Buenas Prcticas

para establecer un CSIRT nacional

La Organizacin de los Estados Americanos (OEA) es
el principal foro poltico de la regin, que promueve y
apoya la democracia, los derechos humanos, la segu-
ridad multidimensional y el desarrollo integral en las

estabilidad poltica, la inclusin social y la prosperidad

de la regin por medio del dilogo y de la accin colec-
tiva, como la cooperacin, la implementacin de me-
canismos de seguimiento de los compromisos de los
Estados miembros y la aplicacin de la Ley Interameri-
cana y de la Ley Internacional. Buenas prcticas
para establecer un CSIRT nacional
Gobierno de Canad.

Todos los derechos reservados

Esta obra est bajo licencia de las Organizaciones In-

tergubernamentales (OIG) Creative Commons Atribu-
cin-No Comercial-Compartir Igual 3.0. Para ver una
copia de esta licencia, visite http://creativecommons.
org/licenses/by-nc-sa/3.0/igo/legalcode.

Aviso importante

-
niones o polticas de la OEA, de sus Estados miembros ni de las
organizaciones colaboradoras. Esta gua ha sido puesta a conside-
racin de diferentes expertos internacionales en seguridad ciber-
ntica y miembros de la Red Hemisfrica de CSIRT de la OEA; y est
sujeta a actualizaciones peridicas.

Este documento es una iniciativa del Programa de Seguridad Ciber-

-
nos de Canad, el Reino Unido y los Estados Unidos de Amrica.

Abril de 2016
Secretara General de la Organizacin de los Estados Americanos (OEA)
1889 F Street, N.W., Washington, D.C., 20006
Estados Unidos de Amrica
www.oas.org/cyber/

A B C D
 Un equipo de respuesta a incidentes en seguridad informtica
(CSIRT por sus siglas en ingls) es una organizacin cuyo prop-
sito principal consiste en brindar servicios de respuesta a inci-
dentes de seguridad informtica a una comunidad en particular.

En esta gua se analizan varios tipos de CSIRT, entre ellos los

CSIRT a nivel nacional, que responden a incidentes en seguridad
informtica a nivel de un estado-pas.

El presente documento analiza el proceso de gestin de un pro-

yecto para la creacin y la puesta en marcha de un CSIRT na-
cional, incluidos distintos criterios y consideraciones necesarias
para definir su constitucin, misin, visin, alcance, servicios,
tiempos, y aspectos legales e institucionales u organizacionales.
Esto incluye un examen de los requerimientos de recursos hu-
manos, tanto en trminos de contratacin como de formacin
continua, que son necesarios para establecer el personal de un
equipo nacional de respuesta a incidentes.

Asimismo, la gua presenta descripciones detalladas de infraestruc-

tura, que incluye hardware, software y procedimientos tcnicos.

Finalmente, se analizan diferentes polticas y procedimientos

necesarios para realizar una operacin fluida CSIRT. En este sen-
tido, la gua revisa y subraya marcos existentes de CSIRT, como
aquellos desarrollados por la European Union Agency for Ne-
twork and Information Security01 (ENISA) y GANT. Tambin se
analizan directrices para la adhesin y la participacin en deter-
minados organismos internacionales, como el Foro de Equipos
de Respuesta a Incidentes y de Seguridad (FIRST).

A B C D
Contenido

Forma de uso de esta gua 2 EJECUCIN

1 PLANIFICACIN Seleccin de recursos humanos 66

Definicin 12
mbitos de actuacin de los CSIRT 14
El papel de un CSIRT nacional 16
Partes interesadas 17
Constitucin 28
Documento de constitucin 29
Marco institucional 34
Direccin 68
Operaciones 68
Investigacin y Desarrollo 69
Tecnologa de Informacin 69
Requisitos de formacin 70
Seguridad ciberntica general 72
Capacitacin en respuesta
a incidentes en seguridad ciberntica 72

Marco legal Cursos de anlisis de malware y forense 73

Alcance 38
Instalaciones e infraestructura TI 74
Comunidad objetivo 39
Instalaciones CSIRT 75
Servicios 41
Diseo bsico de la red CSIRT 77
Servicios reactivos 42
Equipo bsico sugerido 78
Servicios proactivos 43
Servicios de valor agregado 44 Polticas y procedimientos operacionales 80
Evolucin de los servicios de un CSIRT 44
Polticas mnimas obligatorias 81

Organizacin y RRHH 45 Otras polticas 81

Estructuras organizacionales 46
Tamao de la organizacin 47 3 CIERRE

Funciones y responsabilidades 48
Finalizacin formal de las actividades 85
Estructura organizacional 50
Tamao y cantidad de recursos 56
ANEXOS

58 Muestra de la poltica de uso aceptable 88

Cronograma
Poltica de divulgacin 90
Conclusin 62
Formatos de respuesta a incidentes 92
de la planificacin preliminar
Referencias citadas 103
 Forma de uso de esta gua

Esta gua analiza varios tipos de CSIRT, entre ellos los CSIRT a nivel nacional, que
responden a incidentes a nivel estado-nacin. Por lo general, estos monitorean y
responden a incidentes en las redes gubernamentales y tambin sirven como un
coordinador de seguridad de la informacin para el sector privado u otros secto-
res e instituciones. Y pueden o no prestar servicios de respuesta a incidentes a
usuarios finales o al sector privado.

Todos los aspectos relacionados con los CSIRT, similares a la seguridad de la infor-
macin en s misma, requieren del amplio entendimiento de una serie de diferen-
tes disciplinas, aparte de la tecnologa. Tambin incluyen temas adicionales como
la gestin de recursos humanos, los procesos legales, la planificacin financiera,
las adquisiciones y muchas otras. La supervisin y la gestin de proyectos son
particularmente importantes en la creacin y el despliegue de los CSIRT, ya que
necesitan funcionar de una manera estructurada, gradual y estratgica durante
las fases de planificacin, que requiere la colaboracin entre los diversos grupos
de inters.

En esencia, la presente es una gua para la creacin de un CSIRT nacional en la ges-

tin de un proyecto. Est destinada especficamente a que el gerente de proyecto
la utilice como ayuda y referencia en todo el proceso de implementacin. Se di-
vide en tres secciones principales: planificacin, ejecucin y cierre, que describen
los principales objetivos y los resultados de cada fase y presentan materiales de
apoyo en el proceso. Sin embargo, como se muestra en cada captulo, los gerentes
de proyectos deben crear un equipo multidisciplinario para ayudar en todas las
partes del proceso en que se requiere especializacin.

Cada pas tiene una estructura poltica, una cultura, una geografa, un marco jur-
dico y recursos diferentes. En virtud de lo anterior, esta gua no pretende estable-
cerse como una plantilla definitiva, sino ms bien como un documento que pueda
adaptarse a las condiciones locales, cuando sea necesario.

8 9
 1
PLANIFICACIN
1 PLANIFICACIN

A B C D
 1
PLANIFICACIN
A Definicin

Qu es un CSIRT?
Tradicionalmente se define un CSIRT como un equipo o una entidad dentro de un
organismo que ofrece servicios y soporte a un grupo en particular 02 (comunidad ob-
jetivo) con la finalidad de prevenir, gestionar y responder a incidentes de seguridad
de la informacin. Estos equipos suelen estar conformados por especialistas multi-
disciplinarios que actan segn procedimientos y polticas predefinidas, de manera
que respondan, en forma rpida y efectiva, a incidentes de seguridad, adems de
coadyuvar a mitigar el riesgo de los ataques cibernticos.

Con el paso del tiempo, el concepto de CSIRT evolucion para lograr satisfacer el au-
mento de servicios requeridos por la comunidad. Los primeros equipos prestaban
servicios para responder a ataques e incidentes bsicos, pero ms recientemente
algunos CSIRT se han propuesto seguirles el paso a unos adversarios ms grandes
y ms nebulosos, ofreciendo asesoramiento en el anlisis de riesgos, los planes de
continuidad de negocio, el anlisis de malware y muchas otras reas. A la hora de
ampliar la oferta de servicios de un CSIRT, ENISA recomienda incluir el anlisis fo-
rense y la gestin de vulnerabilidades. Nuevamente, el nivel y el tipo de servicios
que se ofrecen sern diferentes en funcin de a quin servir el CSIRT y cules sern
sus mandatos.

Los equipos que surgieron principalmente para responder a incidentes han evolu-
cionado y ahora con frecuencia estn orientados a ser un modelo integral de ges-
tin de seguridad de la informacin. En efecto, mientras que el alcance de los CSIRT
se limitaba en gran medida a prestar servicios de respuesta, hoy en da cada vez
ms adoptan una postura proactiva. Se centran en la prevencin y en la deteccin
de incidentes, lo que logran por medio de una mezcla de habilidades y formacin
de la conciencia, alertas y monitoreo, as como de la difusin de informacin rela-
cionada con seguridad de la informacin, el desarrollo de planes de continuidad de
negocio, y el desarrollo de documentos de mejores prcticas y de anlisis de vulne-
rabilidades, entre otros.

12 A B C D 13

mbitos de actuacin de los CSIRT
Existen centenas de CSIRT en el mundo que varan en su
misin y en su alcance. Una de las maneras ms impor-
tantes de clasificar a los CSIRT es agruparlos por la comu-
nidad o por el sector al que le prestan servicios. A conti-
nuacin se presentan algunos de los principales tipos de
CSIRT que se encuentran operando:
CSIRT ACADMICOS
Estos equipos de respuesta atienden comuni-
dades acadmicas, universidades, facultades,
escuelas o institutos. Su tamao y sus instala-
ciones pueden variar en funcin de la comu-
nidad y frecuentemente anan esfuerzos con
otros CSIRT acadmicos y se pueden especiali-
zar en investigaciones.
CSIRT COMERCIALES
Por diversas razones, incluyendo limitaciones
de recursos humanos o muchas otras, algunas
empresas optan por externalizar los servicios de
CSIRT en lugar de internamente crear y gestio-
nar las funciones de respuesta a incidentes. Esto
ha dado lugar a un mercado robusto para CSIRT
comerciales, que ofrecen servicios pagos de res-
puesta a incidentes para clientes. La relacin en-
tre un CSIRT comercial y su cliente a menudo se
rige por acuerdos de nivel de servicio (SLA por
sus siglas en ingls), que son necesarios para
establecer lineamientos de respuesta a inciden-
tes y asegurar que la informacin se maneja de
acuerdo a las necesidades del cliente.
14 A B C D Definicin
CSIRT DE INFRAESTRUCTURAS CRTICAS
En algunos casos, hay CSIRT establecidos espe-
cficamente para la proteccin de los activos de
informacin crticos y la infraestructura crtica
de la nacin, sin importar si es operado por el
sector pblico o privado, o para la administra-
cin de transporte, la generacin de energa,
las comunicaciones u otros procesos. Dado que
las instituciones que dependen de este tipo de
CSIRT pueden pertenecer a ms de una comuni-
dad (por ejemplo, tanto militar como de infraes-
tructura crtica), es vital establecer protocolos
de interaccin con otros equipos involucrados.
CSIRT GUBERNAMENTALES
Los CSIRT gubernamentales sirven a las institu-
ciones del Estado con el fin de garantizar que la
infraestructura de TI del gobierno y los servicios
que les ofrecen a los ciudadanos tengan niveles
de seguridad adecuados. Los CSIRT guberna-
mentales adaptan sus estructuras al gobierno.
Pueden satisfacer las necesidades de las comu-
nidades de los gobiernos locales o regionales,
o comunidades especficas de los sectores. Los
CSIRT gubernamentales pueden funcionar de
manera independiente o interactuar para com-
binar estrategias y esfuerzos y compartir recur-
sos y conocimientos. Al interior de un pas, por
ejemplo, el Ministerio de Educacin y el Minis-
terio de Turismo podran operar CSIRT inde-
pendientes y tambin colaborar regularmente
y compartir informacin.
CSIRT NACIONALES
Adems de servir a una comunidad definida, el
CSIRT de un pas por lo general asume el pa-
pel de coordinador nacional de respuesta a in-
cidentes y es el punto de contacto03 para inci-
dentes nacionales e internacionales. La funcin
y la comunidad objetivo de un CSIRT nacional
vara en funcin de sus roles y de la existencia
de otros centros de respuesta. Por ejemplo, si
no hay un CSIRT designado para infraestructu-
ra crtica, el CSIRT nacional podra asumir res-
ponsabilidades normalmente asignadas a un
equipo de respuesta de infraestructura crtica.
Se puede considerar un CSIRT de ltimo re-
curso, o uno que se encarga de los asuntos de
respuesta a incidentes que no estn bajo la su-
pervisin de otra entidad04. Es muy comn que
varios CSIRT sean parte de la comunidad a la
que sirve el CSIRT nacional.
CSIRT DEL SECTOR MILITAR
Esos CSIRT proporcionan servicios a las insti-
tuciones militares de un pas. Sus actividades
se limitan generalmente a la defensa o a las
capacidades cibernticas ofensivas de una na-
cin. Adems de las tecnologas de respuesta
a incidentes normales, a menudo tienen cono-
cimiento especfico de las TIC para uso militar,
incluyendo, por ejemplo, armamento y siste-
mas de radares.
1
PLANIFICACIN
CSIRT DE PROVEEDORES
Son CSIRT que prestan servicios relacionados
con productos especficos de un fabricante,
desarrollador o proveedor de servicios. El pro-
psito de este tipo de CSIRT es mitigar el im-
pacto de las vulnerabilidades o problemas de
seguridad relacionados con sus productos. Los
ejemplos incluyen HP CSIRT (Hewlett Packard),
Banelco CSIRT (Banelco Bank), o Adobe PSIRT
(Adobe) entre otros.
CSIRT DEL SECTOR DE PEQUEAS
Y MEDIANAS EMPRESAS (PYME)
Su tamao y su naturaleza a menudo no les per-
miten a las PYME implementar equipos de res-
puesta a incidentes individuales. Por lo tanto, hay
una necesidad de crear CSIRT que entiendan y
respondan a las necesidades de esta comunidad
de negocios; por ejemplo, en Espaa se encuen-
tra el INTECO-CERT Corporation, que se centra en
ayudar a las PYME y a los ciudadanos.
15

