATAR - Q-CERT (QATAR CERT) .................................................................................................................... 92 2.1.36. REINO UNIDO-GOVCERTUK (CESGS INCIDENT RESPONSE TEAM) ............................................................... 93 2.1.37. SINGAPUR SINGCERT (SINGAPORE CERT) ................................................................................................... 94 2.1.38. SRI LANKA SLCERT (SRI LANKACOMPUTER EMERGENCY RESPONSE TEAM) ............................................... 95 2.1.39. TNEZ-CERT-TCC (COMPUTER EMERGENCY RESPONSE TEAM-TUNISIAN COORDINATION CENTER) ........ 97 2.1.40. VENEZUELA CERT.VE (VENCERT EQUIPO DE RESPUESTA PARA EMERGENCIAS INFORMTICAS) ............. 101 2.2. EXPERIENCIASOANTECEDENTESENCOLOMBIA ............................................................................................. 103 2.2.1. CIRTISI COLOMBIA (CENTRODE INFORMACINY RESPUESTA TCNICAAINCIDENTESDE SEGURIDAD INFORMTICADECOLOMBIA) ................................................................................................................................... 103 2.2.2. CSIRT COLOMBIA (COL CSIRT) ........................................................................................................................ 108 2.2.3. COMIT INTERAMERICANO CONTRAEL TERRORISMODELAOEA (CICTE) .................................................... 109 2.3. EN RESUMEN ................................................................................................................................................... 110 2.3.1. CSIRTS PBLICOS ........................................................................................................................................... 110 2.3.2. CSIRTS PRIVADOS .......................................................................................................................................... 111 2.3.3. CSIRTS INTERNOS .......................................................................................................................................... 111 2.3.4. CSIRTS DE COORDINACIN ............................................................................................................................ 112 2.3.5. ESQUEMA ASOCIATIVO ENTREELSECTOR PBLICOYELPRIVADO ................................................................. 112 3. DEFINICIN DE LA ORGANIZACIN CSIRT PARA COLOMBIA .............................................................................. 113 3.1. 3.2. 3.3. 3.4. 3.5. 3.6. TIPODEENTIDAD ............................................................................................................................................. 113 RELACIN CONLASENTIDADES ....................................................................................................................... 117 MISIN ............................................................................................................................................................ 117 VISIN ............................................................................................................................................................. 117 OBJETIVOSESTRATGICOS .............................................................................................................................. 117 OBJETIVOS ESPECFICOS .................................................................................................................................. 118
4. PORTAFOLIO DE SERVICIOS ................................................................................................................................ 119 4.1. 4.2. 4.3. 4.4. 4.4.1. SERVICIOS PREVENTIVOS ................................................................................................................................ 120 SERVICIOS REACTIVOS ..................................................................................................................................... 122 GESTINDELA SEGURIDADDE LAINFORMACIN .......................................................................................... 124 CARACTERSTICAS DE LOSSERVICIOS .............................................................................................................. 127 SERVICIOS PREVENTIVOS ............................................................................................................................... 127
Pgina 5 de 192
4.4.2. 4.4.3.
5. PROCESOS Y PROCEDIMIENTOS .......................................................................................................................... 129 5.1. 5.2. 5.3. DELIMITACIN SISTMICA .............................................................................................................................. 129 PROCESOS ....................................................................................................................................................... 130 PROCEDIMIENTOS ........................................................................................................................................... 133
6. ANLISIS DEL MERCADO .................................................................................................................................... 135 6.1. MACROENTORNO ........................................................................................................................................... 136 6.1.1. POLITICOS ..................................................................................................................................................... 136 6.1.2. ECONOMICOS ............................................................................................................................................... 137 6.1.3. SOCIALES ....................................................................................................................................................... 139 6.1.4. TECNOLOGICOS ............................................................................................................................................. 139 6.2. INDUSTRIASY SECTORES ................................................................................................................................. 141 6.3. ALIADOSESTRATGICOSYMERCADOS ........................................................................................................... 142 6.3.1. DEBILIDADES ................................................................................................................................................. 143 6.3.2. OPORTUNIDADES .......................................................................................................................................... 144 6.3.3. FORTALEZAS .................................................................................................................................................. 144 6.3.4. AMENAZAS .................................................................................................................................................... 144 7. INDICADORES Y METAS ...................................................................................................................................... 146 7.1. 7.2. 7.3. 7.4. 7.5. 7.6. PERSPECTIVA SEGURIDADDE LAINFORMACIN NACIONAL .......................................................................... 150 PERSPECTIVA FINANCIERA ............................................................................................................................... 151 PERSPECTIVA PROCESOSINTERNOS ................................................................................................................ 151 PERSPECTIVA APRENDIZAJEY CRECIMIENTO ................................................................................................... 152 RESUMENDELOSINDICADORES ...................................................................................................................... 153 CONSIDERACIONES GENERALES ....................................................................................................................... 155
8. ESTRUCTURA ORGANIZACIONAL ........................................................................................................................ 157 8.1. ORGANIGRAMA ............................................................................................................................................... 158 8.1.1. ASESOR JURDICO ......................................................................................................................................... 158 8.1.2. DIRECCIN TCNICA ..................................................................................................................................... 158 8.1.3. DIRECCINDE COOPERACINYFOMENTO ................................................................................................... 161 8.1.4. DIRECCINADMINISTRATIVOYFINANCIERA ................................................................................................. 163 8.2. PROCESODESELECCIN .................................................................................................................................. 165 8.2.1. COMPETENCIAS COMUNES ........................................................................................................................... 165 8.2.2. COMPETENCIAS COMPORTAMENTALES POR NIVEL JERRQUICO .................................................................. 166 8.2.3. COMPETENCIAS TCNICAS ............................................................................................................................ 166 8.2.4. OTRAS CARACTERSTICAS ............................................................................................................................. 167 8.3. CAPACITACIN ................................................................................................................................................ 168
Pgina 6 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO SISTEMA DE GESTIN DE CALIDAD ESTRATEGIA DE GOBIERNO EN LNEA
10.
PRESUPUESTODEFUNCIONAMIENTO ...........................................................................................................
TERMINOLOGA ...............................................................................................................................................
Pgina 7 de 192
LISTA DE ILUSTRACIONES Ilustracin 1: Pases con CSIRTs Miembros de FIRST ................................................................................. 35 Ilustracin 2: Estructura de ENISA ............................................................................................................. 43 Ilustracin 3: Modelo Detallado del Sistema Administrativo Nacional de Seguridad de la Informacin ...... 113 Ilustracin 4: Delimitacin Sistemtica de la Entidad ................................................................................ 129 Ilustracin 5: Modelo Tecnolgico del CSIRT, detallando los procesos misionales .................................... 130 Ilustracin 6: Modelo de Segmentacin del CSIRT .................................................................................... 131 Ilustracin 7: Despliegue de Procesos ....................................................................................................... 132 Ilustracin 8: Catlogo de Procesos Misionales ......................................................................................... 133 Ilustracin 9: Catlogo de Procedimientos ................................................................................................. 133 Ilustracin 10: de Anlisis del Mercado ..................................................................................................... 135 Ilustracin 11: Marco Poltico, Econmico, Social y Tecnolgico del CSIRT ............................................... 136 Ilustracin 12: Anlisis de Competitividad de Porter ..................................................................................
141 Ilustracin 13: Matriz DOFA ...................................................................................................................... 143 Ilustracin 14: Modelo de Gestin ............................................................................................................. 147 Ilustracin 15: Alineacin de la Visin y la Estrategia ................................................................................ 148 Ilustracin 16: Mapa Estratgico ............................................................................................................... 149 Ilustracin 17: Perspectivas y Orientadores Estratgicos ........................................................................... 150 Ilustracin 18: Estructura Organizacional Propuesta .................................................................................. 158
Pgina 8 de 192
DERECHOS DE AUTOR
Este documento pertenece a la Estrategia de Gobierno en Lnea del Ministerio de Comunicaciones de Colombia, esta prohibida la reproduccin total o parcial del contenido de este documento sin la autorizacin expresa de la Estrategia de Gobierno en Lnea. A continuacin, se detallan los derechos de autor relacionados en este documento: SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx: No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. FIRST. http://www.first.org/ Copyright 1995 - 2006 by FIRST.org, Inc. No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. ENISA. http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf. Reproduction of material published on this web site is authorized, provided the source is acknowledged, unless it is stated otherwise. Where prior permission must be obtained for the reproduction or use of material published on this web site the above mentioned permission sha l be cance led and restrictions sha l be imposed through a legal notice as appropriate published on that specific material. No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. APCERT. http://www.apcert.org/. Copyright(C) 2008 APCERT. Al rights reserved No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Terena. http://www.terena.org/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Pgina 9 de 192
Alemania - CERT-Bund. http://www.bsi.bund.de/certbund/ Federal Office for Information Security (BSI). Al rights reserved No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Arabia Saudita - CERT-SA. http://www.cert.gov.sa/ Copyright 2006 - 2007 | Disclaimer. Al Rights Reserved No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Argentina ArCERT. http://www.arcert.gov.ar/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Australia AusCERT. http://www.auscert.org.au/ The material on this web site is covered by copyright. Apart from any use permitted under the Copyright Act 1968, no part may be reproduced or distributed by any process or means, without the prior written permission of AusCERT. AusCERT acknowledges al instances where copyright is held by, or shared with, another organisation. In such cases, each copyright owner should be contacted regarding reproduction or use of that material. Se solicita autorizacin. Respuesta: Date: Wed, 1 Oct 2008 03:43:58 +0000 CC: auscert@auscert.org.au Subject: RE: RE: (AUSCERT#200869d4a) Re: Permission to use and to make translations about AusCert To: fernandogaona@hotmail.com From: auscert@auscert.org.au ----- BEGIN PGP SIGNED MESSAGE --Hash: RIPEMD160 Hi Fernando,
Pgina 10 de 192
We are happy for you to translate the sections of our website that you have highlighted. Additiona ly we have in the last week assisted New Zealand via a workshop to aid them in the creation of a National CERT, and we also provide training for the purpose of creating National CERT teams. Please do not hesitate to contact us further regarding the possibility of training and further co laboration. Regards, - -- Jonathan Levine Computer Security Analyst | Hotline: +61 7 3365 4417 AusCERT, Australia's National CERT | Fax: +61 7 3365 7031 The University of Queensland | WWW: www.auscert.org.au QLD 4072 Australia | Email: auscert@auscert.org.au Austria - CERT.at. www.cert.at No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Brasil - CERT.br. http://www.cert.br No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Canad PSEPC. http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Chile CSIRT-GOV. http://www.csirt.gov.cl/ La informacin presentada en este portal tiene finalidad informativa, especialmente dirigida a los responsables de seguridad, administradores de redes y sistemas, personal informtico y en general cualquier individuo que cumpla labores al interior de la Administracin del Estado. El mal uso de la informacin entregada puede ser sancionado en conformidad al estatuto administrativo. Como el acceso a este portal es pblico, en los casos en que se detecte uso malicioso de la informacin, o intentos de quebrantar la seguridad del sistema, CSIRT Chile se reserva el derecho de ejercer todas las acciones legales correspondientes contra quien resulte responsable de dichos actos, amparado en la Ley General de Telecomunicaciones y la Ley de Delito Informtico. Queda estrictamente prohibido utilizar la informacin presentada en este portal sin el conocimiento y consentimiento formal por parte de CSIRT Chile, en especial para efectos contrarios a los buscados por este equipo.
Pgina 11 de 192
Se solicita autorizacin. Chile CLCERT. http://www.clcert.cl No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. China - CNCERT/CC. http://www.cert.org.cn/english_web/. No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Corea del Sur - KrCERT/CC. http://www.krcert.or.kr/ COPYRIGHT KRCERT.OR.KR. ALL RIGHTS RESERVED. Al materials released by Internet Incident Response Support Center are protected under the copyright law and copyrights of al released materials are owned by the center. Accordingly, it is prohibited to copy or distribute them partia ly and entirely. If you seek for economic profits or benefits equivalent of it, a prior consultation with the center or prior approval from the center is required. In case those materials are quoted partia ly or entirely after prior consent or approval, it sha l clearly state that the source of quoted contents belongs to the center. The hyperlink from other web sites to the main web page of the center is a lowed but not to the other web pages (sub domain). Also, before setting a hyperlink to the main web page of the Center, it should be notified to the center in advance. In case data posted at a web site of the Center is used for the purpose of positing at the other Internet sites in a due manner, the arbitrary change of data except simple error correction is prohibited. The violation of this act is subject to criminal punishment. For the purpose of news report, criticism, education and study activities, data posted in the web page can be quoted as long as they satisfy fair practices within a legal boundary. However, in this case, the quotation of materials is limited to less than 10% of the whole contents. The violation of this act is regarded as infringement on copyright. As long as the data provided by the center is used for individual purpose (not commercial purpose) or within a boundary of household and equivalent boundary, it can be copied for use. However, even if a specific company, non-profit organization, intends to copy them for the purpose of internal use only, it is not a lowed to copy materials. The i legal copy and distribution of materials provided by the center fa ls under infringement on copyright property law and the violator is sentenced to imprisonment not exceeding 5 years and a fine not exceeding 50 Mio.won. For more detailed information, you can contact the Internet Incident Response Support Center
Pgina 12 de 192
(Tel: 118 / cert@certcc.or.kr, cert@krcert.or.kr). Se solicita autorizacin. Dinamarca DK.CERT. https://www.cert.dk/ Informacin sobre estas pginas pueden ser protegidas por los derechos de autor No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Emiratos rabes Unidos aeCERT. http://www.aecert.ae/ 2007-2008 aeCERT. Al rights reserved No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Espaa ESCERT. http://escert.upc.edu/index.php/web/es/index.html Los textos, diseos, imgenes, bases de datos, logotipos, estructuras, marcas y otros elementos de esCERT-UPC, incluido todo lo referente a ALTAIR, estn protegidos por la normativa de aplicacin respecto a la propiedad intelectual e industrial. esCERT-UPC autoriza a los usuarios a reproducir, copiar, distribuir, transmitir, adaptar o modificar exclusivamente los contenidos de la web de esCERT-UPC, siempre que se especifique la fuente y/o los autores. Espaa IRIS-CERT. http://www.rediris.es/cert/ RedIRIS 1994-2008 No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Espaa - CCN-CERT. https://www.ccn-cert.cni.es/ 2008 Centro Criptolgico Nacional - C/Argentona s/n 28023 MADRID No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Espaa - INTECO-CERT. http://www.inteco.es/rssRead/Seguridad/INTECOCERT Todos los elementos que forman el sitio Web, as como su estructura, diseo y cdigo fuente de la misma, son titularidad de INTECO y estn protegidos por la normativa de propiedad intelectual e industrial. Se prohbe la reproduccin total o parcial de los contenidos de este sitio Web, as como su modificacin y/o distribucin sin citar su origen o solicitar previamente autorizacin.
Pgina 13 de 192
misterio de Comunicaciones
INTECO no asumir ninguna responsabilidad derivada del uso por terceros del contenido del sitio Web y podr ejercitar todas las acciones civiles o penales que le correspondan en caso de infraccin de estos derechos por parte del usuario. Estados Unidos - US-CERT. http://www.us-cert.gov You are permitted to reproduce and distribute documents on this web site in whole or in part, without changing the text you use, provided that you include the copyright statement or "produced by" statement and use the document for noncommercial or internal purposes. For commercial use or translations, send your email request to webmaster@us-cert.gov. Se solicita autorizacin. Estonia CERT-EE. http://www.ria.ee/?id=28201
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Filipinas - PH-CERT. http://www.phcert.org/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Francia-CERTA. http://www.certa.ssi.gouv.fr/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Hong Kong HKCERT. http://www.hkcert.org/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Hungra CERT. http://www.cert-hungary.hu/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. India - CERT-In. http://www.cert-in.org.in/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Japan - JPCERT/CC. http://www.jpcert.or.jp/ Copyright 1996-2008 JPCERT/CC Al Rights Reserved
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Mxico UNAM-CERT. http://www.cert.org.mx/index.html Copyright Todos los derechos reservados, cert.org.mx. DSC/UNAM-CERT DGSCA No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Nueva Zelandia CCIP. http://www.ccip.govt.nz/ Except where specifica ly noted, al material on this site is Crown copyright. Material featured on this site is subject to Crown copyright protection unless otherwise indicated. The Crown copyright protected material may be reproduced free of charge in any format or media without requiring specific permission, provided that the material is reproduced accurately and is not further disseminated in any way, and on condition that the source of the material and its copyright status are acknowledged. The permission to reproduce Crown copyright protected material does not extend to any material on this site that is identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained from the copyright holders concerned. No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Holanda - GOVCERT.NL. http://www.govcert.nl/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Polonia - CERT Polska. http://www.cert.pl/ Copyright 2004 NASK No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Qatar - Q-CERT. http://www.qcert.orgv No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Reino Unido GovCertUK. www.govcertuk.gov.uk Crown Copyright 2008
Pgina 15 de 192
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Reino Unido GovCertUK. www.govcertuk.gov.uk The material featured on this site is subject to Crown Copyright protection unless otherwise indicated. The Crown Copyright protected material (other than CPNI logo and website design) may be reproduced free of charge in any format or medium provided it is reproduced accurately and not used in a misleading context. Where any of the Crown Copyright items on this site are being republished or copied to others, the source of the material must be identified and the copyright status acknowledged. The permission to reproduce Crown protected material does not extend to any material on this site which is identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained from the copyright holders concerned. For further information on Crown copyright policy and licensing arrangements, please refer to the guidance on OPSI's website at www.opsi.gov.uk/advice/crown-copyright/copyright-guidance/index.htm. No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Singapur SingCERT. http://www.singcert.org.sg/ 1. SingCERT Security Alerts (such as advisories and bu letins): Permission is granted to reproduce and distribute SingCERT security alerts in their entirety, provided the SingCERT PGP signature or the PGP signature of the original creator of the alerts is included and provided the alert is used for noncommercial purposes with the intent of increasing the awareness of the Internet community. 2. Al materials produced by SingCERT except as noted in Section 1, "SingCERT security alerts": Requests for permission to reproduce documents or Web pages or to prepare derivative works or external and commercial use should be addressed to SingCERT through email to cert@singcert.org.sgThis e-mail address is being protected from spam bots, you need JavaScript enabled to view it. Se solicita autorizacin. Sri Lanka SLCERT. http://www.cert.lk/ Copyright Reserved. Sri Lanka CERT. Website Material: Al material on this website is covered by copyright. No part may be re-produced or distributed by any process or means. Requests for permission to reproduce documents or Web pages or to prepare derivative works for external and commercial use should be addressed to Sri Lanka CERT through email to slcert@sl cert.gov.lk. Security Alerts: Permission is granted to reproduce and distribute Sri Lanka CERT security alerts such as advisories and bu letins in its entirety, provided the signature of the original creator of the alerts is included and provided the alert is used for non-commercial purposes. Se solicita autorizacin.
Pgina 16 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Tnez - CERT-TCC. http://www.ansi.tn/en/about_cert-tcc.htm Copyright 2006 ANSI No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Venezuela CERT.ve. http://www.cert.gov.ve/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
CIRTISI COLOMBIA. http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo %20de %202007%202.pdf No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
CSIRT Colombia. http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Solicitud de Autorizacin de uso y traduccin presentada a los diferentes organismos que as lo requieren: Ttulo: Permission to use and to make translations about CSIRT Solicitud: In order to design a CSIRT for the program Gobierno en Lnea (e-government) of Colombia, we want to identify a documented relation of national and international initiatives and experiences in CSIRTs. Then we request authorization to translate and to reproduce available information in your web page relating to precedents, offered services, structure of the CSIRT and area of coverage. The results wi l be compiled and presented in a technical paper "Design of a CSIRT for the Program Gobierno en Linea of Colombia " in the chapter " Documented Relation of National and International Experiences and Initiatives in CSIRTs ". Cordial greeting, Fernando Gaona
Pgina 17 de 192
Organizations Team Leader Project "Model of the Computer Security Management for e-Government" Telephone (+57 3164720780) Program "Agenda de Conectividad": http://www.agenda.gov.co/ Digiware: http://www.digiware.com.co/Digiware/index1.html
Pgina 18 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
CRDITOS
Este documento fue generado a partir de los resultados de la consultora llevada a cabo para el diseo del modelo de seguridad de la informacin para la Estrategia de Gobierno en Lnea. El desarrollo del proyecto estuvo a cargo del grupo de consultores contratados por Gobierno en Lnea y el aporte de los responsables de la supervisin del contrato y dems grupos asesores de la Estrategia de Gobierno en Lnea.
Pgina 19 de 192
El documento de Diseo de un CSIRT para la Estrategia de Gobierno en Lnea de Colombia est dirigido especialmente para las entidades pblicas y privadas, as como la comunidad acadmica que participen en la creacin del CSIRT Colombiano o demanden sus productos o servicios, as como la comunidad nacional e internacional relacionada con el tema de la seguridad de la informacin.
Pgina 20 de 192
INTRODUCCIN
Con el rpido desarrollo de internet, las diferentes entidades del pas son cada vez ms dependientes del uso de redes pblicas, volviendo crtica la proteccin de la estabilidad de la infraestructura nacional que componen la nueva e-economa emergente y as mismo es urgente. Los ataques contra la infraestructura computacional estn aumentando de frecuencia, en sofisticacin y en escala. Esta amenaza cada vez mayor requiere un acercamiento y colaboracin con las varias organizaciones pblicas, privadas y la academia, que tomen el papel de liderazgo y coordinacin con el apoyo total del gobierno tanto a nivel central como territorial. Para tratar esta necesidad urgente, se propone el establecimiento de un grupo CSIRT Colombiano que tendra un foco operacional en la atencin de emergencias de seguridad de la informacin para las transacciones en lnea del pas, con una permanente colaboracin nacional e internacional. CMO UTILIZAR ESTE DOCUMENTO El presente documento describe el modelo propuesto para la creacin de un Equipo de Respuesta a Incidentes de Seguridad de la Informacin - CSIRT Colombiano (por las siglas en ingls de Computer Security Incident Response Teams) considerando los siguientes aspectos: En el primer captulo se incluye un marco de referencia donde se define lo que es un CSIRT y algunos beneficios que conlleva. En el segundo captulo se hace una relacin de algunas iniciativas y experiencias nacionales e internacionales en CSIRTs consideradas para el desarrollo de este documento. En el tercer captulo se presenta una definicin general del CSIRT, el tipo de entidad que se recomienda constituir, su misin, visin, el portafolio de productos y servicios, y sus objetivos estratgicos. En el cuarto captulo se propone un potencial portafolio de productos y servicios que hagan auto sostenible la operacin del CSIRT Colombiano.
Pgina 21 de 192
En el quinto captulo se incluyen los procesos y procedimientos que sostengan la operacin de la entidad, haciendo una articulacin del modelo de seguridad con la NTC-GP 1000, MECI e ISO 9000. Su caracterizacin se presenta en el documento anexo. En el sexto captulo se hace una revisin del entorno del mercado que enfrentar el CSIRT. En el sptimo captulo se hace una recomendacin de indicadores y metas que, bajo el enfoque de la metodologa del Balanced Scorecard (Cuadro de Mando Integral), permitan su adecuado control y gestin. En el octavo captulo se incluye una propuesta de estructura organizacional con las competencias requeridas para cada rol, el modelo de contratacin y capacitacin del talento humano del CSIRT Colombiano. En el noveno captulo se sugieren las etapas para la conformacin del CSIRT en Colombia. En el dcimo captulo se elabora una propuesta de presupuesto de inversin y funcionamiento del CSIRT, teniendo en cuenta que sea auto sostenible en el mediano y largo plazo.
Pgina 22 de 192
1.
1.1. DEFINICIN
QU ES UN CSIRT
El trmino CSIRT significa Computer Security Incident Response Team (Equipo de Respuesta a Incidentes de Seguridad Informtica), y ha sido acuado respondiendo simultneamente a diferentes abreviaturas usadas para denotar a nivel mundial este tipo de equipos: CSIRT (Computer Security Incident Response Team / Equipo de Respuesta a Incidentes de Seguridad Informtica): Trmino usado en Europa. CERT o CERT/CC (Computer Emergency Response Team / Coordination Center, equipo de respuesta a emergencias informticas / Centro de coordinacin): Trmino registrado en los Estados Unidos de Amrica por el CERT Coordination Center (CERT/CC). IRT (Incident Response Team / Equipo de respuesta a incidentes). CIRT (Computer Incident Response Team / Equipo de respuesta a incidentes informticos). SERT (Security Emergency Response Team / Equipo de respuesta a emergencias de seguridad). Un CSIRT es un equipo de expertos en seguridad informtica que pretenden responder a los incidentes de seguridad relacionados con la tecnologa de la informacin y a recuperarse despus de sufrir uno de estos incidentes. Para minimizar los riesgos tambin se ofrecen servicios preventivos y educativos relacionados con vulnerabilidades de software, hardware o comunicaciones y se informa a la comunidad sobre los potenciales riesgos que toman ventaja de las deficiencias de la seguridad.
1.2. ANTECEDENTES
Durante la segunda mitad de los aos ochenta se vio la red Arpanet salir de la fase de I&D y convertirse en una realidad prctica bajo el impulso del mundo universitario y desarrollada por el DoD (el Departamento de Defensa estadounidense). La eficacia y la constante mejora de los distintos servicios, entre los cuales se cuenta el correo electrnico, rpidamente hicieron que esta red sea indispensable para numerosos sitios. En noviembre de 1988, un estudiante de la Universidad de Cornell lanz en esta red un programa que se propagaba y se replicaba solo. Este programa, conocido con el nombre de gusano de Internet, aprovechaba distintos fallos de seguridad del sistema Unix (el sistema operativo de la mayora de los computadores conectados en la red). Aunque no fue programado con malas intenciones, este primer virus informtico, se propag rpidamente obstruyendo al mismo tiempo las mquinas infectadas por mltiples
Pgina 23 de 192
copias del gusano. En ese entonces, la red constaba de aproximadamente 60.000 computadores. Con slo el 3 o 4 % de las mquinas contaminadas, la red estuvo totalmente indisponible durante varios das, hasta que se tomaron medidas cautelares (incluyendo la desconexin de numerosas mquinas de la red). Para eliminar este gusano de Internet, se cre un equipo de anlisis ad hoc con expertos del MIT, de Berkley, Purdue. Se reconstituy y analiz el cdigo del virus, lo cual permiti, por una parte, identificar y corregir los fallos del sistema operativo, y por otra parte, desarrollar y difundir mecanismos de erradicacin. Despus de este incidente, el director de obras de Arpanet, la DARPA (Defense Advanced Research Projects Agency), decidi instalar una estructura permanente, el CERT Coordination Center (CERT/CC) parecido al equipo reunido para resolver el incidente. Este incidente actu como una alarma e impuls la necesidad de cooperacin y coordinacin multinacional para enfrentarse este tipo de casos. En este sentido, la DARPA (Defence Advanced Research Projects Agency / Agencia de Investigacin de Proyectos Avanzados de Defensa) cre el primer CSIRT: El CERT Coordination Center (CERT/CC1), ubicado en la Universidad Carnegie Mellon, en Pittsburgh (Pensilvania, USA). Poco despus el modelo se adopt en Europa, y en 1992 el proveedor acadmico holands SURFnet puso en marcha el primer CSIRT de Europa, llamado SURFnet-CERT 2. El nmero de CSIRTs continu creciendo, cada uno con su propio propsito, financiacin, divulgacin y rea de influencia. La interaccin entre estos equipos experiment dificultades debido a las diferencias en lengua, zona horaria y estndares o convenciones internacionales. Siguieron otros muchos equipos, y en la actualidad existen ms de 100 equipos reconocidos alrededor del mundo. Con el tiempo, los CERT ampliaron sus capacidades y pasaron de ser una fuerza de reaccin a prestadores de servicios de seguridad completos que incluyen servicios preventivos como alertas, avisos de seguridad, formacin y servicios de gestin de la seguridad. Pronto el trmino CERT se consider insuficiente, y a finales de los aos noventa se acu el trmino CSIRT. En la actualidad, ambos trminos (CERT y CSIRT) se usan como sinnimos. Internet comenz su vertiginoso crecimiento y muchas compaas comenzaron a confiar en Internet sus transacciones diarias. As mismo, los CSIRTs continuaron creciendo alrededor del globo, soportando gobiernos enteros u organizaciones multinacionales. Desde ese entonces, Internet ha seguido creciendo hasta llegar a ser la red que se conoce actualmente, con una multiplicacin rpida de las mquinas conectadas (varios millones) y de las fuentes de agresin.
CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute - Carnegie
Pgina 24 de 192
Pgina 25 de 192
2.