El papel de un CSIRT nacional
Un CSIRT se compone de personas cuyo trabajo es preve-
nir y responder a incidentes de seguridad informtica. Por
supuesto, el nivel y el tipo de respuesta efectuada por un
CSIRT particular dependern de muchos factores.
Una analoga frecuentemente referenciada, propuesta
inicialmente por la Universidad Carnegie Mellon, pre-
senta una comparacin entre los CSIRT y un cuerpo de
bomberos. Segn lo explicado por el Manual de CSIRT de
CMU, de la misma manera que un equipo de bomberos
responde a una emergencia de incendio, un CSIRT debe
responder y gestionar la solucin a un incidente infor-
mtico. An ms, la analoga seala que adems de sus adems de la recepcin de la solicitud por parte del CSIRT
funciones de respuesta, los bomberos realizan activida-
des como educacin, anlisis de riesgos o promocin
de regulaciones, actividades preventivas que los CSIRT
tambin llevan a cabo. Por ltimo, los bomberos suelen
investigar cmo y por qu ocurri un incendio con el fin
de evitar que suceda de nuevo, que es una funcin rea-
lizada por casi todos los CSIRT, independientemente de
su clasificacin.
Como se mencion anteriormente, un CSIRT puede tener
diferentes formas de organizacin: puede ser una institu-
cin independiente, privada o pblica, un departamento
de otra organizacin o simplemente un grupo de perso-
nas distribuidas en diferentes organizaciones.
Cada CSIRT define cmo desarrollar sus actividades. Pue-
de que tenga que trasladarse a la escena de un incidente
16 A B C D Definicin
para realizar una respuesta, o de lo contrario puede su-
pervisar de forma remota la gestin de incidencias me-
diante la coordinacin con las partes interesadas.
Como se ha descrito anteriormente, un CSIRT nacional ac-
ta como punto de encuentro a nivel internacional de un
pas. Por ejemplo, si un CSIRT del pas A detecta un trfico
malicioso procedente de un banco en el pas B, le enviar
una comunicacin al CSIRT nacional del pas B, que lue-
go adelantara directamente las gestiones para abordar la
fuente del trfico malicioso y as resolver el problema. En
este ejemplo, tambin es importante tener en cuenta que,
nes que se vern afectadas de alguna manera por la im-
A, el CSIRT B coordinara el proceso de respuesta a inci-
dentes que debera realizarse en el interior de sus propias
partes interesadas. Estas son funciones de suma importan-
cia en un CSIRT nacional: actuar como punto de contacto
del pas a nivel internacional en materia de seguridad ciber-
ntica y coordinar y llevar a cabo actividades de respuesta a
incidentes de seguridad informtica a nivel nacional.
Al establecer un CSIRT, los funcionarios a menudo se cen-
tran nicamente en las capacidades de respuesta a inci-
dentes tcnicos en lugar de contemplar asuntos ms ge-
nerales de la organizacin. Para asegurar que se aborden
ambos objetivos principales de los CSIRT nacionales, una
parte importante de esta gua se dedica a la planificacin y
al desarrollo de un modelo para un CSIRT nacional.
1
PLANIFICACIN
Partes interesadas
Entrada Herramientas Salida
- Tormenta de ideas - Listado de partes interesa-
- Mapas mentales das y sus roles, su inters, el
- Equipo de proyecto
- Anlisis de partes soporte y la influencia en el
interesadas proyecto
Para planificar la creacin de un CSIRT nacional, el primer
paso que debe dar el equipo consiste en identificar a las
partes interesadas.
Como se explic anteriormente, el principal rol de un
CSIRT nacional es coordinar a las partes interesadas del
pas en actividades de respuesta a incidentes de ciberse-
guridad. Por este motivo, es fundamental que se identifi-
quen claramente quines son las partes interesadas.
Las partes interesadas son las personas o las organizacio-
plementacin de un CISRT nacional. Estas partes tendrn
diferentes niveles de inters en el proyecto, un determi-
nado rol en el ciclo de vida del CSIRT nacional y un deter-
minado nivel de poder sobre la ejecucin del proyecto y el
funcionamiento del CSIRT.
Una vez identificadas las partes interesadas, se pueden
clasificar segn su rol, su responsabilidad y su inters ha-
cia la iniciativa del CSIRT. Con esto se trazar una estrate-
gia para comprometerse con ellas y gestionarlas.
Aunque se puedan identificar otros, las principales partes Las partes interesadas son las personas o
interesadas05 en actividades de seguridad ciberntica son:
las organizaciones que se vern afectadas
de alguna manera por la implementacin
de un CISRT nacional.
17

Poder Ejecutivo del Estado
El gobierno participa como parte interesada en varios
papeles. Procesa informacin altamente sensible para el
pas: de sus ciudadanos y de los sectores de seguridad p-
blica (finanzas, defensa, salud y educacin, entre otros).
Debido a la importancia de la informacin que maneja, el
gobierno necesita mantener sus sistemas seguros y suele
ser el principal cliente de un CSIRT nacional ya que pue-
de ser vctima de un ataque que tendra consecuencias
potencialmente graves.
Igualmente, los gobiernos son responsables de la regula-
cin y de la generacin de leyes, normas y otras iniciati-
vas de importancia nacional. En este sentido, el gobierno
es un instrumento muy importante para las actividades
de regulacin para la prevencin de incidentes de segu-
ridad ciberntica. El gobierno tiene la responsabilidad de
determinar los niveles de riesgo aceptables en los secto-
res antes mencionados, incluyendo los relacionados con
incidentes informticos. As, el gobierno acta tanto a la
manera de un patrocinador como de un promotor CSIRT.
Poder Legislativo del Estado
Adems de ser un cliente en el sentido de que el CSIRT
nacional puede proteger sus redes y su informacin, la
legislatura crea leyes que promueven la seguridad de la
informacin, establece lmites para un CSIRT y es tambin
un socio estratgico clave.
Poder Judicial del Estado
Adems de fortalecer los aspectos legales de la criminali-
zacin de los delitos cibernticos, las instituciones judicia-
les proporcionan claridad en las reas de la ley que pue-
dan afectar a las operaciones del CSIRT. En este sentido, es
una parte interesada clave.
18 A B C D Definicin
Fuerzas del orden
Las fuerzas del orden deben garantizar que se implemen-
te la legislacin sobre delincuencia ciberntica en un pas.
La Polica realiza investigaciones sobre delitos cibernticos
y a menudo hace el enlace con un CSIRT nacional en este
sentido. Pueden proporcionar informacin valiosa sobre
actividad ciberntica maliciosa y cooperar con los organis-
mos policiales de otros pases. Los organismos encarga-
dos de hacer cumplir la ley a menudo cuentan con una
unidad de delito ciberntico especializado con los procedi-
mientos y las herramientas necesarias para obtener prue-
bas de ataques cibernticos.
Ministerio de Defensa
En muchos pases, el Ministerio de Defensa administra la
informacin valiosa o sensible del pas. Adems, supervi-
sa los asuntos de defensa ciberntica, lo que lo convierte
en un socio clave en las operaciones del CSIRT y la res-
puesta a incidentes.
Academia
La comunidad acadmica tiene mucho que aportarle a un
CSIRT. Por un lado, a menudo es el sector de facto que
encabeza los esfuerzos para el desarrollo de recursos hu-
manos y la capacitacin de jvenes en distintas facetas de
la informacin y seguridad informtica. Tambin puede
realizar investigaciones en las mismas reas. Es un socio
clave en todo el ciclo de vida de un CSIRT nacional.
Proveedores de servicios de Internet
Los Proveedores de Servicios de Internet (ISP por sus si-
glas en ingls) les permiten a los gobiernos, las empresas
y los ciudadanos conectarse y utilizar Internet. Como tales,
tienen una amplia gama de responsabilidades relaciona-
das con el uso de esta red y el alojamiento web. Son ac-
tivos crticos en el mantenimiento de la seguridad de la
informacin y la respuesta a los incidentes de seguridad
ciberntica. La cooperacin de los ISP es clave para el fun-
cionamiento del CSIRT, especialmente cuando se necesita
hacerles modificaciones a las redes de Internet, tener pla-
nes de contingencia o identificar amenazas y vulnerabili-
dades.
Sector privado
El sector privado participa desde dos puntos de vista.
Por un lado, estn las empresas privadas que operan en
sectores crticos para el Estado. Su compromiso tendra
consecuencias negativas para la economa, la seguridad
pblica o la seguridad nacional. Por otro lado, estn las
muchas empresas que fabrican y desarrollan tecnologas
utilizadas en TI y seguridad de la informacin. Las empre-
sas que operan infraestructuras crticas sern los clientes
clave, a menudo convirtindose en socios de confianza
con los que se coordinar estrechamente la respuesta a
incidentes. Mientras tanto, los fabricantes de tecnologa
colaboran en la formacin, el soporte, las actualizaciones y
los parches de vulnerabilidad. En ambos casos, es esencial
la interaccin con ellos.
Sector financiero
Se puede subdividir el sector financiero en varios subgru-
pos, entre ellos: bancos, bancos centrales (o reguladores),
casas de bolsa y de cambio. Cada uno de estos sectores
tiene requisitos particulares, como socios, clientes, e inclu-
so patrocinadores.
1
PLANIFICACIN
Sociedad civil
La sociedad civil incluye asociaciones profesionales, orga-
nizaciones sin nimo de lucro y grupos de usuarios, entre
otros. Estos grupos reunirn a perfiles especficos de tcni-
cos y profesionales y tambin proporcionarn formacin y
orientacin; y pueden ayudar con los esfuerzos de sensi-
bilizacin. A menudo son socios estratgicos influyentes.
Grupos especializados nacionales
e internacionales
Pueden existir grupos especializados como CSIRT particu-
lares o especficos a nivel local e internacional, en foros
internacionales, como el Foro de Equipos de Respuesta
a Incidentes y de Seguridad (FIRST), o en organizaciones
multilaterales que realizan actividades de seguridad ciber-
ntica, como la OEA.
Todos los interesados desempearn papeles ligeramen-
te diferentes en la creacin, el desarrollo y la operacin de
un CSIRT nacional. Se pueden agrupar ms o menos en
funcin de sus contribuciones:
Patrocinadores o promotores
Personas u organizaciones que promueven la existencia
de un CSIRT nacional y lo apoyarn poltica y econmica-
mente.
Clientes
Organizaciones que utilizarn los servicios del CSIRT
nacional.
Proveedores
Organizaciones que ofrecen productos o servicios al
CSIRT nacional, tales como herramientas, servicios profe-
sionales, formacin, etctera.
Socios estratgicos
Personal u organizaciones que son estratgicos para
el buen desarrollo del CSIRT. En general, estos aliados
ejecutan actividades de inters para el CSIRT que este no
puede realizar por s solo. Un ejemplo podra ser el mun-
do acadmico o los reguladores de sectores especficos.
19
 1
PLANIFICACIN
Influyentes

CLIENTES

PROVEEDORES

CIBERSEGURIDAD

PATROCINADORES O PROMOTORES

SOCIOS ESTRATGICOS

ACTORES INFLUYENTES

Es importante identificar el papel de cada parte interesada,
teniendo en cuenta que esto definir el modo en que un
CSIRT la involucrar. La relacin entre el CSIRT y cada uno de
sus grupos de inters ser diferente y por lo tanto implicar
un estilo distinto de interaccin. Por ejemplo, la colaboracin
con un ISP o con una fuerza del orden probablemente se
guiar por contratos o acuerdos oficiales. Las asociaciones
con instituciones de la sociedad civil o del gobierno, por
otro lado, pueden ser ms informales, aunque no menos
importantes.

20 A B C D Definicin 21
 1
PLANIFICACIN
ISP PRIVADO A ISPS ISPS ISP PRIVADO A
EMPRESA PRIVADA A MINISTERIO DE DEFENSA
ISP PBLICO ISP PBLICO
EMPRESA PRIVADA B MINISTERIO DE ECONOMA

ISP PRIVADO A MINISTERIO DEL INTERIOR EMPRESAS PRIVADAS PODER EJECTUTIVO

ISP PBLICO PARLAMENTO

EMPRESA PRIVADA A MINISTERIO DE DEFENSA
UNIVERSIDAD ESTATAL MINISTERIO DE ENERGA
EMPRESA PRIVADA B UNIVERSIDADES EMPRESAS PRIVADAS MINISTERIO DE ECONOMA
UNIVERSIDAD PRIVADA A BANCO CENTRAL
MINISTERIO DEL INTERIOR
... BANCO PRIVADO A
... BANCOS MINISTERIO DE ENERGA
BANCO PRIVADO B
UNIVERSIDAD ESTATAL
ISP PBLICO
CLIENTES UNIVERSIDAD PRIVADA A
ISP PRIVADO A
BANCO CENTRAL
EMPRESA DE ENERGA ELCTRICA
BANCO PRIVADO A
PROVEEDORES PROVEEDORES CLIENTES
BANCO PRIVADO B

CIBERSEGURIDAD CIBERSEGURIDAD

PATROCINADORES O PROMOTORES PATROCINADORES O PROMOTORES

SOCIOS ESTRATGICOS SOCIOS ESTRATGICOS

PODER EJECUTIVO
FISCALA ACTORES INFLUYENTES PODER EJECUTIVO

ISP PRIVADO A POLICA

ISP PBLICO MINISTERIO DE TECNOLOGA POLICA

PODER LEGISLATIVO
PODER LEGISLATIVO ACTORES INFLUYENTES MINISTERIO DE DEFENSA

POLICA
POLICA GRUPO DE USUARIOS LINUX FISCALA
FISCALA

FISCALA INVESTIGADORES DE LA UNIVERSIDAD MINISTERIO DE TECNOLOGA

GRUPO DE USUARIOS LINUX

INVESTIGADORES DE LA UNIVERSIDAD ISP PRIVADO A MINISTERIO DE DEFENSA
ISPs COMIT ACADMICO UNIVERSITARIO
COMIT ACADMICO UNIVERSITARIO ISP PBLICO
ASOCIACIN DE EMPRESAS DE TECNOLOGA
... ASOCIACIN DE EMPRESAS DE TECNOLOGA ...
...