http://www.cert.org/
http://www.cert.org/
Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General en temas de CSIRT
http://www.cert.org/
http://www.cert.org/
csirt.es.html http://www.tesink.org/thesis.pd f
Pgina 26 de 192
Nombre del Documento Through Standardized and Secured Information Exchange Limits to Effectiveness in Computer Security Incident Response Teams eCSIRT.net Deliverable Common Language Specification & Guideline to Application of the Common Language part (i) eCSIRT.net Deliverable1 Guideline to Application of the Common Language part (ii) Seguridad Informtica para Administradores de Redes y Servidores Seguridad Informtica para Administradores de Redes y Servidores Helping prevent information security risks in the transition to integrated operations State of the Practice of Computer Security Incident Response Teams (CSIRTs) Expectations for Computer Security Incident Response Site Security Handbook Guidelines for Evidence Collection and Archiving
Resumen
Enlace
Fuente
https://www.cert.org/archive/p df/Limits-to-CSIRTEffectiveness.pdf
Limits-to-CSIRTEffectiveness.pdf
http://www.ecsirt.net/cec/servi ce/documents/wp2-commonlanguage.pdf
wp2-commonlanguage.pdf
http://www.ecsirt.net/cec/servi ce/documents/wp2-and-3guideline.pdf
wp2-and-3-guideline.pdf
Seg-adm-6p.pdf
Seguridad%20para%20A dministradores.pdf
Page_029-037.pdf
Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General en temas de CSIRT
03tr001 - State of the Practice of Computer Security Incident Response Teams.pdf http://www.ietf.org/rfc/rfc2350. txt Expectations for Computer Security Incident Response.doc http://www.ietf.org/rfc/rfc2196. txt Site Security Handbook.doc http://www.rediris.es/cert/links/ csirt.es.html http://www.ietf.org/rfc/rfc3227. txt Guidelines for Evidence Collection and Archiving.doc
Pgina 27 de 192
Nombre del Documento Why do I need a CSIRT? Description of the different kinds of CSIRT environments Informe del relator del sptimo perodo ordinario de sesiones del Comit Interamericano Contra el Terrorismo Adopcin de una estrategia interamericana integral para combatir las amenazas a la seguridad ciberntica: Un enfoque multidimensional y multidisciplinario para la creacin de una cultura de seguridad ciberntica Puesta en marcha del CSIRT y Gestin de Seguridad de la Informacin de ANTEL FIRST - Forum for Incident Response and Security Teams ENISA - European Network and Information Security Agency APCERT (Asia Pacific Computer Emergency Response Team) CERT Coordination Center de la Universidad Carnegie Mellon Alemania - CERTBund Arabia Saudita -
http://scm.oas.org/pdfs/2007/C ICTE00188E.pdf
http://dgpt.sct.gob.mx/fileadmi n/ccp1/redes/doc._472-04.doc
doc._472-04.doc
Antel.pdf
http://www.first.org/
Pgina Web
http://www.enisa.europa.eu/cer t Pgina Web guide/downloads/CSIRT setti ng up guide ENISA-ES.pdf http://www.apcert.org/ Pgina Web
http://www.cert.org/
Pgina Web
Resumen Nombre del Documento Mundo CERT-SA (Computer Emergency Response Team - Saudi Arabia) Argentina - ArCERT Experiencias en el (Computer Emergency Mundo Response Team of the Argentine Public) Australia - AusCERT (Australia Computer Emergency Response Team) Austria - CERT.at (Computer Emergency Response Team Austria) Brasil - CERT.br (Computer Emergency Response Team Brazil) Canad PSEPC (Public Safety Emergency Preparedness Canada) Chile CSIRT-GOV Chile - CLCERT China - CNCERT/CC (National Computer Network Emergency Response Technical Team) Corea del Sur -KrCERT/CC (CERT Coordination Center Korea) Dinamarca DK.CERT (Danish Computer Emergency Response Team) Emiratos rabes Unidos aeCERT (The United Arab Emirates Computer Experiencias en el Mundo
Enlace
Fuente
http://www.arcert.gov.ar/
Pgina Web
http://www.auscert.org.au/
Pgina Web
Experiencias en el Mundo
www.cert.at
Pgina Web
Experiencias en el Mundo
http://www.cert.br
Pgina Web
Experiencias en el Mundo
http://www.psepcsppcc.gc.ca/prg/em/ccirc/indexen.asp
Pgina Web
Experiencias en el Mundo
http://www.krcert.or.kr/
Pgina Web
Experiencias en el Mundo
https://www.cert.dk/
Pgina Web
Experiencias en el Mundo
http://www.aecert.ae/
Pgina Web
Pgina 29 de 192
Nombre del Documento Emergency Response Team) Espaa - ESCERT (Equipo de Seguridad para la Coordinacin de Emergencias en Redes Telemticas) Espaa IRIS-CERT (Universidades) Espaa - CCN-CERT (Cryptology National Center - Computer Security Incident Response Team) Espaa - INTECOCERT (Centro de Respuestas a Incidentes en TI para PYMES y Ciudadanos) Estados Unidos - USCERT (United States -Computer Emergency Readiness Team) Estonia CERT-EE Filipinas - PH-CERT (Philippines Computer Emergency Response Team) Francia-CERTA (Centre d'Expertise Gouvernemental de Rponse et de Traitement des Attaques informatiques) Hong Kong - HKCERT (Hong Kong Computer Emergency Response Coordination Centre) Hungra - CERTHungria India - CERT-In Japan - JPCERT/CC
Resumen
Enlace
Fuente
Experiencias en el Mundo
http://www.rediris.es/cert/ https://www.ccn-cert.cni.es/
Experiencias en el Mundo
http://www.inteco.es/rssRead/S eguridad/INTECOCERT
Pgina Web
Experiencias en el Mundo
http://www.us-cert.gov
Pgina Web
http://www.ria.ee/?id=28201 http://www.phcert.org/
Experiencias en el Mundo
http://www.certa.ssi.gouv.fr/
Pgina Web
Experiencias en el Mundo
http://www.hkcert.org/
Pgina Web
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Nombre del Documento (JP CERT Coordination Center) Mxico UNAM-CERT Nueva Zelandia CCIP (Centre for Critical Infrastructure Protection) Holanda -GOVCERT.N L Polonia - CERT Polska (Computer Emergency Response Team Polska) Qatar - Q-CERT (Qatar CERT) Reino Unido -GovCertUK
Enlace
Fuente
http://www.govcert.nl/ http://www.cert.pl/
Tnez - CERT-TCC (Computer Emergency Response Team Tunisian Coordination Center) Venezuela CERT.ve Experiencias en el (VenCERT - Centro de Mundo Respuestas ante Incidentes Telemticos del Sector Pblico) EXPERIENCIAS o antecedentes EN COLOMBIA Comit Interamericano Contra el Terrorismo de la OEA (CICTE) CSIRT COLOMBIA Experiencias en el Mundo Experiencias en el Mundo
Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo
Pgina Web Pgina Web Pgina Web Pgina Web Pgina Web Pgina Web
http://www.cert.gov.ve/
Pgina Web
Developing an
http://www.udistrital.edu.co/co munidad/grupos/arquisoft/colcsi rt/?q=colcsirt http://www.cicte.oas.org/Rev/E S/Events/Cyber Events/CSIRT %20training%20course Colom bia.asp http://www.udistrital.edu.co/co munidad/grupos/arquisoft/colcsi rt/?q=colcsirt http://www.securityfocus.com/i
Pgina 31 de 192
Pgina Web
Developing an Effective
Nombre del Documento Effective Incident Cost Analysis Mechanism Incident Cost Analysis and Modeling Project Incident Cost Analysis and Modeling Project ICAMP II Defining Incident Management Processes for CSIRTs Benchmarking CSIRT work Processes
Enlace
Aspectos Financieros de un CSIRT Aspectos Financieros de un CSIRT Procesos de un CSIRT Procesos de un CSIRT
ICAMPReport2.pdf
How to Design a Useful Incident Response Policy Effectiveness of Proactive CSIRT Services Recommended Internet Service Provider Security Services and Procedures CSIRT Services List ENISA - Possible services that a CSIRT can deliver Organizational Models for Computer Security Incident Response Teams (CSIRTs) Organizational Models for Computer Security Incident Response Teams Staffing Your Computer Security Incident Response Team
04tr015 - Defining Incident Management Processes for CSIRTs.pdf Kjrem - Benchmarking CSIRT work processes.pdf
How to Design a Useful Incident Response Policy.doc http://www.first.org/conference / kossakowski-klaus2006/papers/kossakowski-klaus- papers.pdf papers.pdf http://www.ietf.org/rfc/rfc3013. txt Recommended Internet Service Provider Security Services and Procedures.doc http://www.cert.org/ http://www.enisa.europa.eu/cer t_guide/pages/05_02.htm http://www.rediris.es/cert/links/ csirt.es.html CSIRT-services-list.pdf ENISA - Possible services that a CSIRT can deliver.doc 03hb001 - Organizational Models for Computer Security Incident Response Teams (CSIRTs) Organizational Models for Computer Security Incident Response Teams.doc Staffing Your Computer Security Incident Response Team.doc
Estructura de un CSIRT
Estructura de un CSIRT
Pgina 32 de 192
Nombre del Documento CERT-FI First 12 months A step-by-step approach on how to set up a CSIRT Steps for Creating National CSIRTs Action List for Developing a CSIRT ENISA - Cmo crear un CSIRT paso a paso
Enlace
Fuente
huopio-certfi.pdf http://www.terena.org/activities /tf-csirt/meeting8/huopio-certfi.pdf http://www.enisa.europa.eu/do enisa_csirt_setting_up_g c/pdf/deliverables/enisa csirt s uide.pdf etting_up_guide.pdf f/NationalCSIRTs.pdf http://www.cert.org/ NationalCSIRTs.pdf
Action List for Developing a CSIRT.pdf http://www.enisa.europa.eu/cer t CSIRT setting up _guide guide/downloads/CSIRT setti ng _ENISA-ES.pdf up _guide ENISA-ES.pdf
El Foro de Equipos de Seguridad para Respuesta a Incidentes - FIRST es la primera organizacin global reconocida en respuesta a incidentes, tanto de manera reactiva como proactiva. FIRST fue formado en 1990 en respuesta al problema del gusano de internet que atac en 1988. Desde entonces, ha continuado creciendo y desarrollndose en respuesta a las necesidades que cambiaban de los equipos de la respuesta y de la seguridad del incidente. 2.1.1.2. Servicios Ofrecidos
FIRST rene una variedad de equipos de respuesta de incidentes de seguridad informtica para entidades gubernamentales, comerciales y acadmicas. FIRST busca fomentar la cooperacin y coordinacin en la prevencin de incidentes, estimular la reaccin rpida a los incidentes y promover el compartir informacin entre los miembros y la comunidad. FIRST proporciona adicionalmente servicios de valor agregado tales como: Acceso a documentos actualizados de mejores prcticas. Foros tcnicos para expertos en seguridad informtica.
Tomado de: http://www.first.org/. U.A: 2008/09/26. Publicado por: FIRST.ORG, Inc. Autor: No determinado.
Pgina 33 de 192
2.1.1.3.
Estructura
FIRST funciona bajo de un marco operacional, que contiene los principios que gobiernan y las reglas de funcionamiento de alto nivel para la organizacin. Sin embargo, FIRST no ejercita ninguna autoridad sobre la organizacin y la operacin de los equipos individuales miembros. Comit de Direccin: El Comit de Direccin es un grupo de individuos responsables de la poltica de funcionamiento general, de procedimientos y de materias relacionadas que afectan a FISRT en su totalidad. Nombre Derrick Scholl (Chair) Ken van Wyk (Vice-Chair) Chris Gibson (Treasurer) Peter Allor Yurie Ito Scott McIntyre Francisco Jesus Monserrat Coll Tom Mullen Steve Adegbite Arnold Yoon Entidad Sun Microsystems, USA KRvW Associates, LLC, USA Citigroup, USA/UK IBM ISS, USA JPCERT/CC, Japan KPN-CERT, NL RedIRIS, Spain British Telecom, UK Microsoft, USA KrCERT/CC, Korea Vigencia 2008-2010 2007-2009 2008-2010 2008-2010 2007-2009 2008-2010 2007-2009 2007-2009 2008-2010 2007-2009
Junta Directiva: La Junta Directiva es un grupo de individuos responsables de la poltica de funcionamiento general, de procedimientos, y de materias relacionadas que afectan la organizacin FIRST en su totalidad. Secretara: La secretara sirve como punto administrativo para FIRST y proporciona un contacto general. Equipos Miembros: Los equipos de la respuesta del incidente que participan en FIRST representan las organizaciones que asisten a la comunidad de la tecnologa de informacin o a entidades gubernamentales que trabajan en la prevencin y manipulacin de incidentes de seguridad informtica. Enlaces: Individuos o representantes de organizaciones con excepcin de los equipos CSIRT que tienen un inters legtimo en y lo valoran a FIRST. Comits: El Comit de Direccin de FIRST establece los comits temporales ad hoc requeridos para alcanzar mejor las metas.
Pgina 34 de 192
2.1.1.4.
rea de Influencia
FIRST est una confederacin internacional de los equipos de respuesta a incidente informticos que de manera cooperativa manejan incidentes de la seguridad y promueven programas de la prevencin del incidente, anima y promueve el desarrollo de productos, polticas y servicios de la seguridad, desarrolla y promulga las mejores prcticas de la seguridad y promueve la creacin y expansin de los equipos de incidente alrededor del mundo. Los miembros de FIRST desarrollan y comparten informacin tcnica, herramientas, metodologas, procesos y mejores prcticas y utilizan su conocimiento, habilidades y experiencia combinados para promover un ambiente electrnico global ms seguro. FIRST tiene actualmente ms de 180 miembros, extienda por frica, las Amricas, Asia, Europa y Oceana. Los siguientes son los equipos CSIRT distribuidos alrededor del mundo, donde Colombia an no hace parte:
Ilustracin 1: Pases con CSIRTs Miembros de FIRST CSIRT AAB GCIRT ACERT ACOnet-CERT AFCERT ARCcert ASEC AT&T AboveSecCERT Apple Nombre Oficial del CSIRT ABN AMRO Global CIRT Army Emergency Response Team ACOnet-CERT Air Force CERT The American Red Cross Computer Emergency Response Team AhnLab Security E-response Center AT&T Above Security Computer Emergency Response Team Apple Computer
Pgina 35 de 192
CSIRT ArCERT AusCERT Avaya-GCERT BCERT BELNET CERT BFK BIRT BMO ISIRT BP DSAC BTCERTCC BadgIRT Bell IPCR Bunker CAIS/RNP CARNet CERT CC-SEC CCIRC CCN-CERT CERT POLSKA CERT TCC CERT-Bund CERT-FI CERT-Hungary CERT-IT CERT-In CERT-Renater CERT-TCC CERT-VW CERT.at CERT.br CERT/CC CERTA CERTBw CFC CGI CIRT CIAC CLCERT CMCERT/CC
Nombre Oficial del CSIRT Computer Emergency Response Team of the Argentine Public Administration Australian Computer Emergency Response Team Avaya Global Computer Emergency Response Team Boeing CERT BELNET CERT BFK edv consulting BrandProtect IRT BMO InfoSec Incident Response Team BP Digital Security Alert Centre British Telecommunications CERT Co-ordination Centre University of Wisconsin-Madison Bell Canada Information Protection Centre (IPC) Response The Bunker Security Team Brazilian Academic and Research Network CSIRT CARNet CERT Cablecom Security Team Canadian Cyber Incident Response Centre CCN-CERT (Spanish Governmental National Cryptology Center -Computer Security Incident Response Team) Computer Emergency Response Team Polska TDBFG Computer Security Incident Response Team CERT-Bund CERT-FI Hungarian governmental Computer Emergency Response Team CERT Italiano Indian Computer Emergency Response Team CERT-Renater Computer Emergency Response Team Tunisian Coordination Center CERT-VW CERT.at Computer Emergency Response Team Brazil CERT Coordination Center CERT-Administration Computer Emergency Response Team Bundeswehr Cyber Force Center CGI Computer Incident Response Team US Department of Energy's Computer Incident Advisory Capability Chilean Computer Emergency Response Team China Mobile Computer Network Emergency Response Technical Team /Coordination Center
Pgina 36 de 192
CSIRT CNCERT/CC CSIRT ANTEL CSIRT Banco Real CSIRT.DK CSIRTUK Cert-IST Cisco PSIRT Cisco Systems Citi CIRT ComCERT CyberCIRT DANTE DCSIRT DFN-CERT DIRT DK-CERT E-CERT EDS EMC ESACERT ETISALAT-CERT EWA-Canada/CanCERT EYCIRT Ericsson PSIRT FSC-CERT FSLabs Funet CERT GD-AIS GIST GNS-Cert GOVCERT.NL GTCERT Goldman Sachs GovCertUK HIRT HKCERT HP SSRT IBM IIJ-SECT
Nombre Oficial del CSIRT National Computer Network Emergency Response Technical Team / Coordination Center of China ANTEL's Computer and Telecommunications Security Incident Response Centre Real Bank Brazil Security Incident Response Team Danish Computer Security Incident Repsonse Team CSIRTUK CERT France Industries, Services & Tertiaire Cisco Systems Product Security Incident Response Team Cisco Systems CSIRT Citi CIRT Commerzbank CERT Cyberklix Computer Incident Response Team Delivery of Advanced Network Technology to Europe Limited Diageo CSIRT DFN-CERT DePaul Incident Response Team Danish Computer Emergency Repsonse Team Energis Computer Emergency Response Team EDS EMCs Product Security Response Center ESA Computer and Communications Emergency Response Team ETISALAT Computer Emergency Response EWA-Canada / Canadian Computer Emergency Response Team Ernst & Young Computer Incident Response Team Ericsson Product Security Incident Response Team CERT of Fujitsu-Siemens Computers F-Secure Security Labs Funet CERT General Dynamics AIS Google Information Security Team GNS-Cert GOVCERT.NL Georgia Institute of Technology CERT Goldman, Sachs and Company CESGs Government Computer Emergency Response Team Hitachi Incident Response Team Hong Kong Computer Emergency Response Team Coordination Centre HP Software Security Response Team IBM IIJ Group Security Coordination Team
Pgina 37 de 192
CSIRT ILAN-CERT ILGOV-CERT ING Global CIRT IP+ CERT IPA-CERT IRIS-CERT IRS CSIRC Infosec-CERT Intel FIRST Team JANET CSIRT JPCERT/CC JPMC CIRT JSOC Juniper SIRT KFCERT KKCSIRT KMD IAC KN-CERT KPN-CERT KrCERT/CC LITNET CERT MCERT MCI MCIRT MFCIRT MIT Network Security MLCIRT MODCERT MSCERT MyCERT NAB ITSAR NASIRC NCIRC CC NCSA-IRST NCSIRT NGFIRST NIHIRT NISC NIST NN FIRST Team
Nombre Oficial del CSIRT Israeli Academic CERT Israel governmental computer emergency response team ING Global CIRT IP-Plus CERT IPA-CERT IRIS-CERT IRS (Internal Revenue Service) Computer Security Incident Response Team Infosec Computer Emergency Response Team Intel FIRST Team JANET CSIRT JPCERT Coordination Center JPMorgan Chase Computer Incident Response Team Japan Security Operation Center Juniper Networks Security Incident Response team Korea Financial Computer Emergency Response Team Kakaku.com Security Incident Response Team KMD Internet Alarm Center Korea National Computer Emergency Response Team Computer Emergency Response Team of KPN KrCERT/CC LITNET CERT Motorola Cyber Emergency Response Team MCI, Inc. Metavante Computer Incident Response Team McAfee Computer Incident Response Team Massachusetts Institute of Technology Network Security Team Merrill Lynch Computer Security Incident Response Team MOD Computer Emergency Response Team Microsoft Product Support Services Security Team Malaysian Computer Emergency Response Team National Australia Bank - IT Security Assessments and Response NASA Incident Response Center NATO Computer Incident Response Capability - Coordination Center National Center for Supercomputing Applications IRST NRI SecureTechnologies Computer Security Incident Response Team Northrop Grumman Corporation FIRST NIH Incident Response Team National Information Security Center NIST IT Security Nortel FIRST Team
Pgina 38 de 192
CSIRT NORDUnet NTT-CERT NU-CERT NUSCERT Nokia-NIRT NorCERT ORACERT OS-CIRT OSU-IRT OxCERT PRE-CERT PSU Pentest Q-CERT Q-CIRT RBC FG CSIRT RBSG RM CSIRT RU-CERT RUS-CERT Ricoh PSIRT S-CERT SAFCERT SAIC-IRT SAP CERT SBCSIRT SGI SI-CERT SIRCC SITIC SKY-CERT SLCERT SUNet-CERT SURFcert SWAT SWITCH-CERT SWRX CERT Secunia Research Siemens-CERT
Nombre Oficial del CSIRT NORDUnet NTT Computer Security Incident Response and Readiness Coordination Team Northwestern University NUS Computer Emergency Response Team Nokia Incident Response Team Norwegian Computer Emergency Response Team Oracle Global Security Team Open Systems AG Computer Incident Response Team The Ohio State University Incident Response Team Oxford University IT Security Team PRE-CERT Pennsylvania State University Pentest Security Team Qatar CERT QinetiQ Computer Incident Response Team RBC Financial Group CSIRT Royal Bank of Scotland, Investigation and Threat Management ROYAL MAIL CSIRT CC Computer Security Incident Response Team RU-CERT Stabsstelle DV-Sicherheit der Universitaet Stuttgart Ricoh Product Security Incident Response Team CERT of the German Savings Banks Organization Singapore Armed Forces Computer Emergency Response Team Science Applications International Corporation - Incident Response Team SAP AG CERT Softbank Telecommunications Security Incident Response Team Silicon Graphics, Inc. Slovenian CERT Security Incident Response Control Center Swedish IT Incident Centre Skype Computer Emergency Response Team Sri Lanka Computer Emergency Response Team SUNet-CERT SURFcert A.P.Moller-Maersk Group IT-Security SWAT Swiss Education and Research Network CERT SecureWorks Computer Emergency Response Team Secunia Research Siemens-CERT
Pgina 39 de 192
CSIRT SingCERT Sprint Stanford Sun SymCERT TERIS TESIRT TS-CERT TS/ICSA FIRST TWCERT/CC TWNCERT Team Cymru Telekom-CERT ThaiCERT UB-First UCERT UGaCIRT UM-CERT UNAM-CERT UNINETT CERT US-CERT Uchicago Network Security VISA-CIRT VeriSign YIRD dCERT dbCERT e-Cop e-LC CSIRT esCERT-UPC secu-CERT
Nombre Oficial del CSIRT Singapore CERT Sprint Stanford University Information Security Services Sun Microsystems, Inc. Symantec Computer Emergency Response Team Telefonica del Peru Computer Security Incidents Response Team TELMEX Security Incident Response Team TeliaSoneraCERT CC TruSecure Corporation Taiwan Computer Emergency Response Team/Coordination Center Taiwan National Computer Emergency Response Team Team Cymru Telekom-CERT Thai Computer Emergency Response Team UB-First Unisys CERT The University of Georgia Computer Incident Response Team University of Michigan CERT UNAM-CERT UNINETT CERT United States Computer Emergency Readiness Center The University of Chicago Network Security Center VISA-CIRT VeriSign Yahoo Incident Response Division debis Computer Emergency Response Team Deutsche Bank Computer Emergency Response Team e-Cop Pte Ltd e-LaCaixa CSIRT CERT for the Technical University of Catalunya SECUNET CERT
Pgina 40 de 192
El 10 de marzo de 2004 se cre una Agencia Europea de Seguridad de las Redes y de la Informacin (ENISA)5. Su objetivo era garantizar un nivel elevado y efectivo de seguridad de las redes y de la informacin en la Comunidad Europea y desarrollar una cultura de la seguridad de las redes y la informacin en beneficio de los ciudadanos, los consumidores, las empresas y las organizaciones del sector pblico de la Unin Europea, contribuyendo as al funcionamiento armonioso del mercado interior. Desde hace varios aos, diferentes grupos europeos dedicados a la seguridad, como los CERT/CSIRT, los equipos de deteccin y respuesta a abusos y los WARP, colaboran para que Internet sea ms seguro. La ENISA desea apoyar el esfuerzo realizado por estos grupos aportando informacin acerca de las medidas que garantizan un nivel adecuado de calidad de los servicios. Adems, la Agencia desea potenciar su capacidad de asesorar a los Estados miembros de la UE y los rganos comunitarios en cuestiones relacionadas con la cobertura de grupos especficos de usuarios de las TI con servicios de seguridad adecuados. Por lo tanto, basndose en los resultados del grupo de trabajo ad-hoc de cooperacin y apoyo a los CERT, creado en 2005, este nuevo grupo de trabajo se encargar de asuntos relativos a la prestacin de servicios de seguridad adecuados (servicios de los CERT) a grupos de usuarios especficos. 2.1.2.2. Servicios Ofrecidos
Para asegurar el cumplimiento de sus objetivos segn lo precisado en su regulacin, las tareas de la agencia se enfocan en: Asesorar y asistir a los Estados miembro en temas de seguridad de la informacin y a la industria en problemas de seguridad relacionados con sus productos de hardware y de software. Recopilar y analizar datos sobre incidentes de la seguridad en Europa y riesgos emergentes. Promover mtodos de gestin de riesgo de la seguridad de la informacin. Los principales servicios que promueven son:
Reglamento (CE) n 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la
Agencia Europea de Seguridad de las Redes y de la Informacin. Una agencia europea es un rgano creado por la UE para realizar una tarea tcnica, cientfica o de gestin muy concreta perteneciente al mbito comunitario de la UE.
Pgina 41 de 192
Servicios Reactivos Alertas y advertencias Tratamiento de incidentes Anlisis de incidentes Apoyo a la respuesta a incidentes Coordinacin de la respuesta a incidentes Respuesta a incidentes in situ Tratamiento de la vulnerabilidad Anlisis de la vulnerabilidad Respuesta a la vulnerabilidad Coordinacin de la respuesta a la vulnerabilidad
Servicios Proactivos Comunicados Observatorio de tecnologa Evaluaciones o auditoras de la seguridad Configuracin y mantenimiento de la seguridad Desarrollo de herramientas de seguridad Servicios de deteccin de intrusos Difusin de informacin relacionada con la seguridad
Manejo de Instancias Anlisis de instancias Respuesta a las instancias Coordinacin de la respuesta a las instancias
Gestin de la Calidad de la Seguridad Anlisis de riesgos Continuidad de la operacin y recuperacin tras un desastre Consultora de seguridad Sensibilizacin Educacin / Formacin Evaluacin o graduacin de productos
Pgina 42 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
2.1.2.3.
Estructura
ENISA cubre la Comunidad Econmica Europea y sus pases miembros son: Austria, Blgica, Bulgaria, Chipre, Repblica Checa, Dinamarca, Estonia, Finlandia, Francia, Alemania, Grecia, Hungra, Irlanda, Italia, Latvia, Lituania, Luxemburgo, Malta, Pases Bajos, Polonia, Portugal, Rumania, Eslovaquia, Eslovenia, Espaa, Suecia, Reino Unido, Noruega, Islandia, Liechtenstein.
Pgina 43 de 192
2.1.3. APCERT6 - ASIA PACIFIC COMPUTER EMERGENCY RESPONSE TEAM 2.1.3.1. Antecedentes
APCERT ha sido constituida con la misin de mantener una red de contactos de expertos en seguridad informtica en la regin Pacfica de Asia, para mejorar el conocimiento y la capacidad de la regin en lo referente a incidentes de la seguridad de la computadora. 2.1.3.2. Servicios Ofrecidos
Impulsar la cooperacin regional e internacional de Asia pacfica en seguridad de la informacin. Tomar medidas comunes para atender incidentes de seguridad de la red. Facilitar compartir informacin e intercambio de tecnologa, relacionada con seguridad de la informacin, virus informticos y cdigo malvolo, entre sus miembros. Promover la investigacin y colaboracin en temas del inters en sus miembros. Asistir a otros CERTs y CSIRTS en la regin para conducir respuestas eficiente y eficaz a emergencia computacionales. Generar recomendaciones de ayudar en cuestiones legales relacionadas con la respuesta a incidentes de seguridad y de emergencias informticas en la regin. 2.1.3.3. Estructura
Miembros de pleno derecho Equipo AusCERT BKIS CCERT CERT-En CNCERT/ CC HKCERT ID-CERT JPCERT /CC
6
Nombre oficial del equipo Australian Computer Emergency Response Team Bach Khoa Internetwork Security Center CERNET Computer Emergency Response Team Indian Computer Emergency Response Team National Computer network Emergency Response technical Team / Coordination Center of China Hong Kong Computer Emergency Response Team Coordination Centre Indonesia Computer Emergency Response Team Japan Computer Emergency Response Team /
Economa Australia Vietnam Repblica Popular de China India Repblica Popular de China Hong Kong, China Indonesia Japn
Tomado de: http://www.apcert.org/. U.A: 2008/09/26. Publicado por: APCERT. Autor: No determinado.
Pgina 44 de 192
Nombre oficial del equipo Coordination Center Korea Internet Security Center Malaysian Computer Emergency Response Team Philippine Computer Emergency Response Team Singapore Computer Emergency Response Team Thai Computer Emergency Response Team Taiwan Computer Emergency Response Team / Coordination Center Taiwan National Computer Emergency Response Team
Economa Corea Malasia Filipino Singapur Tailandia Taipei china Taipei china
Miembros Generales Equipo BP DSIRT BruCERT GCSIRT NUSCERT SLCERT VNCERT 2.1.3.4. Nombre oficial del equipo BP Digital Security Incident Response Team Brunei Computer Emergency Response Team Government Computer Security and Incident Response Team National University of Singapore Computer Emergency Response Team Sri Lanka Computer Emergency Response Team Vietnam Computer Emergency Response Team rea de Influencia Economa Singapur Negara Brunei Darussalam Filipinas Singapur Sri Lanka Vietnam
El equipo del CERT CSIRT ayuda a organizaciones para desarrollar, para funcionar, y para mejorar capacidades de la gerencia del incidente. Las organizaciones pueden aprovecharse de los productos, del entrenamiento, de los informes, y de los talleres para la comunidad global del Internet. El centro de coordinacin del CERT (CERT/CC), es uno de los grupos con mayor reconocimiento en el campo de los CERTs. Aunque fue establecido como equipo de respuesta a incidente, el CERT/CC se ha desarrollado ms all, centrndose en identificar las amenazas potenciales, de notificar a los
CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute - Carnegie
Pgina 45 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
administradores de sistemas y al personal tcnico acerca de dichas amenazas y de coordinar con los proveedores y los equipos CERT en todo el mundo para tratar las amenazas. 2.1.4.2. Servicios Ofrecidos
Anlisis de vulnerabilidades, esperando identificar y atenuar los impactos antes de que se conviertan en una amenaza significativa de la seguridad. Una vez que se identifica una vulnerabilidad, se trabaja con los proveedores apropiados de la tecnologa para resolver la accin. Adems de identificar vulnerabilidades, previenen la introduccin de nuevas amenazas, estableciendo prcticas que los proveedores pueden utilizar mejorar la seguridad y la calidad de su software. Promueven el desarrollo de una capacidad global de la respuesta, ayudando a organizaciones y a pases a establecer los Equipos de Respuesta a Incidente de la Seguridad Informtica (CSIRTs) y trabajan con los equipos existentes para coordinar la comunicacin y la respuesta durante acontecimientos importantes de seguridad. Examinan, catalogan y hacen ingeniera inversa sobre cdigos malvolos. Estas actividades ayudan a entender mejor cmo el cdigo trabaja y permiten que se identifiquen las tendencias y los patrones que pueden revelar vulnerabilidades explotables u otras amenazas potenciales. Promueven el intercambio de informacin referente a los servicios de seguridad: Avisos de prevencin Actualizaciones de las actividades de seguridad Anlisis y entrenamiento en incidentes Alertas Investigacin en tendencias, amenazas y riesgos Generan intercambios Tcnicos Consultora, entrenamiento y desarrollo de habilidades tcnicas. Intercambios tcnicos de personal o afiliados residentes Herramienta de desarrollo y ayuda
Pgina 46 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Red de supervisin y anlisis Evalan la madurez y capacidad del CSIRT Interactan para el patrocinio de FIRST y presentacin a otras organizaciones y socios estratgicos Hacen anlisis de la infraestructura crtica Estructura
2.1.4.3.
El Carnegie Mellon CyLab es una iniciativa universitaria, multidisciplinaria que implica ms de 200 facultades, estudiantes, y personal en Carnegie Mellon que han construido el liderazgo en tecnologa de informacin de Carnegie Mellon. Los trabajos de CyLab se centran en la coordinacin del CERT (CERT/CC), el conducir un centro reconocido internacionalmente de seguridad de Internet. A travs de su conexin al CERT/CC, CyLab tambin trabaja de cerca con US-CERT - una sociedad entre el departamento de la divisin nacional de la seguridad de la Ciberseguridad del gobierno (NCSD) y del sector privado, protegiendo la infraestructura nacional de la informacin en Estados Unidos. 2.1.4.4. rea de Influencia
ESgfeiiSl
i
9 S
99^
* ^ 0V
5>
(--. *
La Asociacin Trans Europea de Redes de Investigacin y Educacin TERENA (Trans-European Research and Education Networking Association) ofrece un foro de colaboracin, innovacin y compartir conocimiento para fomentar el desarrollo de la tecnologa, de la infraestructura y de los servicios del Internet que se utilizan por la comunidad de Investigacin y educacin. Los objetivos de TERENA se orientan a promover y participar en el desarrollo de informacin de alta calidad y de una infraestructura de telecomunicaciones internacionales en beneficio de la investigacin y de la educacin. 2.1.5.2. Servicios Ofrecidos
Las principales actividades de TERENA son: Proveer un ambiente de fomento de nuevas iniciativas en la investigacin en la comunidad europea para el establecimiento de una red de conocimiento. Empalmar el soporte europeo para evaluar, probar, integrar y promover nuevas tecnologas del establecimiento de una red de conocimiento. Organizar conferencias, talleres y seminarios para el intercambio de la informacin en Comunidad europea para el establecimiento de una red de investigacin y buscar transferencia del conocimiento a organizaciones menos avanzadas. Junto con FIRST, TERENA organiza regularmente talleres de entrenamiento para los miembros de los Equipos de Respuesta al incidente de Seguridad Computacional (CSIRTs), con base en materiales desarrollados originalmente por el proyecto TRANSITS que funcion entre 2002 y 2005. TRANSITS era originalmente un proyecto financiado por la Comunidad Econmica Europea para promover el establecimiento de los equipos de la respuesta del incidente de la seguridad de la computadora (CSIRTs) tratando el problema de la escasez del personal experto en CSIRTs. Esta meta ha sido tratada proporcionando cursos de especializacin al personal de CSIRTs en temas organizacionales, operacionales, tcnicos, de mercado y temas legales implicados en el establecimiento de un CSIRT. Desde que el proyecto TRANSITS termin en septiembre de 2005, TERENA y FIRST unieron sus fuerzas para organizar talleres a travs de Europa, con la ayuda de ayuda financiera de varias organizaciones. Los talleres ms recientes han sido co-organizados y patrocinados por ENISA.
Tomado de: http://www.terena.org/. U.A: 2008/09/26. Publicado por: Terena. Autor: No determinado.
Pgina 48 de 192
2.1.5.3.
Estructura
La estructura de TERENA incluye: Asamblea General de TERENA Asamblea General Representantes Comit ejecutivo Tcnico de TERENA Comit Tcnico de TERENA Consejo Consultivo Tcnico Secretara 2.1.5.4. rea de Influencia FCCN, Portugal FUNET, Finland GARR, Italy GRNET, Greece MREN, Montenegro PCSS, Poland RedIRIS, Spain RENATER, France RESTENA, Luxembourg RHnet, Iceland RoEduNet, Romania SANET, Slovakia SigmaNet, Latvia SUNET, Sweden SURFnet, The Netherlands SWITCH, Switzerland UIIP NASB, Belarus ULAKBIM, Turkey UNI-C, Denmark UNINETT, Norway Malta, University of Malta
ACOnet, Austria AMRES - University of Belgrade, Serbia ARNES, Slovenia BELNET, Belgium
BREN, Bulgaria HEAnet, Ireland CARNet, Croatia HUNGARNET, Hungary CESNET, Czech Republic IUCC, Israel CYNET, Cyprus DFN, Germany EENet, Estonia JANET(UK), United Kingdom LITNET, Lithuania MARNET, FYR of Macedonia
Pgina 49 de 192
(COMPUTER
EMERGENCY
RESPONSE
TEAM
FR
La Oficina Federal para la Seguridad en la Tecnologa de Informacin (Bundesamt fr Sicherheit in der Informationstechnik - BSI) es la central de servicios de seguridad del gobierno y por ende, asume la responsabilidad de la seguridad de la sociedad, convirtindose en la columna bsica de la seguridad interna en Alemania. Mantiene contacto con los usuarios (administraciones pblicas, gobierno y los municipios, as como las empresas y los usuarios privados) y fabricantes de tecnologa de informacin. En Septiembre de 2001 se creo el contexto de la reorganizacin del BSI CERT-BUND (Equipo de Respuesta a Emergencias Computacionales para las autoridades federales). Los ataques de virus computacionales repetidos a las redes y sistemas, creo la necesidad de contar con un lugar central para la solucin de los problemas de la seguridad informtica, enfocados en prevenir los agujeros de seguridad en los sistemas informticos del gobierno, con reaccin siete das la semana. 2.1.6.2. Servicios Ofrecidos
Entre las tareas del CERT estn: Generar y publicar recomendaciones preventivas para evitar las acciones que generen daos. Identificar puntos dbiles del hardware y software. Sugerir medidas de recuperacin de los agujeros de seguridad, Advertir situaciones especiales de amenaza relacionadas con la tecnologa de informacin. Recomendar medidas reactivas para delimitar daos. Investigar riesgos de seguridad con el uso de la tecnologa de informacin as como desarrollar las medidas de seguridad. Desarrollar criterios de prueba. Evaluar la seguridad en sistemas informacin.
9
Tomado de: http://www.bsi.bund.de/certbund/. U.A: 2008/09/26. Publicado por: Bundesamt fr Sicherheit in der
Pgina 50 de 192
misterio de Comunicaciones
Ayudar de las autoridades gubernamentales en temas relacionados con la seguridad en la tecnologa de informacin. rea de Influencia
2.1.6.3. Alemania
2.1.7. ARABIA SAUDITA - CERT-SA10 (COMPUTER EMERGENCY RESPONSE TEAM - SAUDI ARABIA) 2.1.7.1. Antecedentes
El Equipo de Respuesta a Emergencia Computacionales (CERT-SA) es un organismo sin nimo de lucro establecido para desempear un papel importante en la creacin de conocimiento, la administracin, la deteccin, la prevencin, la coordinacin y la respuesta a los incidentes de seguridad de la informacin a nivel nacional en Arabia Saudita. Su misin se establece en torno a los siguientes objetivos orientados a Arabia Saudita:
Incrementar el nivel de conocimiento acerca de la seguridad de la informacin. Coordinar a nivel nacional los esfuerzos para promover las mejores prcticas de la seguridad y crear confianza entre la comunidad del ciberespacio. Ayudar a manejar ataques e incidentes de la seguridad de la informacin. Ser la referencia en seguridad de la informacin para la comunidad de Ciberespacio. Construir talento y capacidad humana en el campo de la seguridad de la informacin. Proporcionar un ambiente de confianza para las e-transacciones. Fomentar la confianza, cooperacin y colaboracin entre los componentes y la ciber-comunidad de Arabia Saudita. Servicios Ofrecidos
2.1.7.2.
10
Pgina 51 de 192
Construccin de conocimiento: Proporciona conocimiento y direccin en temas de seguridad de la informacin para una mejor adecuacin a las prcticas aceptadas en seguridad informtica, va portal, campaa y seminarios. Educacin / Entrenamiento: Provee educacin en seguridad de la informacin con el entrenamiento interno ajustado para requisitos particulares y en colaboracin con instituciones de entrenamiento. Servicios Proactivos Aviso: Genera alarmas de seguridad de la informacin que incluye pero no se limitado a la intrusin, advertencias de vulnerabilidad y asesoras en la seguridad a travs del portal. Difunde informacin relacionada con la seguridad. Servicios reactivos Alarmas y advertencia: Difunde informacin que describe intrusos, vulnerabilidades de la seguridad, alarmas de intrusin, virus informticos, bromas y establece la lnea de conducta relevante para enfrentar problemas especficos. Ayuda de la respuesta del incidente: Asiste en la recuperacin de incidentes va telfono, email, fax, o documentacin. Puede implicar asistencia tcnica en la interpretacin de los datos y orienta en estrategias de mitigacin y recuperacin. Anlisis del incidente: Examina la informacin disponible y evidencia de soporte relacionados con un incidente, con el fin de identificar el alcance del incidente, el grado del dao causado por el incidente, la naturaleza del incidente y las estrategias de respuesta. 2.1.7.3. rea de Influencia
Arabia Saudita
(COORDINACIN
DE
EMERGENCIAS
EN
REDES
En el ao 1999, la Secretara de la Funcin Pblica de la Jefatura de Gabinete de Ministros de Argentina dispuso la creacin de ArCERT, unidad de respuesta ante incidentes en redes que centraliza y coordina los
11
Pgina 52 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
esfuerzos para el manejo de los incidentes de seguridad que afecten los recursos informticos de la Administracin Pblica Nacional, es decir cualquier ataque o intento de penetracin a travs de sus redes de informacin. Adicionalmente difunde informacin con el fin de neutralizar dichos incidentes, en forma preventiva o correctiva, y capacita al personal tcnico afectado a las redes de los organismos del Sector Pblico Nacional. ArCERT comenz a funcionar en mayo de 1999 en el mbito de la Subsecretara de la Gestin Pblica, siendo sus principales funciones:
Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administracin Pblica Nacional y facilitar el intercambio de informacin para afrontarlos. Proveer un servicio especializado de asesoramiento en seguridad de redes. Promover la coordinacin entre los organismos de la Administracin Pblica Nacional para prevenir, detectar, manejar y recuperar incidentes de seguridad. Actuar como repositorio de toda la informacin sobre incidentes de seguridad, herramientas y tcnicas de defensa
ArCERT cumple funciones de naturaleza eminentemente tcnica. No pretende investigar el origen de los ataques ni quienes son sus responsables. Corresponde al responsable de cada organismo efectuar las denuncias para iniciar el proceso de investigacin 2.1.8.2. Servicios Ofrecidos
Servicios: Todos los servicios que el ArCERT brinda a los Usuarios son gratuitos y no implican erogacin alguna para el Organismo representado.
Acceso al Sitio Privado de ArCERT Anlisis y seguimiento de los incidentes de seguridad reportados Difusin de informacin sobre las principales fallas de seguridad en productos Recomendacin de material de lectura Asesoras sobre seguridad informtica Acceder a la utilizacin del Producto SiMoS (Sistema de Monitoreo de Seguridad) Acceso a la Base de Conocimiento de Seguridad del ArCERT
Pgina 53 de 192
Acceso a las Herramientas de Seguridad seleccionadas por el ArCERT Servicios por Pedidos de Asistencia Especficos Instalacin y configuracin de Firewall de libre disponibilidad Instalacin y configuracin de IDS de libre disponibilidad Anlisis de la topologa de red Anlisis perimetrales y visibilidad de la red Bsqueda de vulnerabilidades en los servidores de red Recomendaciones para robustecer los Sistemas Operativos y las Aplicaciones Productos SIMOS - Sistema de Monitoreo de Seguridad: Permite detectar las vulnerabilidades conocidas de los servidores, que brinden servicio a travs de Internet, de los organismos de la Administracin Pblica FW-APN - Firewall de libre disponibilidad para la Administracin Pblica Nacional: Solucin basada en software de libre disponibilidad, eficiente, robusta y de bajos requerimientos que cubre las necesidades de Firewall en la mayora de las redes de la Administracin Pblica Nacional. Funciona directamente desde CD-ROM. DNSar - Sistema de Anlisis de Servidores y Dominios DNS: DNSar es un software desarrollado por ArCERT para analizar los servidores y dominios DNS en busca de posibles errores de configuracin y funcionamiento. CAL - Coordinacin y Anlisis de Logs (En desarrollo): CAL es un conjunto de software, de fcil instalacin, que los organismos pueden instalar en una mquina dedicada para la deteccin de alertas de seguridad en su red. Adems, estas alertas son reenviadas a ArCERT para una visin macro de estado de seguridad de la administracin pblica. 2.1.8.3. Estructura
ArCERT est sustentado por un grupo de especialistas, que hoy conforman el equipo de seguridad en redes, dedicado a investigar sobre incidentes, hacking, herramientas de proteccin y deteccin, etc., con conocimientos y experiencia entre otras, en las siguientes reas: tecnologas informticas, Firewalls, seguridad en Internet Intranet, deteccin y erradicacin de intrusos, polticas y procedimientos de seguridad, administracin de riesgos, etc.
Pgina 54 de 192
Funciona en la Oficina Nacional de Tecnologas de Informacin de la Subsecretara de Tecnologas de Gestin de la Secretara de Gabinete y Gestin Pblica de la Jefatura de Gabinete de Ministros de Argentina. 2.1.8.4. Argentina 2.1.9. AUSTRALIA - AUSCERT12 (AUSTRALIA COMPUTER EMERGENCY RESPONSE TEAM) 2.1.9.1. Antecedentes rea de Influencia
AusCERT es el Equipo de Respuesta a Emergencias Computacionales nacional para Australia y proporciona asesora en temas de seguridad de la informacin de la computadora, a la comunidad australiana y a sus miembros, como punto nico de contacto para ocuparse de dichos incidentes de seguridad que afectan o que implican redes australianas. AusCERT supervisa y evala amenazas globales de la red de computadores y las vulnerabilidades. AusCERT publica boletines de seguridad, incluyendo estrategias recomendadas de prevencin y mitigacin. AusCERT ofrece servicios de administracin de incidentes que puede ser una manera eficaz de parar un ataque en curso de la computadora o proporcionar la asesora prctica en la respuesta y recuperacin de un ataque. 2.1.9.2. Servicios Ofrecidos
Las organizaciones del miembro de AusCERT gozan de un nmero de servicios no disponibles al pblico en general. Estos servicios incluyen: Servicio de la deteccin temprana. Acceso va Web site a contenidos exclusivos. Entrega va email de boletines de seguridad. Acceso a Foros. Servicios de gerencia del incidente: incluyen la coordinacin del incidente y la direccin del incidente.
12
Tomado de: http://www.auscert.org.au/. U.A: 2008/09/26. Publicado por: AusCERT, The University of Queensland, Brisbane QLD 4072, Australia. Autor: No determinado.
Pgina 55 de 192
Supervisin, evaluacin y asesora acerca de la vulnerabilidad y amenazas. Los miembros de AusCERT reciben boletines de la seguridad va email. Los no miembros pueden suscribir al servicio de alerta libre nacional. AusCERT investiga el ambiente de la seguridad del Internet para el gobierno y la industria dentro de Australia. Estructura AusCERT es una organizacin independiente, sin nimo de lucro, con base en la Universidad de Queensland, como parte del rea de Servicios de Tecnologa de la Informacin. AusCERT cubre sus gastos con una variedad de fuentes incluyendo suscripciones de miembros y el entrenamiento y educacin en seguridad informtica. Es miembro activo del Foro FIRST y del Equipo de Respuesta a Emergencia Informtica de Asia Pacfico (APCERT), AusCERT tiene acceso a la informacin sobre amenazas y vulnerabilidades de la red de computadores que surgen de manera regional y global. 2.1.9.3. rea de Influencia
13
Tomado de: www.cert.at. U.A: 2008/09/26. Publicado por: Computer Emergency Response Team Austria. Autor: No determinado.
Pgina 56 de 192
Coordinacin del incidente: Investiga el incidente y toma las medidas apropiadas. Facilita el contacto con otros participantes que puedan ayudar a resolver el incidente. Resolucin del incidente. Recomienda las acciones apropiadas. Actividades Proactivas: Recopila informacin de contacto de los equipos locales de seguridad. Publica avisos referentes a amenazas serias de la seguridad. Informa acerca de tendencias en tecnologa y distribuyen conocimiento relevante. Ofrece foros para construir la comunidad e intercambiar informacin. 2.1.10.3. rea de Influencia Austria 2.1.11. BRASIL - CERT.BR14 (COMPUTER EMERGENCY RESPONSE TEAM BRAZIL) 2.1.11.1. Antecedentes El CERT.br es el equipo de respuesta a los incidentes de seguridad para el Internet brasileo, responsable de recibir, analizar y responder a dichos incidentes. Ms all del proceso de respuesta a los incidentes en s mismo, el CERT.br tambin acta sobre los problemas de la seguridad, la correlacin entre los acontecimientos en el Internet brasileo y de ayuda al establecimiento de nuevos CSIRTs en el Brasil. 2.1.11.2. Servicios Ofrecidos Los servicios dados para el CERT.br incluyen: Ser un nico punto para las notificaciones de los incidentes de seguridad, para proveer la coordinacin y la ayuda necesaria en el proceso de respuesta a los incidentes, contactando las piezas implicadas cuando sea necesario.
14
Tomado de: http://www.cert.br. U.A: 2008/09/26. Publicado por: Comit Gestor da Internet no Brasil (CGI.br). Autor:
No determinado.
Pgina 57 de 192
Establecer un trabaje colaborativo con otras entidades, como el gobierno, los proveedores de acceso y servicios y de Internet. Dar apoyo al proceso de recuperacin y al anlisis de sistemas. Entrenar en la respuesta a los incidentes de seguridad, especialmente a los miembros de CSIRTs y de las instituciones que estn creando sus propios grupos. 2.1.11.3. rea de Influencia Brasil 2.1.12. CANAD - PSEPC15 (PUBLIC SAFETY EMERGENCY PREPAREDNESS CANADA) 2.1.12.1. Antecedentes El Centro Canadiense de Respuesta a Ciberincidentes (CCIRC) es responsable de supervisar amenazas y de coordinar la respuesta nacional a cualquier incidente de la seguridad del ciberespacio. Su foco es la proteccin de la infraestructura crtica nacional contra incidentes. El centro es una parte del Centro de Operaciones del Gobierno y un componente importante en la preparacin de la seguridad nacional para atender emergencias en los peligros que acechan al gobierno. Las iniciativas actuales incluyen: Coordinacin de la respuesta del incidente a travs de jurisdicciones. Fomentar el compartir la informacin entre las organizaciones y las jurisdicciones Generar las advertencias en torno a la seguridad. Divulgacin de incidentes Desarrolla estndares operacionales de seguridad de la tecnologa de informacin y documentacin tcnica en temas tales como supervisin del sistema y software malvolo.
15
Autor: No determinado.
Pgina 58 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Servicios de inteligencia canadienses de la seguridad: Investiga y analiza amenazas del ciberespacio a la seguridad nacional. Tambin proporciona asesora en la seguridad e inteligencia, incluyendo amenazas y la informacin de riesgos. Establecimiento de la seguridad de comunicaciones: Proporciona asesora y direccin en la proteccin del gobierno acerca de la informacin electrnica de Canad y de la infraestructura de la informacin. Tambin ofrece ayuda tcnica y operacional a las agencias federales en la aplicacin de la Ley de Seguridad.
2.1.12.2. Servicios Ofrecidos CCIRC le proporciona los servicios a los profesionales y los encargados de la infraestructura crtica y de otras industrias relacionadas. Estos servicios se hacen sin cargo alguno:
Coordinacin 7*24 y ayuda a la respuesta del incidente. Supervisin 7*24 y anlisis del ambiente de la amenaza del ciberespacio. Asesora tcnica 7*24 relacionada con seguridad de la tecnologa de informacin Construccin de la capacidad nacional (estndares, mejores prcticas, conocimiento, educacin)
2.1.12.3. rea de Influencia Canad 2.1.13. CHILE CSIRT-GOV16 2.1.13.1. Antecedentes Tiene como propsito contribuir a asegurar el ciberespacio del Gobierno de Chile, en conformidad con lo sealado en el artculo 17 de la Agenda Digital. Su misin es constituirse como referente en materias de seguridad informtica para todos los servicios que forman parte de la administracin del Estado. CSIRT Chile es dirigido por la jefatura de la Divisin Informtica del Ministerio del Interior.
16
Tomado de: http://www.csirt.gov.cl/. U.A: 2008/09/26. Publicado por: Ministerio del Interior, Palacio de la Moneda,
Pgina 59 de 192
2.1.13.2. Servicios Ofrecidos El equipo de trabajo CSIRT Chile ofrece a los sistemas y redes gubernamentales los siguientes servicios: Monitoreo de actividades y deteccin de anomalas. Apoyo forense en respuesta a incidentes computacionales. Asesora en la generacin e implementacin de polticas y sistemas de seguridad. Boletines de alertas adecuadamente traducidos y adaptados a las necesidades nacionales. Asesora en la implementacin del decreto supremo 83/2004 del Ministerio Secretara General de la Presidencia. 2.1.13.3. Estructura El CSIRT Chile es una unidad dependiente de la Divisin de Informtica del Ministerio del Interior. 2.1.13.4. rea de Influencia Chile
Tomado de: http://www.clcert.cl. U.A: 2008/09/26. Publicado por: FCFM Ingeniera, Universidad de Chile. Autor: No
determinado.
Pgina 60 de 192
2.1.14.2. Servicios Ofrecidos El CLCERT tiene como principales objetivos: Entregar en forma oportuna y sistemtica informacin sobre vulnerabilidades de seguridad y amenazas Divulgar y poner a disposicin de la comunidad informacin que permita prevenir y resolver estos incidentes de seguridad Educar a la comunidad en general sobre temas de seguridad, promoviendo las polticas que permiten su implementacin. CLCERT promueve el uso de Internet, los sistemas computacionales abiertos, y las tecnologas de la informacin, haciendo sus usos ms seguros y que por lo tanto gocen de la confianza de la comunidad que los utiliza. 2.1.14.3. Estructura El origen del CLCERT (fines de 2001) est estrechamente ligado al del Laboratorio de Criptografa Aplicada y Seguridad (CASLab). Surge como una forma en que el CASLab se vincula con el medio local. El CLCERT y el CASLab conforman una misma unidad y comparten financiamiento, pero los mbitos de accin son distintos. El CASLab prioriza las actividades de investigacin, formacin de capital humano altamente especializado y tiene por mbitos de accin el medio acadmico principalmente internacional. El CLCERT prioriza actividades de formacin profesional, extensin, transferencia tecnolgica y tiene por principal mbito de accin el medio local. 2.1.14.4. rea de Influencia Chile
2.1.15. CHINA - CNCERT/CC18 (NATIONAL COMPUTER NETWORK EMERGENCY RESPONSE TECHNICAL TEAM)
2.1.15.1. Antecedentes El Equipo Tcnico Nacional de Respuesta a Emergencias de Redes Computacionales / Centro de Coordinacin de China CNCERT/CC (National Computer Network Emergency Response Technical Team / Coordination Center of China) es una organizacin funcional que opera en la Oficina de Coordinacin de Respuesta a Emergencia de Internet del Ministerio de la Industria de Informacin de China y que es
18
Tomado de: http://www.cert.org.cn/english_web/. U.A: 2008/09/26. Publicado por: CNCERT/CC. Autor: No determinado.
Pgina 61 de 192
responsable de la coordinacin de actividades entre todos los equipos de Respuesta a Emergencias Computacionales de China relacionadas con incidentes en las redes pblicas nacionales. CNCERT/CC fue fundado en octubre de 2000 y se hizo miembro de FIRST en agosto de 2002. CNCERT/CC form parte activa en el establecimiento de APCERT como miembro del comit de direccin de APCERT. As CNCERT/CC est parado para una nueva plataforma para una cooperacin internacional mejor y un interfaz prestigioso de la respuesta del incidente de la seguridad de la red de China. 2.1.15.2. Servicios Ofrecidos Proporciona servicios de seguridad de la red de computadores y brinda orientacin para el manejo de los incidentes de seguridad para las redes pblicas nacionales, los sistemas nacionales importantes y las principales organizaciones, incluyendo la deteccin, prediccin, respuesta y prevencin. Recopila, verifica, acumula y publica la informacin relacionada con la seguridad del Internet. Es tambin responsable del intercambio de la informacin y la coordinacin de acciones con organizaciones de la seguridad internacional. Recopila informacin oportuna sobre acontecimientos de seguridad. Supervisin de Incidentes: Detecte los problemas y acontecimientos severos de la seguridad a tiempo, y entrega prevenciones y apoyo a las organizaciones relacionadas. Direccin del Incidente. Anlisis de datos de los incidentes de seguridad. Recopila y mantiene la informacin bsica pertinente, incluyendo vulnerabilidades, correcciones, herramientas y las ltimas tecnologas de seguridad. Investigacin sobre las tecnologas de seguridad. Entrenamiento en seguridad: Proporciona los cursos en respuesta de la emergencia, las tecnologas requeridas, la orientacin y la construccin del CERT. Ofrece servicios de consultora tcnica en el manejo de incidentes de seguridad. Promueve el intercambio internacional, organizando CERTs locales para orientar la cooperacin y el intercambio internacionales.
Pgina 62 de 192
misterio de Comunicaciones
2.1.15.3. Estructura
Dep. Administracin y Operacin
Ilustracin 4: Estructura CNCERT/CC El CNCERT/CC hace parte del Sistema de la Red Pblica Nacional de Respuesta a Emergencias de Seguridad China:
Pgina 63 de 192
misterio de Comunicaciones
Ilustracin 5: Sistema de la Red Pblica Nacional de Respuesta a Emergencias de Seguridad China 2.1.15.4. rea de Influencia China
Pgina 64 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Administracin del Centro de Respuesta y Asistencia a Incidentes Anlisis de incidentes y tecnologa de soporte Establecimiento del sistema de coordinacin para respuesta a incidentes de internet.
2.1.16.3. Estructura
Equipo de Anlisis de Incidentes: Investigacin sobre nuevas vulnerabilidades de la red y tendencias de nuevos virus. Verificacin y anlisis en vulnerabilidades de la red Anlisis en virus.
19
Tomado de: http://www.krcert.or.kr/. U.A: 2008/09/26. Publicado por: Korea Internet Security Center. Autor: No determinado.
Pgina 65 de 192
Recopilacin de muestras de virus. Establecimiento y gerencia de la base de datos de vulnerabilidades. Equipo de Monitoreo de la Red: Supervisin del trafico de ISPs y los Web site ms importantes nacionales o internacionales. Respuesta temprana a los incidentes, pronstico y mensajes de alerta al pblico. Atencin de respuestas y direccionamiento de incidentes que ocurren de manera local o internacional. Publicacin de reportes mensuales con estadstica y anlisis del virus Equipo de Respuesta a Hacking: Investigacin sobre tcnicas y tendencias de hacking. Anlisis de casos de hacking en redes piloto. Establecimiento y gerencia de investigaciones de incidentes y del sistema del anlisis. Desarrollo y distribucin de tecnologas para enfrentar ocurrencias de hacking. Respuesta de la emergencia contra incidentes y ayuda tecnolgica Equipo de Coordinacin de Respuestas: Muestras incrementales para recopilar y compartir informacin. Cooperacin con FIRST para el CERT. Operacin de la oficina administrativa para APCERT y CONCERT. Recepcin de correos electrnicos de incidentes y manipulacin de ellos. Activacin del CERT nacional y establecimiento del sistema cooperativo. Participacin en la estandarizacin con respecto a incidentes del Internet.
Pgina 66 de 192
20
Tomado de: https://www.cert.dk/. U.A: 2008/09/26. Publicado por: DK.CERT - Danish Computer Emergency Response
Pgina 67 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
2.1.17.3. Estructura DK CERT fue establecido en 1991 por el Centro para la Educacin y la Investigacin Danes UNI-C, bajo el Ministerio Dans de la Educacin, por uno de los primeros casos del hacker en Dinamarca. DK CERT coordina aproximadamente 10.000 incidentes de seguridad por ao. 2.1.17.4. rea de Influencia Dinamarca
2.1.18. EMIRATOS RABES UNIDOS AECERT21 (THE UNITED ARAB EMIRATES COMPUTER EMERGENCY RESPONSE TEAM)
2.1.18.1. Antecedentes El Equipo de Respuesta a Emergencias Computacionales (aeCERT) es el centro de coordinacin de la seguridad del ciberespacio en los Emiratos rabes Unidos. Ha sido establecido por la Autoridad Reguladora de Telecomunicaciones (TRA) como iniciativa para facilitar la deteccin, la prevencin y la respuesta de los incidentes de la seguridad del ciberespacio en Internet. Su misin es sostener una infraestructura vigilante de las ciber amenazas de la seguridad y construir una cultura de la seguridad del ciberespacio en los Emiratos rabes Unidos. 2.1.18.2. Servicios Ofrecidos
Ayudar en la creacin de nuevas leyes para la seguridad del ciberespacio. Recopilar conocimiento de la seguridad de la informacin de los Emiratos rabes Unidos. Construir experiencia nacional en seguridad de la informacin, administracin del incidente y la computacin forense. Proporcionar a punto central confiable de contacto para el manejo de incidentes de la seguridad del ciberespacio en los Emiratos rabes Unidos. Establecer un centro nacional para divulgar la informacin sobre las amenazas, vulnerabilidades e incidentes de la seguridad del ciberespacio. Fomentar el establecimiento de nuevos CSIRTs.
21
Tomado de: http://www.aecert.ae/. U.A: 2008/09/26. Publicado por: aeCERT. Autor: No determinado.
Pgina 68 de 192
Coordinar las operaciones entre CSIRTs domstico, internacionales y organizaciones relacionadas. 2.1.18.3. Estructura Ha sido establecido por la Autoridad Reguladora de Telecomunicaciones (TRA) de los Emiratos rabes Unidos como un cuerpo consultivo que debe recomendar buenas prcticas, polticas, procedimientos y tecnologas, sin embargo sin ejercer ninguna autoridad sobre su adopcin ni responsabilidad sobre la administracin de los riesgos de la ciberseguridad. 2.1.18.4. rea de Influencia Emiratos rabes Unidos
2.1.19. ESPAA - ESCERT22 (EQUIPO DE SEGURIDAD PARA LA COORDINACIN DE EMERGENCIAS EN REDES TELEMTICAS)
2.1.19.1. Antecedentes A principios de la dcada de los noventa surge en Europa una iniciativa dispuesta a crear Equipos de Respuestas a Incidentes de Seguridad en Computadores. Gracias al apoyo del programa tcnico TERENA se empiezan a crear CSIRT europeos, es entonces cuando aparece, concretamente a finales de 1994, esCERT-UPC (Equipo de Seguridad para la Coordinacin de Emergencias en Redes Telemticas -Universidad Politcnica de Catalua) como primer centro espaol dedicado a asesorar, prevenir y resolver incidencias de seguridad en entornos telemticos. esCERT - UPC ayuda y asesora en temas de seguridad informtica y gestin de incidentes en redes telemticas. Los principales objetivos son: Informar sobre vulnerabilidades de seguridad y amenazas. Divulgar y poner a disposicin de la comunidad informacin que permita prevenir y resolver incidentes de seguridad. Realizar investigaciones relacionadas con la seguridad informtica. Educar a la comunidad en general sobre temas de seguridad.
22
Tomado de: http://escert.upc.edu/index.php/web/es/index.html. U.A: 2008/09/26. Publicado por: Equipo de Seguridad para la
Pgina 69 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
De esta forma esCERT pretende mejorar la seguridad de los sistemas informticos y a su vez aumentar el nivel de confianza de las empresas y de los usuarios en las redes telemticas. 2.1.19.2. Servicios Ofrecidos Para llevar a cabo sus objetivos esCERT-UPC ofrece a la comunidad una serie de servicios que van desde la respuesta a incidentes a la definicin de una poltica de seguridad para las empresas, pasando por la formacin.
2.1.19.3. Estructura esCERT es miembro de TF-CSIRT (Task Force-Collaboration of Incident Response Teams) y junto con otros equipos de seguridad como los de las compaas Telia o British Telecom. Forma parte de EPCI (European Private CERT Initiative) una agrupacin de CERTs europeos privados. Dentro de EPCI se encuentran compaas como BT, Alcacel o Siemens. esCERT en el mbito mundial participa en el FIRST, principal foro de coordinacin de los diferentes CERTs de todo el mundo. 2.1.19.4. rea de Influencia Espaa 2.1.20. ESPAA IRIS-CERT23 (SERVICIO DE SEGURIDAD DE REDIRIS) 2.1.20.1. Antecedentes El servicio de seguridad de RedIRIS (IRIS-CERT) tiene como finalidad la deteccin de problemas que afecten a la seguridad de las redes de centros de RedIRIS, as como la actuacin coordinada con dichos centros para poner solucin a estos problemas. Tambin se realiza una labor preventiva, avisando con tiempo de problemas potenciales, ofreciendo asesoramiento a los centros, organizando actividades de acuerdo con los mismos, y ofreciendo servicios complementarios.
23
Tomado de: http://www.rediris.es/cert/. U.A: 2008/09/26. Publicado por: IRIS - CERT. Autor: No determinado.
Pgina 70 de 192
IRIS-CERT es miembro del FIRST desde el 11 de Febrero de 1997. Adems ha sido contribuidor al piloto EuroCERT desde el 25 de Marzo de 1997 hasta la finalizacin del mismo en Septiembre de 1999. Actualmente participa activamente en el Task Force auspiciado por TERENA, TF-CSIRT, para promover la cooperacin entre CSIRTs en Europa. Los usuarios del servicio de seguridad son de tres tipos: Instituciones afiliadas a RedIRIS: Incluye universidades y otros centros de investigacin. Estos usuarios tienen derecho a todos los servicios (por definicin) y pueden participar en la coordinacin de los mismos. Otros servicios de seguridad nacionales e internacionales: IRIS-CERT acta como punto de contacto y de coordinacin de incidentes para otros servicios de seguridad. El mbito de coordinacin es toda Espaa. El mbito de representacin es todo el mundo. IRIS-CERT es miembro de FIRST, fue contribuyente del proyecto EuroCERT y actualmente participa en el Task Force de TERENA TF-CSIRT, para promover la cooperacin entre CSIRTs en Europa. IRIS-CERT tambin puede actuar de enlace con las fuerzas de seguridad del Estado (Polica y Guardia Civil), aunque no tomar accin judicial en nombre de terceros, y limitar su participacin en tales procesos a la asesora tcnica. Proveedores y usuarios de Internet en Espaa: El servicio ofrecido a stos, fuera de las instituciones de RedIRIS, se limita a lo siguiente: Uso de los recursos pblicos de IRIS-CERT (Servidor web, FTP, listas de correo). Atencin de incidentes de seguridad. El servicio de atencin de incidentes se ofrece a todos por igual, segn los criterios y prioridades establecidos aqu. 2.1.20.2. Servicios Ofrecidos IRIS-CERT ofrece una serie de servicios principalmente orientados a las instituciones afiliadas a RedIRIS. Algunos de estos servicios se ofrecen, as mismo, a la comunidad de Internet. Comunidad RedIRIS Asesoramiento instituciones afiliadas Auditora en lnea Comunidad de Internet Gestin de incidentes. Listas de Seguridad de RedIRIS
Pgina 71 de 192
Otros Servicios de Seguridad (Servicios no especficos de IRIS-CERT) Infraestructura de Clave Pblica para la comunidad RedIRIS (RedIRIS-PKI) Servidor de claves pblicas PGP Red de Sensores AntiVirus de la Comunidad Acadmica (RESACA) EL servicio no tiene costo para quien tenga derecho a usar el servicio. No se presta servicio a nadie ms. El Plan Nacional de I+D financia una red para los investigadores, y un servicio de seguridad que garantice la integridad de la misma. La coordinacin de incidentes ajenos a RedIRIS es una tarea adicional, necesaria para llevar a cabo ese servicio. 2.1.20.3. Estructura IRIS-CERT funciona bajo el auspicio y con la autoridad delegada del director de RedIRIS. El IRIS-CERT espera trabajar cooperativo con los administradores y los usuarios de sistema en las instituciones conectadas RedIRIS, evitando relaciones autoritarias. 2.1.20.4. rea de Influencia Espaa
2.1.21. ESPAA - CCN-CERT24 (CRYPTOLOGY NATIONAL CENTER - COMPUTER SECURITY INCIDENT RESPONSE TEAM)
2.1.21.1. Antecedentes Este servicio se creo a principios de 2007 como CERT gubernamental espaol y est presente en los principales foros internacionales en los que se comparte objetivos, ideas e informacin sobre la seguridad de forma global. Su principal objetivo es contribuir a la mejora del nivel de seguridad de los sistemas de informacin de las tres administraciones pblicas existentes en Espaa (general, autonmica y local). Su misin es convertirse en el centro de alerta nacional que coopere y ayude a todas las administraciones pblicas a responder de forma rpida y eficiente a los incidentes de seguridad que pudieran surgir y afrontar de forma activa las nuevas amenazas a las que hoy en da estn expuestas.
24
Tomado de: https://www.ccn-cert.cni.es/. U.A: 2008/09/26. Publicado por: Centro Criptolgico Nacional. Ministerio de Defensa de Espaa. Autor: No determinado.
Pgina 72 de 192
2.1.21.2. Servicios Ofrecidos Para contribuir a esta mejora del nivel de seguridad, el CCN-CERT ofrece sus servicios a todos los responsables de Tecnologas de la Informacin de las diferentes administraciones pblicas a travs de cuatro grandes lneas de actuacin: Soporte y coordinacin para la resolucin de incidentes que sufra la Administracin General, Autonmica o Local. El CCN-CERT, a travs de su servicio de apoyo tcnico y de coordinacin, acta rpidamente ante cualquier ataque recibido en los sistemas de informacin de las administraciones pblicas. Investigacin y divulgacin de las mejores prcticas sobre seguridad de la informacin entre todos los miembros de las administraciones pblicas. En este sentido, las citadas Series CCN-STIC elaboradas por el CCN ofrecen normas, instrucciones, guas y recomendaciones para garantizar la seguridad de los Sistemas TIC en la Administracin. Formacin a travs de los cursos STIC, destinados a formar al personal de la Administracin especialista en el campo de la seguridad de las TIC e impartidos a lo largo de todo el ao. Su principal objetivo, aparte de actualizar el conocimiento del propio equipo que forma el CCN-CERT, es el de permitir la sensibilizacin y mejora de las capacidades del personal para la deteccin y gestin de incidentes. Informacin sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de informacin, recopiladas de diversas fuentes de reconocido prestigio (incluidas las propias) El CCN-CERT ofrece informacin, formacin y herramientas para que las distintas administraciones puedan desarrollar sus propios CERTs, permitiendo a este equipo actuar de catalizador y coordinador de CERTs gubernamentales. 2.1.21.3. Estructura El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Informacin del Centro Criptolgico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI). 2.1.21.4. rea de Influencia Espaa
Pgina 73 de 192
25
Pgina 74 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Actualidad, noticias y eventos de relevancia. Avisos sobre nuevos virus, vulnerabilidades y fraude. Estadsticas. Servicios de Formacin en seguridad y en la legislacn vigente para Pyme y ciudadanos, proporcionando guas, manuales, cursos online y otros recursos a los usuarios. Servicios de Proteccin y prevencin: catlogo de tiles gratuitos y actualizaciones de software. Servicios de Respuesta y Soporte: Gestin y soporte a incidentes de seguridad. Gestin de malware y anlisis en laboratorio del INTECO-CERT. Lucha contra el fraude. Asesora Legal en materia de seguridad en las tecnologas de la informacin. Foros de Seguridad. Cooperacin y coordinacin con otras entidades de referencia en el sector, tanto a nivel nacional como internacional.
INTECO-CERT como servicio pblico e intermediario INTECO-CERT tiene vocacin de servicio pblico sin nimo de lucro. El Centro surge con la vocacin de servir de apoyo preventivo y reactivo en materia de seguridad en tecnologas de la informacin y la comunicacin a una tipologa de usuarios, la Pequea y Mediana Empresa (PYME) y ciudadanos, que no disponen de la formacin, sensibilizacin y recursos suficientes en dicho campo. INTECO-CERT no vende soluciones tecnolgicas o de consultora. Si en su labor de apoyo a PYME y ciudadanos, entiende que debe aconsejar alguno de ellos, facilita un directorio de entidades que prestan esos servicios, para que el usuario elija segn su criterio. El Centro de Respuesta quiere, en este contexto, erigirse como un puente entre las necesidades de la demanda (PYMEs y ciudadanos) y las soluciones de la oferta (entidades del sector de la seguridad de las tecnologas de la informacin). 2.1.22.3. rea de Influencia Espaa
Pgina 75 de 192
misterio de Comunicaciones
2.1.23. ESTADOS UNIDOS - US-CERT26 (UNITED STATES - COMPUTER EMERGENCY READINESS TEAM)
2.1.23.1. Antecedentes Establecido en 2003 para proteger la infraestructura del Internet de la nacin, US-CERT coordina la defensa contra y respuestas a los ataques del ciberespacio a travs de la nacin. US-CERT es cargado con la proteccin de la infraestructura del Internet coordinando la defensa y la respuesta a los ataques del ciberespacio. 2.1.23.2. Servicios Ofrecidos US-CERT es responsable de
Analizar y reducir amenazas y vulnerabilidades del ciberespacio. Divulgar informacin y advertencias de amenaza del ciberespacio. Coordinar la respuesta a incidente. US-CERT obra recprocamente con las agencias federales, industria, la comunidad de investigacin, el estado y los gobiernos locales, y otros para divulgar la informacin de la seguridad del ciberespacio entre el pblico.