...

a las partes interesadas
- agruparse de acuerdo con el papel que van a desempear.
yecto CSIRT deber conformar un pequeo equipo que re-
presente una variedad de intereses y de organizaciones. Lo
anterior asegurar que haya mltiples perspectivas y espe-
cializaciones en el proceso de seleccin y participacin de
los interesados. Si es posible, en un esfuerzo por preservar
la objetividad, debe haber al menos una persona del equipo
que sea ms neutral, o no necesariamente una parte de la
partes interesadas debe consistir en una sesin preliminar
de lluvia de ideas seguida de entrevistas informativas.
Como se explic anteriormente, los interesados pueden
El primer paso es hacer una lista de los diferentes grupos.
Se pueden utilizar mapas mentales como una herramienta
para ordenar esta informacin, lo que ayudar al equipo del
proyecto a visualizar la informacin fcilmente.
Los diagramas de abajo muestran la estructura inicial de un
- Estos grupos son socios estratgicos sin los cuales sera casi
cin de las partes interesadas.
- tiempo, son los destinatarios de servicios CSIRT ya que pue-
da a categorizar los actores nominados en cada grupo. den convertirse en vctimas de un incidente de seguridad
ciberntica o ataque ciberntico. Las agrupaciones pueden
El diagrama anterior muestra un ejemplo de un mapa dividirse a su vez en subgrupos, como se ve a continuacin:
mental en la mitad del proceso de organizacin.
Por ltimo, se generar una lista de las partes interesadas
Como se ve en el diagrama, una parte interesada puede ocu- y sus roles en un documento formal.
par varias funciones simultneamente. Esta situacin suele
presentarse tanto dentro del gobierno como en el sector Esta lista deber contener cada uno de los grupos involu-
privado, la academia y la sociedad civil. El ejemplo ms claro
de esto se observa en el interior de un ISP y el gobierno.
imposible establecer y operar un CSIRT nacional. Al mismo

22 A B C D 23
 1
PLANIFICACIN
Entrevistas con las partes interesadas

Una vez preparada la lista de los actores, roles y subgru-

pos, habr reuniones con cada uno de los subgrupos con
el fin de acercarse a ellos y entender mejor sus necesida-
des, lo que esperan del CSIRT nacional y en general cul es
su postura en cuanto a seguridad ciberntica. Las reunio-
nes individuales con cada subgrupo ofrecen un ambien-
te idneo para el intercambio de opiniones y permiten la
transparencia durante el proceso de creacin.

Durante estas entrevistas, es importante presentarles el

tema de los CSIRT a las partes interesadas, ya que muchos Siente que hay una necesidad
de ellos no tienen experiencia al respecto, sobre todo en de crear un CSIRT nacional?
funcin del pblico y el nivel general de desarrollo de la Por qu?
seguridad ciberntica dentro de un pas y del gobierno.
El director del proyecto y el equipo CSIRT deben preparar Cul debera ser el papel de
preguntas para ayudar a los interesados a establecer su un CSIRT nacional?
posicin, tales como:
Qu servicios debera
Despus de realizar las sesiones de discusin, el equipo
proporcionar un CSIRT
del proyecto podra distribuir un cuestionario para que las
nacional?
partes interesadas contribuyan.
Hay alguna rea en particular
de gobierno donde se deba
ubicar el CSIRT nacional?
Las reuniones individuales con cada
subgrupo ofrecen un ambiente idneo Cmo beneficiara
para el intercambio de opiniones y potencialmente un CSIRT
permiten la transparencia durante el nacional a su organizacin?
proceso de creacin. Para su organizacin, cmo
podra valorar el trabajar
con un CSIRT nacional? Se
regira la relacin por medio
La informacin se analizara despus de las discusiones de un contrato, Acuerdo
y la recogida de las encuestas, lo que le permitir al equi- de Confidencialidad (NDA),
po del proyecto crear un mapa ms robusto y claro de las Acuerdo de Nivel de Servicio
partes interesadas. Todo este proceso se podra repetir
(SLA), o algn otro medio?
para asegurar que todos los actores estn comprometi-
dos y el mapa de funciones y responsabilidades de las ins-
Su organizacin est
tituciones colaboradoras est completo y preciso.
dispuesta a cooperar
activamente con un CSIRT
nacional? Cules son los
lmites de la cooperacin?

Qu otras organizaciones
o individuos cree usted que
deberan participar?

24 A B C D Definicin 25
 1
PLANIFICACIN
Anlisis de las partes interesadas

Del anlisis de las partes interesadas en la implementa- INFLUENCIA

cin del CSIRT nacional, surgir una imagen que mostrar
el nivel de inters de cada actor en el proyecto y cmo
cada uno tiene la capacidad de influir en el desarrollo del
equipo de respuesta. Los resultados del anlisis produci-
rn directrices que describen la forma ms adecuada para
gestionar el proyecto y sus socios para obtener mejores
resultados.

Hay dos mtodos populares para la clasificacin. El pri-

ALTA INFLUENCIA
mero consiste en establecer una escala del nivel de apoyo
para el proyecto de la parte interesada, basado en las en- Mantenerlos satisfechos Gestionarlos de cerca
trevistas, por ejemplo, mediante la definicin de tres nive-
les simples de apoyo: se opone a la iniciativa; es neutral; o Los interesados solo deben mantenerse Los interesados con altos niveles de in-
apoya la iniciativa. satisfechos. Como no tienen mucho inters ters o de influencia deben mantenerse
en el proyecto, pueden sobrecargarse fcil- al tanto de todas las novedades y deben
El segundo mtodo consiste en establecer un mapa de mente si se les da demasiada informacin o participar de forma continua. Aunque este
cuadrantes en que la parte interesada en cuestin ser tareas. El equipo del proyecto CSIRT no pue- grupo de inters tenga una visin negativa
clasificada de acuerdo con el nivel de inters en el proyec- de exigirle demasiado a este grupo. del proyecto, debe ser gestionado de cer-
to y el nivel de influencia que tiene sobre este. ca debido a su capacidad para impedir el
trabajo del CSIRT.
Una vez que las partes interesadas se encuentran en sus
respectivos cuadrantes, habr un mapa claro de cmo
gestionar a cada uno con eficacia. En este punto hay un
mapa con los interesados identificados, su inters en el
proyecto, su actitud hacia dar apoyo a la iniciativa, ya sea
buena o mala, y su nivel de influencia. Las partes interesa-
das pueden ser gestionadas usando los diagramas prece-
dentes.06

BAJA INFLUENCIA
Una vez que el proceso de identificacin y anlisis de las
partes interesadas ha terminado, usted tendr una lista
Slo monitorearlos Mantenerlos informados
estructurada de todas las partes interesadas, de sus res-
pectivas funciones, niveles de inters en el proyecto, y su Las partes interesadas que tienen poco in- Las partes interesadas que tienen un gran
actitud hacia ella, as como cada una de sus capacidades ters y poca influencia en el proyecto solo inters en el proyecto, pero baja capaci-
para influir en el CSIRT. En ltima instancia, esta informa- deben ser monitoreadas. No hay mucho que dad de influencia, deben ser informados.
cin ser til para permitir que el equipo del proyecto ganar o perder por parte de este grupo, ya Al mismo tiempo, evitar darles responsa-
identifique las fuentes de asistencia, financiacin, aseso- sea positivo o negativo. bilidades crticas porque no tienen poder
ramiento o cualquier otro elemento beneficioso para el para influir materialmente. Sin embargo,
desarrollo del CSIRT. Al mismo tiempo, se revelarn los son aliados fiables.
potenciales clientes insatisfechos o instituciones que po-
dran complicar las actividades del CSIRT.

INTERS BAJO INTERS ALTO INTERS

26 A B C D Definicin 27
 1
PLANIFICACIN
Documento de constitucin

B Constitucin

Luego de identificar a las partes interesadas, el

equipo de proyecto deber generar la documentacin
necesaria para constituir el CSIRT nacional.
En esta seccin se crear un documento de
constitucin del CSIRT nacional, en el que se definirn
su misin, su visin, su marco institucional y su
marco legal.

Para crear un CSIRT es necesario definir el marco que El marco institucional de un CSIRT establecer su confi-
guiar y regir el funcionamiento del equipo. El marco guracin. Un CSIRT puede constituirse como una empresa
o documento de constitucin cubrir, entre otros, los si- independiente para proporcionar servicios en el mbito pri-
guientes aspectos:07 vado, como una unidad dentro de una organizacin pblica
o privada para prestar servicios internos o externos, o como
Entrada Herramientas Salida
La naturaleza y los objetivos del CSIRT. una organizacin en s misma que no depende de ningn
La comunidad objetivo (gobierno, sector privado, o grupo o entidad en particular. Esta gua se centrar en una
ambos). estructura organizativa para un CSIRT nacional.

Un CSIRT nacional debe identificar claramente su misin y Por ltimo, es probable que sea necesario un marco le-
- Documento de constitucin
- Mesas de trabajo su visin. Estos dos aspectos no solo servirn de gua a los gal para proteger el CSIRT y sus operaciones, teniendo en
- Equipo del proyecto - Misin y visin
moderadas que trabajan en el equipo, sino que servirn como referencia cuenta que un equipo de respuesta con responsabilidades a
- Documento de involucrados - Marco institucional
- Consultas a expertos a cualquier persona que reciba sus servicios o colabore con nivel nacional se ocupar de muchos temas sensibles, posi-
- Marco legal
l. En resumen, la misin y el objetivo son las razones por las blemente con implicaciones en la seguridad nacional, la eco-
cuales existe el CSIRT. noma macro, o la seguridad pblica. Esta gua presentar
y analizar los pros y los contras de varios tipos de marcos
legales para un CSIRT nacional.

28 A B C D Definition 29

Misin y objetivo
La misin explica por qu existe una organizacin. Ella debe
detallar, tanto para los actores internos como para los exter-
nos, lo que hace la organizacin, para quin y qu valores la
motivan08. Normalmente, no incluye el cmo logra lo que
se propone, ya que esto puede cambiar con el tiempo, y la
misin en s misma debe ser especfica, claramente definida
e invariable, por lo cual los verbos se usan generalmente en
infinitivo y en presente. En el contexto de un CSIRT nacional,
el objetivo de la organizacin debe ser concreto, explcito y
utilizar palabras claras.09
QU
En la descripcin de qu hace el equipo, se acostumbra a
utilizar trminos o frases como coordinar, promover re-
gulaciones, dirigir esfuerzos, proteger, prevenir o arti-
cular actividades como respuesta a incidentes, seguridad
ciberntica, sistemas de informacin o activos, etctera.
PARA QUIN
En la descripcin de para quin se realizan las activida-
des, los trminos utilizados a menudo son pas, estado,
gobierno y sector, entre otros.
VALORES
En cuanto a los valores que impulsan la misin, el motivo
debe declararse con claridad, por ejemplo mediante el
uso de trminos como desarrollo, bienestar, seguri-
dad o gestin de riesgos. Valores como la seguridad,
la confianza o la responsabilidad, entre otros, tambin se
pueden invocar.
A continuacin se presentan algunos
ejemplos de declaraciones de misin de
CSIRT en todo el continente americano.
30 A B C D Constitucin
Misin del National Cyber
Security and Communications
Integration Center Mission |
NCCIC, EE.UU.
Reducir la probabilidad y la gravedad de los
incidentes que puedan comprometer signi-
ficativamente la seguridad y la resiliencia de
las redes de tecnologa de la informacin y
las comunicaciones crticas de la nacin. Para
ejecutar su misin de manera efectiva, el NCCIC
se centrar en tres prioridades estratgicas
bsicas y objetivos operativos asociados. El NC-
CIC implementar esta estrategia mediante la
ampliacin y la consecucin de las capacidades,
los productos y los servicios que se requieran
para cumplir con cada una de sus priorida-
des estratgicas en los prximos cinco aos.
Muchas de estas actividades se coordinarn,
desarrollarn y ejecutarn en colaboracin con
los socios operativos de la NCCIC en beneficio
de toda la comunidad de interesados cibernti-
cos y de las comunicaciones.
Cabe sealar que cada una de las misiones esta-
blece claramente el objetivo principal del CSIRT y
a quin servir. Ms tarde, esta declaracin de la
misin se utilizar como referencia para expre-
sar el alcance del CSIRT nacional en detalle.
Misin del ColCERT | Colombia
El Grupo de Respuesta a Emergencias Ciber-
nticas de Colombia (ColCERT) tendr como
responsabilidad central la coordinacin de la
ciberseguridad y de la ciberdefensa nacional,
las cuales estarn enmarcadas dentro del
Proceso Misional de Gestin de la Seguridad
y Defensa del Ministerio de Defensa Nacional.
Su propsito principal ser la coordinacin de
las acciones necesarias para la proteccin de
la infraestructura crtica del Estado colombia-
no frente a emergencias de ciberseguridad
que atenten o comprometan la seguridad y la
defensa nacional.
1
PLANIFICACIN
Misin del VenCERT | Venezuela
La misin asignada al VenCERT para contribuir
al objetivo general de Sistema Nacional de
Seguridad de la Informacin se puede detallar
en los siguientes puntos:
Prevencin, deteccin y gestin de los
incidentes que afectan los Sistemas de Infor-
macin del Estado y entidades gestoras de
infraestructuras crticas de la nacin.
Punto principal de coordinacin nacional de
otros centros de gestin de incidentes en el
pas y en el extranjero.
Asesoramiento, apoyo y formacin en
materia de seguridad a los diferentes res-
ponsables de TIC en organismos del Estado
o de entidades gestoras de la gestin de
infraestructuras crticas nacionales.
Coordinacin de iniciativas pblicas o priva-
das relativas a seguridad de las TIC en el Es-
tado, materializadas por medio de proyectos
de I+D, formacin y sensibilizacin, elabora-
cin de polticas, normas o guas, tanto para
beneficio de la comunidad (gestores de IC del
Estado y nacionales) como para la mejora de
los servicios prestados en el VenCERT.
El VenCERT se erige, por tanto, como el CERT
gubernamental venezolano, y su principal ob-
jetivo es la prevencin, la deteccin y la gestin
de los incidentes generados en los sistemas de
informacin de toda la Administracin Pblica
Nacional y sectores pblicos a cargo de la ges-
tin de infraestructuras crticas de la nacin.
Misin del CERTuy | Uruguay
Proteger los activos de informacin crti-
cos del Estado y promover la conciencia
en seguridad de la informacin de mane-
ra que prevenga y responda a incidentes
de seguridad.
31