2.1.23.3. Estructura El equipo de la Preparacin para Emergencias Computacionales de Estados Unidos (US-CERT) es una sociedad entre Departamento de la seguridad de la patria y los sectores pblicos y privados 2.1.23.4. rea de Influencia Estados Unidos
26
Tomado de: http://www.us-cert.gov. U.A: 2008/09/26. Publicado por: Department of Homeland Security - USA. Autor: No determinado.
Pgina 76 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Orientacin en el incidente Recepcin de informes de incidente Asignacin de prioridades a los incidentes segn su nivel de la severidad Anlisis del incidente Respuesta a
27
Tomado de: http://www.ria.ee/?id=28201. U.A: 2008/09/26. Publicado por: Department for Handling Information Security
Pgina 77 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Proporcione ayuda legal y consultiva. Opera como punto central para divulgar vulnerabilidades de la seguridad computacional y proporcionar ayuda coordinada en respuesta a tales informes. Genera informes tcnicos de anlisis referentes a cdigo malvolo. Proporciona informacin sobre la futura tecnologa que puede plantear amenazas de la seguridad. Proporciona entrenamiento para promover el conocimiento de la seguridad. Genera alarmas sobre medidas a tomar contra amenazas existentes o prximas de la seguridad. Proporciona pautas en el uso y la combinacin eficaces de las herramientas de la seguridad para deteccin y prevencin del incidente.
28
Tomado de: http://www.phcert.org/. U.A: 2008/09/26. Publicado por: Philippines Computer Emergency Response Team. Autor: No determinado.
Pgina 78 de 192
2.1.26. FRANCIA-CERTA29 (CENTRE D'EXPERTISE GOUVERNEMENTAL DE RPONSE ET DE TRAITEMENT DES ATTAQUES INFORMATIQUES)
2.1.26.1. Antecedentes El Primer Ministro anunci la creacin del CERTA, tras la decisin del Comit Interministerial para la Sociedad de la Informacin (CISI), en enero de 1999 e inaugurado en febrero de 2000, con el fin de reforzar la proteccin de las redes del Estado contra los ataques. A fin de reforzar y coordinar la lucha contra las intrusiones en los sistemas informticos de las administraciones del Estado, el Gobierno decide la creacin de una estructura de alerta y de asistencia en la Internet encargada de la misin de vigilar y responder a los ataques informticos. Los dos principales objetivos del CERTA son: Garantizar la deteccin de las vulnerabilidades y la resolucin de incidentes relativos a la seguridad de los sistemas de informacin Asistir en la instalacin de medios que permitan prevenir futuros incidentes. Para alcanzar estos dos objetivos, deben llevarse a cabo en paralelo las tres misiones siguientes: Llevar a cabo una vigilancia tecnolgica. Organizar la instalacin de una red de confianza. Administrar la resolucin de un incidente (si es necesario en relacin con la red mundial de los CERT). El CERTA es miembro del FIRST desde el 12 de setiembre de 2000 y participa en la actividad TF-CSIRT (Computer Security Incident Response Team) que es la coordinacin de los CERT europeos. En la actualidad existen varios CERT en Francia. Esta es la lista de los equipos miembros del FIRST o de la TFCSIRT: El CERTA es el CERT dedicado al sector de la administracin francesa. El Cert-IST es el CERT dedicado al sector de la Industria, de los Servicios y del Terciario (IST). Fue creado a finales del ao 1998 por cuatro socios: ALCATEL, el CNES, ELF y France Telecom.
29
Tomado de: http://www.certa.ssi.gouv.fr/. U.A: 2008/09/26. Publicado por: Premier Ministre / Secrtariat Gnral de la
Dfense Nationale / Direction centrale de la scurit des systmes d'information. Autor: No determinado.
Pgina 79 de 192
El CERT-RENATER es el CERT dedicado a la comunidad de los miembros del GIP RENATER (Red Nacional de telecomunicaciones para la tecnologa, la Enseanza y la Investigacin). 2.1.26.2. Servicios Ofrecidos Las tareas prioritarias del CERT son las siguientes: Centralizacin de las solicitudes de asistencia tras los incidentes de seguridad (ataques) en las redes y sistemas de informaciones: recepcin de las solicitudes, anlisis de los sntomas y eventual correlacin de los incidentes. Tratamiento de las alertas y reaccin a los ataques informticos: anlisis tcnico, intercambio de informaciones con otros CERT, contribucin a estudios tcnicos especficos. Establecimiento y mantenimiento de una base de datos de las vulnerabilidades. Prevencin por difusin de informaciones sobre las precauciones que tomar para minimizar los riesgos de incidente o, por lo menos, sus consecuencias. Coordinacin eventual con las dems entidades (fuera del campo de accin): centros de competencia en redes, operadores y proveedores de acceso a Internet, CERT nacionales e internacionales. 2.1.26.3. Estructura Dicha estructura depende de la Secretara General de la Defensa Nacional y trabajar en red con los servicios encargados de la seguridad de la informacin en todas las administraciones del Estado. Participar en la red mundial de los CERT (Computer Emergency Response Team). El CERTA depende de la Direccin Central de la Seguridad de Sistemas de Informacin (DCSSI) en la Secretara General de la Defensa Nacional (SGDN), y se encarga de asistir a los organismos de la administracin en la instalacin de medios de proteccin y en la resolucin de los incidentes o las agresiones informticas de las cuales son vctimas. Constituye el complemento indispensable para las acciones preventivas ya aseguradas por la DCSSI y que son anteriores en el procedimiento de seguridad de los sistemas de informacin. 2.1.26.4. rea de Influencia Francia
Pgina 80 de 192
2.1.27. HONG KONG - HKCERT30 (HONG KONG COMPUTER EMERGENCY RESPONSE COORDINATION CENTRE)
2.1.27.1. Antecedentes En respuesta a las necesidades de hacer frente a amenazas de la seguridad, el gobierno ha financiado al consejo de la productividad de Hong Kong para poner a funcionar el Centro de Coordinacin del Equipo de Respuesta a Emergencias Computacionales de Hong Kong (HKCERT). El objetivo de HKCERT es proporcionar un contacto centralizado en la divulgacin de incidentes y seguridad computacionales y de la red y brindar la respuesta para las empresas locales y los usuarios del Internet en el caso de los incidentes de la seguridad. Coordinar las acciones de respuesta y recuperacin para los incidentes divulgados, ayuda a supervisar y a divulgar la informacin sobre seguridad y proporciona asesora en medidas preventivas contra amenazas de la seguridad. El HKCERT tambin organiza seminarios del conocimiento y cursos de en asuntos relacionados seguridad de la informacin. 2.1.27.2. Servicios Ofrecidos Respuesta a Incidentes: HKCERT proporciona respuesta durante 24 horas al da, 7 das a la semana. Acepta incidentes por telfono, fax y e-mail. HKCERT asiste y coordina las acciones de recuperacin para los incidentes. Alarma de la Seguridad: HKCERT supervisa de cerca la informacin sobre temas relacionadas con la seguridad tales como ltimos virus, debilidades de la seguridad y divulga la informacin al pblico. Publicacin: HKCERT publica pautas, listas de comprobacin, alarmas y artculos relacionados con la seguridad. Estos documentos incluyen la informacin sobre vulnerabilidades de la seguridad, estrategias de defensa y deteccin temprana de ataques probables. HKCERT tambin publica un boletn de noticias mensual que proporciona la informacin ms reciente en seguridad computacional y de la red. Entrenamiento y educacin: Para elevare el conocimiento de la seguridad de la informacin y para mejorar la comprensin pblica, HKCERT organiza seminarios libres y brinda a los informes a las asociaciones comerciales regularmente. HKCERT tambin organiza los cursos que proporcionan conocimiento profundizado en asuntos del especfico de la seguridad de la informacin. Investigacin y desarrollo: HKCERT conduce estudios en asuntos seleccionados seguridad de la informacin y la situacin en Hong Kong referente ataques de la computadora, prdida, contramedidas, etc. 2.1.27.3. rea de Influencia Hong Kong
30
Tomado de: http://www.hkcert.org/. U.A: 2008/09/26. Publicado por: HKCERT. Autor: No determinado.
Pgina 81 de 192
Tomado de: http://www.cert-hungary.hu/. U.A: 2008/09/26. Publicado por: CERT Hungary. Autor: No determinado.
Pgina 82 de 192
Archivos de alarmas, de advertencias y de otros avisos Documentacin sobre mejores prcticas actuales Orientacin general de la seguridad computacional Polticas, procedimientos y listas de comprobacin Informacin del desarrollo y distribucin de correcciones Ajustes de proveedores Estadstica y tendencias actuales en la divulgacin del incidente Otra informacin que puede mejorar seguridad total Direccin del incidente: CERT-Hungra se ocupa solamente de incidentes de la seguridad informtica. Estos incidentes de la seguridad pueden ser acceso desautorizado a los datos sobre un sistema informtico, negacin de los ataques del servicio, virus contra un sistema informtico, las vulnerabilidades, o cualquier otra actividad o programa que amenacen la seguridad de un sistema informtico. Durante su incidente los expertos de CERT-Hungra reciben, dan la prioridad, y responden a los incidentes y a los informes y analizan incidentes y acontecimientos. Las actividades particulares de la respuesta pueden incluir: Accin a tomar para proteger los sistemas y las redes afectadas o amenazadas por el intrusos Proveer soluciones y estrategias de mitigacin de o de alarmas relevantes Filtracin de trfico de la red Direccin de la vulnerabilidad: Las vulnerabilidades estn basadas en errores de la configuracin que crean los agujeros de seguridad en los sistemas informticos y redes. La direccin de la vulnerabilidad implica recibir informacin sobre vulnerabilidades del hardware y del software. CERT-Hungra analiza la naturaleza, mecanismos y efectos de las vulnerabilidades y desarrollan las estrategias de la respuesta para detectar y reparar las vulnerabilidades. Manejo de artefactos: Un artefacto es cualquier archivo u objeto encontrado en un sistema que impacta en sistemas y redes, que atacan o que se est utilizando para destruir medidas de seguridad. CERTHungra analiza la naturaleza, mecanismos, versin y el uso de los artefactos y desarrolla (o sugiere) las estrategias de respuesta para detectar, quitar y defender contra estos artefactos. Educacin y entrenamiento: Con seminarios, los talleres, los cursos y clases particulares, CERT-Hungra educa sobre soluciones de seguridad computacional. Los temas pueden ser:
Pgina 83 de 192
Incidente y pautas Mtodos apropiados de respuesta Herramientas de respuesta del incidente Mtodos para la prevencin del incidente Otra informacin necesaria para proteger, detectar, divulgar y responder a los incidentes de la seguridad computacional.
2.1.28.3. rea de Influencia Hungra 2.1.29. INDIA - CERT-IN32 (INDIAN COMPUTER EMERGENCY RESPONSE TEAM) 2.1.29.1. Antecedentes El propsito del CERT-In es convertirse en la agencia de confianza de la comunidad india para responder a los incidentes de la seguridad de computacional. CERT-In asiste a los miembros de la comunidad india para ejecutar medidas proactivas para reducir los riesgos de los incidentes de la seguridad informtica. 2.1.29.2. Servicios Ofrecidos
Servicios Reactivos Proporciona un solo punto del contacto para divulgar problemas locales. Asiste al gobierno y a la comunidad general en la prevencin y la manipulacin de incidentes de la seguridad computacional. Comparte la informacin y las lecciones aprendidas con el CERT/CC, otros CERTs y las organizaciones. Respuesta del incidente Proporciona el servicio de una seguridad 24 x 7.
32
Tomado de: http://www.cert-in.org.in/. U.A: 2008/09/26. Publicado por: Department of Information Technology. Ministry
Pgina 84 de 192
Procedimientos de recuperacin Anlisis de artefactos Trazo del incidente Servicios Proactivos Publica las pautas de la seguridad, las recomendaciones y consejos oportunos. Anlisis y respuesta de la vulnerabilidad Anlisis del riesgo Evaluacin de producto relacionados con la seguridad Colaboracin con los proveedores Perfilar atacantes. Entrenamiento, investigacin y desarrollo de la conducta. Funciones Divulgacin Punto central para divulgar incidentes Base de datos de incidentes Anlisis Anlisis de tendencias y patrones de la actividad del intruso Desarrollo de las estrategias preventivas Respuesta La respuesta del incidente es un proceso dedicado a restaurar sistemas afectados a la operacin Envo de recomendaciones para la recuperacin y la contencin del dao causada por los incidentes.
Pgina 85 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Ayuda a los administradores de sistemas a tomar la accin de seguimiento para prevenir la repeticin de incidentes similares
2.1.29.3. Estructura CERT-In funciona bajo auspicios y con la autoridad delegada del Departamento de Tecnologa de Informacin, del Ministerio de Comunicaciones y Tecnologa de Informacin, del gobierno de la India. CERT-In trabaja cooperativamente con los oficiales de informacin y los administradores de sistema de varias redes sectoriales y de gobierno. 2.1.29.4. rea de Influencia India 2.1.30. JAPAN - JPCERT/CC33 (JP CERT COORDINATION CENTER) 2.1.30.1. Antecedentes JPCERT/CC es el primer CSIRT establecido en Japn. Se coordina con los proveedores de servicios de red, vendedores de productos de seguridad, agencias estatales, as como las asociaciones gremiales de la industria. En la regin Pacfica de Asia, JPCERT/CC ayud a formar APCERT (Equipo de Respuesta a Emergencias Computacionales de Asia Pacfico) y ejerce la funcin de secretara para APCERT. Es miembro del Foro de Equipos de Respuesta y Seguridad del Incidente (FIRST). Los objetos de JPCERT/CC son:
Proporcionar respuestas a incidente de seguridad computacionales. Coordinar la accin con CSIRTs locales e internacional y organizaciones relacionadas. Ayudar al establecimiento de nuevos CSIRTs y promover la colaboracin entre CSIRTs Divulgar informacin tcnica sobre incidentes de seguridad computacional y las vulnerabilidades y ajustes a la seguridad, generar alarmas y advertencias. Generar investigacin y anlisis de incidentes de la seguridad computacional. Conducir investigaciones sobre tecnologas relacionadas con la seguridad.
33
Tomado de: http://www.jpcert.or.jp/. U.A: 2008/09/26. Publicado por: JPCERT/CC. Autor: No determinado.
Pgina 86 de 192
Aumentar el entendimiento de la seguridad de la informacin y del conocimiento tcnico, con educacin y entrenamiento. 2.1.30.2. Servicios Ofrecidos Incidente Respuesta y anlisis: JPCERT/CC proporciona ayuda tcnica para divulgar problemas de la seguridad de la siguiente manera: Con base en informacin proporcionada por los sitios afectados, JPCERT/CC determina los daos. Identifica las vulnerabilidades. Proporciona informacin tcnica relevante. Adicionalmente genera un informe semanal y trimestral sobre respuestas y anlisis de incidentes y otra informacin relevante a la seguridad computacional. Alertas de Seguridad: JPCERT/CC recopila la informacin relacionada con seguridad computacional y genera alarmas y mensaje para prevenir ataques contra redes locales de las organizaciones, as como para evitar que el impacto de tales ataques llegue a ser extenso. Un informe semanal, contiene amenazas potenciales y mensajes de cmo evitarlos o reducir al mnimo el dao causado por incidentes o las vulnerabilidades. Coordinacin con otros CSIRTs: Siendo el primer CSIRT formado en Japn, mantiene relaciones cercanas establecidas con mucho CSIRTs no slo en la Asia y la regin pacfica, sino tambin en otras regiones. La coordinacin y la colaboracin con esos CSIRTs es crucial para el uso seguro de la tecnologa del Internet en todo el mundo. Coordinacin de Proveedores: Con el fin de evitar, reduce al mnimo o recupera del dao con eficacia y eficiencia, la coordinacin con los proveedores que pudieron afectar la seguridad del Internet es importante. JPCERT/CC comparte la informacin con los proveedores locales y distribuyen la informacin de la vulnerabilidad de manera oportuna. Educacin y entrenamiento: JPCERT/CC proporciona la educacin y el entrenamiento relacionados con la seguridad de la red, incidentes de seguridad, vulnerabilidad y las tendencias y ayudas de seguridad a partir de seminarios y talleres. Adems, vario informes tcnicos y otros documentos estn disponibles en el web site. Investigacin y anlisis: Los incidentes de la computadora se estn convirtiendo en un problema cada vez ms difcil de identificar. JPCERT/CC ejerce investigacin y anlisis para encontrar mejores maneras de prevenir ataques o de limitar su dao.
Pgina 87 de 192
34
Tomado de: http://www.cert.org.mx/index.html. U.A: 2008/09/26. Publicado por: UNAM-CERT. Autor: Jefe del
Departamento de Seguridad en Cmputo: Juan Carlos Guel. Lder del Proyecto: Alejandro Nez Sandoval.
Pgina 88 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Tecnologas de Seguridad.
2.1.31.3. Estructura El UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cmputo) es un equipo de profesionales en seguridad en cmputo localizado en el Departamento de Seguridad en Cmputo (DSC) de la Direccin General de Servicios de Cmputo Acadmico (DGSCA), de la UNAM. 2.1.31.4. rea de Influencia Mxico 2.1.32. NUEVA ZELANDIA CCIP35 (CENTRE FOR CRITICAL INFRASTRUCTURE PROTECTION) 2.1.32.1. Antecedentes El Centro para la Proteccin de la infraestructura Crtica (CCIP) es la agencia de estatal dedicada al trabajo con las organizaciones, la industria y el gobierno relacionados con la infraestructura crtica de Nueva Zelandia, para mejorar la proteccin y la seguridad computacional de amenazas. 2.1.32.2. Servicios Ofrecidos
Proporcionar un servicio de asesora 7*24 hacia dueos y operadores de la Infraestructura Crtica Nacional y del gobierno de Nueva Zelandia. Investigar y analizar los incidentes del ciberespacio que ocurren contra la Infraestructura Crtica Nacional. Trabajar con las agencias de proteccin de la Infraestructura Crtica Nacional tanto de manera local como internacionalmente para mejorar el conocimiento de la seguridad del ciberespacio en Nueva Zelandia.
35
Tomado de: http://www.ccip.govt.nz/. U.A: 2008/09/26. Publicado por: Centre for Critical Infrastructure Protection. Autor: No determinado.
Pgina 89 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
2.1.32.3. Estructura El Centro para la Proteccin de la Infraestructura Crtica (CCIP) es una unidad de negocio dentro de la oficina de Seguridad de Comunicaciones del Gobierno (GCSB). La persona responsable del CCIP y de GCSB es el Primer Ministro de Nueva Zelandia. 2.1.32.4. rea de Influencia Nueva Zelandia
Coordinacin: Acta como punto central de la emergencia de incidentes relacionados con la seguridad, tales como virus informticos y deteccin de vulnerabilidades. Informacin: Proporciona la informacin correspondiente a temas de seguridad a las partes apropiados. Asiste a oficiales del gobierno en la prevencin de incidentes de seguridad. Intercambio internacional del conocimiento: mantiene la cooperacin e intercambio de informacin a nivel internacional. Banco de datos: GOVCERT. NL es un centro de informacin. Proporciona acceso al conocimiento y a la experiencia de su personal y organizaciones que participan. Adems, promueve el intercambio de informacin entre estas organizaciones. El banco de datos facilita el intercambio por medio de listas de distribucin, de archivos de documentos relevantes y de mejores prcticas. Paneles: Organizamos reuniones peridicas para dar la oportunidad de intercambiar conocimiento e ideas en temas de actualidad. Ayuda en caso de incidentes: Ofrece ayuda haciendo frente a todas las clases de incidentes, extendindose al correo Spam, a los ataques de la red de la escala grande, con un soporte 7*24. Tomado de: http://www.govcert.nl/. U.A: 2008/09/26. Publicado por: GOV-CERT.NL. Autor: No determinado.
36
Pgina 90 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
2.1.33.3. rea de Influencia Holanda 2.1.34. POLONIA - CERT POLSKA37 (COMPUTER EMERGENCY RESPONSE TEAM POLSKA) 2.1.34.1. Antecedentes El CERT Polska es el nombre oficial del equipo desde el enero de 2001. Era conocido antes como CERT Nask. Desde el febrero de 1997 el CERT Polska ha sido un miembro del Foro Mundial de Equipos de Respuesta y Seguridad del Incidente - FIRST. El CERT Nask fue establecido en marzo de 1996 segn la disposicin del director de Nask (Red Acadmica y de Investigacin en Polonia). Sus objetivos son constituir un nico punto confiable de atencin a incidentes y prevencin en Polonia para los clientes de la comunidad Nask y otras redes en Polonia, responder por los incidentes de seguridad, proveer informacin referente a la seguridad y advertencias de los ataques en cooperacin con otros equipos de respuesta a incidentes por todo el mundo 2.1.34.2. Servicios Ofrecidos
El CERT Polska registra las peticiones, alertas y proporcionar datos e informes estadsticos de incidentes. Proporciona ayuda a los sitios que tienen problemas de seguridad. El CERT Polska brinda informacin actual sobre problemas de seguridad y su solucin (va web y lista de suscripcin).
2.1.34.3. Estructura El equipo lo conforma la Red Acadmica y de Investigacin en Polonia, con la ayuda de expertos de universidades polacas. 2.1.34.4. rea de Influencia Polonia
37
Tomado de: http://www.cert.pl/. U.A: 2008/09/26. Publicado por: CERT Polska. Autor: No determinado.
Pgina 91 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Planeamiento, medicin y evaluacin Disuasin Proteccin Supervisin, deteccin y anlisis Respuesta Reconstitucin y recuperacin Investigacin y desarrollo
Q-CERT cubre todas las organizaciones autorizadas para utilizar el dominio del cdigo de pas.qa, as como la poblacin en general de Qatar que utiliza el Internet. Incluye al gobierno de Qatar, a los negocios e instituciones educativas que utilizan el Internet para sus operaciones. Los socios estratgicos incluyen la industria petrolera del aceite, la industria de servicios financieros, la industria de las telecomunicaciones, y los ministerios del estado de Qatar. Q-CERT trabajar con los institutos educativos en Qatar para aumentar conocimiento de la seguridad de la informacin y para mejorar prcticas de seguridad de la informacin. 2.1.35.2. Servicios Ofrecidos
Talleres, seminarios, y cursos diseados para aumentar el conocimiento acerca de la seguridad del ciberespacio. Provee un Web site para brindar informacin sobre las amenazas que emergen, nuevas vulnerabilidades y otros temas de seguridad.
38
Tomado de: http://www.qcert.org. U.A: 2008/09/26. Publicado por: Supreme Council of Information & Comunication Technology. Autor: No determinado.
Pgina 92 de 192
Explorar la informacin de la seguridad de sistemas de fuente abierta para prevenir amenazas emergentes. Genera nuevas alarmas y estrategias de mitigacin. Analiza vulnerabilidades y cdigo malvolo para desarrollar estrategias de la mitigacin. Analizar incidentes de la seguridad e identifica contramedidas. Coordina a travs de las organizaciones internacionales el manejo de atencin a incidentes e investigaciones. Ayuda en la determinacin del alcance y de la magnitud de incidentes de seguridad e identifica estrategias de la recuperacin 2.1.35.3. Estructura Q-CERT es un organismo nacional patrocinado del Consejo Supremo para la Tecnologa de Informacin y de Comunicaciones (ictQATAR) del estado de Qatar en asocio con el programa CERT que es parte de Instituto de Ingeniera de Software de la Universidad Carnegie - Mellon en Pittsburgh, Estados Unidos. 2.1.35.4. rea de Influencia Gobierno y sector privado en Qatar y en la regin cercana del golfo.
Tomado de: www.govcertuk.gov.uk. U.A: 2008/09/26. Publicado por: CESG GovCertUK Incident Response Team. Autor: No determinado.
Pgina 93 de 192
de ayuda a la infraestructura nacional crtica, a las organizaciones del sector pblico y privado, protegiendo la seguridad nacional ayudando as a reducir la vulnerabilidad de la infraestructura nacional al terrorismo y a otras amenazas. 2.1.36.2. Servicios Ofrecidos
Publicaciones orientadas a la proteccin general de la seguridad. Informes de seguridad de la informacin destacando los riesgos frente a la infraestructura nacional. Notas tcnicas de la Seguridad de la Informacin. Vulnerabilidades de la Seguridad de la Informacin. Investigacin en vulnerabilidades computacionales para determinar las amenazas, identificar problemas y se trabaja de la mano con proveedores de tecnologa para suministrar patches de software. Promueven las mejores prcticas entre los operadores de la infraestructura nacional, compartiendo la informacin. Descripcin de tecnologas emergentes. Intercambios de informacin sobre los riesgos.
2.1.36.3. rea de Influencia Reino Unido e Irlanda del Norte 2.1.37. SINGAPUR SINGCERT41 (SINGAPORE CERT) 2.1.37.1. Antecedentes El Equipo de Respuesta a Emergencias Computacionales de Singapur (SingCERT) fue instalado para facilitar la deteccin, la resolucin y la prevencin de incidentes relacionados con la seguridad en Internet. Sus objetivos son:
40
Tomado de: www.cpni.gov.uk. U.A: 2008/09/26. Publicado por: Centre for the Protection of National Infrastructure CPNI. Autor: No determinado.
41
Tomado de: http://www.singcert.org.sg/. U.A: 2008/09/26. Publicado por: Singapur SingCERT. Autor: No determinado.
Pgina 94 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Genera alarmas, recomendaciones y patches de seguridad. Promueve el conocimiento de la seguridad a travs de cursos, seminarios y talleres de seguridad. Colabora con los proveedores y otros CERTs para encontrar soluciones a los incidentes de la seguridad
2.1.37.3. Estructura SingCERT fue establecido inicialmente en octubre de 1997 como programa de la autoridad del desarrollo de Infocomm de Singapur, en colaboracin con el Centro para la Investigacin del Internet de la Universidad Nacional de Singapur. 2.1.37.4. rea de Influencia Singapur 2.1.38. SRI LANKA SLCERT42 (SRI LANKA COMPUTER EMERGENCY RESPONSE TEAM) 2.1.38.1. Antecedentes El Equipo de Respuesta a Emergencia Computacionales de Sri Lanka (SLCERT) es el centro para la seguridad del ciberespacio, designado por mandato para proteger la infraestructura de la informacin de la nacin y para coordinar medidas protectoras y respuestas a las amenazas y a las vulnerabilidades de la seguridad informtica. Un CERT nacional acta como punto focal para la seguridad de Ciberespacio para una nacin. Es la nica fuente confiable para asesorar sobre las amenazas y las vulnerabilidades ms recientes que afectan los sistemas informticos y las redes y para asistir al gobierno en responder y recuperarse de Ataques computacionales.
42
Tomado de: http://www.cert.lk/. U.A: 2008/09/26. Publicado por: Sri Lanka SLCERT. Autor: No determinado.
Pgina 95 de 192
2.1.38.2. Servicios Ofrecidos SLCERT ofrece tres categoras de servicio: Servicios de Respuesta: Son los servicios que son activados por los acontecimientos que son capaces de causar efectos nocivos sobre los sistemas de informacin. Los ejemplos son ataques de Spam, virus y acontecimientos inusuales de intrusos. Direccin en incidentes: Este servicio implica responder a una peticin o a una notificacin asociada a la deteccin de un acontecimiento inusual, que puede afectar el funcionamiento, la disponibilidad o la estabilidad de los servicios o sistemas informticos. SLCERT realizar pasos para identificar el incidente y para clasificar la severidad del incidente, asesorando en cmo contener el incidente y suprimir la causa. Una vez los sistemas se recuperan completamente, SLCERT genera un informe de incidente detallando su naturaleza, medidas tomadas para recuperarse de incidente y medidas preventivas recomendadas para el futuro. Servicios del Conocimiento: Se disean para educar en la importancia de la seguridad de la informacin y de los asuntos relacionados y las mejores prcticas. Alarmas: Este servicio se utiliza para divulgar la informacin en relacin con virus informticos, bromas y vulnerabilidades de la seguridad, y en lo posible, para proporcionar recomendaciones a corto plazo para ocuparse de las consecuencias de tales ataques. Seminarios y conferencias: Estos servicios tienen la intencin de aumentar el conocimiento sobre la seguridad de la informacin, seguridad estndares y mejores prcticas. Se busca ayudar a reducir perceptiblemente la probabilidad de ser atacado. Talleres: Estos servicios son dirigido para aumentar el conocimiento acerca de la seguridad de la informacin. Se orientan a los profesionales ms tcnicos, que realizan tareas diarias relacionadas con la seguridad de la informacin. Base de Conocimiento: La base de conocimiento es un servicio pasivo ofrecido por SLCERT a los interesados con documentos, artculos, noticias, etc., publicado en el Web site de SLCERT y los medios. Se busca proporcionar una gama de recursos del conocimiento que permitan a cualquier persona encontrar informacin til para ayudar a aumentar su comprensin de la seguridad de la informacin. Servicios de la Consulta: Estos servicios se orientan a proveer medios de toma de decisiones con respecto a la seguridad de la informacin, y para tomar las medidas necesarias para consolidar las defensas. Soporte Tcnico: Este servicio de revisin y anlisis est dirigido a la infraestructura y procedimientos de la seguridad adoptados dentro de las organizaciones, de acuerdo con la experiencia en seguridad de la informacin del SLCERT y de ciertos parmetros predefinidos. El resultado final es un identificacin
Pgina 96 de 192
detallada de las debilidades de la infraestructura, las mejoras que deben llevarse a cabo y cmo tales las mejoras deben ser puestas en ejecucin. Soporte Consultivo para Poltica Nacional: ste es un servicio realizado por SLCERT como obligacin con la nacin. Como autoridad primaria en seguridad de la informacin en Sri Lanka, SLCERT es responsable de generar y de hacer cumplir estndares de seguridad de la informacin a nivel nacional. 2.1.38.3. rea de Influencia Sri Lanka
2.1.39. TNEZ - CERT-TCC43 (COMPUTER EMERGENCY RESPONSE TEAM - TUNISIAN COORDINATION CENTER)
2.1.39.1. Antecedentes A partir de 2002 se establece el ncleo de un CSIRT en Tnez, que condujo en 2004 al lanzamiento oficial del CERT-TCC (Computer Emergency Response Team - Centro Tunecino de Coordinacin), un CSIRT pblico gestionado por la Agencia Nacional para la Seguridad Computacional. El CERT-TCC tiene los siguientes objetivos: Aumentar el conocimiento y entendimiento acerca de la seguridad de la informacin y de la seguridad de la computadora a travs de medidas proactivas. Proporcionar un soporte confiable7*24, con un solo punto de contacto para las emergencias, para ayudar a manejar incidentes de la seguridad y para asegurar la proteccin del Ciberespacio nacional y la continuidad de servicios crticos nacionales a pesar de ataques. Proporcionar el entrenamiento y la certificacin de alto nivel para los aprendices y los profesionales. Informar sobre las mejores prcticas y sobre aspectos de organizacin de la seguridad, con un foco especial en la gerencia de la intervencin y de riesgo. Informar sobre vulnerabilidades y respuestas correspondientes y sirve como un punto confiable de contacto para recopilar e identificar vulnerabilidades en sistemas informticos. Informar sobre mecanismos y herramientas de la seguridad y asegurar que la tecnologa apropiada y las mejores prcticas de gerencia sean utilizadas.