Visin
La visin establece la direccin, en el largo plazo, que
tomar la organizacin y cmo espera ser vista por los
externos, sean clientes, pares o sponsors. Se refiere a la
reputacin de la organizacin y su propsito en el futuro.
La visin establece la ruta que tomar la organizacin a
largo plazo y sirve para guiar las decisiones estratgicas.10
Bill Gates expuso una de las ms famosas visiones TIC de
todos los tiempos, que se caracteriza por su claridad, su
brevedad y la ambicin: Una computadora personal en
cada escritorio.
Visin del VenCERT | Venezuela
Los servicios del VenCERT permitirn proteger
y garantizar la defensa y la seguridad de la
nacin, as como la suprema vigilancia de los
intereses generales de la Repblica, la conser-
vacin de la paz pblica y la recta aplicacin de
la ley en todo el territorio nacional, conforme
a las competencias establecidas en la Constitu-
cin de la Repblica Bolivariana de Venezuela,
para el Poder Pblico Nacional.
CERTuy Vision | Uruguay
Ser un centro de respuesta a incidentes en
seguridad informtica confiable y un referente
a nivel nacional y regional.
32 A B C D Constitucin
La visin est estrechamente relacionada con la cultura de
cada nacin, y el CSIRT puede incorporar ciertos rasgos de
un pas, como la reputacin, la eficiencia, la fiabilidad, la
eficacia, la rendicin de cuentas y la innovacin. Sin em-
bargo, la visin es importante, no solo para los actores
externos, sino tambin para las operaciones reales de un
CSIRT u organizacin, ya que establecer los valores de la
organizacin11. La visin de una organizacin no debera
cambiar con el tiempo.
Estos son ejemplos de visiones de algunos de los CSIRT
nacionales en la regin.
NCCIC | USA Vision
La visin del NCCIC es una infraestructura ciber-
ntica y de comunicaciones segura y resistente
que apoya la seguridad nacional, una economa
vibrante y la salud y la seguridad del pueblo
estadounidense. En el esfuerzo para lograr esta
visin, el NCCIC har lo siguiente:
Se centrar en la coordinacin proactiva de
la prevencin y la mitigacin de las amenazas
cibernticas y de telecomunicaciones que
representan el mayor riesgo para la nacin.
Buscar la integracin operativa de todo el
pas mediante al abordaje y la profundiza-
cin de la participacin de sus socios para
gestionar las amenazas, las vulnerabilidades
y los incidentes.
Romper las barreras tecnolgicas e ins-
titucionales que impiden el intercambio cola-
borativo de informacin, conocimiento de la
situacin y la comprensin de las amenazas
y de su impacto.
Mantendr una disposicin constante para
responder de inmediato y de manera eficaz a
todos los incidentes cibernticos y de telecomu-
nicaciones que afecten la seguridad nacional.
Servir a las partes interesadas como un
centro nacional de excelencia y experiencia
en materia de seguridad ciberntica y de
telecomunicaciones.
Proteger la privacidad y los derechos cons-
titucionales del pueblo norteamericano en la
realizacin de su misin.
1
PLANIFICACIN
Metodologa propuesta para la definicin de la misin y la visin
Dado que la misin y la visin definen la perspectiva del
CSIRT en el mediano y largo plazo, es importante que estas
partes del plan del CSIRT cuenten con el apoyo de buena par-
te, sino con el total, de los grupos de inters identificados en Cul considera usted que es
el captulo anterior. En este sentido, es til formar un grupo
el propsito principal de un
de trabajo compuesto por una pluralidad de partes interesa-
CSIRT nacional?
das para determinar estos dos componentes crticos de un
plan de CSIRT. Los delegados del grupo de trabajo deben ser
Qu necesidades cubrira?
designados por su alta direccin para asegurar que los pro-
ductos finales tienen la autoridad y la aprobacin oficial de
A quines debera darles
las instituciones participantes. Al mismo tiempo, el nmero
de representantes que componen el equipo de redaccin
servicio?
debe ser lo suficientemente pequeo para que el progreso
sea eficiente y que participen solo aquellos con el mayor in-
Qu tipo de servicios
ters e influencia en el proyecto. ofrecer?
Una vez que se elabora una lista adecuada de partes inte- Qu consideraciones
resadas, se deben establecer varios grupos de trabajo para restringiran sus
trabajar de forma independiente en la misin y en la visin. operaciones?
Una persona actuar como moderador, y una variedad de
preguntas ayudar a los asistentes a lo largo de la discusin. Qu metas o factores de
xito deben considerarse
Al igual que en la redaccin de la misin, para la creacin para el CSIRT nacional?
de la visin, los moderadores pueden plantear preguntas
para guiar a los delegados.
Despus de recoger las opiniones de los participantes, el
moderador ayudar con la redaccin para finalizar declara-
ciones claras y concisas. Una vez completado este paso, los
resultados deben ser distribuidos a un grupo ms amplio Cmo espera que sus
de partes interesadas. Tambin es importante documen- clientes/la comunidad vean al
tar el proceso y asegurar que se tomen las actas en todas CSIRT nacional?
las reuniones que indiquen claramente cmo se llevaron a
cabo las actividades y quines participaron en ellas. Qu valores espera que este
inspire?
En qu sentido ayudar a
Los delegados del grupo de trabajo deben mejorar la calidad de vida
ser designados por su alta direccin para de las personas? Por qu?
asegurar que los productos finales tienen Cmo?
la autoridad y la aprobacin oficial de las
Cmo se adaptar el
instituciones participantes. CISRT nacional a los
cambios de tecnologa y de
administracin?
Una vez terminado, se utilizarn la misin y la visin du-
rante el ciclo de vida del CSIRT nacional. Cmo conseguir destacarse
en su entorno?
33

Marco institucional
El marco institucional del CSIRT nacional es clave para
su creacin y su funcionamiento a lo largo de su ciclo de
vida. Como se indic anteriormente, se pueden configu-
rar CSIRT nacionales de diferentes maneras, pero tendrn
rasgos en comn. Es importante que el pas adopte una
estructura CSIRT que se ajuste a sus realidades legales,
polticas y culturales.
El marco institucional de un CSIRT nacional establecer las
directrices para las siguientes consideraciones:
34 A B C D Constitucin
Responsabilidades
Autoridad
Interaccin con los interesados
Recursos financieros
Recursos humanos
Infraestructura
Resiliencia
Un CSIRT nacional con una funcin de coordinacin debe
estar ubicado en una oficina u organismo que tiene con-
tacto e influencia con una gama de partes interesadas. De
lo contrario, ser difcil de ejecutar y comunicar el trabajo
del equipo de respuesta. Al igual que con la mayora de las
cosas que se describen en esta gua, la ubicacin del CSIRT
depender de la estructura de su gobierno. En Amrica
Latina, los CSIRT se encuentran en una variedad de ins-
tituciones. En Brasil, Panam y Uruguay, por ejemplo, los
equipos estn en los rganos ejecutivos bajo la Presiden-
cia. En Colombia y en Per, los Ministerios de Defensa y de
Seguridad manejan la respuesta nacional a incidentes. Sin
embargo, en otros pases como Paraguay, el CSIRT opera
desde el Ministerio de Tecnologa. Que un equipo forme
parte del gobierno no debe, de ninguna manera, impe-
dirle el intercambio de informacin y de estrategias con
el sector privado y con otros actores. De hecho, muchos
CSIRT forman comits o juntas directivas compuestas por
selectos actores que debaten y discuten las decisiones
clave que enfrenta el equipo de respuesta. Mientras que
algunos CSIRT aceptan las decisiones de sus comits como
obligatorias, otros los utilizan simplemente como un foro
para el debate y la colaboracin, y la decisin final la tiene
en ltima instancia el equipo.
Un aspecto a menudo pasado por alto a la hora de esta-
blecer un CSIRT es la financiacin. Parece obvio, pero un
equipo nacional de respuesta a incidentes sin una fuente
constante de financiacin no podr funcionar ms all del
corto plazo. Por esta razn, mientras que asegurar finan-
ciacin semilla o inicial es fundamental, el equipo del pro-
yecto debe tambin hacer proyecciones de cunto dinero
ser necesario, despus de asegurados los costos inicia-
les, para financiar el sostenimiento del equipo12.
1
PLANIFICACIN
Metodologa para la creacin del marco institucional
Una vez establecidos los grupos de inters, la misin y la
visin, el equipo del proyecto debe identificar dnde se es-
tablecer el CSIRT nacional. El equipo debe estar ubicado
en una institucin que
tenga la capacidad de establecer o influenciar polticas
relacionadas con seguridad de las TIC a nivel nacional;
resida lo suficientemente cerca de los ms altos niveles
de gobierno para que pueda contar con su apoyo cuan-
do sea necesario;
sea capaz de obtener financiacin;
tenga jurisdiccin y autonoma apropiada cuando sea
necesario.
Debido al carcter transversal de los temas con los que
trabaja un CSIRT, se formar un grupo multidisciplinario
para determinar dnde se ubicar el CSIRT. Debe estar
compuesto de expertos en:
Seguridad informtica y respuesta a incidentes.
Polticas pblicas en tecnologa y telecomunicaciones.
Seguridad y defensa nacional.
Ley pblica.
Marco legal.
En funcin de las instituciones gubernamentales del pas,
el equipo del proyecto debe recomendar:
Si el CSIRT ser una organizacin independiente, cuyo
nico propsito es ser un CSIRT nacional, o una divisin
dentro de otra organizacin.
Si el CSIRT ser exclusivamente una organizacin esta-
tal o incluir la participacin del sector privado, la aca-
demia o la sociedad civil.
Si hay participacin de terceros, exactamente cmo se
llevar a cabo y cul ser el modelo de negocio asociado.
Cmo se ver la estructura de financiacin de la orga-
nizacin y cmo se asegurar?
Cmo se formar el comit de direccin/coordinacin
y qu facultades tendr?
Igual que con otros procesos, las discusiones deben ser
anotadas con el fin de promover la transparencia y au-
mentar el apoyo de los grupos de inters. Las recomenda-
ciones finales acordadas por este grupo de trabajo, junto
con la misin y la visin, se unificarn en un solo docu-
mento, que luego ser revisado por expertos legales para Debido al carcter transversal de los
establecer su aplicacin.
temas con los que trabaja un CSIRT, se
formar un grupo multidisciplinario para
determinar dnde se ubicar el CSIRT.
35
 1
PLANIFICACIN
Marco legal

Por ltimo, es muy importante definir la autoridad legal bajo

el cual se establecer el CSIRT nacional. Debe conformarse
de acuerdo con las normas legales del pas en cuestin y Los siguientes son ejemplos de CSIRT | Panama
debe garantizar la implementacin. Si no se ha adoptado diferentes marcos legales que
correctamente, un marco legal deficiente puede conducir a institucionalizan a los CSIRT en la regin. Decreto Ejecutivo No. 709
juicios o complicaciones en la respuesta a incidentes ciber- de 26 de septiembre 2011
nticos. Por esto es tan importante que la misin, la visin y
el marco institucional sean evaluados por expertos legales,
ya sea del gobierno, de la academia o de ambos, especfica-
mente para responder a las siguientes preguntas.

ColCERT | Colombia

Colombia: Documento CONPES 3701

Es aceptable el CSIRT desde

el punto de vista legal? Se
contradice alguna ley o
permite que haya vacos
legales que puedan ser
explotados y tengan un efecto
negativo en el equipo de
respuesta y sus deberes?

Qu instrumento se utilizar
para el marco institucional?
Legislacin, decretos o
resoluciones?

Puede el CSIRT emplear

todas las medidas
legales para garantizar la
financiacin?
CERTuy | Uruguay
Cmo se contratarn los
recursos humanos? Ley 18.719 ao 2008.
Decreto poder ejecutivo 451, ao 2009

Las conclusiones del anlisis jurdico deben aparecer

como un apndice o un anexo al documento de estableci-
miento del CSIRT.

ICIC CERT | Argentina

Resolucin de Jefatura
de Gabinete de Ministros 580/2011

36 A B C D Constitucin 37
 1
PLANIFICACIN
Comunidad objetivo

C Alcance La comunidad objetivo CSIRT es el grupo de personas o

entidades que recibirn los servicios por parte del equipo,
es decir, los clientes.