43
Tomado de: http://www.ansi.tn/en/about_cert-tcc.htm. U.A: 2008/09/26. Publicado por: National Agency for Computer
Pgina 97 de 192
Poner en ejecucin los mecanismos que permitan alertar y dar respuesta a organizaciones y a instituciones, para desarrollar sus propias capacidades de la gerencia del incidente Facilitar la comunicacin entre el profesional y los expertos que trabajan en estructuras de seguridad y estimular la cooperacin entre y a travs de los negocios pblicos y privados de las agencias estatal y de las organizaciones acadmicas. Colaborar con la comunidad internacional y nacional en incidentes de deteccin y de resolucin de la seguridad computacional. Promover o emprende el desarrollo de los materiales educativos, de conocimiento y de entrenamiento apropiados para mejorar las habilidades y el conocimiento tcnico de los usuarios y los profesionales de la seguridad. 2.1.39.2. Servicios Ofrecidos Actividades del conocimiento Publicaciones: Como material del conocimiento, se desarrollan y distribuyen folletos y guas que explican a los usuarios de una manera simple y clara las amenazas y cmo proteger sus sistemas. Tambin distribuyen libremente los CDs con las herramientas de seguridad y de control parental, libres para el uso domstico, pero tambin los patches. Presentaciones: Co-organizan e intervienen en conferencias nacionales y talleres relacionados con la seguridad, con demostraciones en vivo de ataques, para sensibilizar a la gente con la realidad de los riesgos y la importancia de las mejores prcticas. Juventud y padres: Referente a conocimiento de la juventud y de los padres, preparan material del conocimiento. Un manual Pasaporte de la seguridad para la familia incluyendo concursos, historietas y juego pedaggico, que explican a los nios de una manera divertida, los riesgos (pedofilia, virus, etc) y las reglas bsicas de proteccin. Prensa: Participa en emisiones semanales en medios nacionales, creando un posicionamiento. Informacin y actividades de alertas: Una de las principales tareas es detectar y analizar amenazas y transmitir esa informacin a los administradores de sistema y a la comunidad de usuarios. CERT-TCC divulga regularmente informacin y alarmas sobre vulnerabilidades crticas y actividades malvolas a travs de sus listas de distribucin y con su web site. Analiza las vulnerabilidades potenciales, recogiendo la informacin, trabajando con otros CSIRTs y proveedores de software para conseguir las soluciones a estos problemas. Entrenamiento y educacin: CERT-TCC est actuando para la construccin de un grupo de trabajo de los multiplicadores y e la creacin de diplomados especializados en seguridad, junto con el estmulo de los profesionales para obtener certificacin internacional. Para solucionar eficientemente el problema de la carencia del entrenamiento especializado en seguridad, el CERT-TCC organiza entrenamientos para
Pgina 98 de 192
los multiplicadores que estarn en cargo de reproducir esos cursos en una escala mayor. Los primeros asuntos identificados son los siguientes: Tcnicas de seguridad del permetro de la red: Arquitecturas seguras, firewall, identificaciones, servidores de marcado manual seguros. Organizacin y tcnicas internas: Desarrollo de poltica de la seguridad, desarrollo del plan de seguridad, herramientas de seguridad de la red (Firewall, entradas distribuidos contra-virus, PKI.). Tecnologas de supervivencia de la informacin: Planes de recuperacin de desastres. Base tcnica para la prevencin de la intrusin: Identifica y previene intrusiones y defectos de seguridad. Fundamentos en la orientacin del manejo del incidente. Metodologas de la autovaloracin de la seguridad. ISO 17799 e ISO 27000. Curso de CBK, para la preparacin a la certificacin de CISSP. Cursos especializados para el personal judicial y de investigacin. Tambin desarrollan un programa de entrenamiento para la certificacin de personas del sector privado, que permite la obtencin de la certificacin nacional de interventor de la seguridad, adems, al entrenamiento para los administradores de los sistemas de e-gobierno, y como motivacin para la certificacin de CISSP, los entrenamientos que cubren todos los captulos del CBK. CERT-TCC trabaja con profesionales e instituciones acadmicas para desarrollar planes de estudios en seguridad de la informacin y se tiene el proyecto para lanzar un centro de entrenamiento regional en seguridad en sociedad con el sector privado. Prepara adicionalmente los entrenamientos especiales para los jueces, y periodistas. Educacin: En colaboracin con dos instituciones acadmicas, se lanz la primera maestra en seguridad en 2004 y ahora tres universidades pblicas y cuatro privadas, proponen programas de maestra similares. Para motivar a estudiantes a atender a esos cursos, se les ofrece la posibilidad de postular a la certificacin nacional del interventor de la seguridad. De otro lado, consideran que todos los estudiantes deben ser preparados para obtener conocimiento apropiado sobre riesgos y la existencia de las mejores prcticas y de herramientas de seguridad para la proteccin. Con ese propsito, comenzaron sesiones del conocimiento de verano para los nuevos profesores de las escuelas secundarias y estn motivando a todas las entidades de educacin para la introduccin de los cursos bsicos del conocimiento dentro de programas acadmicos, desde las escuelas secundarias hasta la
Pgina 99 de 192
universidad. CERT-TCC comenz el desarrollo del material y de los programas del conocimiento para las escuelas secundarias. Direccin y ayuda del incidente: Segn la ley relacionado con la seguridad computacional, las corporaciones privadas y pblicas deben informar al CERT-TCC sobre cualquier incidente, que pueda tener impacto en otros sistemas de informacin nacionales, con la garanta de confidencialidad ala que estn obligados los empleados del CERT-TCC y los interventores de la seguridad, bajo sanciones penales. Las organizaciones tanto privadas como pblicas deben confiar en el CERT-TCC por lo cual se obligan a guardar confidencial sobre sus identidades y la informacin sensible proporcionada. Tambin deben ser neutrales, que permita trabajar con las entidades y las entidades sin predisposicin. Se establecieron telfonos 7*24 que permiten a los profesionales y a los ciudadanos divulgar y llamar para solicitar ayuda en caso de incidentes de la seguridad computacional y tambin para solicitar la informacin y/o la ayuda en cualquier tema relacionado a la seguridad. En las actividades de direccin de la vulnerabilidad y del incidente se asigna una prioridad ms alta a los ataques y a las vulnerabilidades que afectan directamente el ciberespacio nacional. En este sentido se comenz a desarrollar un sistema llamado Saher que permite determinar y predecir amenazas grandes y potenciales a la infraestructura de telecomunicacin sensibles y al Ciberespacio local, basado en cdigo abierto que permite supervisar la seguridad del Ciberespacio nacional en tiempo real para la deteccin temprana de ataques masivos. El primer prototipo fue desplegado en noviembre de 2005. Para asegurar una respuesta rpida y correcta en caso de ataques grandes contra el Ciberespacio, se ha desarrollado un plan global de la reaccin basado en el establecimiento de clulas de crisis coordinadas a nivel de varios agentes del Ciberespacio nacional ( ISPs, IDCs, proveedores de acceso, redes corporativas grandes) con CERT-TCC actuando como coordinador entre ellos. Colaboracin con asociaciones: Co-organizan regularmente talleres del conocimiento y entrenamiento buscando sinergia entre los profesionales y los agentes nacionales. Animan la creacin de dos asociaciones especializadas en el campo de la seguridad informtica: Una asociacin acadmica lanzada en 2005 (Asociacin Tunecina para la Seguridad Numrica) y durante 2006 (Asociacin Tunecina de Expertos en Seguridad Computacional). Con el propsito de motivar la agregacin tcnica de esas asociaciones, las estn motivando para la creacin de equipos de trabajo tcnicos. Colaboracin internacional: CERT-TCC se ha establecido como miembro de pleno derecho de FIRST en mayo de 2007 y busca colaborar con otros CSIRTs para lograr un apoyo mayor y colaboracin en investigaciones. Tambin intentan ser activos a nivel regional en frica y en organizaciones internacionales. 2.1.39.3. Estructura Cuenta con dos equipos: Equipo Amen: A cargo del anlisis del incidente y coordinacin y respuesta en sitio y en caso de emergencia nacional.
Equipo Saherel: A cargo de la deteccin del incidente y del artefacto, que desarrolla y maneja un sistema de supervisin para el ciberespacio nacional, basado en soluciones de cdigo abierto. Est tambin a cargo de dar asistencia tcnica y ayuda para el despliegue de las soluciones de cdigo abierto. 2.1.39.4. rea de Influencia Tnez
44
Tomado de: http://www.cert.gov.ve/. U.A: 2008/09/26. Publicado por: Venezuela CERT.ve. Autor: No determinado.
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Valoracin de los riesgos de cada uno de los Entes Gubernamentales. Con ello se identifican las amenazas a los activos, se evala la vulnerabilidad y la probabilidad de su ocurrencia y se estima su posible impacto. Determinacin de requisitos legales, estatutarios y regulatorios que deberan satisfacer los entes de la Administracin Pblica, sus usuarios, contratistas y proveedores de servicios. Establecimiento de los principios, objetivos y requisitos que forman parte del tratamiento de la informacin que el Gobierno Nacional ha desarrollado para apoyar sus operaciones.
Para ello el VenCERT (Centro de Respuestas ante incidentes telemticos del Sector Pblico) implementar un conjunto de polticas, prcticas, y procedimientos y los controles que garanticen el cumplimiento de los objetivos especficos de seguridad. Asimismo, orientar y asesorar en la definicin de estructuras organizativas, funciones de software y necesidades de formacin. El VenCERT deber igualmente constituirse en eje central de un sistema de investigacin cientfica aplicada a la seguridad telemtica, convirtindose en demandante principal de sus productos y proveedor permanente de nuevos temas de investigacin. 2.1.40.2. Servicios Ofrecidos Proveer un servicio especializado de asesoramiento en seguridad de redes
Promover la coordinacin entre los organismos de la Administracin Pblica para prevenir, detectar, manejar y recuperar incidentes de seguridad. Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administracin Pblica y facilitar el intercambio de informacin para afrontarlos. Crear listas de correo con el fin de mantener informados a los directores de informtica sobre las noticias ms recientes en materia de seguridad.
2.1.40.2.1. Estructura El VenCERT hace parte de la Superintendencia de Servicios de Certificacin Electrnica de Venezuela SUSCERTE. 2.1.40.3. rea de Influencia Administracin Pblica de Venezuela
En colaboracin de varas entidades gubernamentales se desarroll una primera propuesta para la constitucin de un Centro de Informacin y Respuesta Tcnica a Incidentes de Seguridad Informtica de Colombia CIRTISI. Segn esta propuesta, CIRTISI Colombia buscara propender por la prevencin, deteccin y reaccin frente a incidentes de seguridad informtica que amenacen y/o desestabilicen la normal operacin de entidades gubernamentales e incluso la seguridad nacional, mediante apoyo tecnolgico, entrenamiento y generacin de una cultura global de manejo de la informacin. Sus objetivos generales seran: Brindar apoyo a las entidades gubernamentales para la prevencin y rpida deteccin, identificacin, manejo y recuperacin frente a amenazas a la seguridad informtica. Interactuar con los entes de polica judicial generando un espacio de consulta frente a las amenazas de seguridad e investigaciones informticas. Proporcionar informacin especializada y conocimiento a las autoridades de polica judicial durante los procesos investigativos relacionados con la seguridad informtica. Construir un laboratorio de deteccin e identificacin, control y erradicacin de amenazas informticas para los diferentes organismos gubernamentales. Consolidar el capitulo HTCIA (High Technology Crime Investigation Association) Colombia y adelantar las actividades necesarias para su permanencia y crecimiento Sus objetivos especficos seran: Proporcionar alertas tempranas frente a amenazas informticas que puedan desestabilizar la tecnologa y la seguridad nacional.
45
Fomentar la investigacin y desarrollo de estrategias de seguridad informtica. Brindar una adecuada respuesta a incidentes de seguridad informtica, con un enfoque metodolgico que propenda por la eficiencia de las investigaciones realizadas. Establecer canales de comunicacin nacionales expeditos de manera que sea posible ofrecer una atencin a incidentes en forma efectiva. Generar redes de apoyo temticas en materia de seguridad de la informacin. Promover la coordinacin nacional con otras entidades pertinentes del orden regional Fortalecer la cooperacin con organismos intergubernamentales en el mbito subregional, regional e internacional. Impulsar la cooperacin internacional con organismos de similar naturaleza y propsito. Participar en el Forum of Incident Response and Security Teams (FIRST) Consolidar, mantener y liderar el capitulo HTCIA Colombia Fomentar una conciencia global de seguridad informtica Proveer un servicio especializado de asesoramiento en seguridad de redes. Servicios Propuestos
2.2.1.2.
Investigacin tcnica de amenazas informticas existentes e identificacin de tendencias. Generacin de alertas tempranas frente a las amenazas existentes, conocidas y potenciales. Entrenamiento local, nacional o internacional en materia de seguridad informtica y procedimientos de computacin forense para los organismos de polica judicial colombiana. Respuesta efectiva a incidentes de seguridad informtica que se presenten en cualquier rgano gubernamental, brindando apoyo tcnico para la recoleccin, anlisis, preservacin y presentacin de evidencia digital en incidentes que den lugar a investigaciones informticas. Promover la cultura de la seguridad informtica y la estandarizacin de protocolos de seguridad. Establecer contactos con equipos de similar naturaleza o propsito y con organizaciones que agrupen estos equipos, tanto a nivel nacional como internacional.
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
El CIRTISI - Colombia propone desarrollar sus actividades dentro de los siguientes ejes estratgicos:
Desarrollo de Polticas: Promover la formulacin de polticas que contribuyan con la prevencin, deteccin, identificacin, manejo y recuperacin frente a amenazas a la seguridad informtica as como con la adopcin de legislacin para adecuar y actualizar la tipificacin de las conductas conocidas por el CIRTISI. Actividad Operacional: Obtener diagnsticos reales sobre las diferentes amenazas informticas que se generan a partir de una cobertura de servicios y sectores definida y, de la permanente capacitacin y optimizacin tecnolgica. Impacto Social: Generacin de una cultura global de manejo de la informacin y fomento de conciencia frente a la seguridad informtica mediante la permanente socializacin la de las conocidas y nuevas y su impacto sobre la seguridad informtica en Colombia. amenazas
2.2.1.3.
Estructura Sugerida
La conformacin del CIRTISI involucrara cinco reas o divisiones con liderazgo propio de manera que se puedan cubrir diversos aspectos de la seguridad informtica nacional.
Direccin General
Divisin de Infraestructura y As e s o r a
L.
1
Divisin de Alertas Tempranas
.
Divisin de Respuesta a i Incidentes | i
1
Ilustracin 6: Estructura CIRTISI Colombia Divisin de Infraestructura y Asesora: Esta divisin ser la encargada de todo el planeamiento logstico y estratgico necesario para la conformacin y puesta en operacin del CIRTISI Colombia, apoyando directamente a la direccin general y junta directiva que se designe. Divisin de Alertas Tempranas y Coordinacin: Esta divisin se concentrar en el monitoreo de amenazas y coordinacin con CERTs nacionales e internacionales, generando las alertas tempranas
frente a amenazas potenciales. En conjunto con la investigacin y desarrollo son el corazn del CIRTISI en la medida que se convierte en el punto de deteccin de amenazas globales. Adicionalmente, esta divisin est encargada de mantener una base estadstica de amenazas a la seguridad de la informacin. Divisin de Investigacin y Desarrollo: La divisin de Investigacin y Desarrollo estar encargada del laboratorio de amenazas, proporcionadas por la divisin de alertas tempranas, con el fin de identificar riesgos efectivos. Esta divisin afinar la base estadstica de amenazas convirtindolas en riesgos y generando las alertas acerca de aquellos riesgos que podran impactar de mayor manera la seguridad nacional. Estos estudios contribuirn con la elaboracin de diagnsticos sobre la situacin real del pas en materia de seguridad informtica. Adicionalmente, esta Divisin se encargar todo lo relacionado con capacitacin y entrenamiento tanto al interior del CIRTISI como hacia los diferentes entes del Gobierno. Asimismo, administrar y distribuir entre las entidades nacionales competentes las ofertas de cooperacin, asistencia y capacitacin en nuevas tecnologas y manejo de incidentes de seguridad informtica. Divisin de Respuesta a Incidentes: La Divisin de Respuesta a Incidentes ser el grupo de reaccin frente a cualquier incidente de seguridad de la informacin que se presente en el sector Gobierno. Esta divisin estar a cargo de los mecanismos de comunicacin nicos nacionales que atenderan y manejaran los requerimientos de incidentes. Adicionalmente, los funcionarios de esta divisin podrn interactuar con las entidades con funciones de polica judicial en el desarrollo de investigaciones informticas ofreciendo apoyo tcnico y especializado. Asimismo, el CIRTISI pondra a disposicin de dichas entidades las estadsticas sobre investigaciones informticas a nivel nacional. Inicialmente, contar con la infraestructura necesaria para brindar asistencia de lunes a viernes de 9:00 a 18:00 horas, y en el mediano plazo, a medida que aumente la capacidad y la demanda, entrara a operar en el modelo 24 horas al da, 7 das a la semana (7/24). Divisin de Divulgacin y Concienciacin: Esta Divisin ser la nica encargada de proporcionar la informacin oficial que se derive de las actividades del CIRTISI hacia los medios de comunicacin y la comunidad en general. Adicionalmente y, como parte de la misin social del CIRTISI, promover la generacin de conciencia en el adecuado manejo de la seguridad de la informacin. Las entidades involucradas en su constitucin seran: Ministerio del Interior y de Justicia Ministerio de Defensa Nacional Ministerio de Relaciones Exteriores Ministerio de Comunicaciones Ministerio de Comercio, Industria y Turismo Departamento Administrativo de Seguridad (DAS)
Pgina 106 de 192
Polica Nacional (DIPOL, DIJIN) Comisin de Regulacin de Telecomunicaciones (CRT) Direccin Nacional de Planeacin (DNP) Fiscala General de la Nacin Cuerpo Tcnico de Investigacin (CTI) Procuradura General de la Nacin 2.2.1.4. rea de Influencia
El CIRTISI Colombia tendra un alcance nacional que abarca el sector Gobierno y brindara apoyo a las entidades gubernamentales para la prevencin y rpida deteccin, identificacin, manejo y recuperacin frente a amenazas a la seguridad informtica. Tambin brindara apoyo tcnico y proporcionara informacin especializada a los cuerpos de polica judicial y de control en aspectos relacionados con la seguridad informtica. En estos casos, manteniendo reserva en la informacin reportada a los organismos y teniendo en cuenta las responsabilidades y controles que el manejo de este tipo de informacin requiere. El CIRTISI establecera canales de interlocucin con usuarios del sector privado y la academia con el propsito de ampliar la informacin en materia de tendencias e investigacin. En este sentido, har seguimiento a los principales dispositivos, aplicaciones y herramientas (hardware, software), a fin de conocer las vulnerabilidades de los sistemas operativos, alertar y obrar en consecuencia. Adicionalmente, mantendr una base de datos de incidentes de seguridad, la cual servir para consulta, seguimiento, y permitir llevar un registro histrico de los mismos. El CIRTISI brindara capacitacin especializada a las reas tcnicas de las diferentes entidades nacionales. Teniendo en cuenta que la cooperacin e intercambio de informacin entre equipos de esta naturaleza est basada en la confianza, el CIRTISI - Colombia estara llamado a constituirse en el punto focal confiable para organismos similares en el mbito internacional. El CIRTISI entrara en contacto con otros Equipos de Seguridad existentes en el mundo, y con las organizaciones que los agrupan, y establecera canales comunicacin permanente para facilitar el intercambio de informacin tcnica, experiencias, metodologas, procesos, buenas prcticas y otros servicios que ofrecen dichas organizaciones.
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
El COL-CSIRT es un grupo de investigacin de la Universidad Distrital Francisco Jos de Caldas que pretende un marco de operacin nacional y cuyo constituyente estar dado por entidades de educacin superior y entidades oficiales del estado. Su objetivo es ofrecer un servicio de soporte a las entidades estatales y de educacin superior, para la prevencin, deteccin y correccin de los incidentes de seguridad informticos, con los siguientes objetivos especficos.
Desarrollar una Base de Datos que contenga la informacin concerniente a los diferentes incidentes de seguridad informticos existentes y las preguntas ms frecuentemente contestadas (FAQ's). Prestar el soporte sobre Sistemas Operativos Windows y Linux (Unix). Utilizar la clasificacin taxonmica de los incidentes y ataques con cdigo malicioso propuesta en el proyecto de maestra en Teleinformtica titulado "ANLISIS DE INCIDENTES RECIENTES DE SEGURIDAD EN INTERNET 1995 a 2003" para ofrecer una respuesta oportuna, eficaz y eficiente a los distintos reportes y alertas que se reciban diariamente en el centro de respuesta. Establecer detalladamente los servicios que prestar el centro de respuesta con respecto a los incidentes de seguridad informticos. Integrar la base de datos del Centro de Respuesta a incidentes y ataques con cdigo malicioso, al portal WEB del COL-CSIRT que est siendo desarrollado por el grupo de investigacin ARQUISOFT de la Universidad Distrital Francisco Jos de Caldas.
46
Tom ado de: http://w w w .udistrital.edu.co/com unidad/grupos/arquisoft/colcsirt/?q=colcsirt . U .A : 2008/09/26. Publicado por:U niversidad D istrital
Francisco Josde Caldas. Autores: Coordinadora: MsC . Zulim a Ortiz Bayona. Docentes asistentes: Ing. C laudia Liliana Bucheli, M ar a del P ilar Bohorquez. Estudiantes coordinadores: E rika Tatiana Luque Melo, Jeffrey Steve BorbAnthony Molina. Estudiantes investigadores: n Sanabria, Lina R ocio Infante, D iego A lfonso B arrios C ontreras, Ivon C arolina P arra, Laura P atricia O rtiz O rtiz, D iegorango, Jorge guez R odr n A Iv E duardo Ib ez S ep lveda, E dw in G iovanny G utierrezrez, Jairo A ndr Gm ez M onrroy, R ene A lejandro R angel S egura, A lvaro R am s H ernando Taleroo,i D aniel A rturo A costa, C am ilos ndr N A A lfonso V argas, M P atricia B asto G uevara, W ilm er D aniel G alvis, S aira nica C arvajal, D iana M arcela Cotte Corredor, Luis Francisco Fontalvo Rom ero, C ristian C am ilo Betancourt Lem us, Rodrigon ruz H ern ndez, JuliC Bonilla M , Jorge G am ba V, Giulio Leonardo AquiteN idia M arcela C orcovado B , Jorge Andr Daniel Felipe R enterart n, Pinz s D iab, a M nez
2.2.2.2.
Servicios Ofrecidos
Prestar el servicio de manejo de incidentes de seguridad informticos, a travs del anlisis de incidentes, respuesta a los incidentes en l-nea, soporte a la respuesta del incidente y la coordinacin de la respuesta del incidente. 2.2.2.3. Estructura
El grupo est compuesto por una coordinacin, docentes asistentes, estudiantes coordinadores y estudiantes investigadores. 2.2.2.4. Colombia rea de Influencia
La identificacin de los servicios crticos El diagnstico rpido y preciso del problema El establecimiento de protocolos y procedimientos para el intercambio de informacin La pronta diseminacin regional de advertencias sobre ataques La pronta diseminacin regional de advertencias sobre vulnerabilidades genricas a difusin de un alerta regional sobre actividades sospechosas y la colaboracin para analizar y diagnosticar tales actividades El suministro de informacin sobre medidas para mitigar y remediar los ataques y amenazas La reduccin de duplicaciones de anlisis entre los equipos El fortalecimiento de la cooperacin tcnica y la capacitacin en materia de seguridad ciberntica para establecer los CSIRTs nacionales La utilizacin de los mecanismos subregionales existentes. En mayo de 2008 se llev a cabo en la ciudad de Bogot una capacitacin en Fundamentos para creacin y manejo de un CSIRT organizada por la Secretara del CICTE en coordinacin con la Cancillera y la Polica Nacional de Colombia (DIJIN), con la participacin de representantes de Bolivia, Chile, Ecuador, Paraguay, Per, Repblica Dominicana, y Colombia, con responsabilidades tcnicas y/o polticas relativas al desarrollo de su infraestructura nacional de seguridad ciberntica, incluida la creacin y desarrollo de Computer Security Incident Response Teams (CSIRT).
2.3. EN RESUMEN
A modo de resumen de la revisin documental acerca de las iniciativas y experiencias de CSIRT nacionales e internacionales y en concordancia con los comentarios recibidos de la firma Surez Beltrn & Asociados por medio del Programa Gobierno en Lnea, se identifica una tipificacin de los CSIRT acorde con sus estructuras, objetivos y funciones.
Unidades pblicas independientes: Tiene su rea de influencia limitada al pas y a las entidades pblicas, pero cuentan con plena autoridad para impulsar medidas y tomar acciones preventivas a lo largo de los sectores econmicos y administrativos. Dentro de los beneficios de contar con un CSIRT dentro de la estructura del gobierno se pueden considerar el permitir identificar un punto nico de contacto central, as como la capacidad de tener un equipo capaz de instrumentar y conducir una rpida respuesta para contener un incidente de seguridad de la informacin que pueda poner en riesgo la infraestructura crtica nacional. Unidades dependientes de entidades existentes. Estas dependencias suelen estar asociadas a las reas de inteligencia, sector de las comunicaciones, la ciencia y tecnologa, directamente vinculadas a gabinetes de gobierno o a las entidades policiales o militares. Suelen tener autoridad compartida con otras instancias para el manejo del incidente informtico.
CSIRT: Computer Security Incident Response Team (Equipo de Respuesta a Incidentes de Seguridad
Computacional)
Si bien es cierto que en el marco de este proyecto, el CSIRT que se constituya se orientar a los aspectos de seguridad de la informacin para la Estrategia de Gobierno en Lnea, con el nimo de hacerlo auto sostenible en el tiempo, es necesario considerar un amplio portafolio de servicios orientados tanto al sector pblico como privado, para lo cual se han considerado 3 alternativas de tipo de entidad, cada una con ventajas y desventajas respectivamente: Ventajas Consideradas: MODELO 1 (Como Direccin del Ministerio de Comunicaciones) Est sometida al control fiscal y social que verifica que los fondos pblicos sean utilizados de acuerdo con la Ley y la eficiencia administrativa - competitividad. Brinda mayor transparencia a su operacin. MODELO 2 (Como Asociacin Pblica sin nimo de lucro) MODELO 3 (Como Asociacin con Participacin Mixta) Foco de la entidad en el objeto misional del CSIRT.
Est sometida al control fiscal y social que verifica que los fondos pblicos sean utilizados de acuerdo con la Ley y la eficiencia administrativa -competitividad. Brinda mayor transparencia a su operacin. Toma de decisiones depende de La adopcin de decisiones se un nico actor hace de manera coordinada, por cuanto ellas suponen un ejercicio colegiado, y opera segn lo que el acto constitutivo establezca. No pueden suspender sus No pueden suspender sus funciones por voluntad de las funciones por voluntad de las personas que estn a su cargo. personas que estn a su cargo. Los rganos de la administracin Los rganos de la y los servicios que se han administracin y los servicios establecido deben continuar que se han establecido deben mientras la Ley no autorice la continuar mientras la Ley no suspensin o supresin de ellos, autorice la suspensin o con lo cual se garantiza la supresin de ellos, con lo cual continuidad del servicio. se garantiza la continuidad del servicio. Los resultados de un Los resultados de un establecimiento pblico no se establecimiento pblico no se miden en trminos de utilidades o miden en trminos de ganancias que se reparten en utilidades o ganancias que se beneficio de particulares sino por reparten en beneficio de el grado de eficiencia del servicio particulares sino por el grado que se le lleva a la comunidad y de eficiencia del servicio que la seguridad es un tema de alto se le lleva a la comunidad y la impacto en el que todas las seguridad es un tema de alto entidades deben involucrarse. impacto en el que todas las entidades deben involucrarse.
Pgina 114 de 192
La adopcin de decisiones se hace de manera coordinada por cuanto ellas suponen un ejercicio colegiado, y opera segn lo que el acto constitutivo establezca.
MODELO 2 (Como Asociacin Pblica sin nimo de lucro) Foco de la entidad en el objeto misional del CSIRT.
Mayor credibilidad por parte de la comunidad. Desventajas Consideradas: MODELO 1 (Como Direccin del Ministerio de Comunicaciones) En la comunidad Colombiana existe una baja confianza en la efectividad de las instituciones pblicas. El CSIRT no tendra jerarqua como centro de respuesta. Limitado a la estructura organizacional y funcional del Ministerio. La constitucin y los actos de una entidad pblica se rigen por leyes y decretos de funcin pblica. Todos sus actos son reglamentados y estn encaminados a la prestacin de servicios de inters general para la sociedad, sin embargo esto puede hacer ms lenta su operacin. Limitaciones presupuestales para contar con personal altamente especializado para cubrir los frentes de trabajo del CSIRT, aunque podra acudirse a contrataciones de prestacin de servicios. MODELO 2 (Como Asociacin Pblica sin nimo de lucro) Se debe entrar a negociar la participacin de los integrantes de la sociedad. MODELO 3 (Como Asociacin con Participacin Mixta) Se debe entrar a negociar la participacin de los integrantes de la sociedad.
La constitucin de la asociacin supone la elaboracin de actos de constitucin que se deben concertar con cada uno de los miembros, lo cual toma tiempo.
Pgina 115 de 192
La constitucin de la asociacin supone la elaboracin de actos de constitucin que se deben concertar con cada uno de los miembros, lo cual toma tiempo.
MODELO 1 (Como Direccin del Ministerio de Comunicaciones) Sujecin a las reglas de ejecucin presupuestal. Rigidez y problemas operativos.
MODELO 2 (Como Asociacin Pblica sin nimo de lucro) Sujecin a las reglas de ejecucin presupuestal. Rigidez y problemas operativos.
La seguridad de la informacin nacional es un punto crtico del Estado y se convierte en soporte bsico para la seguridad nacional, siendo la seguridad nacional y la seguridad de su infraestructura crtica una responsabilidad del mismo Estado, que no puede dejarse en manos de particulares. Por esta razn, se recomienda el establecimiento de una Asociacin de carcter pblico sin nimo de lucro, adscrita al Ministerio de Comunicaciones, que favorezca los intereses de seguridad nacional sobre intereses particulares y que garantice la transparente e igualitaria gestin de sus servicios. La composicin de esta sociedad puede establecerse con la participacin del Ministerio de Comunicaciones ya que es la entidad encargada de definir y promover la poltica del sector de las Tecnologas de la informacin y la comunicacin en Colombia (50%), los entes policivos (DAS y Polica Nacional por su responsabilidad sobre la Seguridad Nacional, y adicionalmente la Fiscala como unidad especializada en delitos de telecomunicaciones y la administracin pblica, todas ellas con el 25%) y la academia (25%), representada por el Instituto Colombiano para el Desarrollo de la Ciencia y la Tecnologa, Francisco Jos de Caldas, Colciencias (ahora constituido como Departamento Administrativo), debido a la capacidad investigativa de la academia y en particular Colciencias como organizacin lder en la generacin de polticas y capacidades que permiten incorporar la Ciencia la Tecnologa y la Innovacin. La participacin accionaria se distribuye asignando un 50% al Ministerio de Comunicaciones como ente gestor y responsable por la estrategia de Gobierno en Lnea, pero se distribuye el otro 50% entre las entidades que permiten la investigacin y desarrollo de las ciencias relacionadas con la seguridad de la informacin y con las entidades responsables por la seguridad nacional de la informacin. Algunas de las ventajas de contar con un CSIRT como entidad pblica son: Puede dar prioridad a incidentes relacionados con la seguridad de la informacin de la infraestructura crtica nacional. Contar con un adecuado, seguro, transparente e igualitario manejo de la informacin confidencial de cada organizacin cuando se presente un incidente de seguridad de la informacin. Contar con un grupo de personal especializado, certificado y entrenado en aspectos tcnicos a los cuales muchas entidades pblicas no tendran acceso de manera individual. Establecer canales y acuerdos de intercambio de informacin de manera oficial con otros CSIRT de carcter gubernamental, policivo y privado as como con organizaciones que agrupan equipos de seguridad de la informacin a nivel internacional (por ejemplo, el FIRST y la Red Interamericana de Respuesta a Incidentes de Seguridad Ciberntica de la Organizacin de Estados Americanos).
3.3. MISIN
El CSIRT es el rgano tcnico que lidera y coordina los procesos de aseguramiento de la informacin en el mbito Colombiano, para prevenir, detectar, proteger y reaccionar frente a amenazas, vulnerabilidades e incidentes de seguridad de la informacin, en entidades pblicas y privadas, mediante apoyo tecnolgico, entrenamiento y generacin de una cultura e higiene para el manejo adecuado de la seguridad de la informacin.
3.4. VISIN
El CSIRT se consolidar como referente a nivel regional en temas de prevencin, deteccin, coordinacin y respuesta a incidentes de seguridad de la informacin buscando el mejoramiento continuo y coordinando el trabajo de grupos de apoyo nacionales e internacionales.
FINANCIERA
APRENDIZAJE Y CRECIMIENTO
Gestionar el Conocimiento.
Definicin Hacer de manera correcta los procesos internos y hacer que estos se traduzcan en mejores resultados en la satisfaccin de clientes y estados financieros. Identificar, registrar y administrar el conocimiento esencial con el cual se dar un eficiente y eficaz cumplimiento a las ideas rectoras del CSIRT. Contar con el mejor Talento Humano en tcnicas de seguridad de la informacin, personal profesional con certificaciones y/o especializaciones en seguridad de la informacin.
4.
PORTAFOLIO DE SERVICIOS
Para el CSIRT, la adecuada seleccin de servicios se convierte en una decisin relevante para su definicin, fortalecimiento, sostenimiento y continuidad. A continuacin, se presenta una recopilacin de los principales tipos de servicios que podra llegar a ofrecer el CSIRT partiendo de la experiencia de otros CSIRT a nivel mundial. De manera general, los posibles servicios se agrupan as:
Servicios Preventivos Anlisis de riesgos Observatorio de tecnologa Planificacin de la continuidad de la operacin y recuperacin tras un desastre Evaluaciones de la seguridad Auditoras de la seguridad Alertas y advertencias Configuracin y mantenimiento de la seguridad Desarrollo de herramientas de seguridad Sensibilizacin Difusin de informacin relacionada con la seguridad
Servicios Reactivos Tratamiento de incidentes Anlisis de incidentes Recopilacin de pruebas forenses Seguimiento o rastreo Coordinacin de la respuesta a incidentes Apoyo a la respuesta a incidentes Coordinacin del Manejo de evidencias Respuesta a incidentes in situ
Gestin de la Seguridad de la informacin Consultora de seguridad Publicaciones Educacin / Formacin Formacin Comunitaria Evaluacin y graduacin de Entidades Evaluacin y graduacin de Establecimientos. Alquiler de Software Alquiler equipos forenses Centro de interaccin multimedia. Estandarizacin pliegos de seguridad informtica para el sector gobierno.
Es importante anotar que a pesar de que todos los servicios ofrecidos sern responsabilidad del CSIRT, su labor principal ser la de coordinacin de todas las acciones y entidades involucradas en el manejo de incidentes de la informacin a nivel nacional y el desarrollo de muchas actividades sern objeto de tercerizacin, buscando el beneficio de las mejores experiencias y conocimientos a nivel nacional e internacional. En este sentido, ejercer las funciones de coordinador de otros CSIRT nacionales o internacionales, las entidades pblicas y privadas involucradas en los incidentes de seguridad de la informacin, los proveedores de servicios relacionados con la seguridad de la informacin, los proveedores de hardware y software y la academia. En particular con los entes policivos, su responsabilidad llegar hasta la entrega de los casos y sus insumos correspondientes para su posterior judicializacin. A continuacin, se detalla cada uno de los servicios que puede brindar con el apoyo de las entidades coordinadas.