El CSIRT debe definir claramente cul es su pblico obje-

Una vez que se establecen la misin, la visin y
los marcos institucionales y legales del CSIRT, es
importante definir su mbito de aplicacin, en
concreto mediante la determinacin de los servicios
que se prestarn y a quin(es).
El alcance ser determinado por las necesidades
tivo, incluyendo si los diferentes miembros de la comu-
nidad recibirn diferentes niveles de servicio o no. Esto
puede variar dependiendo de si la criticidad de los siste-
mas o infraestructuras es administrada y operada por un
miembro particular de la comunidad, o si un CSIRT exis-
tente ya le presta servicio a una determinada entidad. Por
ejemplo, las instituciones militares a menudo supervisan
sus propias redes y pueden no requerir los servicios de un
CSIRT nacional. Por tanto, es crucial que un CSIRT determi-
ne para quin trabaja, qu otros equipos participan y en
qu medida sirve a la comunidad. La comunidad objetivo
puede incluir otros CSIRT, ISP, operadores de centros de
datos y otros actores cuya confianza y cooperacin ser
de suma importancia para un resultado exitoso.

de recursos humanos, capacitacin tcnica,

infraestructura, herramientas y presupuesto.

Entrada Herramientas Salida

BANK

- Anlisis de requerimientos
- Documento de constitucin
de servicios - Comunidad objetivo
- Misin
- Consulta a expertos - Definicin de servicios
- Visin
- Anlisis de recursos

38 A B C D Definition 39

Modelos de autoridad con la comunidad objetivo
Varios modelos de autoridad vinculan el CSIRT con su comu-
- con su misin, la comunidad objetivo y el conocimiento,
ciones del CSIRT cuando se enfrenta a un incidente ocurrido
en su comunidad.
Hay cuatro tipos de autoridad comunes que un CSIRT puede
ejercer sobre su comunidad:13
Autoridad completa
El CSIRT tiene autoridad para realizar todas
las acciones necesarias inherentes a la ges-
tin de un incidente, y los miembros de la
comunidad estn obligados a implantar las
medidas propuestas por el CSIRT.
Autoridad nula
El CSIRT no tiene autoridad sobre la toma
de decisiones frente a incidentes. Provee
asesoramiento, informacin y experien-
cia, pero las decisiones son tomadas por
los afectados.
40 A B C D Alcance
1
PLANIFICACIN
Servicios
Los servicios de un CSIRT estn fuertemente relacionados
las habilidades y las capacidades de los recursos humanos Servicios proactivos
a su disposicin.
Estos servicios pueden ser proporcionados en su totalidad Servicios
por personal de CSIRT, con la asistencia de las partes inte- de monitoreo y alertas
resadas, o por medio de otros actores con los que el CSIRT Monitoreo externo.
tiene acuerdos, como empresas de software o hardware. Monitoreo interno.
En cada caso, el CSIRT debe evaluar la mejor manera de Desarrollo de herramientas
ofrecer el servicio en una situacin dada, dependiendo de de seguridad.
la disponibilidad de recursos y de la especializacin. Reportes y alertas de
seguridad
Servicios de investigacin
y desarrollo
En cada caso, el CSIRT debe evaluar la Auditoras de seguridad.
mejor manera de ofrecer el servicio en Escaneo de vulnerabilidades.
Escaneo de artefactos
una situacin dada, dependiendo de maliciosos.
la disponibilidad de recursos y de la Monitoreo de tecnologa.
Anlisis de artefactos.
especializacin. Anlisis forense.
Autoridad compartida
La toma de decisiones frente un inciden-
te es conjunta entre los miembros de la Los servicios prestados por el CSIRT suelen agruparse en
comunidad afectada. El CSIRT apoya a los tres tipos: servicios reactivos, servicios proactivos y servi- Servicios reactivos
actores involucrados en un incidente y cola- cios de valor agregado.14
bora con los equipos y con experticia. Gestin de incidentes
Anlisis post mortem
Asistencia en el sitio
Respuesta a vulnerabilidades
Respuesta a artefactos maliciosos
Servicios de valor agregado
Autoridad indirecta
Capacitacin y educacin
El CSIRT no tiene autoridad sobre la comu-
nidad, sin embargo, puede ejercer presin Concientizacin
indirecta sobre ella. Por ejemplo, por me- Anlisis de riesgos y
dio de entes reguladores, o de otras orga- continuidad de negocio
nizaciones con las que el CSIRT haya esta-
Apoyo a emprendimientos de
seguridad
41

Servicios reactivos
Los servicios reactivos son los servicios ms importantes
que ofrece un CSIRT. En esencia, los servicios reactivos
responden a los incidentes de seguridad ciberntica que
ocurren en la comunidad del CSIRT o en su propia infraes-
tructura. Se puede brindar una respuesta derivada de una
solicitud de asistencia. Los principales tipos de servicios
reactivos son la gestin de incidentes, la respuesta de la
vulnerabilidad y la respuesta a artefactos.
Gestin de incidentes
El servicio de gestin de incidentes se compone de varias
fases: la notificacin y la recepcin de un incidente, clasifica-
cin o triage, respuesta, anlisis y resolucin. El CSIRT debe
primero determinar el tipo, el impacto potencial y la grave-
dad de un incidente, seguido de cerca por la designacin
de un equipo de respuesta que disee un plan de accin
que restaurar los servicios o los sistemas a su funciona-
miento normal o que mitigar el impacto de un evento de
seguridad ciberntica. En ciertos casos, esto requerir que
el personal del CSIRT visite el sitio del evento de seguridad.
Muchos actores suelen participar en respuestas a inci-
dentes cibernticos, incluyendo pero no limitado a los ISP,
otros CSIRT, proveedores de tecnologa, agencias del orden
pblico, actores internacionales, equipos legales, departa-
mentos de prensa y diferentes reas de una organizacin
afectada. El CSIRT coordina las actividades de respuesta y
las comunicaciones de los distintos grupos de inters para
optimizar esfuerzos y reducir los tiempos de resolucin de
incidentes. Para lograr esto, el CSIRT debe conocer las ne-
cesidades y los requerimientos de cada una de las partes
interesadas con el fin de gestionar positivamente la interac-
cin entre ellos.
42 A B C D Alcance
Respuesta a vulnerabilidades
Esto comprende una variedad de procesos de gestin de
vulnerabilidades, incluyendo parches, la aplicacin de con-
tramedidas y otras estrategias de mitigacin. A medida que
estn disponibles nuevos parches para las vulnerabilidades
detectadas, el CSIRT debe notificar a todas las partes inte-
resadas y distribuir parches o describir las tcnicas para la
aplicacin de contramedidas, mientras coordina y confirma
que se estn tomando las medidas adecuadas.
Respuesta a artefactos maliciosos
Un artefacto malicioso es un archivo o un objeto en un
sistema que est involucrado en un ataque a una red o sis-
tema, o se utiliza para evadir los controles de seguridad o
medidas. La gestin de los artefactos maliciosos requiere
extraerlos de un sistema afectado o informar a las partes
interesadas sobre cmo hacer la gestin.
Servicios proactivos
Estos servicios tienen como objetivo mejorar los procesos
de infraestructura y de seguridad de la comunidad obje-
tivo para prevenir incidentes de seguridad o reducir su
impacto cuando se producen. Los principales tipos de ser-
vicios proactivos consisten en la realizacin del seguimien-
to, la distribucin de alertas y el ofrecimiento de servicios
de investigacin y desarrollo.
Servicios proactivos
1 Primer nivel
Uno de los servicios ms bsicos que ofrece un CSIRT es el
monitoreo y las alertas, implica la implementacin de siste-
mas que ayudan a detectar eventos de seguridad, realizan
correlacin de eventos, producen informes automatizados
y escanean en bsqueda de vulnerabilidades en la comu-
nidad objetivo. Para llevar a cabo estas funciones, el CSIRT
puede desarrollar sus propias soluciones internas o emplear
herramientas y sensores comerciales de fuente abierta o de
terceros. La informacin producida por las iniciativas de mo-
nitoreo y alerta impulsar la toma de decisiones estratgicas
y mejorar los procesos de respuesta a incidentes.
2 Segundo nivel
Un CSIRT ms desarrollado ofrecer servicios de vigilancia y seguridad y evaluaciones en sus propios sistemas o en
de alerta ms avanzados. Estos hacen un seguimiento a los
sistemas y a las infraestructuras de la comunidad objetivo en
mucha ms profundidad, pero por lo general proporcionan
el mismo tipo de alertas y correlacin de incidentes, como el
monitoreo y alerta de primer nivel. Un seguimiento ms de
cerca de los sistemas de cliente permite la deteccin tem-
prana de eventos de seguridad, vulnerabilidades o artefac-
tos maliciosos. Para llevar a cabo este tipo de monitoreo en
profundidad, en general se requiere de la interconexin del
sistema o la instalacin de sensores de seguridad en la in-
fraestructura de la comunidad.
1
PLANIFICACIN
Investigacin y desarrollo
1 Primer nivel
Estos servicios les permiten al CSIRT y a su comunidad man-
tenerse al tanto de los avances en el campo de la seguridad
de la informacin y de la respuesta a incidentes. En concre-
to, se les permitir estar al da sobre las alertas, las ame-
nazas en evolucin, los vectores de ataque que emergen,
las mejores prcticas y nuevas normas en los servicios, as
como sobre el mantenimiento y la operacin de dispositi-
vos, las estrategias de defensa y varios otros temas.
2 Segundo nivel
A medida que madura un CSIRT, va desarrollando capa-
cidades ms robustas de I+D. Con la informacin que
recopila y genera, el CSIRT puede realizar auditoras de
los de la comunidad objetivo. Esto puede incluir el anli-
sis de la infraestructura o la aplicacin, la revisin de las
polticas de seguridad, el anlisis de vulnerabilidades, las
pruebas de penetracin y el cumplimiento de los estn-
dares o normas internacionales.
A medida que la tecnologa evoluciona, las amenazas y las
vulnerabilidades cambian. El CSIRT debe poder detectar
amenazas o vulnerabilidades emergentes inherentes a las
nuevas tecnologas y distribuir informacin relevante que
pueda mejorar los niveles de seguridad.
3 Tercer nivel
Los CSIRT ms avanzados continuarn desarrollando las ca-
pacidades de I+D, por ejemplo, el anlisis de los cdigos mali-
ciosos, a fin de poder determinar la naturaleza, el comporta-
miento y el propsito de un artefacto especfico.
43
 1
PLANIFICACIN
Servicios de valor agregado

Estos servicios complementan los avisos de monitoreo y

alerta emitidos por el CSIRT. En general, los servicios de
valor agregado consisten en eventos y cursos de forma-
cin en seguridad, iniciativas de sensibilizacin, anlisis
de competencias y laboratorios de seguridad. Mediante
la realizacin de este tipo de eventos, el CSIRT tambin
genera confianza dentro de la comunidad y crea concien-
cia del propsito y la funcin del equipo de respuesta, lo
que le permite operar con mayor eficacia. Uno de los as-
pectos ms importantes de las actividades de capacitacin
eficientes es identificar las carencias y las necesidades de
D Organizacin y RRHH
informacin de la comunidad objetivo. Gran parte de esto
se conocer en la actividad normal cotidiana del CSIRT y
en la interaccin con sus clientes.

Para situar el marco institucional en la prctica

y llevar a cabo los servicios requeridos por la
comunidad objetivo, el CSIRT necesita una estructura
organizativa definida, incluyendo funciones y
Evolucin de los servicios de un CSIRT responsabilidades detalladas de su personal.

Los servicios ofrecidos por un CSIRT dependern de su ta-

mao, infraestructura, recursos y de las capacidades de
los miembros de su equipo. Se pueden dividir en bsicos,
intermedios y avanzados, y es probable que crezcan a me-
dida que el equipo madure con el tiempo.

Servicios avanzados

Servicios bsicos
Servicios intermedios
Servicios intermedios +
Evolucin a SOC de
servicios de monitoreo y
Servicios bsicos alertas.
Servicios bsicos + Evolucin a laboratorio
de investigacin y Entrada Herramientas Salida
Monitoreo y alertas desarrollo.
Gestin de incidentes. (segundo nivel). Incorporacin de
Respuesta a Investigacin y servicios de investigacin
vulnerabilidades. desarrollo y desarrollo de tercer
Respuesta a artefactos. (segundo nivel). nivel. - Misin - Anlisis de estructuras
Monitoreo y alerta - Visin de CSIRT - Organigrama
(primer nivel). - Comunidad objetivo - Recursos materiales - RRHH
- Servicios disponibles
Investigacin y
desarrollo
(primer nivel).

44 A B C D Alcance 45

Estructuras organizacionales
Existen cuatro estructuras CSIRT principales15 16:
Equipo de seguridad
localizada
Esta es la estructura CSIRT menos formal. La teora
que sustenta el equipo de seguridad sencillo es
que los eventos de seguridad se resuelven con el
personal existente en las organizaciones. Los miem-
bros del equipo de seguridad no son necesariamen-
te especialistas en respuesta a incidentes o seguri-
dad de la informacin; pueden ser administradores
de sistemas, bases de datos o tienen conocimientos
especializados en los diversos componentes o pro-
ductos que intervienen en los sistemas de TI como
cortafuegos y routers, entre otros. En la mayora de
los casos, el equipo de seguridad no tendr todos los
conocimientos y la experiencia necesaria para llevar
a cabo operaciones de seguridad slidas. Por ejem-
plo, puede resolver un incidente, mas no determinar
su causa, y as deja a la organizacin expuesta a ser
explotada de nuevo. La naturaleza de un equipo
de seguridad por lo general impide la aplicacin de
mejores prcticas, investigacin y desarrollo, moni-
toreo y actividades de alerta de seguridad.
Equipo de respuesta a
incidentes centralizado
En esta estructura hay un solo equipo responsable de
la gestin y respuesta de incidentes de seguridad por
medio de una serie de ubicaciones que pertenecen
a una organizacin ms grande. Este modelo sera
apropiado, por ejemplo, en una empresa. Esta estruc-
tura es apropiada para organizaciones cuya infraes-
tructura de TI no est dispersa geogrficamente.
En estas estructuras, hay un equipo de respuesta defi-
nido con personal dedicado y capacitado en el manejo
de seguridad de la informacin y la respuesta a inci-
dentes de seguridad. Estos equipos interactan con
especialistas en los productos o servicios.
46 A B C D Organizacin y RRHH
Equipos de respuesta
a incidentes distribuidos
Grandes organizaciones con infraestructuras de TI
distribuidas geogrficamente o varias unidades de
negocios en particular a menudo adoptan estructu-
ras de respuesta a incidentes distribuidos. Estos se
componen de un centro de respuesta integral dividi-
do en varios equipos, uno de los cuales coordina las
actividades de los dems. Las funciones de respuesta
a incidentes se dividen segn el rea de conocimien-
to de cada equipo, en funcin de la ubicacin geogr-
fica donde se producen los incidentes, o en funcin
del sector de la comunidad objetivo afectado.
El papel del equipo de coordinacin es esencial para
garantizar unos procedimientos de respuesta efecti-
vos y estandarizados, mantener estadsticas de inci-
dentes, aumentar la sinergia y promover el trabajo
colaborativo por medio del intercambio de las mejo-
res prcticas y lecciones aprendidas y cmo asignar
adecuadamente los recursos de seguridad.
Otra de las funciones vitales del equipo coordina-
dor es facilitar la interaccin y la cooperacin entre
los equipos.
1
PLANIFICACIN
Tamao de la
organizacin
La estructura organizativa de un CSIRT, como cual-
quier organizacin, depende precisamente de lo
que har y cmo pretende lograr sus objetivos. Al-
gunas de las preguntas que deber responder el ge-
rente de proyecto del CSIRT para determinar cmo
se organizar el equipo son:
Equipo
coordinador
Este modelo es similar al modelo de equipos de
respuesta distribuidos, pero a nivel de centros de Qu servicios quiero ofrecer
respuesta. La diferencia es que el coordinador de y en qu momentos?
centro de respuesta no necesariamente tiene que
intervenir en las gestiones de otros equipos coor- Qu tan grande es la
dinados. comunidad objetivo?
Este tipo de modelo surge de la necesidad de los Cul es la distribucin
centros de respuesta de interactuar de forma coor-
geogrfica de mi comunidad
dinada para lograr un objetivo comn, o generar si-
objetivo?
nergias entre los centros de sectores similares o re-
giones, empresas o agencias de un mismo gobierno.
Su principal funcin es la de coordinar la eficacia
de la respuesta y la interaccin mediante la coor-
dinacin de gestiones y colaboracin, proporcionar El lugar donde est ubicado el CSIRT tambin ser
anlisis de incidentes y de vulnerabilidades, boleti- determinante en la forma en que se estructurar.
nes de noticias, estadsticas y documentacin de las Asimismo, vale la pena mencionar que su modelo
mejores prcticas, entre otras. organizativo, junto con los servicios que ofrezca, po-
dr cambiar en el tiempo.
Es importante tener en cuenta que con el fin de
definir el modelo de CSIRT por implementar, es
esencial analizar los servicios que desean ofrecer.
Ciertos modelos de CSIRT no son adecuados para
la prestacin de algunos de los servicios antes men-
cionados, en particular los servicios que requieren
recursos permanentes.
Es importante definir el tipo de modelo de CSIRT
por implementar, ya que esto tendr una conse-
cuencia directa sobre el tamao de la organizacin.
47
 1
PLANIFICACIN
Funciones y responsabilidades

Para definir la estructura organizativa de un CSIRT, uno

debe tener una idea clara de las distintas funciones y res- GERENTE DE COMUNICACIONES REPRESENTANTE
ponsabilidades dentro de un equipo de respuesta.17

Desarrolla y publica documentos CSIRT. Representa al CSIRT en eventos.

Mantiene el sitio web del CSIRT y el perfil de Si le es indicado, puede capacitar a otros
los medios sociales. actores.

DIRECCIN GERENTE TRIAGE ADMINISTRADOR DE RED VOCERO

Direccin estratgica del centro.
Supervisa a todo el equipo.
Entrevista y contrata a nuevos miembros
del equipo.
Asiste a las sesiones del consejo asesor de
seguridad.
Clasifica y prioriza los eventos. Gestiona y mantiene la infraestructura de Canal de comunicacin autorizado con la
Asigna casos a personal tcnico. red del CSIRT. prensa.
Ayuda en la respuesta a incidentes en casos
relacionados a redes.

GERENTES (MANDOS MEDIOS) GESTOR DE INCIDENTES ADMINISTRADOR DE SISTEMAS CUSTODIO DE REGISTRO

Da soporte a la Direccin.
Lidera el equipo en las actividades diarias.
Asigna deberes y tareas.
Conduce la gestin de claves.
Autoriza los permisos de acceso a la
informacin.
Analiza incidentes, monitoreo, registro y
respuesta.
Coordina respuesta a incidentes.
Colabora con otros grupos de respuesta o
tcnicos para resolver un incidente.
Administra y mantiene los sistemas del Acceso a repositorios seguros de
CSIRT. informacin.
Asiste en la respuesta a incidentes cuando
se necesita experticia en sistemas.
Gestiona el acceso a la informacin.

CLASIFICADOR DE EVENTOS ANALISTA/INVESTIGADOR ASISTENTE

Estas funciones se distribuirn entre diferentes personas

Provee asistencia inicial de respuesta a Realiza investigaciones especficas.
incidentes. Desarrolla material tcnico para el uso
Clasifica y prioriza la informacin recibida interno o de formacin.
de un caso. Realiza tareas de monitoreo.
Desarrolla herramientas.
Asiste al personal en la realizacin de las y reas de trabajo. En la mayora de los CSIRT, la gente
tareas asignadas, segn sea indicado. estar a cargo de varias funciones a la vez. En este caso,
es fundamental que exista una poltica y prctica de la
separacin de funciones.

Aqu es como se asignan estos roles a diferentes reas

del CSIRT.

48 A B C D Organizacin y RRHH 49
 1
PLANIFICACIN
.

Estructura organizacional
Como se mencion anteriormente, los servicios iniciales re-
comendados para un CSIRT nacional son la gestin de inci-
dentes, la gestin de vulnerabilidades, el monitoreo del sis-
tema, la publicacin de alertas y la formacin.

Direccin

Operaciones TI I&D

Servicios de apoyo

Esta estructura anterior es la mnima estructura inicial re-

comendada para un CSIRT nacional, que puede crecer con
el tiempo, segn sea necesario. Varios CSIRT en las Amri-
cas, como los de Panam, Paraguay y Uruguay, comenza- Servicios de apoyo:
ron con las estructuras organizativas similares a esta y han Marketing/comunicaciones
mostrado un crecimiento significativo. Apoyo jurdico
Gestin de prensa
Bajo este modelo, cada rea es responsable de las siguien- Administracin y finanzas
tes tareas:

50 A B C D Organizacin y RRHH 51
 MILITARY
LEGESLATIVE
CLOSELY Bajo este modelo, cada rea es responsable de las siguientes tareas:
Direccin
NICATION
ORK
NT
DIANS
Direccin estratgica.
Supervisin de actividades.
Vinculacin externa: otros
CSIRT, organizaciones y
consejo asesor.
Gestin presupuestal.
Enlace con el pblico/medios.
La Direccin del CSIRT estable-
ce principalmente las lneas de
la organizacin y lleva a cabo la
planificacin estratgica. Tambin
establece acuerdos de coopera-
cin con otras organizaciones y
sirve de enlace con el Comit Di-
rectivo CSIRT. El director del CSIRT
tambin acta como portavoz a la
prensa.
52 A B C D
Operaciones
Gestin de incidentes.
Monitoreo.
El rea de Operaciones es la
parte crtica del CSIRT. Aqu es
donde se realiza la gestin de
incidentes, el monitoreo y el an-
lisis de incidentes. Puede tomar
algn tiempo para que el rea de
Operaciones comience a recibir
un gran nmero de incidentes a
medida que se dan a conocer tan-
to el CSIRT como los servicios que
les ofrece a los mandantes.
Organizacin y RRHH
TI
Gestin de la
infraestructura de TI.
Apoyo a operaciones.
Apoyo a I&D.
Investigacin y Desarrollo es el
rea del CSIRT que implementar
las funciones secundarias de los
equipos, como el desarrollo de
herramientas, la realizacin de cur-
sos de formacin y la investigacin
de nuevas tendencias y amenazas
de la seguridad ciberntica. El rea
de I+D estar ocupada desde el ini-
cio del CSIRT ya que estar a cargo
de la mayor parte de la planifica-
cin, la capacitacin y el desarrollo
de cualquier solucin necesaria
elaborada internamente. Esta rea
trabajar en estrecha colaboracin
con el rea de TI.
I&D
Observatorio tecnolgico.
Anlisis estadstico de
incidentes y tendencias.
Desarrollo de sistemas y
herramientas.
Capacitacin.
Investigaciones especiales.
Apoyo a operaciones.
La seccin de TI implementa y
administra todos los sistemas que
controlan y manejan el correo
electrnico, pgina web, servidor
de archivos, el sistema de gestin
de tickets, la supervisin del siste-
ma, la red y los servidores de se-
guridad del CSIRT. Al igual que el
departamento de I+D, la seccin
estar ocupada desde el principio
con la implementacin y el ajuste
de la arquitectura del CSIRT.
1
PLANIFICACIN
Servicios de apoyo
Marketing/comunicaciones.
Apoyo jurdico.
Gestin de prensa.
Administracin y finanzas.
Los servicios de apoyo que
supervisan la gestin de prensa,
las consideraciones legales y la
administracin y las finanzas son
esenciales para el funcionamiento
de cualquier CSIRT. Estas activi-
dades deben tenerse en cuenta
en un CSIRT nacional, aunque
pueden ser subcontratados o
provistos externamente.18
53
 1
PLANIFICACIN
A medida que el equipo de respuesta madura, es probable que cree nuevas reas y funciones. Con servicios adicionales, el diagrama de flujo del CSIRT sera:
Entre las posibles reas nuevas estn:

Direccin

Auditora

Laboratorio Centro de Operaciones Sistemas de Gestin

de Seguridad de Seguridad de la
Informacin (SGSI):

Esta rea, que puede estar bajo
la Direccin o de I+D, llevar a
cabo las actividades forenses o el
anlisis de malware y proporcio-
nar servicios de investigacin a
otras reas.
Si la hoja de ruta del servicio Si el objetivo es establecer servi- Gestin
indica que tiene un centro de cios de apoyo para la implemen- de seguridad
Operaciones TI I&D Capacitacin
operaciones de seguridad, se tacin de SGSI, se puede estable- de la
puede crear una zona SOC, que cer un rea especfica para ello. informacin
puede depender directamente de
la Direccin o de Operaciones.

Formacin
A medida que crece el tamao del equipo, SOC Desarrollo
puede llegar a tener que incorporar un
departamento de auditora para verificar
si las polticas y los procedimientos en el
CSIRT se siguen de acuerdo con el nivel Laboratorios
Respuesta (malware,
Si el CSIRT y su comunidad obje-
deseado por la comunidad objetivo. a incidentes forensics)
tivo tienen suficientes solicitudes
para la formacin, se puede
establecer un departamento de
formacin dedicado.