Pgina 119 de 192
Pruebas de penetracin: Con esta evaluacin o auditoria, se busca comprobar la seguridad de la informacin de una entidad a travs de un ataque deliberado y autorizado a sus sistemas y redes. Auditoras de la seguridad: Las auditoras de seguridad pueden ser tcnicas, que se centran en los riesgos existentes en los sistemas de informacin de la organizacin y en la calidad tcnica de las medidas de proteccin introducidas y no tcnicas o procedimentales, que estudian el cumplimiento efectivo de la Poltica de Seguridad de la organizacin y de sus procedimientos. Alertas y advertencias: Servicio que difunde informacin, por medio de la cual se describe el ataque de un intruso, vulnerabilidades de seguridad, alertas de intrusos, virus informticos o hoaxes49, malware, etc. Este a su vez recomienda acciones a corto plazo para la atencin o solucin a problemas consecuentes. Configuracin y mantenimiento de herramientas, aplicaciones, infraestructura y servicios de seguridad: Este servicio, tiene como objeto principal la identificacin y orientacin para configurar y mantener de un modo seguro las herramientas, las aplicaciones y la infraestructura informtica general que usan los clientes atendidos por el CSIRT. El alcance a este servicio ser cualquier cuestin o problema que surja con las configuraciones o con el uso de herramientas y aplicaciones que el CSIRT considere podra dejar a un sistema, vulnerable a un ataque. Dentro de este servicio, se podr actualizar la configuracin y realizar el mantenimiento de herramientas y servicios de seguridad, como los sistemas de control de acceso y de deteccin de intrusos, el escaneo de la red o el control de los sistemas, filtros, firewall, redes privadas virtuales (VPN) y mecanismos de autenticacin. Incluso se podr configurar los servidores, los computadores personales y porttiles, los asistentes digitales personales (PDA) y otros dispositivos de acuerdo con las polticas de seguridad, as como encargarse de su propio mantenimiento. Desarrollo de herramientas de seguridad: Este servicio ofrece desarrollar herramientas especficas para necesidades particulares o generales de sus clientes o propias del CSIRT relacionadas con la seguridad de la informacin. Como por ejemplo, desarrollo de actualizaciones correctivas de seguridad para la plataforma utilizada por el grupo de clientes o la generacin de recomendaciones para reconstruir los sistemas comprometidos. As mismo, se podr desarrollar herramientas o secuencias de comandos que amplen la funcionalidad de las herramientas de seguridad existentes, tales como un nuevo plug-in para una vulnerabilidad o escner de red, secuencias de comandos que faciliten el uso de la tecnologa de encripcin o mecanismos de distribucin automtica de actualizaciones correctivas. Difusin de informacin relacionada con la seguridad: Servicio que proporciona de manera fcil y completa, informacin til para mejorar la seguridad de la informacin. Este servicio busca informar de manera proactiva a sus clientes, nuevas vulnerabilidades o amenazas recientemente detectadas. Dicha informacin puede incluir: Advertencias de vulnerabilidad y amenazas.
49
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
o o o o o
Avisos sobre seguridad. Directrices de comunicacin e informacin de contacto del CSIRT. Alertas, advertencias y otros comunicados. Estadsticas y tendencias actuales de los incidentes de seguridad de la informacin. Recoleccin, anlisis y publicacin de estadsticas de seguridad de la informacin para Colombia por medio de redes de investigacin abiertas. Asesoramiento general sobre seguridad de la informacin. Documentacin acerca de las mejores prcticas principales. Polticas, procedimientos y listas de comprobacin.
o o o o
Desarrollo de actualizaciones correctivas y difusin de informacin. o Enlaces con proveedores de seguridad de la informacin. o Informacin adicional que pueda mejorar las prcticas generales de seguridad de la informacin. Esta informacin podr proceder de fuentes externas tales como otros CSIRT, proveedores, y expertos en seguridad. Sensibilizacin: Buscando que los grupos de clientes atendidos y/o potenciales, desarrollen sus labores cotidianas de manera ms segura, as como tambin de mejorar el grado de entendimiento de las temticas relacionadas con seguridad, se ofrece un servicio que intenta reducir el nmero de ataques con xito y aumentar la probabilidad que se detecten y comuniquen ataques. Lo anterior, por medio de la sensibilizacin de incidentes de seguridad de la informacin a travs de artculos y desarrollando afiches, folletos, boletines, sitios web u otros recursos informativos que explican las mejores prcticas en seguridad de la informacin y consejos sobre las precauciones que conviene tomar. Durante este proceso de sensibilizacin, tambin se incluyen reuniones o seminarios de actualizacin.
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Tratamiento de incidentes: Servicio que abarca la recepcin, evaluacin, priorizacin y respuesta a peticiones y comunicaciones, as mismo al anlisis de incidentes y acontecimientos en seguridad de la informacin. Las actividades de respuestas pueden ser entre otras, las siguientes: o Acciones para proteger sistemas y redes afectadas o amenazadas por la actividad de intrusos. o Aporte de soluciones y estrategias de mitigacin a partir de avisos o alertas. o Generacin de recomendaciones para la reconstruccin de los sistemas comprometidos. o Anlisis del trfico de la red relacionado con el incidente. o Bsqueda de actividad de intrusos en otras partes de la red. o Desarrollo de otras estrategias de respuesta o provisionales.
Anlisis de Incidentes: Este servicio busca definir el alcance del dao e incidentes causados, su naturaleza, as como tambin la estrategia definitiva o temporal de respuesta. Este anlisis es un examen general de la informacin disponible y de las pruebas o instancias relacionadas con un incidente o evento. Existen muchos niveles de anlisis de incidentes y numerosos subservicios, que dependen del servicio mismo, objetivos y procesos del CSIRT. A continuacin se detallan dos subservicios. o Recopilacin de pruebas forenses: Accin que incluye la recoleccin, la conservacin, la documentacin y anlisis de las pruebas procedentes de un sistema informtico comprometido, para determinar cambios en el sistema y ayudar a reconstruir los eventos que han desembocado en el compromiso. Las actividades de recopilacin de pruebas forenses incluyen, entre otras cosas, la realizacin de una copia bit a bit del disco duro de los sistemas afectados, la bsqueda de cambios en el sistema, tales como nuevos programas, archivos, servicios y usuarios, el examen de los procesos en ejecucin y los puertos abiertos, y la bsqueda de troyanos y juegos de herramientas. Es usual que las personas que tengan a cargo este tipo de responsabilidades, declaren como testigos periciales en actos judiciales. o Seguimiento o rastreo: Busca rastrear los orgenes de una intrusin o identificar sistemas a los que se haya tenido acceso. Con este servicio, adems de incluir la posible identificacin del intruso, se podr en los sistemas afectados y redes relacionadas, incluir el seguimiento al acceso del intruso.
Coordinacin de la respuesta a incidentes: Servicio que busca coordinar tareas de respuesta entre las partes implicadas en el incidente. Dentro de estos se incluye, la vctima del ataque, los sitios relacionados con el ataque y cualquier otro sitio necesario de asistencia para el anlisis del ataque. Este se hace extensivo inclusive, a aquellas reas de soporte (IT) de la vctima, tales como proveedores de servicio de internet, administradores del sistema y la red, as como tambin a otros CSIRT. La recoleccin de informacin sobre contactos, la notificacin a los sitios de su implicacin
potenc ial (como vctima s o como orgen es de un ataque ), la recole ccin de datos estad sticos sobre el nmer o de sitios
P
implicados y tareas dirigidas a facilitar el intercambio y el anlisis de la informacin, as como el reporte del incidente a departamentos internos o externos, sern entre otras, las tareas de coordinacin que puede abarcar este servicio. Este no incluye una respuesta a los incidentes directa e in situ. Apoyo respuesta a incidentes: Servicio proporcionado a travs de orientacin remota, para que el personal in situ de la entidad afectada realice por si mismo, las tareas de recuperacin. La funcin del CSIRT ser la de orientar y ayudar al grupo vctima del ataque, a recuperarse del incidente, pero lo har por medios telefnicos, correo electrnico, fax o documentacin. Dentro del servicio, se podr incluir, entre otros, la interpretacin de los datos recogidos, la entrega de informacin sobre contactos o la orientacin en cuanto a estrategias de mitigacin y recuperacin. Coordinacin del Manejo de evidencias: Con fines policivos, se coordina la labor de recopilacin y manejo de evidencias en casos de incidentes de la informacin, con el fin de garantizar el debido proceso en el manejo de evidencias digitales (Servicios Forenses). Respuesta a incidentes in situ: Asistencia directa, que busca ayudar a los clientes del grupo atendido a recuperarse de un incidente. El CSIRT se encargar de analizar los sistemas afectados y de generar recomendaciones para su reparacin y recuperacin.
50
Programas (software) que tienen la capacidad de bloquear, restringir o filtrar el acceso a determinada
Sensibilizacin: Buscando que los grupos de clientes atendidos y/o potenciales, desarrollen sus labores cotidianas de manera ms segura, as como tambin de mejorar el grado de entendimiento de las temticas relacionadas con seguridad de la informacin, se ofrece un servicio que intenta reducir el nmero de ataques con xito y aumentar la probabilidad que se detecten y comuniquen ataques. Lo anterior, por medio de la sensibilizacin de incidentes de seguridad de la informacin a travs de artculos y desarrollando afiches, folletos, boletines, sitios web u otros recursos informativos que explican las mejores prcticas en seguridad de la informacin y consejos sobre las precauciones que conviene tomar. Durante este proceso de sensibilizacin, tambin se incluyen reuniones o seminarios de actualizacin. Prensa: Participar en emisiones peridicas en los principales medios nacionales, creando as un posicionamiento del CSIRT. Educacin / Formacin: Este servicio busca capacitar tanto al primer respondiente en las entidades, como a los grupos de clientes atendidos y/o potenciales, entre otros temas en la comunicacin de incidentes, mtodos de respuesta adecuados, herramientas de respuesta a incidentes, mtodos de prevencin de incidentes y otras temticas necesarias para protegerse de incidentes de seguridad de la informacin, detectarlos, comunicarlos y responder adecuadamente a ellos. El servicio podr ofrecerse a travs de seminarios, talleres, cursos y/o tutoriales. Incluso, podr crearse diplomados especializados en seguridad. Teniendo en cuenta la importancia de la seguridad de la informacin dentro de cualquier organizacin, su amplio campo de accin laboral y el incremento a la demanda de personal capacitado, se pueden crear y ofrecer con colaboracin de la academia programas de capacitacin. Estos servicios se enfocarn y desarrollarn teniendo en cuenta las necesidades propias de cada uno de los sectores pblicos y privados, sin embargo este servicio ser cobrado nicamente al sector privado. Formacin Comunitaria: Este servicio podra enfocarse y ofrecerse a la sociedad en general y especficamente a la familia a travs de entidades estatales que lo promuevan. El objeto principal ser el de explicar de manera didctica en especial a los nios, los riesgos y reglas bsicas de la proteccin, en diferentes temas que afecten su vida cotidiana. Este servicio busca inculcar, a edades tempranas, una cultura de proteccin y mitigacin de cualquier tipo de riesgo, incluidos los informticos. Lo anterior podr ser ofrecido a travs de concursos, historietas, obras de teatro, juegos pedaggicos, etc. Graduacin, Evaluacin y Registro: El CSIRT otorgar el registro de cumplimiento del Modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea a las entidades destinatarias que lo implementen acorde con las condiciones establecidas en el sistema SANSI. Lo anterior, se realizar a travs de una auto-evaluacin del grado de madurez del desarrollo de la seguridad de la informacin en los diferentes tipos de entidades, lo cual generar un registro del grado de cumplimiento del Modelo de Seguridad -RSI, que ser validado nacionalmente como un sello de seguridad en la informacin a las empresas que cumplan con el. As mismo, podr facultar a terceros para que acten como empresas certificadoras basndose en sus competencias, conocimiento, caractersticas tcnicas, de infraestructura y know how entorno a la seguridad de la informacin, para que certifiquen de manera directa, a las entidades pblicas y privadas que cumplan con el Modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea.
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO - MODELO DE SEGURIDAD - ESTRATEGIA DE GOBIERNO EN LNEA
Graduacin, Evaluacin y Registro: El CSIRT otorgar el grado de cumplimiento del Modelo de Seguridad de la Informacin para las entidades de la Estrategia de Gobierno en Lnea a travs del Registro de Seguridad de la Informacin -RSI en los tres grados siguientes: RSI Grado 1, Grado 2 y Grado 3, siendo el RSI Grado 1 el ms bsico y el RSI Grado 3 el ms avanzado, en lo concerniente con la madurez de los controles de seguridad implementados en la entidad (Ver documento Modelo Seguridad - SANSI - SGSI, numeral 6.5.3.). El CSIRT generar un registro RSI del grado que ser otorgado a las entidades y establecimientos como sello de seguridad en la informacin, facilitando a los usuarios identificar que establecimientos son seguros para realizar sus trmites electrnicos. As mismo, el SANSI a travs del CSIRT, podr facultar a terceros para que corroboren el grado de la entidad, basndose en sus competencias, conocimiento, caractersticas tcnicas, de infraestructura y know how en torno a la seguridad de la informacin, para que avalen de manera directa a las entidades pblicas y privadas que cumplan con el Modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea. A continuacin, se detallan los tipos de graduacin otorgadas por los terceros facultados: o Graduacin de entidades: Graduacin otorgada a las entidades pblicas y privadas que cumplan con los requerimientos plasmados en el Modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea, evidenciando el mejoramiento y evolucin de su sistema de gestin en seguridad de la informacin -SGSI. Esta graduacin se otorga teniendo en cuenta los siguientes criterios:
-
La graduacin es renovada anualmente. La graduacin provee un sello RSI que puede ser usado tanto en pginas web como en las firmas de los empleados. La graduacin no es renovada cuando la Entidad no evidencie el mejoramiento de su sistema de gestin en seguridad de la informacin SGSI o cuando una auditora encuentre no conformidades mayores con el Modelo. (Ver documento Modelo Seguridad - SANSI - SGSI, numeral 6.5.3.).
Graduacin de establecimientos: Graduacin otorgada a los establecimientos que pertenezcan a la cadena de prestacin de servicios para la Estrategia de Gobierno en Lnea (ISP, Telecentros, Compartel, centros de acceso comunitario, cafs Internet, entre otros), que cumplan con los requerimientos plasmados en el Modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea, evidenciando la implementacin de sus controles y recomendaciones. Estas graduaciones se otorgan con perodos de renovacin de un ao.
Alquiler de Software: Este servicio permite que el CSIRT, tenga la posibilidad de cobrar el uso de sus licencias de software de seguridad de la informacin (por internet), a travs del pago de una cuota peridica. Entre las ventajas para el cliente, estn entre otras: dedicar el dinero que destinara a las licencias y al proyecto, a su actividad principal, ahorro de costos, reducir el riesgo de obsolescencia del software, libertad de continuidad en caso de que el software no cumpla con las expectativas, etc. Alquiler de Equipo Forense: Permite al CSIRT la generacin de ingresos provenientes de la plataforma instalada y su ptimo aprovechamiento.
Pgina 126 de 192
Centro de interaccin multimedia: Lnea de atencin a nivel de seguridad, que tendr como funcin, facilitar la comunicacin entre el CSIRT y sus clientes a travs de cualquier medio interactivo (Ej, internet, chat, telfono, SMS, etc), permitiendo que estos ltimos contacten o sean contactados para solucin de problemas e inquietudes de seguridad de la informacin. Este servicio ser fuente de informacin que podr materializarse en estadsticas y diseo de nuevos servicios. Estandarizacin de pliegos de seguridad de la informacin del sector gobierno: Con el objeto de apoyar la contratacin pblica, y dar un acompaamiento a las interventoras de seguridad de la informacin, el CSIRT con su experiencia, normalizar parmetros que permitan a las entidades del Gobierno, de acuerdo con sus necesidades de seguridad de la informacin, realizar contrataciones pblicas con estndares mnimos exigibles para cada caso.
Del total de servicios ofrecidos, solo el 32% sern ejecutados directamente por el CSIRT, el 68% restante sern responsabilidad de este mismo, pero ejecutados por Terceros. As mismo el 94% de los servicios ofrecido, traer para este ente tcnico retribuciones de tipo econmico.
Tipo de Oferta
Directa Tercerizada Directa Tercerizada Tercerizada
Tarifa
Incluida en la Membresa Costo Incluida en la Membresa Costo Costo
Servicios Preventivos
Auditoras de la seguridad Alertas y advertencias Configuracin y mantenimiento de la seguridad Desarrollo de herramientas de seguridad Difusin de informacin relacionada con la seguridad
Tipo de Oferta
Tercerizada Tercerizada Tercerizada Tercerizada Directa
Tarifa
Costo Incluida en la Membresa Costo Costo Incluida en la Membresa
Tipo de Oferta
Tercerizada Tercerizada Tercerizada Tercerizada Directa Directa Directa Tercerizada
Tarifa
Incluida en la Membresa Incluida en la Membresa Incluida en la Membresa Incluida en la Membresa Incluida en la Membresa Incluida en la Membresa Incluida en la Membresa Incluida en la Membresa
Tipo de Oferta
Tercerizada Directa Tercerizada Directa Tercerizada Tercerizada Tercerizada Directa Directa Tercerizada Tercerizada Tercerizada Directa
Tarifa
Costo Gratis para toda la comunidad Costo Gratis para toda la comunidad Incluida en la Membresa Costo Gratis para toda la comunidad Costo para los grados 2 y 3, subsididado para grado 1. Costo Costo Costo Incluida en la Membresa Incluida en la Membresa
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
5.
5.1. DELIMITACIN SISTMICA
PROCESOS Y PROCEDIMIENTOS
Para entender una organizacin en trminos de procesos es fundamental delimitar con precisin los bordes de la institucin creada o a crear, identificando los procesos y los diferentes actores o agentes que definen el quehacer de la entidad. En la grfica siguiente se muestra dicha delimitacin, partiendo del nemnico TASCOI que permite precisar seis elementos necesarios para esta tarea: Transformacin (Misin de la entidad), Actores (Quienes participan directamente en la transformacin que adelanta la entidad), Suministradores (Proveedores), Clientes (Beneficiarios o usuarios), Organizadores (Quien dirige y orienta el curso de la entidad) e Intervinientes (Aunque no hacen parte de la entidad regulan su propsito).51
51
Basado en: Guia para la implementacin del modelo estandar de control interno con enfoque sistemico. Veeduria Distrital. 2007
La grafica anterior ilustra de manera general el comportamiento de la entidad en trminos de su proceso de transformacin y quienes intervienen en l, permitiendo abordar con ms precisin el anlisis de procesos a continuacin.
5.2. PROCESOS
Con este diseo se pretende promover la integracin de actividades en una estructura organizacional por procesos, que permita identificar las relaciones de estos (interaccin) y su secuencia lgica para maximizar el valor a ofertar al usuario final del producto institucional, para el efecto se ha partido de identificar un modelo tecnolgico de procesos y un modelo de segmentacin por servicios, despus de esto se cruzan los dos modelos y se despliegan los procesos para al final caracterizar los mismos. El Modelo Tecnolgico o Mapa de Procesos permite identificar 4 niveles de procesos a saber: Direccionamiento estratgico, misionales, de evaluacin o medicin, anlisis y mejora y los procesos de apoyo, permitiendo visualizar de manera grafica el comportamiento de los mismos y un primer acercamiento a las necesidades de herramientas tecnolgicas de informacin para apoyarlos. Es el mapa de procesos de la entidad, como se ilustra a continuacin, detallando ms adelante los procesos misionales:
Ilustracin 5: Modelo Tecnolgico del CSIRT, detallando los procesos misionales El Modelo de Segmentacin permite un acercamiento de manera general a los servicios que puede prestar la nueva institucin, de tal forma que pueda ir previendo la estructura funcional, los cargos y competencias requeridas para operar.
Pgina 130 de 192
Ilustracin 6: Modelo de Segmentacin del CSIRT En seguida se cruzan los dos modelos y esto permite establecer de qu manera se despliegan los procesos en la entidad, base para poder iniciar el proceso de caracterizacin, es decir, de identificacin de los rasgos diferenciadores de cada proceso:
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO SISTEMA DE GESTIN DE CALIDAD ESTRATEGIA DE GOBIERNO EN LNEA
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO SISTEMA DE GESTIN DE CALIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Debido a que la razon de ser del CSIRT se concentra en sus procesos misionales, el alcance de este documento se enfoca en la definicin y diseo de dichos procesos. Con esta informacin se define el catlogo final de procesos misionales y se inicia la caracterizacin de los mismos, disponible en el documento ANEXO A CARACTERIZACIN DE PROCESOS Y PROCEDIMIENTOS.
MACROPROCESO PROCESO
5.3. PROCEDIMIENTOS
Los procedimientos representan la forma especificada de llevar a cabo los procesos, en otras palabras, cmo se adelanta de manera operativa la tarea. Basados en el esquema del numeral anterior, se ha definido el siguiente catalogo de procedimientos:
MACROPROCESO PROCESO INVESTIGACIN INVESTIGACIN Y DESARROLLO DESARROLLO INVESTIGACIN FORMULACIN DE POLTICAS Y DIRECTRICES DE SEGURIDAD CONFIGURACIN Y MANTENIMIENTO DE HERRAMIENTAS. APLICACIONES, INFRAESTRUCTURAS Y SERVICIOS DE SEGURIDAD DISEO Y DESARROLLO DE SOLUCIONES DE CSIRT PLAN DE MEDIOS OBSERVATORIO DE LA TECNOLOGA CAPACITACIN GESTIN DE RIESGO RESPUESTA Y SOPORTE RESPUESTA A INCIDENTES GESTIN DE PROGRAMAS CURRICULARES AUDTORIA DE RIESGOS VALORACIN DE RIESGOS GESTIN DE INCIDENTES PROCEDIMIENTO
6.
En este anlisis se busca identificar las influencias externas generadas por tres diferentes niveles del entorno, que afectan directa o indirectamente al CSIRT. Todo el anlisis en su conjunto permitir a los directivos de esta nueva Entidad, entender que factores pueden influir en el xito o fracaso de las estrategias a implementar.
Ilustracin 10: de Anlisis del Mercado El anlisis propuesto, resulta efectivo en la medida que se haga una peridica retroalimentacin a cada uno de los niveles, ya que el entorno tiene como caractersticas, su amplia diversidad, complejidad y alta velocidad de cambio. A continuacin se describe brevemente cada uno de los tres niveles y su metodologa de anlisis.
Ilustracin 11: Marco Poltico, Econmico, Social y Tecnolgico del CSIRT Dentro de este abanico de factores externos, se resalta el tema regulatorio, las tendencias informacionales a nivel mundial y el compromiso del Gobierno por garantizar la seguridad nacional y all la seguridad de la seguridad de la informacin en Colombia. A continuacin se mostrara en ms detalle la descripcin de algunos de estos factores.
6.1.1. POLITICOS
6.1.1.1. Estabilidad Poltica
El 2008 a nivel mundial podra ser considerado como un ao en el que se ajustaron temas trascendentales, con lo que se espera que el 2009 sea un ao de florecimiento. En este ao en curso se debern corregir
Pgina 136 de 192
errores, derroches y malas decisiones, que hicieron que empresas y economas consolidadas se fueran a pique. En Colombia, la reforma poltica y la posibilidad de una segunda reeleccin presidencial inmediata sern tema de discusin en la agenda poltica de 2009. Para el Gobierno, un tema critico, ser la reforma poltica. Este proyecto expuesto, se ocupa de dos temas principales: 1) la eleccin y calidades de los magistrados y otros altos funcionarios de control, y 2) el procedimiento para juzgar a los congresistas y otros altos funcionarios. Temas que Impactan de manera general o particular, a las altas cortes, organismos de control, administracin de la rama judicial, fuero de altos funcionarios, libertad de voto en reformas constitucionales y juicios a congresistas. As mismo, proyectos como el de la Ley de Vctimas, que busca reparar integralmente a afectados por los crmenes cometidos por grupos armados ilegales o por acciones de las Fuerzas Militares, espera la correspondiente plenaria en la Cmara. Actualmente uno de los principales acuerdo comerciales con los EEUU, el Tratado de Libre Comercio, se encuentra en duda y anlisis de aprobacin por el gobierno americano, entre los principales argumentos esgrimidos por la oposicin a la firma del tratado, se menciona la violencia contra los sindicalistas y el atropello constante a los derechos laborales y humanos. El TLC entre estas dos naciones le generar al sector tecnolgico colombiano nuevas y mayores oportunidades de crecimiento y desarrollo, generando un mayor intercambio de conocimientos nacionales e internacionales, as como una mayor internacionalizacin de la economa y del sector. 6.1.1.2. Regulacin
En los ltimos aos se ha perfilado en el mbito internacional un cierto consenso en las valoraciones poltico-jurdicas de los problemas derivados del mal uso que se hace de las computadoras, lo cual ha dado lugar a que, en algunos casos, se modifiquen los derechos penales nacionales e internacionales. Todos estos cambios hacen que una posible normalizacin de polticas de seguridad informtica, deban presentar flexibilidad a los constantes cambios que se generan a nivel mundial en este entorno. Y del mismo modo como organizacin estar preparados para asumir estos cambios.
6.1.2. ECONOMICOS
6.1.2.1. Poltica Monetaria
La TRM despus de cinco aos de bajas constantes, tuvo en el ltimo trimestre del 2008 una fuerte tendencia alcista como reflejo de la crisis financiera internacional. Tras caer a niveles de casi 1.600 pesos a mediados del ao, al final la divisa se recuper para cerrar por encima en 2.243,59 pesos. De todas maneras, la moneda estadounidense est lejos de llegar a los niveles mximos histricos alcanzados en febrero del 2003 cuando el precio estuvo muy de los 3.000 pesos. El alza del dlar de finales del ao pasado no tuvieron nada que ver con medidas tomadas por el Gobierno o el Banco de la Repblica, pues todo obedeci a la crisis mundial, que afect a todos los mercados del planeta. Gracias a ello se apagaron las voces de los exportadores que venan pidiendo medidas extraordinarias para acabar con la revaluacin. El 31 de diciembre de 2009, la Tasa Representativa del Mercado (TRM) cerr en 2.243,59 pesos.
La TRM promedio anual, desde el ao 2003, muestra una tendencia decreciente, sin embargo para el ao 2009 se espera mejore levemente. El 31 de diciembre pasado, el peso Colombiano termin con una devaluacin de 11,36 por ciento frente al dlar Las tasas de inters tuvieron el ao pasado una tendencia al alza como reflejo de la poltica de restriccin monetaria aplicada por el Banco de la Repblica para controlar la inflacin. Con ese contexto, la tasa DTF (que mide los intereses que paga la banca por las captaciones va CDT a 90 das de plazo) registr aumentos, lo que tambin se reflej en el costo de los crditos. El aumento de intereses y la desaceleracin de la economa han hecho que el deterioro de la calidad de la cartera bancaria se acelere, especialmente en la modalidad de consumo. Para el 2009 se prevn reducciones de tasas de inters, siempre y cuando la inflacin baje. Todos estos cambios pueden generar un impacto destacado en las negociaciones que se encuentran sujetas al dlar. 6.1.2.2. Situacin Econmica
Luego de las cifras descendentes con las que cerr el 2008, que obligaron a ajustar metas, se busca cumplir con lo previsto este ao. Con excepcin de los precios del caf y las seales de recuperacin de las acciones que se transan en la Bolsa de Valores de Colombia, la mayora de los indicadores claves para el sector productivo ratificaron las seales de bajo desempeo y los nubarrones que enfrenta el pas en materia econmica para el 2009. Aumento de la inflacin, bajos precios del petrleo, descenso en la produccin industrial y altas tasas de inters hacen parte de los retos que enfrentan las autoridades econmicas para el ao que comienza y cuya primera misin ser detener su deterioro. La situacin econmica del pas, obviamente repercutir en los resultados operativos y financiero de las diferentes compaas, as consecuentemente en los recursos dirigidos a fortalecer la seguridad informtica de las organizaciones. 6.1.2.3. Seguridad Fsica
Es muy importante ser consciente que por ms que nuestra empresa sea la ms segura desde el punto de vista de ataques externos, Hackers, virus, etc. la seguridad de la misma ser nula si no se ha previsto como combatir por ejemplo un incendio, inundacin, etc. La Seguridad Fsica consiste en la "aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial"52. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.
52
HUERTA, Antonio Villaln. "Seguridad en Unix y Redes". Versin 1.2 Digital - Open Publication License v.10 o Later. 2 de
Octubre de 2000.
Las principales amenazas que se prevn en la seguridad fsica son: Desastres naturales, incendios accidentales tormentas e inundaciones. Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados. Todo lo anterior y de acuerdo a las diferentes condiciones empresariales y climticas en Colombia, pone al descubierto un riesgo latente que de no ser mitigado mediante diferentes planes de contingencia, la posible prdida irrecuperable de informacin en las organizaciones, siendo este uno de los activos ms preciados en estos ltimos tiempos.
6.1.3. SOCIALES
Cuando hablamos del impacto social de la tecnologa nos estamos refiriendo a su influencia sobre la vida de los hombres, sus relaciones, sus conductas, sus preferencias y su bienestar. Algunos analistas considera que tanto la tecnologa como la innovacin tecnolgica son en s mismas ambivalentes, ya que producen tanto efectos positivos como negativos. En ese sentido se seala que el cientfico no sabe qu va a descubrir con su investigacin, mientras que el tecnlogo sabe de antemano qu es lo que va a producir y a quienes beneficiar, por lo cual es moralmente responsable. Tambin propone que el control sobre la tecnologa debe provenir de una asociacin entre las esferas de decisin tecnolgica y poltica. Lo anterior hace pensar que tanto los cambios sociales, culturales, de educacin tendrn un impacto significativo en la manera como variaran las actitudes y opiniones de los consumidor, modas y modelos a seguir las cuales traern consigo ajustes en los planteamientos previamente establecidos, especialmente en los tecnolgicos.
6.1.4. TECNOLOGICOS
6.1.4.1. Cambios en informacin y tecnologa
Un estado sin fronteras ser el predominante en el sector de las tecnologas de la informacin y las comunicaciones (TIC) en el ao 2015. El pronstico pertenece a la consultora Gartner, que predice que las organizaciones, incluyendo a los gobiernos, obtendrn los servicios tecnolgicos alrededor del mundo, sin importar el pas de origen o la sede del fabricante de la solucin, o si es software, hardware, telecomunicaciones, servicios TIC o trabajadores. Los avances en las TIC y el crecimiento de la comunicacin digitalizada suponen un gran impulso para el sistema econmico general. La intensidad y duracin de este impulso vienen determinadas por las polticas que se adopten desde el sector pblico durante los prximos aos, ya que el pleno desarrollo del potencial de las TIC requiere un aumento importante de las inversiones en infraestructuras de telecomunicaciones y en los servicios e instalaciones relacionados con ellas.
Pgina 139 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Obviamente todos estos cambios van a afectar el modelo de seguridad de informacin de los diferentes pases, as como tambin las herramientas usadas para aplicar sus propios propsitos. 6.1.4.2. Cambios Internet
Segn un estudio denominado el Pew Internet & American Life Project y la Elon University, en el que preguntaron a 742 especialistas en Internet acerca de cmo ser la Red en el 2020, se concluyeron entre otras los siguientes: Las personas confiarn cada vez ms en la tecnologa y dispondrn agentes tecnolgicos que se ocuparn de hacer tareas diversas. Se advierte que los peligros y la dependencia en la tecnologa crecern ms all de la habilidad de controlarla. La realidad virtual ayudar a mejorar la productividad pero a su vez propiciar la aparicin de nuevas adicciones. Surgimiento de un grupo cultural (Refuseniks) caracterizado por su opcin radical de vivir fuera de la Red, con dos tendencias, una cuyo propsito ser simplemente evitar la sobrecarga de informacin y otra, interesada en realizar actos de violencia y terrorismo para afectar a los usuarios de Internet. La gente consciente e inconscientemente entregar ms informacin personal para obtener beneficios, al mismo tiempo que perdern mucha ms privacidad. Todos estos pronsticos advierte las grandes oportunidades y amenazas que debern ser analizados durante los prximos anos, para que adems de gozar de nuevos beneficios se eviten nuevos riegos. 6.1.4.3. Obsolescencia Tecnolgica
Los diferentes proyectos se caracterizan por una utilizacin intensiva de diversas tecnologas que permitan desarrollar los productos, procesos o servicios objeto de cada uno de estos. En muchos casos, si no existe el conocimiento tecnolgico suficiente no se podr realizar el proyecto e implicar previamente acceder y disponer de la misma con el nivel de conocimiento adecuado. Debido a ello, las empresas dedicadas fundamentalmente a la realizacin de proyectos deben disponer de las tecnologas adecuadas que permitan su desarrollo. Ello implica disponer de los procesos de gestin adecuados para su identificacin, evaluacin, seleccin, adquisicin, incorporacin a la empresa, optimizacin y mejora continua. Todo lo anterior hace pensar que las inversiones hechas en tecnologa tiene un ciclo de vida y que tras un periodo en saturacin, esta se hace obsoleta porque el rendimiento comparativo con otra posible tecnologa competidora la convierte en perdedora.
6.1.4.4.
Tecnologas Sustitutas
Ninguna empresa se encuentra aislada hoy del vertiginoso desarrollo tecnolgico. Las empresas tradicionalmente han limitado sus esfuerzos tecnolgicos a sus necesidades de produccin, ms no han visionado ventajas anexas al uso de tecnologas ms apropiadas y desarrolladas que se han originado con el continuo cambio. Los cambios tecnolgicos pueden derrumbar, fusionar o construir empresas, para lo cual la gerencia debe prepararse, la clave radica en la capacidad para aprovechar esta ventaja sostenible y competitiva en el mercado. Todo lo anterior est muy ligado a la obsolescencia y tendr un impacto financiero en las inversiones hechas, as como en el mejoramiento de la productividad de las compaas.
Por su naturaleza es una industria con bastante competencia, en la cual se ofertan varios tipos de servicios y productos focalizados en la seguridad de la informacin, los usuarios tienen un buen poder de negociacin, ya que adems de tener acceso a informacin, poseen una variedad de posibilidades que les permiten hacer procesos de seleccin variados y ajustados a cada unas de sus realidades informticas. Por lo cual no existe una dependencia a los proveedores de estos servicios o productos, sino ms bien infinidad de los mismos, los cuales podrn ser sustituidos en su gran mayora. Es importante resaltar que existen barreras de entradas, para entidades que busquen incurrir en negocios de seguridad TICs, tales como los grandes capitales de inversin en el desarrollo y oferta de servicios y productos, as como tambin una insipiente regulacin en trminos de seguridad de la informacin los cuales se espera se concreten en el mediano plazo. No se evidencia en el pas, casos generales a nivel nacional (solo algunos casos, especialmente en universidades), en la que tanto entidades pblicas como privadas presenten una oferta variada de servicios integrados, dirigidos a cubrir servicios de seguridad de la informacin, a nivel departamental o nacional.
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
OPORTUNIDADES DEBILIDADES -Experiencia y reconocimiento del nuevo CSIRT. -El sector pblico y privado no tienen la prioridad ni la costumbre de asesorarse por un ente nacional en cuestiones de seguridad informtica. -Infraestructura de Tics dbil con respecto a otros competidores de la regin. - Incipiente regulacin. -Desarrollar relaciones comercia les de largo plazo con clientes en el mercado regional latinoamericano. -Bsqueda de alianzas con terceros en mercados objetivo. -Gran necesidad de coordinacin de incidentes de seguridad computacional. -Proyecto de inters nacional en sectores publico y privados. - No existe centralizacin en la medicin y seguimiento de la seguridad informtica del pas.
FORTALEZA S -El CSIRT ti ene el respaldo del gobierno a travs de la agenda de conectividad -Calidad y cantidad de la oferta colombiana, con un nmero importante de compaas proveedoras de productos de software y servicios relacionados con seguridad informtica, con madurez y estndares de calidad a nivel internacional. -Disponibilidad de personal tcnico ca lif ica do y actua liza do.
AMENAZAS
- Desaceleracin de la economa mundial y nacional. -Rpida obsolescencia de los equipos informticos. -Competidores ya establecidos en el mercado de la seguridad computacional. -Respaldo financiero con limitaciones. -Bajos incidentes de seguridad informtica, pueden acarrear dificultad en el auto sostenimiento del negocio.
6.3.1. DEBILIDADES
En las entidades nacionales no se cuenta con una amplia experiencia en el tema de seguridad de la informacin, por lo cual ser importante posicionar el modelo como una iniciativa en la bsqueda de la competitividad del pas, el cual debern desarrollarse y afinarse en el tiempo. Lo anterior busca que los participes del modelo, vean esta iniciativa como herramienta que ayuda al incremento de la productividad de las entidades, y no solo como un nuevo modelo que trae consigo atender nuevas responsabilidades o obligaciones. Aunque Colombia ha venido presentando avances importantes en el desarrollo de su infraestructura de TIC, el gobierno reconoce que existe an un camino importante por recorrer, en la bsqueda del mejoramiento de variables competitivas del sector, las cuales se esperan alcanzar con el Plan Nacional de Tecnologas de la Informacin y las Comunicaciones.
Se observa de manera general que Colombia an no tiene una regulacin especfica en temas de seguridad de la informacin, a pesar que el gobierno a travs de nuevas leyes busca desarrollar un entorno jurdico y poltico ms estable en esta competencia. En el informe jurdico de esta consultora, se detallan los actuales avances en la materia.
6.3.2. OPORTUNIDADES
Las oportunidades son extensas en el sentido de que existen diferentes y exitosos modelos en el mundo, y el tema de la seguridad de la informacin es de inters mundial lo que promueve la colaboracin internacional en este frente. Actualmente no existe un modelo en el estado colombiano, que regule, lidere, coordine y promueva la seguridad de la informacin del pas, convirtindose en un plan necesario, novedoso y til para las entidades colombianas. Lo anterior permitir dinamizar el mercado de las TIC como consecuencia de que dentro del planteamiento del modelo, los terceros privados participaran activamente, trayendo consigo el incremento de demanda de sus servicios, lo cual se materializara en mayores beneficios econmicos y oferta de empleo. As mismo se observa gran inters por parte del sector privado y pblico en la definicin de un buen modelo, que aporte al desarrollo competitivo del pas, el cual se vislumbra en la iniciativa propia del gobierno y la participacin activa de los diferentes sectores en la construccin del mismo. Dentro de la regin latinoamericana se observa incluso que algunos pases, desarrollan modelos similares que ayudaran a fortalecer en conocimiento y experiencia al nuevo modelo. Con lo cual se podran crear alianzas en el intercambio de conocimiento y soporte. Incluso se podra entrar a aportar en aquellos pases que no contemplan an crear este tipo de iniciativas y que al final debern implementar.
6.3.3. FORTALEZAS
A nivel interno se destaca el apoyo brindado por el gobierno al Sistema Administrativo Nacional de Seguridad de la Informacin. Adicionalmente en el mercado se encuentra una gran variedad de proveedores de productos y servicios que garantizan la demanda y calidad del portafolio de servicios propuesto. La experiencia especfica de la mano de obra requerida en el modelo, as como la oferta educacional actual, garantiza la consecucin del recurso humano competente para asumir los diferentes cargos que se crean dentro del modelo.
6.3.4. AMENAZAS
Se considera como amenaza la actual desaceleracin en la economa global y local, lo cual es ya todo un reto para el sostenimiento y desarrollo de muchos negocios, adicionalmente se pronostica que existirn reducciones en los recursos de nuevas inversiones.
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
El tercerizar una gran cantidad de servicios, permite al CSIRT que se blinde en cierta medida de los riesgos que acarrean invertir grandes sumas de dinero en equipos especializados y con riesgo de pronta obsolescencia. Actualmente en el mercado se presentan de manera descentralizada mucho de los servicios que busca ofrecer el CSIRT, sin embargo el modelo planteado permitira ver a esos posibles competidores como aliados estratgicos, en la prestacin de los servicios.
La propuesta planteada a travs de este documento no podr quedarse solo en planes, sino que deber ser implementada y sus resultados debern evaluarse y medirse. Por lo cual ser responsabilidad de este nuevo CSIRT, la implementacin y control estratgico de su accionar. Como mecanismo de control y seguimiento, se propone un modelo integral de gestin, basado en la filosofa Balanced Scorecard (BSC) o Cuadro de Mando Integral53, con lo cual se busca que el nuevo CSIRT, sea una organizacin enfocada en su estrategia. Este alineamiento estratgico se divide en planeacin, difusin, revisin y ajuste, con lo que se busca entre otros lo siguiente:
Movilizar el cambio a travs del liderazgo ejecutivo, Traducir la estrategia en trminos operativos: Definir los mapas estratgicos, los objetivos, indicadores y metas, Alinear la organizacin con una nica estrategia, Hacer de la estrategia un trabajo de todos: Proporcionar formacin, comunicacin, definicin de metas, compensacin por incentivos y capacitacin del personal, Hacer de la estrategia un proceso continuo: integrar la estrategia en la planificacin, el presupuesto, la generacin de informes y las revisiones de gestin,
53
misterio de Comunicaciones
;publica de Colombia ^^^
Ilustracin 14: Modelo de Gestin54 Este conjunto de elementos ayudar como instrumento de planificacin, informacin y control simultaneo de las diversas partes de esta organizacin, al mismo tiempo que:
Proveer una clara definicin de lo que el nuevo CSIRT debe medir, Alinear los elementos ya estructurados en la fase de formulacin estratgica,
Establecer indicadores cuantitativos en cada una de sus perspectivas, Mantendr las mtricas financieras tradicionales e introducir nuevos componentes como gua para los nuevos elementos de gestin empresarial, Traducir las directrices del nuevo CSIRT en un conjunto equilibrado de indicadores de desempeo, Comunicar los objetivos estratgicos a travs de toda la organizacin, Alinear las iniciativas individuales y organizacionales, SERNA GOMEZ, Humberto. ndices de Gestin.
54
Mejorar el aprendizaje y la retroalimentacin estratgica del CSIRT. Esta herramienta tiene un conjunto de componentes que es importante conocer y definir. El Cuadro de Mando propuesto se divide en cuatro perspectivas, que representan de manera general las reas ms relevantes del nuevo CSIRT.
Ilustracin 15: Alineacin de la Visin y la Estrategia Perspectiva Seguridad de la informacin Nacional: Esta perspectiva es la razn de ser del CSIRT, buscando minimizar el impacto de fallos informticos con base en la prevencin y proteccin frente a amenazas, vulnerabilidades e incidentes computacionales a usuarios de la tecnologa de informacin, logrando una permanente incorporacin y retencin de clientes, con base en su satisfaccin, garantizndoles el soporte efectivo y eficiente. Perspectiva Financiera: Garantizar la auto sostenibilidad de la operacin del CSIRT, generando rentabilidad a sus accionistas. Perspectiva Interna: Lograr un excelente desempeo ante el cliente que se deriva de procesos, decisiones y acciones basadas en las mejores prcticas mundiales en seguridad de la informacin. As como tambin crear e inculcar una cultura propia para el eficiente y efectivo desarrollo de las actividades de esta nueva organizacin.
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Perspectiva de Aprendizaje y Crecimiento: A partir del mejor talento humano y el permanente desarrollo de las personas, el CSIRT estar en capacidad de crear conocimiento en torno a la seguridad de la informacin, aprender de su propio actuar, lanzar nuevos productos y servicios, crear ms valor para los clientes y mejorar la eficiencia operativa continuamente. El aprendizaje organizacional se convierte en una ventaja competitiva y se integra al mejoramiento continuo de esta nueva organizacin. Estas cuatro perspectivas debern interrelacionarse, por medio de algunos orientadores estratgicos, tales como: posicionamiento, calidad, servicio al cliente, motivacin y cultura y sern la base y propsito de la gestin del CSIRT. A continuacin se detallan los principales objetivos por cada una de las perspectivas, con sus indicadores y metas, as como su interaccin con los orientadores estratgicos, a travs del esquema de un mapa estratgico.
EL GRAN SUEO?
spyware, instrucciones remotas de computadores, intrusiones en su correo electrnico, intrusiones en otras cuentas de servicio web, bombas lgicas, robos de informacin, fraudes, robo de ancho de banda, etc. Posicionamiento (Top of Mind): Este indicador busca entender la dinmica de la marca CSIRT en Colombia, se recomienda hacerse de manera peridica no menor a un ao. Con este indicador la compaa podr darse cuenta a travs del mercado objetivo, si existe o se tiene un bajo o alto grado de recordacin de la marca CSIRT. Este ndice es una relacin entre el numero de menciones de marca sobre el total de entrevistados. ndice de Satisfaccin de Usuarios: Mediante encuestas, se pretende determinar la satisfaccin de los usuarios basada en la calidad percibida como medicin de una satisfaccin general, el cumplimiento de expectativas y la cercana a la compaa perfecta acorde con el estndar internacional del ndice Americano de Satisfaccin de Clientes (ACSI American Customer Satisfaction Index)55
Certificaciones obtenidas: Este indicador busca garantizar la calidad de los procesos del CSIRT. El trmino se refiere a una serie de normas universales basadas inicialmente en la norma NTGCP 1000 y la norma ISO 27000. Una certificacin indica a los clientes que el CSIRT ha implementado un sistema para garantizar que cualquier producto o servicio que ofrezca cumplir constantemente con las normas internacionales de calidad.
o CISSP56: Dominio de conocimiento en tecnologa y gerencia en Seguridad de la Informacin. o CISM57: Conocimiento en gerencia de Seguridad de la Informacin. o ABCP o CBCP58: Conocimiento en planes y gestin de la continuidad de la operacin. o CISA59: Experiencia en auditora de sistemas. o ISO 27001 Lead Auditor: Conocimiento en auditora de sistemas de gestin en seguridad de la informacin SGSI.
50
100
21.210 61
15
32
56
www.isc2.org www.isaca.org www.drii.org www.isaca.org Fuente dato disponible en el programa Gobierno en Lnea Fuente: Entidades que reportaron Estados financieros a la Superintendencia de Sociedades durante el ao 2007
57
58
59
60
61
PERSPECTIVA
OBJETIVOS ESTRATGICOS
METAS Ao 2 10%
UNIVERSO
Total de incidentes reportados al CSIRT Total de Encuestas realizadas Total de Encuestas realizadas Total gastos
>80%
>80%
>65%
>75%
FINANCIERA
PROCESOS INTERNOS
Evaluaciones 360 grados al total de funcionarios Total de certificaciones de calidad aplicables al CSIRT Total de incidentes atendidos Total de errores registrados y total de incidentes atendidos Total de investigaciones publicadas por el CSIRT Total de patentes registradas por el CSIRT
Certificaciones obtenidas
NTGCP 1000
APRENDIZAJE Y CRECIMIENTO
Gestionar el conocimiento.
4 horas
1 horas
10
PERSPECTIVA
OBJETIVOS ESTRATGICOS
INDICADOR
UNIVERSO
> 60%
El marco previo de referencia al proceso de planeacin estratgica, antes de la ejecucin de los planes y control de la gestin, ser la formulacin del concepto estratgico, formulacin del plan estratgico basado en la estrategia y la formulacin de los planes tcticos y operacionales. El presupuesto, el Talento Humano, la tecnologa y la operacin deben alinearse con la estrategia, El CSIRT deber crear un contexto positivo para la medicin, El enfoque de la medicin ser la creacin de valor, La medicin deber ser integral (horizontal y vertical), La recoleccin de informacin y experiencias debern ser transformadas en estrategias, La medicin y control deber ser parte de la cultura organizacional, Clarificar las condiciones que crearan valor para el cliente, Definir los procesos que transformaran los activos intangibles a resultados financieros y del cliente, Definir los activos intangibles que deben ser alineados e integrados para facilitar la creacin de valor, Los componentes del Sistema Integrado de Medicin son el direccionamiento estratgico y las perspectivas, Los indicadores se debern definir en diferentes niveles organizacionales: Estratgicos (Monitorean y miden fundamentalmente el desempeo de los macro procesos), tcticos (Monitorean y miden los
procesos), operativos (Monitorean y miden las actividades) y de frontera o compartidos (Monitorean y miden el desempeo de los procesos donde existe responsabilidad compartida), Los indicadores debern tener necesariamente una relacin causa efecto, El mapa estratgico har explicita y comunicable a cualquier nivel la estrategia, La ejecucin a este modelo debe ser el elemento central de la cultura de una organizacin, Comunicacin, Implantacin y Sistematizacin: Incluye divulgacin, automatizacin, agenda gerencial con el Cuadro de Mando Integral, planes de accin para detalles, plan de alineacin de iniciativas y objetivos estratgicos, plan de despliegue a toda la empresa. Con todo lo anterior se propone y plantea que a partir de los diferentes lineamientos dados en este documento, se disee e implemente esta iniciativa estratgica, la cual permitir al nuevo CSIRT monitorear y evaluar su desempeo de una manera integral frente a sus objetivos estratgicos.
8.
ESTRUCTURA ORGANIZACIONAL
De acuerdo con el Software Engineering Institute en su documento Organizational Models for Computer Security Incident Response Teams (CSIRTs)62, existen criterios definidos para tres tipos de estructuras organizacionales para un CSIRT, con lo cual se proceder a determinar cuales de estas, se ajustan a la realidad de la estrategia de Gobierno en Lnea. Estos grupos son: Equipos de Seguridad CSIRT Coordinado CSIRT Interno Teniendo en cuenta el modelo de Seguridad de la Informacin definido para la estrategia de Gobierno en Lnea, el CSIRT propuesto ser un ente tcnico que funcione como un ente coordinador, que faculte a terceros en el desarrollo y prestacin de los servicios, de este modelo se destaca: Su equipo coordina el esfuerzo de respuesta de incidentes e intercambio de informacin a travs de muchos CSIRT, equipos de seguridad, terceros u otras organizaciones externas. Su equipo no pertenece a la misma organizacin de su jurisdiccin. El CSIRT, ser el responsable de la prestacin de servicios ofrecidos por terceros. Su principal servicio es coordinar intercambio de informacin y facilitar la discusin de incidentes.
62
Carnegie Mellon University - Software Engineering Institute. Autores: Georgia Killcrece, Klaus-Peter Kossakowski, Robin Ruefle, Mark Zajicek.
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
8.1. ORGANIGRAMA
Ilustracin 18: Estructura Organizacional Propuesta A continuacin se describen cada uno de los principales objetivos de las direcciones que conforman el CSIRT, y sus principales responsabilidades generales. 8.1.1. ASESOR JURDICO La Asesora Jurdica tiene por objetivo asesorar a la Direccin General, en todo lo relacionado con temas legales de competencia del CSIRT, tanto a nivel administrativo y comercial como a nivel de la consultora, prestacin de servicios y temas forenses de seguridad de la informacin. 8.1.2. DIRECCIN TCNICA 8.1.2.1. Grupo de Incidentes
Grupo que busca proveer a las entidades facultadas o tercerizadas por el CSIRT (en la prestacin de los diferentes servicios), la coordinacin, asistencia y atencin, para ayudar a preparar, proteger y asegurar componentes de sistemas de clientes objetivos, en anticipacin a futuros ataques, problemas o eventos derivados de la seguridad de la informacin. Hacer seguimiento de los principales indicadores informacin en el mbito nacional e internacional.
Pgina 158 de 192
Crear una base de conocimiento que permita el anlisis y evaluacin de la seguridad de la informacin. Definir, planificar y fomentar las responsabilidades y respuestas primarias, de carcter operacional, para el control de cualquier tipo de emergencia de seguridad de informacin. Promover y velar para que mtodos probados internacionalmente, para el control de las emergencias hechas por terceros, se apliquen eficiente y eficazmente. Definir y fomentar equipos de trabajo que puedan utilizar las tcnicas elementales de accin ante emergencias. Definir tcnicas o herramientas que permitan rastrear los orgenes de un incidente o identificar sistemas a los se haya tenido acceso no autorizado. Definir y fomentar la integracin de equipos de trabajo tcnico, con roles perfectamente definidos ante una emergencia. Asistir en la recuperacin tras desastres relacionados con los ataques y las amenazas a la seguridad de informacin de las Entidades, mediante la coordinacin de los diferentes recursos. Mediante actividades de coordinacin, velar por la eficiente y eficaz deteccin, tratamiento, anlisis y respuesta de incidentes de seguridad de la informacin, hechas por las entidades facultadas por el CSIRT en esta materia. Gestionar la recopilacin de pruebas forenses, en lo que se refiere a la recoleccin, la conservacin, la documentacin y el anlisis de las pruebas procedentes del sistema informtico comprometido. 8.1.2.2. Grupo Gestin y Control
Este grupo tiene como fin coordinar y dar soporte a las entidades tercerizadas por el CSIRT, para que consoliden y apliquen los conocimientos y habilidades requeridas, para administrar, controlar y auditar los sistemas informticos. Realizar la validacin y monitoreo del modelo de seguridad de la informacin. Soportar la evaluacin de infraestructura de seguridad de la informacin, a travs de evaluaciones y/o auditorias de seguridad, basados en los requisitos establecidos por el sistema y/o normas nacionales e internacionales aplicables. Administrar la herramienta de autoevaluacin y soportar las auditorias, monitoreos y anlisis a la informacin, desarrollada por los terceros contratados por el CSIRT. Brindar soporte en lo relacionado con la herramienta de autoevaluacin y auditoria.
Desarrollar y complementar las herramientas de auto-evaluacin y de auditora con base en las necesidades y requisitos actuales y futuros del Modelo de Seguridad. Recopilar las estadsticas, mtricas e indicadores que permitan medir el desempeo y evidenciar el mejoramiento del modelo de seguridad en las Entidades. Centralizar la informacin enviada por los diferentes terceros contratados por el CSIRT. 8.1.2.3. Grupo de Investigacin y Desarrollo
El Grupo de Investigacin y Desarrollo, tiene como principal propsito la investigacin cientfica, el desarrollo y la innovacin de la seguridad de la informacin. En este grupo se establecen instrumentos y/o medios que garanticen el cumplimiento del modelo de seguridad de la informacin. Adicionalmente se busca el desarrollo y la gestin del conocimiento del CSIRT, a travs de eficientes y eficaces vas de comunicacin. Asesorar a las Entidades pblicas y privadas en materia de seguridad de la informacin, as como apoyar a la elaboracin, seguimiento y evaluacin de polticas en este mbito. Difundir informacin relacionada con la seguridad de la informacin a todos los actores relacionados. Desarrollar herramientas especficas para necesidades particulares o generales de sus clientes o propias del CSIRT. Convocar al sector privado y a la academia para obtener apoyo en la investigacin en materia de seguridad de la informacin. Mantener contacto permanente con los distintos sectores de la industria para la identificacin de necesidades tecnolgicas y de seguridad de la informacin. Recomendar o identificar para las Entidades objetivo, requisitos de compra, instalacin o proteccin de nuevos sistemas de seguridad, aplicaciones de software, dispositivos de seguridad, entre otros. As mismo, ofrecer asistencia y orientacin en la implementacin de las polticas de seguridad del modelo. Proponer los lineamientos, temas y elementos de sensibilizacin al Grupo CSIRT Funcin de Capacitacin, en lo concerniente a las campaas de Concienciacin - sensibilizacin. Gestionar la informacin y documentacin del CSIRT. Disear herramientas de organizacin y difusin del conocimiento dentro del CSIRT. Gestionar la comunicacin interna de la Institucin. Gestionar el aprendizaje organizativo del CSIRT.
Pgina 160 de 192
misterio de Comunicaciones
Gestionar el cambio y la innovacin institucional. Adecuar la taxonoma de las piezas de conocimiento conforme se incremente el conjunto de conocimiento derivado de la experiencia y conocimiento del CSIRT. Generar estrategias de difusin de piezas de conocimiento de inters general. Fomentar la automatizacin de los procesos relacionados con seguridad de la informacin. Realizar auditoras anuales de conocimiento a los empleados del CSIRT. Vigilar que el conocimiento fluya de forma gil a travs del CSIRT. Disear polticas para el uso de las bases de datos institucionales.
El Grupo de Capacitacin tiene como principal objeto, ayudar a sensibilizar, dar a conocer y preparar al mercado objetivo, en los beneficios y amenazas que se derivan de la seguridad de la informacin, desarrollar la capacidad de estos para alcanzar objetivos de desarrollo informtico y a promover el uso de herramientas y procedimientos que prevengan posibles incidentes de seguridad de la informacin.
Promover campaas de capacitacin peridicas para el sector pblico y privado, en temas relacionados con la seguridad de la informacin, coordinando los diferentes cursos, charlas y/o conferencias. Buscar convenios con terceros, para soportar, ejecutar y/o fortaleces los diferentes programas de capacitacin, en los que se incluya de manera integrada, la academia, el sector pblico y privado. Dar lineamientos generales, a los responsables directos de los programas de capacitacin, en las diferentes reas de seguridad de la informacin. Soportar a terceros en la capacitacin y entrenamiento a las Entidades, en temas relacionados con la herramienta de autoevaluacin y auditoria. Planear el desarrollo de capacitaciones internas para el desarrollo de las competencias y habilidades tcnico/gerenciales para todo el personal del Grupo Tcnico de Apoyo y el de la Comisin Nacional de Seguridad de la Informacin.
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
8.1.3.2.
Grupo que tiene como objetivo, gestionar y proyectar de manera integral los sistemas de comunicacin e informacin del CSIRT, liderar cambios, establecer programas de cultura e identidad corporativa, diagnosticar y planear estratgicamente y de manera armnica la comunicacin segn los diferentes pblicos y entornos.
Disear e implementar el plan de comunicaciones del CSIRT. Mantener la articulacin con los entes policivos para la atencin de los incidentes de seguridad de la informacin. Gestionar la comunicacin entre el CSIRT y pblico clave para construir, administrar y mantener su imagen positiva. Construir la identidad, la cultura y la reputacin del CSIRT, como un camino que facilitar la construccin de vnculos con los involucrados (Stakeholders), mediante el desarrollo de programas de identidad corporativa. Definir y disear la Poltica de imagen corporativa que deba adoptar el CSIRT. Crear estrategias de publicidad para lograr difundir y promocionar el programa de capacitacin. Posicionar la nueva marca CSIRT en el mercado nacional y regional, por medio de rutinas de campaas de publicidad. Disear mtodos y mecanismos que permitan conocer el grado de aceptacin de los programas y proyectos desarrollados por el CSIRT. Sensibilizar a los grupos objetivo en el conocimiento y uso de los temas relacionados con la seguridad de informacin. Coordinar la emisin de boletines, revistas y toda clase de documentos relacionados con la accin del CSIRT. Difundir estudios e informes publicados por otras entidades y organismos nacionales e internacionales, as como de informacin sobre la actualidad en materia de la seguridad y confianza de la Informacin. Propender por las buenas relaciones y comunicaciones, con la prensa local, seccional, nacional e internacional. Crear alianzas con CSIRT nacionales e internacionales.
misterio de Comunicaciones
Crear alianzas de largo plazo con el sector acadmico, privado, proveedores de tecnologa, etc, las cuales permitan entre otros crear, gestionar y trasmitir el conocimiento del CSIRT. Disear mecanismos y establecer los conductos de divulgacin del CSIRT.
8.1.4. DIRECCIN ADMINISTRATIVO Y FINANCIERA Este grupo tiene como principal objeto administrar los recursos financieros, tecnolgicos (IT), legales y humanos del CSIRT. 8.1.4.1.
Financieros
Administrar el proceso de elaboracin presupuestaria. Controlar y supervisar la ejecucin del presupuesto de manera articulada con la planificacin estratgica y el control de gestin de la institucin. Realizar la gestin contable, patrimonial y la administracin de recursos de la institucin, procurando el estricto cumplimiento en la aplicacin de todos los sistemas y procedimientos administrativos establecidos. Administrar el proceso de compras y contrataciones de bienes y servicios del CSIRT. Intervenir desde el punto de vista presupuestario en el financiamiento de los proyectos. Desarrollar criterios, metodologas e instrumentos de aspectos administrativos, contables y de control. Administrar la gestin de desarrollo de la infraestructura fsica y la gestin de servicios de mantenimiento y soporte logstico de las distintas direcciones. Establecer e implantar mecanismos idneos para la administracin de los recursos financieros, de bienes, materiales y servicios asignados al funcionamiento del CSIRT. Coordinar con la Gerencia de Recursos Humanos las tareas contables, administrativas y financieras requeridas para la administracin del personal de la Institucin. Dirigir y supervisar la elaboracin de los estados contables del CSIRT. Tecnolgicos
8.1.4.2.
Mantener, monitorear y reparar la infraestructura de redes del CSIRT. Implementar y mantener servidores y servicios de red comunes dentro del CSIRT.
Pgina 163 de 192
misterio de Comunicaciones
Disear, implementar y mantener sistemas de monitoreo y respaldo para la infraestructura de redes del CSIRT. Asegurar la calidad y el desempeo en el funcionamiento de la infraestructura de redes y servicios de la organizacin CSIRT.
La gestin de los equipos tecnolgicos especializados corresponder a las entidades consideradas en la tercerizacin de los servicios. 8.1.4.3.
Legales
Elaborar todo tipo de contratos, actas constitutivas, actas de Asamblea e instrumentos jurdicos de la competencia del CSIRT. Participar en la negociacin, seguimiento y cierre de distintos tipos de operaciones con clientes y proveedores de naturaleza comercial, de alianza estratgica, societaria, etc. Emitir consultas y opiniones acerca de asuntos que influyan de manera directa en el patrimonio y responsabilidad de la empresa y sus socios dentro de su operacin comercial. Realizar todo tipo de trmites ante dependencias gubernamentales de carcter departamental y nacional. Humanos
8.1.4.4.
Asesorar y participar en la formulacin de la poltica de personal. Dar a conocer las polticas de personal y asegurar su cumplimiento. Establecer y normalizar el perfil y el rol de cada uno de los puestos de trabajo dentro del CSIRT. Reclutar, seleccionar y contratar al personal del CSIRT. Desarrollar y gestionar la estructura y poltica salarial. Planear las diferentes capacitaciones internas para promover y desarrollar las competencias y habilidades tcnico/gerenciales para todo el personal del CSIRT. Mantener todos los registros necesarios concernientes al personal. Incentivar la integracin y buenas relaciones humanas entre el personal. Recibir quejas, sugerencias y resuelve los problemas de los colaboradores.
Pgina 164 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Nivel Directivo Nivel Asesor Experticia Profesional Conocimiento del entorno Construccin de relaciones Liderazgo Planeacin Toma de decisiones Direccin y Desarrollo de Personal Conocimiento del entorno Nivel Profesional Aprendizaje Continuo Experticia profesional Trabajo en Equipo y Colaboracin
8.2.2. COMPETENCIAS COMPORTAMENTALES POR NIVEL JERRQUICO Cuando se tengan personal a cargo, se deber incluir; liderazgo de grupos de trabajo y toma de decisiones
Principios de seguridad de la informacin. Amplio conocimiento de la tecnologa y los protocolos de Internet y redes. Conocimiento de diversos sistemas operativos tipo Windows, Unix, Linux. Conocimiento de los equipos de infraestructura de redes (enrutador, switches, DNS, proxy, correo, etc.). Conocimiento de las aplicaciones de Internet. Conocimiento de amenazas a la seguridad (phishing, defacing, sniffing, etc.). Conocimiento de la evaluacin del riesgo y las implementaciones prcticas. Servicios y aplicaciones de red.
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
CISSP63 - Dominio de conocimiento tecnologa y gerencia en seguridad de la informacin. Obligatoria. CISM64 - Conocimiento en gerencia de seguridad de la informacin. Obligatoria. ABCP o CBCP65 - Conocimiento en planes y gestin de la continuidad de la operacin. Opcional. CISA66 - Experiencia en auditora de sistemas. Opcional. ISO27001 Lead Auditor - conocimiento en auditora de sistemas de gestin en seguridad de la informacin SGSI. Opcional.
8.2.4. OTRAS CARACTERSTICAS Disponibilidad para viajar a soportar operaciones en lugares diferentes a su ciudad base. Nivel educativo. Dependiendo del cargo se requerirn carreras tcnicas profesionales o a nivel de posgrado. Experiencia laboral en el mbito de la seguridad de las TI principalmente. Disposicin a trabajar por turnos. Es importante que el tipo de contratacin se haga a trmino indefinido, haciendo un seguimiento por cada empleado a travs de una evaluacin de desempeo, la cual evalu de manera general entre otros los siguientes puntos.
63
www.isc2.org
www.isaca.org
64
www.isaca.org
65
www.drii.org
66
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Cumplimiento de objetivos.
Competencias tcnicas. Competencias Administrativas. Eficiencia en el gerenciamiento de las responsabilidades. Excelencia de servicio. Eficiencia en el liderazgo.
La calificacin de estas evaluaciones de desempeo, afectaran individualmente o en grupo, cualquiera que sea el caso, en las retribuciones, en la promocin, en los concursos, y en las capacitaciones a ofrecer.
8.3. CAPACITACIN
Dentro del proyecto se deber destinar un presupuesto dirigido a la capacitacin del personal. Esto como consecuencia a la dificultad de encontrar personal, con el total de las habilidades anteriormente descritas y a que constantemente se presentaran avances y mejoras en la practicas informticas o de soporte, a utilizar en cada una de las responsabilidades. Si bien es cierto que el personal a contratar, deber contar con un conocimiento y experiencia previa a la mayora de las habilidades. No se hace necesario que cumpla con el 100% de estas. Por esto se deber priorizar para cada uno de los cargos las principales competencia y de las faltantes se suplirn con una posterior capacitacin. Es importante que la relaciones con entes como el sector privado, acadmico y publico, ayuden a formalizar este plan de capacitacin. El plan de capacitacin deber fundamentarse en las habilidades anteriormente detalladas y en el dominio de:
rea de cobertura y sistemas y operaciones de su rea de cobertura. Polticas y procedimientos estndares de operacin. Poltica sobre revelacin de informacin. Poltica sobre uso aceptable del equipamiento y de la red.
9.
La constitucin del CSIRT en Colombia supone el cumplimiento de ciertas etapas, considerando que iniciar una nueva etapa supone la estabilizacin y permanente sostenibilidad y continuidad de las etapas anteriores. Para la conformacin del proyecto CSIRT en Colombia se consideran las siguientes etapas: Etapa I Alistamiento: Se definirn todos los procesos, procedimientos, roles y responsabilidades necesarias para poner en operacin el CSIRT- Colombia. De la misma manera, se llevara a cabo el alistamiento tecnolgico, logstico y estratgico para la definicin de los alcances visibles e indicadores de gestin del CSIRT. Etapa II Capacitacin y Entrenamiento Involucra la capacitacin y entrenamiento necesarios para iniciar el proceso. Una vez iniciado, esta capacitacin podra gestionarse a travs de la cooperacin nacional e internacional, tanto a nivel bilateral como multilateral. En todo caso, la capacitacin o entrenamiento deber ser permanente a lo largo de la existencia del CSIRT. Etapa III Generacin de Alertas e Investigacin: Se busca un servicio de alertas tempranas e investigacin y desarrollo en laboratorio, para comenzar a prestar un servicio informativo a las entidades de tanto pblicas como privadas. Etapa IV - Respuesta a Incidentes y Apoyo en Investigacin del Delito: Supone una madurez suficiente en procesos, procedimientos, capacitacin, entrenamiento e informacin de amenazas y riesgos como para poder conformar operativamente el grupo de respuesta a incidentes y apoyar las investigaciones informticas adelantadas por las autoridades competentes. Etapa V Operacin, Revisin y Mejoramiento Continuo: Involucra la revisin constante de los procesos, procedimientos, indicadores de gestin y genera la retroalimentacin interna para el mejoramiento continuo.