Servicios de apoyo

54 A B C D Organizacin y RRHH 55
 1
PLANIFICACIN
Tamao y cantidad de recursos Departamentos Personal
CSIRT

1.a Fase Implementacin: 2.a Fase Operacin:

Una vez definida la estructura deseada, el Gerente de Pro- 9 (6 empleados + 3 personal de apoyo) 15 (12 empleados + 3 personal de apoyo)
yecto del CSIRT vincular y contratar a personal con las
habilidades requeridas por las funciones que se van a rea-
lizar. Independientemente de la posicin que ocuparn, el Direccin
personal debe tener una amplitud de conocimientos a fin 1 Director/coordinador 1 Director
de evitar puntos nicosACADEMY
de falla en el CSIRT. Adems, no
INFRAESTRUCTURE
19 COMMERCIAL GOVERMENT NATIONAL MILITARY

se espera que el personal del CSIRT dedique el 100% de su 1 Coordinador

tiempo a una sola actividad,
PROVIDERsobre todo ENTERPRISE
en el momento in- INPUT TOOLS OUTPUT LEGESLATIVE

mediatamente posterior a su lanzamiento. En ciertos casos,

FINANCIAL
equipos exitosos pueden comenzar conSECURITY
JUDICIAL tres personas, por SERVICE PROV.
EVOLUTION CIVIL CLOSELY

ejemplo, un director, un gerente de TI y un lder que cubra

mltiples funciones, incluidas
SATISFIED operaciones y de I+D, que
INFORMED MONITOR MISSION VULNERABILITY
tambin apoya al administrador de TI. En la primera fase
de desarrollo del CSIRT,ALERTel soporte deRESEARCH
TI tiene prioridad. VALUE Apoyo de TI 1 Lder 1 Lder
La capacidad de respuesta a incidentes (Departamento de
ACADEMY
Operaciones) crecer a medida
INFRAESTRUCTURE
que el CSIRTGOVERMENT
COMMERCIAL
aumente su NATIONAL MILITARY
2 Especialistas tcnicos 2 Especialistas tcnicos
tamao de personal, asegure el financiamiento y sea plena- (administrador de redes,
PROVIDER mente operativo.
ENTERPRISE INPUT TOOLS OUTPUT LEGESLATIVE administrador de sistemas)
FINANCIAL
JUDICIAL SECURITY SERVICE PROV. CIVIL MANAGEMENT CLOSELY
EVOLUTION TRIAGE COMUNICATION
MANAGEMENT MANAGEMENT

SATISFIED
Independientemente
INFORMED
de la posicin
MONITOR
que
MISSION VULNERABILITY
EVENT INCIDENT NETWORK
ocuparn, el personal debe tener una
ALERT amplitud
RESEARCH de conocimientos
VALUE a fin de evitar Investigacin 1 Lder 1 Lder
SYSTEM ASISTANT ASISTANT
y Desarrollo
puntos nicos de falla en el CSIRT. MIDDLE 1 Especialista tcnico 2 Especialistas en seguridad
NFRAESTRUCTURE COMMERCIAL GOVERMENT NATIONAL MILITARYMANAGEMENT SPEAKER CUSTODIANS
(analista/investigador,
custodio de registros)
NTERPRISE INPUT TOOLS OUTPUT LEGESLATIVE

MANAGEMENT
La tabla que sePROV.
muestra a FINANCIAL
MANAGEMENT
SERVICE
continuacin
MANAGEMENTes un ejemplo
TRIAGE de COMUNICATION
ECURITY EVOLUTION CIVIL CLOSELY
cmo un CSIRT que inicia con nueve personas puede dis-
tribuir sus roles y sus funciones. La informacin seINCIDENT
EVENT obtuvo NETWORK
NFORMED MONITOR MISSION
por medio de consultas con los CSIRT de laVULNERABILITY
regin, que si
bien varan en sus circunstancias y sus experiencias,
SYSTEM
sirven
ASISTANT ASISTANT
Operaciones 1 Lder 1 Lder
ESEARCH como modelos
VALUE para el xito.
ACADEMY INFRAESTRUCTURE COMMERCIAL GOVERMENT NATIONAL MILITARY
MIDDLE
server fax 1 Especialista tcnico 3 Especialistas en incidentes
MANAGEMENT SPEAKER CUSTODIANS
(clasificacin, triage, manejo)
PROVIDER ENTERPRISE INPUT TOOLS OUTPUT LEGESLATIVE

FINANCIAL
JUDICIAL SECURITY SERVICE PROV.
EVOLUTION Notas
CIVIL CLOSELY
MANAGEMENT TRIAGEcomputer COMUNICATION
MANAGEMENT shredder
SATISFIED INFORMED MONITOR MISSION Esta tabla se basa en las experiencias
VULNERABILITY
EVENT INCIDENT NETWORK adquiridas por medio de consultas
ALERT RESEARCH VALUE con algunos CSIRT en la regin Servicios 1 Abogado (apoyo legal) 1 Abogado (apoyo legal)
SYSTEM phone ASISTANT ASISTANT
storage (ningn CSIRT est estructurado de Apoyo20
COMMERCIAL
server GOVERMENT fax NATIONAL MILITARY exactamente igual; cada CSIRT 1 Reportero (comunicaciones) 1 Reportero (comunicaciones)
MIDDLE
MANAGEMENT SPEAKER CUSTODIANS es diferente en funcin de sus
INPUT TOOLS OUTPUT LEGESLATIVE necesidades o funciones particulares). 1 Analista financiero 1 Analista financiero
Algunas posiciones pueden ser
FINANCIAL
SERVICE PROV.
EVOLUTION
MANAGEMENT CIVIL
MANAGEMENT CLOSELY
MANAGEMENT TRIAGE asumidas por una misma persona.
COMUNICATION
computer
shredder
MONITOR MISSION VULNERABILITY
EVENT INCIDENT NETWORK

VALUE SYSTEM ASISTANT ASISTANT

phone storage
56 A B C D Organizacin
MIDDLE
y RRHH
MANAGEMENT SPEAKER CUSTODIANS 57
fax
 1
PLANIFICACIN
Cronograma
El perodo de ejecucin de un CSIRT debe seguir un cronograma definido y objetivos
especficos.
Capacitar recursos
humanos.
El primer paso para crear un cronograma es definir la lista de actividades necesa- Contratar recursos
humanos.
rias para la implementacin del CSIRT. Inicialmente, estas actividades sern de alto
nivel, y el grado de detalle aumentar a medida que estas maduran.

El siguiente es un ejemplo de una lista de actividades:

Conseguir instalaciones locati-

vas para las oficinas.
Conseguir las aprobaciones
necesarias para la creacin del 3 4
CSIRT nacional.
2
Adquirir infraestructura tecnolgica.

5
1
Implementar infraestructura tecnolgica.

Arranque de operaciones.

Definir polticas, procesos y procedimientos.

10
Definir plan de Ejecutar plan de
comunicacin y difusin. comunicacin y difusin.

7
8 9

58 Cronograma 59
 1
PLANIFICACIN
NOMBRE DURACIN COMIENZO FINAL PREDECESORES
OBTENER LAS CONSEGUIR CONTRATAR CAPACITAR ADQUIRIR IMPLEMENTAR
APROBACIONES INSTALACIONES RECURSOS RECURSOS INFRAESTRUCTURA INFRAESTRUCTURA
NECESARIAS HUMANOS HUMANOS TECNOLGICA TECNOLGICA 01 OBTENER LAS APROBACIONES NECESARIAS 60 DAS 08/25/14 11/14/14

DURACIN 60 DAS DURACIN 20 DAS DURACIN 40 DAS DURACIN 60 DAS DURACIN 40 DAS DURACIN 20 DAS
COMIENZO 08/25/2014 COMIENZO 11/17/2014 COMIENZO 12/15/2014 COMIENZO 02/09/2015 COMIENZO 05/04/2015 COMIENZO 06/29/2015
02 CONSEGUIR INSTALACIONES 20 DAS 11/17/14 12/12/14 01
FINAL 11/14/2014 FINAL 12/12/2014 FINAL 02/06/2015 FINAL 05/01/2015 FINAL 06/26/2015 FINAL 07/24/2015

03 CONTRATAR RECURSOS HUMANOS 40 DAS 12/15/14 02/06/15 02

01 02 03 04 05 06
04 CAPACITAR RECURSOS HUMANOS 60 DAS 02/09/15 05/01/15 v 03

DEFINIR POLTICAS,
PROCESOS Y 05 ADQUIRIR INFRAESTRUCTURA TECNOLGICA 40 DAS 05/04/15 06/26/15 04
PROCEDIMIENTOS

DURACIN 40 DAS
COMIENZO 05/04/2015
06 IMPLEMENTAR INFRAESTRUCTURA TECNOLGICA 20 DAS 06/29/15 07/24/15 05
FINAL 06/26/2015

07 DEFINIR PLAN DE COMUNICACIN Y DISPERSIN 40 DAS 05/05/15 06/26/15 04

09
08 EJECUTAR PLAN DE COMUNICACIN Y DISPERSIN 20 DAS 11/17/14 12/12/14 01

DEFINIR PLAN DE EJECUTAR PLAN DE

COMUNICACIN Y COMUNICACIN 09 DEFINIR POLTICAS, PROCESOS Y PROCEDIMIENTOS 20 DAS 02/09/15 03/06/15 03
DISPERSIN Y DISPERSIN

DURACIN 20 DAS DURACIN 20 DAS

COMIENZO 11/17/2014 COMIENZO 02/09/2015 10 COMIENZO DE LA OPERACIN 0 DAS 07/24/15 06 - 07 - 09
FINAL 12/12/2014 FINAL 03/06/2015

07 08 AGO- SEP - OCT NOV DIC ENE FEB MAR ABR MAY JUN JUL

COMIENZO
DE LA OPERACIN
01 02 03 04 05 06 07
DURACIN 0 DAS
COMIENZO 07/24/2015

09

10 07 08

Una vez que se completa una lista de actividades, estas de-
ben ser organizadas secuencialmente, teniendo en cuenta
las dependencias que los vinculan. Una de las maneras ms
convenientes para formular y planear un proyecto, inclu-
yendo las dependencias, es construir un diagrama utilizan-
do el Mtodo de Diagramacin de Precedencia (PDM por
sus siglas en ingls).
El PDM utiliza nodos y flechas. Cada nodo representa una
actividad que est conectada con otra por medio de flechas
que representan las dependencias. En PDM reconoce cua-
tro modos en que las actividades se relacionan:
Final a inicio: El inicio de una actividad sucesora de-
pende del fin de la predecesora.
Final a final: La finalizacin de una actividad sucesora
depende del final de la actividad predecesora.
Inicio a inicio: El inicio de la actividad sucesora depen-
de del inicio de la actividad predecesora.
Inicio a final: La finalizacin de la actividad sucesora
depende del inicio de la actividad predecesora.
Durante esta etapa de planificacin, el equipo del proyec-
to deber examinar las actividades de paralelizacin para
reducir el tiempo necesario de su implementacin.
Un ejemplo de un diagrama de precedencia con las activi-
dades mencionadas anteriormente podra ser el que sigue.
Por ltimo, una vez que est listo el PDM, se debe estable-
cer el cronograma. Esto requiere la estimacin de la dura-
cin de cada una de las actividades, que dependen de los
recursos disponibles para su ejecucin. Tambin puede
haber factores externos importantes para considerar en la
determinacin del cronograma, incluidos plazos polticos,
procesos de concesin de licencias, fechas de los cursos de
formacin impartidos, asignacin de recursos, etctera.
Hay varias maneras de estimar la duracin de las activida-
des necesarias para la implementacin de un CSIRT. A con-
tinuacin se muestran tres:
Juicio de expertos: Con informacin de contexto el
equipo del proyecto puede consultar a expertos en la
materia, que pueden realizar la estimacin basados en
su experiencia. Esta tcnica es muy simple y efectiva.
Estimacin por analoga: En esta tcnica se busca in-
formacin histrica de otros proyectos que hayan teni-
do actividades similares y se utilizan los valores histri-
cos de las duraciones.
Estimacin de tres valores: Se utilizan las tcnicas an-
teriormente mencionadas, pero en este caso se toman
tres valores para estimar: uno pesimista, uno optimista y
uno ms probable. Esta tcnica es muy utilizada cuando
es complejo encontrar informacin histrica de caracte-
rsticas similares.21
Finalmente se establece el diagrama del cronograma. A
continuacin se muestra anteriormente un ejemplo del
diagrama de Gantt:

60 Cronograma 61
 1
PLANIFICACIN
Conclusin de la
planificacin preliminar

Al trmino de la etapa de planificacin, debe haber una serie de documentos finaliza-

dos relacionados con el establecimiento de un CSIRT nacional, incluyendo:

Documento de identificacin de los interesados.

Plan de gestin de los interesados.

Documento de constitucin del CSIRT nacional.

Misin y visin.

Marco institucional.

Marco legal.

Actas de reuniones.

Listas de participantes en las diferentes actividades.

Emails intercambiados con expertos.

Definicin de comunidad objetivo.

Lista de servicios.

Estructura organizacional.

Recursos humanos necesarios.

Cronograma de puesta en funcionamiento.

Estos documentos servirn como referencia y gua para el resto del proyecto; algunos
sern documentos formales firmados, mientras que otros solo sern documentos de
soporte.

62 Conclusin 63
 1
PLANIFICACIN
2 EJECUCIN

64 A B C D Definition 65
 2
IMPLEMENTATION
A
Seleccin de recursos
humanos

En esta seccin se detallan el conocimiento, la

experiencia y las habilidades necesarias de los
empleados potenciales de un CSIRT. La contratacin
de candidatos calificados es, sin duda, una de
las partes ms difciles del proceso de establecer
un CSIRT. Sin embargo, esta seccin puede ser
utilizada como una referencia en la evaluacin de
los perfiles de los candidatos durante el proceso de
contratacin.
Los perfiles se enumeran para los cargos en cada
una de las reas principales dentro del CSIRT:
Direccin, I+D, TI y Operaciones.

66 A B C D Definition 67
 2
IMPLEMENTATION
GOVERMENT NATIONAL
ACADEMY MILITARY
INFRAESTRUCTURE COMMERCIAL GOVERMENT NATIONAL MILITARY

TOOLS OUTPUT
PROVIDER LEGESLATIVE
ENTERPRISE INPUT TOOLS OUTPUT LEGESLATIVE

FINANCIAL FINANCIAL
JUDICIAL SECURITY SERVICE PROV. CIVIL CLOSELY
EVOLUTION CIVIL CLOSELY EVOLUTION

MISSION SATISFIED
VULNERABILITY INFORMED MONITOR MISSION VULNERABILITY

Direccin ALERT RESEARCH VALUE

Operaciones Investigacin y Desarrollo Tecnologa de Informacin
Para los directores, tener experiencia de liderazgo es tan Para las posiciones de Operaciones se requiere un perfil efi- El perfil de I+D se centra en el desarrollo y el anlisis de Todos los tcnicos en el CSIRT debern tener experiencia
importante como el conocimiento tcnico. Por supuesto, ciente, organizado y dinmico, que se adapte naturalmente sistemas. Los especialistas en I+D deben ser meticulosos y conocimiento en TI. Lo que diferencia al especialista en-
MANAGEMENT TRIAGE COMUNICATION
MENT un
TRIAGE candidato puede
MANAGEMENT
no
COMUNICATION satisfacer
MANAGEMENT
a la perfeccin el perfil a un ambiente de alta presin. y organizados y tener conocimiento en lenguajes de pro- cargado de TI es que estar orientado a tareas de adminis-
de trabajo; sin embargo, en la tabla se dejan EVENT algunos as- INCIDENT NETWORK gramacin. tracin de sistemas.
INCIDENT
pectos para NETWORK
su consideracin.
SYSTEM ASISTANT ASISTANT
ASISTANT ASISTANT
MIDDLE
MANAGEMENT SPEAKER CUSTODIANS
MENT SPEAKER CUSTODIANS

FO RMAC IN F O R M A CI N F OR M A C I N F OR MA C I N

Requerido Ttulo Universitario en TI. Requerido Ttulo universitario en TI. Requerido Ttulo universitario en TI. Requerido Ttulo universitario o estudiante
server
Especializacin
fax
en Especializacin en Seguridad Conocimiento de desarrollo avanzado en TI.
Seguridad Ciberntica. Ciberntica. de sistemas, familiaridad con
al menos tres lenguajes de
programacin (Python, BashShell,
computer
shredder
Se valorar Cursos de especializacin y PHP, C++, Java, etctera).
experiencia en respuesta a
incidentes de seguridad ciberntica.
Se valorar Postgrado en Gerencia Se valorar Cursos de especializacin en Se valorar Cursos de especializacin
Cursos de especializacin en
phone (MBA, MMoTstorage o similar). seguridad ciberntica y respuesta a en seguridad ciberntica y
informtica forense u otra rea
Certificaciones en incidentes de seguridad ciberntica. respuesta a incidentes de
de seguridad ciberntica y
Seguridad Ciberntica Cursos de especializacin en seguridad ciberntica.
aseguramiento de informacin.
(CISSP, CISM, CISA o informtica forense. Cursos de gestin basados
Certificaciones en seguridad
similar). Certificaciones en seguridad en ITIL.
ciberntica (CISSP, CISM, CISA o
ciberntica (CISSP, CISM, CISA).
similar).