Presupuesto de Inversin E studios y Diseos P lataforma Tecnolgica Hardware Software Servicios de seguridad Mantenimiento y reparaciones Desarrollo Web Tecnologas de seguridad de la red y de la informacin Gestin de equipos de seguridad (hasta 20 elementos) Monitoreo de equipos de seguridad (hasta 20 elementos) Correlacin de equipos de seguridad (hasta 20 elementos) Proteccin a los sistemas T otal Plataforma Tecnolgica M uebles S eguros de equipos e Infraestructura Tot al Presupuesto de Inversin 1 1 40.000.000 40.000.000
1 1 1 1 1 1 1 1 1 1
1 1 1 1 1 1 1 1 1 1
20.000.000 20.000.000 25.000.000 15.000.000 50.000.000 75.000.000 20.000.000 5.000.000 20.000.000 50.000.000
20.000.000 20.000.000 25.000.000 15.000.000 50.000.000 75.000.000 20.000.000 5.000.000 20.000.000 50.000.000 300.000.000 20.000.000 10.000.000 370.000.000
1 1
1 1
20.000.000 10.000.000
1 3
14 14
9.600.000 7.200.000
134.400.000 302.400.000
Rubro
Unidades
Frecuencia Anual 14 14 14 14
Jefes Grupo Profesionales Certificados en seguridad Equipo base Administrativo Total Costo de Personal - Salarios Entrenamiento y Capacitacin Operacin Logstica para Conferencias y talleres Costos de representacin Suscripciones a medios especializados Traducciones Elaboracin de Talleres Publicaciones y materiales informativos Viticos T otal Costo de Operacin I fraestructura n Alquiler del Establecimiento Servicios Pblicos Mantenimiento T otal Costo Infraestructura C osto Variable Auditoras de la seguridad Configuracin y mantenimiento de la seguridad Anlisis de riesgos Planificacin de la continuidad de la operacin y recuperacin tras un desastre Recopilacin de pruebas forenses Respuesta a incidentes in situ Evaluacin de productos T otal Presupuesto Variable Tot al Presupuesto Costo de Funcionamiento Ao 1
6 3 10 1
Total
30.000.000
30.000.000
1 1 1 1 1 1 2
6 1 1 1 1 1 12
1 1 1
12 12 12
1 1 1 1 1 1 1
25 13 12 3 10 21 3
Pre supuesto de Ventas P resupuesto de Ventas de Servicios para miembros y o miembros n Graduacin Nivel 2 Graduacin Nivel 3 Auditoras de la seguridad
1 1 1
Pgina 171 de 192
0 50 25
0 400.000.000 916.666.667
Rubro
Unidades
Frecuencia Anual 13 12 3
Configuracin y mantenimiento de la seguridad Anlisis de riesgos Planificacin de la continuidad de la operacin y recuperacin tras un desastre Presupuesto de Ventas de Servicios para no miembros Recopilacin de pruebas forenses Respuesta a incidentes in situ Evaluacin de productos Total Presupuesto de Ventas Ao 1
1 1 1
Total
1 1 1
10 21 3
A continuacin se describen algunos de los criterios utilizados para la estimacin preliminar del presupuesto de Inversin y Funcionamiento para el montaje del CSIRT en Colombia.
Costos de Reclutamiento: Asume la contratacin de un tercero para el proceso de bsqueda y reclutamiento del personal del CSIRT. Entrenamiento: Costos asociados con la preparacin tcnica del personal para un mejor desempeo en la operacin. Operacin: Costos estimados asociados a la operacin diaria del CSIRT en la prestacin de los servicios ofrecidos: Atencin de incidentes y la sensibilizacin de la comunidad, entre otros. Costos de Infraestructura, considerando el posible alquiler del espacio fsico para la operacin, los servicios pblicos y le mantenimiento de la planta y equipos. Costo Variable adicional: Es el costo variable que depende de volumen de ventas. A este costo se descuenta el costo de personal de planta disponible permanentemente para e desarrollo de proyectos. Presupuesto de ventas: Se estima con base en tarifas y comportamientos esperados del mercado y considerando que la operacin del CSIRT en Colombia comience en mayo de 2009.
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO SISTEMA DE GESTIN DE CALIDAD ESTRATEGIA DE GOBIERNO EN LNEA
Detalle Presupuesto - Ao 1
Presupuesto de Ventas: Ventas Rango de Precios dependiendo del tamao de la entidad y alcance del servicio Unidades 8.000.000 Graduacin Nivel 3 Unidades 15.000.000 Presupuesto de Ventas de Servicios para miembros y no miembros Auditoras de la seguridad Unidades 5.000.000 -100.000.000 Unidades 36.666.667 1 2 2 2 4 4 4 6 25 916.666.667 13 8.000.000 Precio Unitario Ponderado May Jun Jul Ago Sep Oct Nov Dic Total
Graduacin Nivel 2
16.000.000 24.000.000
73.333.333 146.666.667 2 2
Anlisis de riesgos
4.000.000
4.000.000 1
4.000.000 1
4.000.000 1
8.000.000 1
8.000.000 2
8.000.000 2
8.000.000 2
8.000.000 2
52.000.000 12 960.000.000 3
80.000.000
80.000.000 160.000.000 1
50.000.000 -400.000.000
166.666.667
166.666.667
166.666.667
166.666.667
500.000.000
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA Presupuesto de Ventas de Servicios para no miembros Recopilacin de pruebas forenses Unidades 1 1 1 1 1 1 2 2 10
4.000.000
4.000.000
4.000.000
4.000.000 1
4.000.000 2
4.000.000 3
4.000.000 4
8.000.000 5
8.000.000 6
40.000.000 21
2.000.000 Unidades 10.000.000 Presupuesto de Costo Variable de Servicios para miembros y no miembros Auditoras de la seguridad Configuracin y mantenimiento de la seguridad Anlisis de riesgos Planificacin de la continuidad de la operacin y recuperacin tras un desastre Unidades
2.000.000
2.000.000
4.000.000
6.000.000
8.000.000 1
10.000.000 1 10.000.000
12.000.000 1 10.000.000
42.000.000 3 30.000.000
10.000.000
10.000.000
1 14.666.667
4 58.666.667 2
4 58.666.667 2
6 88.000.000 2
25 366.666.667 13
29.333.333 58.666.667 2 2
Unidades
1.600.000 1
1.600.000 1
1.600.000 1
3.200.000 1
3.200.000 2
3.200.000 2 64.000.000 0
3.200.000 2 64.000.000 1
3.200.000 2 64.000.000 0
20.800.000 12 384.000.000 3
32.000.000 64.000.000 0 1
66.666.667
66.666.667
66.666.667
200.000.000
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA miembros Recopilacin de pruebas forenses Unidades 1 1 1 1 1 1 2 2 10
1.600.000
1.600.000
1.600.000
1.600.000 1
1.600.000 2
1.600.000 3
1.600.000 4
3.200.000 5
3.200.000 6
16.000.000 21
800.000
800.000
1.600.000
2.400.000
3.200.000 1
4.000.000 1 4.000.000
4.800.000 1 4.000.000
16.800.000 3 12.000.000
4.000.000
0 Ao 1
4.000.000
Conceptos
Bruto
Retencin
Seguridad Social cargo trabajador 8,375% 8,375% 8,375% 8,375% 8,375% 8,375% 8,375% 8,375% 8,375% 8,375% 8,375% 8,375% 8,375% 8,375% 8,375% 8,375% 8,375% 8,375%
Lquido
Director General Director 1 Director 2 Director 3 Jefe de Grupo 1 Jefe de Grupo 2 Jefe de Grupo 3 Jefe de Grupo 4 Jefe de Grupo 5 Jefe de Grupo 6 Profesional Certificado 1 Profesional Certificado 2 Profesional Certificado 3 Profesional 1 Profesional 2 Profesional 3 Profesional 4 Profesional 5
112.000.000 84.000.000 84.000.000 84.000.000 70.000.000 70.000.000 70.000.000 70.000.000 70.000.000 70.000.000 56.000.000 56.000.000 56.000.000 28.000.000 28.000.000 28.000.000 28.000.000 28.000.000
10% 10% 10% 10% 10% 10% 10% 10% 10% 10% 10% 10% 10% 10% 10% 10% 10% 10%
91.420.000 68.565.000 68.565.000 68.565.000 57.137.500 57.137.500 57.137.500 57.137.500 57.137.500 57.137.500 45.710.000 45.710.000 45.710.000 22.855.000 22.855.000 22.855.000 22.855.000 22.855.000
Pgina 176 de 192
20% 20% 20% 20% 20% 20% 20% 20% 20% 20% 20% 20% 20% 20% 20% 20% 20% 20%
22.400.000 16.800.000 16.800.000 16.800.000 14.000.000 14.000.000 14.000.000 14.000.000 14.000.000 14.000.000 11.200.000 11.200.000 11.200.000 5.600.000 5.600.000 5.600.000 5.600.000 5.600.000
134.400.000 100.800.000 100.800.000 100.800.000 84.000.000 84.000.000 84.000.000 84.000.000 84.000.000 84.000.000 67.200.000 67.200.000 67.200.000 33.600.000 33.600.000 33.600.000 33.600.000 33.600.000
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA Profesional 6 Profesional 7 Profesional 8 Profesional 9 Profesional 10 Secretaria Totales 28.000.000 28.000.000 28.000.000 28.000.000 28.000.000 14.000.000 1.246.000.000 10% 10% 10% 10% 10% 10% 141.400.000 8,375% 8,375% 8,375% 8,375% 8,375% 8,375% 118.422.500 22.855.000 22.855.000 22.855.000 22.855.000 22.855.000 11.427.500 1.017.047.500 20% 20% 20% 20% 20% 20% 5.600.000 5.600.000 5.600.000 5.600.000 5.600.000 2.800.000 249.200.000 33.600.000 33.600.000 33.600.000 33.600.000 33.600.000 16.800.000 1.495.200.000
11. TERMINOLOGA
A Accin correctiva: (Ingls: Corrective action). Medida de tipo reactivo orientada a eliminar la causa de una noconformidad asociada a la implementacin y operacin del SGSI con el fin de prevenir su repeticin. Accin preventiva: (Ingls: Preventive action). Medida de tipo pro-activo orientada a prevenir potenciales noconformidades asociadas a la implementacin y operacin del SGSI. Accreditation body: Vase: Entidad de acreditacin. Aceptacin del Riesgo: (Ingls: Risk acceptance). Segn [ISO/IEC Gua 73:2002]: Decisin de aceptar un riesgo. Activo: (Ingls: Asset). En relacin con la seguridad de la informacin, se refiere a cualquier informacin o sistema relacionado con el tratamiento de la misma que tenga valor para la organizacin. Segn [ISO/IEC 13335-1:2004]: Cualquier cosa que tiene valor para la organizacin. Alcance: (Ingls: Scope). mbito de la organizacin que queda sometido al SGSI. Debe incluir la identificacin clara de las dependencias, interfaces y lmites con el entorno, sobre todo si slo incluye una parte de la organizacin. Alerta: (Ingls: Alert). Una notificacin formal de que se ha producido un incidente relacionado con la seguridad de la informacin que puede evolucionar hasta convertirse en desastre. Amenaza: (Ingls: Threat). Segn [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el dao a un sistema o la organizacin. Anlisis de riesgos: (Ingls: Risk analysis). Segn [ISO/IEC Gua 73:2002]: Uso sistemtico de la informacin para identificar fuentes y estimar el riesgo. Anlisis de riesgos cualitativo: (Ingls: Qualitative risk analysis). Anlisis de riesgos en el que se usa una escala de puntuaciones para situar la gravedad del impacto.
Anlisis de riesgos cuantitativo: (Ingls: Quantitative risk analysis). Anlisis de riesgos en funcin de las prdidas financieras que causara el impacto. Asset: Vase: Activo. Assets inventory: Vase: Inventario de activos. Audit: Vase: Auditora. Auditor: (Ingls: Auditor). Persona encargada de verificar, de manera independiente, la calidad e integridad del trabajo que se ha realizado en un rea particular. Auditor de primera parte: (Ingls: First party auditor). Auditor interno que audita la organizacin en nombre de ella misma. En general, se hace como mantenimiento del sistema de gestin y como preparacin a la auditora de certificacin. Auditor de segunda parte: (Ingls: Second party auditor). Auditor de cliente, es decir, que audita una organizacin en nombre de un cliente de la misma. Por ejemplo, una empresa que audita a su proveedor de outsourcing. Auditor de tercera parte: (Ingls: Third party auditor). Auditor independiente, es decir, que audita una organizacin como tercera parte independiente. Normalmente, porque la organizacin tiene la intencin de lograr la certificacin. Auditor jefe: (Ingls: Lead auditor). Auditor responsable de asegurar la conduccin y realizacin eficiente y efectiva de la auditora, dentro del alcance y del plan de auditora aprobado por el cliente. Auditora: (Ingls: Audit). Proceso planificado y sistemtico en el cual un auditor obtiene evidencias objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una organizacin. Autenticacin: (Ingls: Authentication). Proceso que tiene por objetivo asegurar la identificacin de una persona o sistema. Authentication: Vase: Autenticacin. Availability: Vase: Disponibilidad. B BS7799: Estndar britnico de seguridad de la informacin, publicado por primera vez en 1995. En 1998, fue publicada la segunda parte. La parte primera es un conjunto de buenas prcticas para la gestin de la seguridad de la informacin -no es certificable- y la parte segunda especifica el sistema de gestin de
seguridad de la informacin -es certificable-. La parte primera es el origen de ISO 17799 e ISO 27002 y la parte segunda de ISO 27001. Como tal estndar, ha sido derogado ya, por la aparicin de estos ltimos. BSI: British Standards Institution. Comparable al AENOR espaol, es la Organizacin que ha publicado la serie de normas BS 7799, adems de otros varios miles de normas de muy diferentes mbitos. Business Continuity Plan: Vase: Plan de continuidad de la operacin. C CERT (Computer Emergency Response Team): Equipo de Respuesta a Emergencias Computacionales (Marca registrada por la Universidad Carnegie - Melon). Certification body: Vase: Entidad de certificacin. CIA: Acrnimo ingls de confidencialidad, integridad y disponibilidad, los parmetros bsicos de la seguridad de la informacin. CID: Acrnimo espaol de confidencialidad, integridad y disponibilidad, los parmetros bsicos de la seguridad de la informacin. CCEB: Criterio Comn para la Seguridad de Tecnologa de Informacin. Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los objetivos de la auditora, sirve de evidencia del plan de auditora, asegura su continuidad y profundidad y reduce los prejuicios del auditor y su carga de trabajo. Este tipo de listas tambin se pueden utilizar durante la implantacin del SGSI para facilitar su desarrollo. Clear desk policy: Vase: Poltica de escritorio despejado. CobiT: Control Objectives for Information and related Technology. Publicados y mantenidos por ISACA. Su misin es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnologa de Informacin rectores, actualizados, internacional y generalmente aceptados para ser empleados por gerentes de entidades y auditores. Cdigo malicioso (Malicious Code, Malware): Cubre virus, gusanos, y Troyanos electrnicos. Se pueden distribuir a travs de varios mtodos incluyendo el email, Web site, shareware / freeware y de otros medios tales como material promocional. Compromiso de la Direccin: (Ingls: Management commitment). Alineamiento firme de la Direccin de la organizacin con el establecimiento, implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del SGSI.
Confidencialidad: (Ingls: Confidenciality). Acceso a la informacin por parte nicamente de quienes estn autorizados. Segn [ISO/IEC 13335-1:2004]:" caracterstica/propiedad por la que la informacin no est disponible o revelada a individuos, entidades, o procesos no autorizados. Confidenciality: Vase: Confidencialidad. Contramedida: (Ingls: Countermeasure). Vase: Control. Control: Las polticas, los procedimientos, las prcticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la informacin por debajo del nivel de riesgo asumido. (Nota: Control es tambin utilizado como sinnimo de salvaguarda o contramedida. Control correctivo: (Ingls: Corrective control). Control que corrige un riesgo, error, omisin o acto deliberado antes de que produzca prdidas. Supone que la amenaza ya se ha materializado pero que se corrige. Control detectivo: (Ingls: Detective control). Control que detecta la aparicin de un riesgo, error, omisin o acto deliberado. Supone que la amenaza ya se ha materializado, pero por s mismo no la corrige. Control disuasorio: (Ingls: Deterrent control). Control que reduce la posibilidad de materializacin de una amenaza, p.ej., por medio de avisos disuasorios. Control preventivo: (Ingls: Preventive control). Control que evita que se produzca un riesgo, error, omisin o acto deliberado. Impide que una amenaza llegue siquiera a materializarse. Control selection: Vase: Seleccin de controles. Corrective action: Vase: Accin correctiva. Corrective control: Vase: Control correctivo. COSO: Committee of Sponsoring Organizations of the Treadway Commission. Comit de Organizaciones Patrocinadoras de la Comisin Treadway. Se centra en el control interno, especialmente el financiero. En Colombia este estndar fue utilizado para realizar el estndar de control interno MECI. Countermeasure: Contramedida. Vase: Control. CSIRT (Computer Security Incident Response Team): Equipo de Respuesta a Incidentes de Seguridad Computacional D Declaracin de aplicabilidad: (Ingls: Statement of Applicability, SOA). Documento que enumera los controles aplicados por el SGSI de la organizacin -tras el resultado de los procesos de evaluacin y
Pgina 181 de 192
tratamiento de riesgos- adems de la justificacin tanto de su seleccin como de la exclusin de controles incluidos en el anexo A de la norma. Denial of service: Vase: Negacin de Servicios. Desastre: (Ingls: Disaster). Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios habituales de una organizacin durante el tiempo suficiente como para verse la misma afectada de manera significativa. Detective control: Vase: Control detectivo. Deterrent control: Vase: Control disuasorio. Directiva: (Ingls: Guideline). Segn [ISO/IEC 13335-1:2004]: una descripcin que clarifica qu debera ser hecho y cmo, con el propsito de alcanzar los objetivos establecidos en las polticas. Disaster: Vase: Desastre. Disponibilidad: (Ingls: Availability). Acceso a la informacin y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. Segn [ISO/IEC 13335-1:2004]: caracterstica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada. E Entidad de acreditacin: (Ingls: Accreditation body). Un organismo oficial que acredita a las entidades certificadoras como aptas para certificar segn diversas normas. Suele haber una por pas. Son ejemplos de entidades de acreditacin: ENAC (Espaa), UKAS (Reino Unido), EMA (Mxico), OAA (Argentina)... Entidad de certificacin: (Ingls: Certification body). Una empresa u organismo acreditado por una entidad de acreditacin para auditar y certificar segn diversas normas (ISO 27000, ISO 9000, ISO 14000, etc.) a entidades usuarias de sistemas de gestin. ESF: Foro europeo de seguridad, en el que cooperan ms de 70 multinacionales fundamentalmente europeas con el objeto de llevar a cabo investigaciones relativas a los problema comunes de seguridad y control en TI. Evaluacin de riesgos: (Ingls: Risk evaluation). Segn [ISO/IEC Gua 73:2002]: proceso de comparar el riesgo estimado contra un criterio de riesgo dado con el objeto de determinar la importancia del riesgo. Evento: (Ingls: information security event). Segn [ISO/IEC TR 18044:2004]: Suceso identificado en un sistema, servicio o estado de la red que indica una posible brecha en la poltica de seguridad de la informacin o fallo de las salvaguardias, o una situacin anterior desconocida que podra ser relevante para la seguridad.
Evidencia objetiva: (Ingls: Objective evidence). Informacin, registro o declaracin de hechos, cualitativa o cuantitativa, verificable y basada en observacin, medida o test, sobre aspectos relacionados con la confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e implementacin de un elemento del sistema de seguridad de la informacin. F Fase 1 de la auditora: Fase en la que, fundamentalmente a travs de la revisin de documentacin, se analiza en SGSI en el contexto de la poltica de seguridad de la organizacin, sus objetivos, el alcance, la evaluacin de riesgos, la declaracin de aplicabilidad y los documentos principales, estableciendo un marco para planificar la fase 2. Fase 2 de la auditora: Fase en la que se comprueba que la organizacin se ajusta a sus propias polticas, objetivos y procedimientos, que el SGSI cumple con los requisitos de ISO 27001 y que est siendo efectivo. FIRST (Forum of Incident Response and Security Teams): Foro global de Equipos de Respuesta a Incidentes y Seguridad. First party auditor: Vase: Auditor de primera parte. G Gestin de claves: (Ingls: Key management). Controles referidos a la gestin de claves criptogrficas. Gestin de riesgos: (Ingls: Risk management). Proceso de identificacin, control y minimizacin o eliminacin, a un coste aceptable, de los riesgos que afecten a la informacin de la organizacin. Incluye la valoracin de riesgos y el tratamiento de riesgos. Segn [ISO/IEC Gua 73:2002]: actividades coordinadas para dirigir y controlar una organizacin con respecto al riesgo. Guideline: Vase: Directiva. H Hacking: Es el trmino que cubre cualquier tentativa de tener acceso desautorizado a un sistema informtico. Humphreys, Ted: Experto en seguridad de la informacin y gestin del riesgo, considerado "padre" de las normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002. I I4: Instituto Internacional para la Integridad de la Informacin, asociacin similar a la ESF, con metas anlogas y con sede principal en los EE.UU. Es manejado por el Instituto de Investigacin de Standford.
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
IBAG: Grupo asesor de empresas de Infosec, representantes de la industria que asesoran al Comit de Infosec. Este comit est integrado por funcionarios de los gobiernos de la Comunidad Europea y brinda su asesoramiento a la Comisin Europea en asuntos relativos a la seguridad de TI. IEC: International Electrotechnical Commission. Organizacin internacional que publica estndares relacionados con todo tipo de tecnologas elctricas y electrnicas. IIA: Instituto de Auditores Internos. Impacto: (Ingls: Impact). El coste para la empresa de un incidente -de la escala que sea-, que puede o no ser medido en trminos estrictamente financieros -p.ej., prdida de reputacin, implicaciones legales, etc. Impact: Vase: Impacto. Incidente: Segn [ISO/IEC TR 18044:2004]: Evento nico o serie de eventos de seguridad de la informacin inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones y amenazar la seguridad de la informacin. Algunos ejemplos comunes son: Spam: Envo de correo masivo no solicitado. Tomar el control de la computadora del alguien diferente usando un virus informtico, un error del software, un Troyano, etc. Negacin del servicio de la computadora o de la red. Infraccin de copyright: msica, pelculas, programas de computadora, etc. Phishing: Generalmente enviando correos electrnicos que intentan inducir a brindar datos importantes. Pharming: Redirigir trfico de la red de un servidor a otra red controlada para descubrir cdigos de acceso o informacin confidencial.
Information processing facilities: Vase: Servicios de tratamiento de informacin. Information Systems Management System: Vase: SGSI. Information security: Vase: Seguridad de la informacin. INFOSEC: Comit asesor en asuntos relativos a la seguridad de TI de la Comisin Europea.
Integridad: (Ingls: Integrity). Mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Segn [ISO/IEC 13335-1:2004]: propiedad/caracterstica de salvaguardar la exactitud y completitud de los activos. Integrity: Vase: Integridad. Inventario de activos: (Ingls: Assets inventory). Lista de todos aquellos recursos (fsicos, de informacin, software, documentos, servicios, personas, reputacin de la organizacin, etc.) dentro del alcance del SGSI, que tengan valor para la organizacin y necesiten por tanto ser protegidos de potenciales riesgos. IRCA: International Register of Certified Auditors. Acredita a los auditores de diversas normas, entre ellas ISO 27001. ISACA: Information Systems Audit and Control Association. Publica CobiT y emite diversas acreditaciones en el mbito de la seguridad de la informacin. ISACF: Fundacin de Auditora y Control de Sistemas de Informacin. ISC2: Information Systems Security Certification Consortium, Inc. Organizacin sin nimo de lucro que emite diversas acreditaciones en el mbito de la seguridad de la informacin. ISMS: Information Systems Management System. Vase: SGSI. ISO: Organizacin Internacional de Normalizacin, con sede en Ginebra (Suiza). Es una agrupacin de organizaciones nacionales de normalizacin cuyo objetivo es establecer, promocionar y gestionar estndares. ISO 17799: Cdigo de buenas prcticas en gestin de la seguridad de la informacin adoptado por ISO transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio de nomenclatura el 1 de Julio de 2007. ISO 19011: Guidelines for quality and/or environmental management systems auditing. Gua de utilidad para el desarrollo de las funciones de auditor interno para un SGSI. ISO 27001: Estndar para sistemas de gestin de la seguridad de la informacin adoptado por ISO transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicacin en 2005. ISO 27002: Cdigo de buenas prcticas en gestin de la seguridad de la informacin (transcripcin de ISO 17799). No es certificable. Cambio de oficial de nomenclatura de ISO 17799:2005 a ISO 27002:2005 el 1 de Julio de 2007. ISO 9000: Normas de gestin y garanta de calidad definidas por la ISO.
ISO/IEC TR 13335-3: Information technology. Guidelines for the management of IT Security.Techniques for the management of IT Security. Gua de utilidad en la aplicacin de metodologas de evaluacin del riesgo. ISO/IEC TR 18044: Information technology. Security techniques. Information security incident management Gua de utilidad para la gestin de incidentes de seguridad de la informacin. ISSA: Information Systems Security Association. ISSAP: Information Systems Security Architecture Professional. Una acreditacin de ISC2. ISSEP: Information Systems Security Engineering Professional. Una acreditacin de ISC2. ISSMP: Information Systems Security Management Professional. Una acreditacin de ISC2. ITIL: IT Infrastructure Library. Un marco de gestin de los servicios de tecnologas de la informacin. ITSEC: Criterios de evaluacin de la seguridad de la tecnologa de informacin. Se trata de criterios unificados adoptados por Francia, Alemania, Holanda y el Reino Unido. Tambin cuentan con el respaldo de la Comisin Europea (vase tambin TCSEC, el equivalente de EEUU). J JTC1: Joint Technical Committee. Comit tcnico conjunto de ISO e IEC especfico para las TI. K Key management: Vase: Gestin de claves. L Lead auditor: Vase: Auditor jefe. M Major nonconformity: Vase: No conformidad grave. Malware: Vase: Cdigo malicioso. Management commitment: Vase: Compromiso de la Direccin. N
NBS: Oficina Nacional de Normas de los EE.UU. Negacin del Servicio (Denial of Service DoS): Los ataques de negacin del servicio se disean generalmente para obstruir sistemas informticos de red con una inundacin de trfico en la red. Esta inundacin del trfico tiene a menudo el efecto de negar el acceso al sistema informtico para los usuarios legtimos. El trfico indeseado se genera a menudo usando los sistemas informticos inocentes conocidos como zombis, que se ha infectado previamente con cdigo malvolo. NIST: (ex NBS) Instituto Nacional de Normas y Tecnologa, con sede en Washington, D.C. No conformidad: (Ingls: Nonconformity). Situacin aislada que, basada en evidencias objetivas, demuestra el incumplimiento de algn aspecto de un requerimiento de control que permita dudar de la adecuacin de las medidas para preservar la confidencialidad, integridad o disponibilidad de informacin sensible, o representa un riesgo menor. No conformidad grave: (Ingls: Major nonconformity). Ausencia o fallo de uno o varios requerimientos de la ISO 27001 que, basada en evidencias objetivas, permita dudar seriamente de la adecuacin de las medidas para preservar la confidencialidad, integridad o disponibilidad de informacin sensible, o representa un riesgo inaceptable. Nonconformity: Vase: No conformidad. O Objective evidence: Vase: Evidencia objetiva. Objetivo: (Ingls: Objetive). Declaracin del resultado o fin que se desea lograr mediante la implementacin de procedimientos de control en una actividad de TI determinada. OCDE: Organizacin de Cooperacin y Desarrollo Econmico. Tiene publicadas unas guas para la seguridad de la informacin. P PDCA: Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las actividades de planificar (establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el SGSI). Plan de continuidad del negocio: (Ingls: Bussines Continuity Plan). Plan orientado a permitir la continuacin de las principales funciones en el caso de un evento imprevisto que las ponga en peligro. Plan de tratamiento de riesgos: (Ingls: Risk treatment plan). Documento de gestin que define las acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la informacin inaceptables e implantar los controles necesarios para proteger la misma.
Pgina 187 de 192
Poltica de seguridad: (Ingls: Security policy). Documento que establece el compromiso de la Direccin y el enfoque de la organizacin en la gestin de la seguridad de la informacin. Segn [ISO/IEC 27002:2005]: intencin y direccin general expresada formalmente por la Direccin. Poltica de escritorio despejado: (Ingls: Clear desk policy). La poltica de la empresa que indica a los empleados que deben dejar su escritorio libre de cualquier tipo de informaciones susceptibles de mal uso al finalizar el da. Preventive action: Vase: Accin preventiva. Preventive control: Vase: Control preventivo. Q Qualitative risk analysis: Vase: Anlisis de riesgos cualitativo. Quantitative risk analysis: Vase: Anlisis de riesgos cuantitativo. R Residual Risk: Vase: Riesgo Residual. Riesgo: (Ingls: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una prdida o dao en un activo de informacin. Segn [ISO Gua 73:2002]: combinacin de la probabilidad de un evento y sus consecuencias. Riesgo Residual: (Ingls: Residual Risk). Segn [ISO/IEC Gua 73:2002] El riesgo que permanece tras el tratamiento del riesgo. Risk: Vase: Riesgo. Risk acceptance: Vase: Aceptacin del riesgo. Risk analysis: Vase: Anlisis de riesgos. Risk assessment: Vase: Valoracin de riesgos. Risk evaluation: Vase: Evaluacin de riesgos. Risk management: Vase: Gestin de riesgos. Risk treatment: Vase: Tratamiento de riesgos.
Risk treatment plan: Vase: Plan de tratamiento de riesgos. S Safeguard: Salvaguardia. Vase: Control. Salvaguardia: (Ingls: Safeguard). Vase: Control. Sarbanes-Oxley: Ley de Reforma de la Contabilidad de Compaas Pblicas y Proteccin de los Inversores aplicada en EEUU desde 2002. Crea un consejo de supervisin independiente para supervisar a los auditores de compaas pblicas y le permite a este consejo establecer normas de contabilidad as como investigar y disciplinar a los contables. Tambin obliga a los responsables de las entidades a garantizar la seguridad de la informacin financiera. Scope: Vase: Alcance. Second party auditor: Vase: Auditor de segunda parte. Security Policy: Vase: Poltica de seguridad. Segregacin de tareas: (Ingls: Segregation of duties). Reparto de tareas sensibles entre distintos empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por negligencia. Segregation of duties: Vase: Segregacin de tareas. Seguridad de la informacin: Segn [ISO/IEC 27002:2005]: Preservacin de la confidencialidad, integridad y disponibilidad de la informacin, adems otras propiedades como autenticidad, responsabilidad, no repudio y fiabilidad pueden ser tambin consideradas. Seleccin de controles: Proceso de eleccin de los controles que aseguren la reduccin de los riesgos a un nivel aceptable. SGSI: (Ingls: ISMS). Sistema de Gestin de la Seguridad de la Informacin. Segn [ISO/IEC 27001:2005]: la parte de un sistema global de gestin que, basado en el anlisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la seguridad de la informacin. (Nota: el sistema de gestin incluye una estructura de organizacin, polticas, planificacin de actividades, responsabilidades, procedimientos, procesos y recursos.) Servicios de tratamiento de informacin: (Ingls: Information processing facilities). Segn [ISO/IEC 27002:2005]: cualquier sistema, servicio o infraestructura de tratamiento de informacin o ubicaciones fsicas utilizados para su alojamiento.
Sistema de Gestin de la Seguridad de la Informacin: (Ingls: Information Systems Management System). Ver SGSI. SOA: Statement of Applicability. Vase: Declaracin de aplicabilidad. SSCP: Systems Security Certified Practitioner. Una acreditacin de ISC2. Statement of Applicability: Vase: Declaracin de aplicabilidad. T TCSEC: Criterios de evaluacin de la seguridad de los sistemas de computacin, conocidos tambin con el nombre de Orange Book (Libro naranja), definidos originalmente por el Ministerio de Defensa de los EE.UU. Vase tambin ITSEC, el equivalente europeo. TERENA (Trans-European Research and Education Networking Association): Una organizacin europea que soporta la Internet y las actividades y servicios sobre la infraestructura con la comunidad acadmica. TF-CSIRT: Foro internacional para la cooperacin en CSIRT a nivel Europeo. Consiste en 2 grupos, uno cerrado accessible solo para equipos acreditados y uno abierto acesible a cualquier persona interesada en CSIRT. TF-CSIRT es una de las actividades de la organizacin internacional TERENA. Third party auditor: Vase: Auditor de tercera parte. Threat: Vase: Amenaza. TickIT: Gua para la Construccin y Certificacin del Sistema de Administracin de Calidad del Software. Tratamiento de riesgos: (Ingls: Risk treatment). Segn [ISO/IEC Gua 73:2002]: Proceso de seleccin e implementacin de medidas para modificar el riesgo. V Valoracin de riesgos: (Ingls: Risk assessment). Segn [ISO/IEC Gua 73:2002]: Proceso completo de anlisis y evaluacin de riesgos. Vulnerabilidad: (Ingls: Vulnerability). Debilidad en la seguridad de la informacin de una organizacin que potencialmente permite que una amenaza afecte a un activo. Segn [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza. Vulnerability: Vase: Vulnerabilidad. W
Pgina 190 de 192
INFORME FINAL PARA LA CONSTITUCIN DE UN CSIRT COLOMBIANO MODELO DE SEGURIDAD ESTRATEGIA DE GOBIERNO EN LNEA
WG1, WG2, WG3, WG4, WG5: WorkGroup 1, 2, 3, 4, 5. Grupos de trabajo del subcomit SC27 de JTC1 (Joint Technical Committee) de ISO e IEC. Estos grupos de trabajo se encargan del desarrollo de los estndares relacionados con tcnicas de seguridad de la informacin.