EXPERIENCIA E X P E R I E N CI A EXPERIENCIA EXPERIENCIA

Requerido Ms de diez aos de Requerido Ms de cinco aos de Requerido Ms de cinco aos de Requerido Ms de tres aos de experiencia
experiencia en posiciones experiencia en posiciones experiencia en posiciones en posiciones tcnicas en
tcnicas en TI o Seguridad tcnicas en TI o seguridad tcnicas en TI, Desarrollo TI o como administrador de
Ciberntica. ciberntica. de proyectos y seguridad sistemas.
Ms de tres aos en ciberntica.
posiciones de gerencia de TI.

Se valorar Experiencia en respuesta Se valorar Experiencia en operaciones Se valorar Experiencia en investigacin y Se valorar Experiencia en organizaciones
a incidentes de seguridad y respuesta a incidentes de desarrollo. utilizando ITIL.
ciberntica. seguridad ciberntica. Experiencia en metodologas de Experiencia en metodologas de
Experiencia en posiciones Experiencia en metodologas de gestin giles. gestin giles.
similares. gestin giles. Experiencia en trabajo con Experiencia en trabajo con
Experiencia en administracin sistemas criptogrficos y PKI. sistemas criptogrficos (PKI,
de sistemas, soporte y trabajo en PGP).
organizaciones utilizando ITIL.

68 A B C D Seleccin de Recursos Humanos 69

 2
IMPLEMENTATION
B Requisitos de formacin

En esta seccin se describe la formacin sugerida

para cada uno de los miembros del personal del
CSIRT nacional. Debe tenerse en cuenta que los
cursos mencionados aqu pueden ser sustituidos
o complementados por otros cursos similares que
cubran temas comparables. Cabe destacar que en
esta lista no se incluyen cursos ofrecidos por los
fabricantes, sin embargo, son altamente provechosos
para la formacin del equipo del CSIRT.
Adems, siempre es conveniente revisar opciones
acadmicas como especializaciones de pregrado y de
postgrado universitario disponibles, dependiendo del
pas o la regin.

70 A B C D Definition 71
 1
PLANIFICACIN
Seguridad ciberntica general Capacitacin en respuesta Cursos de anlisis
a incidentes en seguridad de malware y forense
ciberntica

Las organizaciones International Information Systems
Security Certification Consortium (ISC) e Information Sys-
tems Audit and Control Association (ISACA) ofrecen algu-
nas de las certificaciones de seguridad ciberntica ms
respetadas y completas disponibles, en particular los t-
tulos otorgados abarcan el Profesional Certificado en la
Seguridad de Sistemas de Informacin (CISSP), el Gerente
Certificado en la Informacin de Seguridad (CISM) y el Au-
ditor de Sistemas de Informacin Certificada (CISA). Para
ms detalle se puede consultar su sitio web:
Instituciones con amplia experiencia en temas de respues- CMU y SANS son lderes mundiales en cursos sobre anli-
ta a incidentes de seguridad ciberntica son la Universi- sis de malware y forense, as:
dad Carnegie Mellon (CMU) y el Instituto SANS.
CMU ofrece tanto cursos bsicos como avanzados de ma-
nejo de incidentes cibernticos. Los enlaces a estos cursos
son los siguientes:

Fundamentals of Incident Handling CMU

Advanced Forensic Response and Analysis
Advanced Incident Handling
CMU
ISACA Malware Analysis Apprenticeship

(ISC) SANS
Advanced Computer Forensics
El Instituto SANS ofrece la certificacin en respuesta a in- and Incident Response, FOR 508
cidentes y una multitud de otros cursos relacionados con
SANS
la seguridad de la informacin, incluidos los que cubren
Advanced Network Forensics
tcnicas de hacking, explotacin y manejo de incidentes:
and Analysis, FOR 572
El Centro de Coordinacin CERT (CERT-CC) de la Univer-
sidad Carnegie Mellon tambin tiene excelentes cursos SANS
de seguridad ciberntica, incluyendo seguridad de la in- Reverse-Engineering Malware: Malware
formacin para el personal tcnico, muchos de los cuales Analysis Herramientas and Techniques,
estn disponibles por medio de su plataforma de apren- FOR610
dizaje en lnea.

Incident response

Hacker Herramientas, Techniques, Exploits

and Incident Handling

72 A B C D Requisitos de Formacin 73

C
Instalaciones e
infraestructura TI
Esta seccin describe los servicios bsicos que el
CSIRT debe tener, incluyendo la infraestructura de
TI, arquitectura de red y diagramas. Es una de las
muchas formas en que un CSIRT podra estructurar
su plataforma.
Como regla general, las instalaciones del CSIRT y
sus redes de datos y telecomunicaciones sern
diseadas orientadas a la proteccin no solo de la
informacin confidencial recogida sino tambin de
la proteccin al personal CSIRT. Esto significa que la
informacin debe ser almacenada y gestionada por
el propio CSIRT, en lugar de tener que subcontratar
esta actividad o almacenar la informacin fuera del
sitio o fuera del pas.
74 A B C D Definition
2
IMPLEMENTATION
Instalaciones CSIRT
Debido a la sensibilidad de la informacin con la que tra-
baja, un CSIRT y sus empleados deben asegurarse de la
misma manera que una organizacin protege un centro de
datos. Esto significa que un CSIRT no puede estar en un am-
biente de oficina abierta. Ms bien, debe tener su propio
espacio de oficina separada por paredes y puertas, para as
reducir la posibilidad de que la informacin sensible sea vis-
ta o escuchada. Se debe limitar el acceso a las instalaciones
del CSIRT con el fin de evitar el acceso no autorizado a los
recursos y a la informacin. Con el mismo fin, el edificio o
el rea donde se encuentran las principales instalaciones
CSIRT deben contar con vigilancia 24 horas.
Los servidores, los equipos de comunicaciones, los dis-
positivos de seguridad lgica y los repositorios de datos
pueden permanecer en un centro de datos o en las insta- Consideraciones generales
laciones del CSIRT, pero en todos los casos, el acceso fsico
y lgico a los equipos se regir por un estricto control de Equipamientos del espacio fsico
acceso que garantice que se respeten las polticas de ac-
ceso a la informacin. Adems de asegurar la informacin
electrnica, el CSIRT mantendr un depsito de seguridad
Aire acondicionado y piso falso
(principalmente para el centro de datos).
para almacenar informacin sensible no digital, fichas, dis- Sistemas de deteccin y extintores en las
cos duros y servidores, entre otros. salas comunes y en el centro de datos.
ilustracin
Sistemas redundantes (fuente de
Sistema de Alimentacin Ininterrumpida
(UPS), aire acondicionado, etctera)
Se debe limitar el acceso a las
Gabinetes de papelera bajo llave.
instalaciones del CSIRT con el fin de evitar Mtodos para restringir el acceso fsico
el acceso no autorizado a los recursos y a a las distintas zonas
la informacin.
Acceso controlado a:
El edificio (puertas y ventanas).
El piso.
Zonas comunes (Operaciones, Soporte
El siguiente diagrama muestra un ejemplo de un diseo Informtico, I+D, etctera).
de un CSIRT. El ejemplo debe servir como una gua para la Centro de datos.
creacin de las instalaciones de un CSIRT; sin embargo, los rea de Logstica.
pases pueden construir su modelo sobre la base de sus Proyectos futuros (laboratorio, sala de
necesidades y realidades logsticas. monitoreo).
Visitas restringidas (proveedores, etc.),
acompaados todo el tiempo en todas
las reas CSIRT.
Vigilancia por medio de circuito cerrado
de televisin.
75

Plano de planta bsico
Diseo bsico de la red CSIRT
DMZ externa
Proyecto futuro
Centro de datos
( SOC, laboratorio, saln de crisis... )
DMZ Ext.
Proyecto futuro
I+D
( SOC, laboratorio, saln de crisis... )
Si el CSIRT opta por alojar
los servicios pblicos
(correo, web, etc.) en sus
instalaciones, los servicios
deben ser alojados en
servidores en esta zona, la
Operaciones Saln de formacin cual publicar servicios a
Internet.
Testing
Soporte TI Laboratorio de pruebas
rea de logstica
Recepcin
Coordinacin Coordinacin
Este segmento se utilizar
para pruebas de software,
malware y para todo equipo
potencialmente comprome-
existe para realizar pruebas
en los equipos o software
sin comprometer el resto de
la infraestructura CSIRT.
76 A B C D Instalaciones e infraestructura
2
IMPLEMENTATION
Internet
Internet
LAN CSIRT
Este segmento estar
expuesto a la Internet.
CSIRT LAN
Firewall
Firewall Estaciones de trabajo y
equipos de ocina del CSIRT
pueden alojarse aqu.
DMZ Int.
DMZ interna
El CSIRT debe mantener un
cortafuegos para segmentar
su red en al menos cinco
zonas: Internet, DMZ
externo, DMZ interno,
pruebas y la LAN CSIRT.
El punto de partida son
cinco zonas separadas; la
complejidad y el nmero
de barreras de seguridad En este segmento el CSIRT
aumentarn a medida que alojar servicios internos,
el CSIRT crezca. servidores de archivos,
sistemas de tickets o
herramientas para su uso
en el CSIRT. Esta zona
no publicar servicios a
Internet, sino solo a la LAN
CSIRT.
77

Equipo bsico sugerido
Computadores y servidores
Sistemas de software CSIRT, que incluyen lo siguiente:
Servidor web institucional
Este servidor contiene el sitio institucio-
nal donde se encuentra toda la informa-
cin pblica, no sensible en temas CSIRT,
incluyendo alertas, boletines de noticias,
contactos y formularios de notificacin de
incidentes.
Servidor de correo institucional
Este servidor se encarga de las comunica-
ciones por correo electrnico CSIRT y al-
macena los buzones de correo electrnico
CSIRT.
Servidor Intranet
El propsito de este servidor es facilitar el
intercambio de informacin entre el per-
sonal de CSIRT. Almacena datos relevantes
para el equipo y los procedimientos, las
tcnicas de respuesta a incidentes, las me-
jores prcticas, los manuales de operacin,
la documentacin de incidentes y otras in-
formaciones de inters.
Servidor de archivos
Este servidor se utiliza para almacenar ar-
chivos digitales del equipo, que deben per-
manecer en lnea y ser publicados dentro
de las instalaciones del CSIRT.
Copias de seguridad del servidor
Este servidor tiene la tarea de realizar co-
pia de seguridad de la informacin de to-
dos los sistemas del CERT y estaciones de
trabajo. Se generan copias de seguridad en
bveda fuera del sitio desde este equipo.
Servidor DNS
Este servidor es el responsable de la reso-
lucin de nombres de la infraestructura
del CSIRT.
78 A B C D Instalaciones e infraestructura
2
IMPLEMENTATION
Computadores
El personal del CSIRT debe tener computadoras porttiles que se utilicen
exclusivamente para funciones de trabajo.
Servidor de monitoreo
El monitoreo activo de los sistemas se lleva
a cabo en este servidor CSIRT, entre ellas:
el monitoreo de los portales del gobierno Telfonos
y el de los servicios del CSIRT y sistemas
de deteccin de vulnerabilidad de activos. El CSIRT tiene acceso directo a los servicios de telefona, telefona fija, te-
Se recomienda que las consolas de moni- lefona IP y los telfonos mviles, que le permiten hacer llamadas locales
toreo sean visibles para todo el personal e internacionales segn sea necesario para operar.
del CSIRT.
Recoleccin y correlacin de eventos
El papel de este servidor es concentrar los
registros de transacciones de los sistemas Fax
del CSIRT, de la red de sensores desplega-
dos por el CSIRT. Este servidor realiza la Se recomienda que el CSIRT tenga una mquina de fax de uso exclusivo
correlacin de eventos y de alertas. dentro de sus instalaciones con el fin de evitar que cualquier fax con
informacin sensible sea visto por personal no autorizado.
Registro y seguimiento de incidentes
Este es quizs el ms importante de los
servidores del CSIRT y est comprome-
tido con el mantenimiento de registros y
seguimiento de los incidentes del CSIRT.
Registra informes de incidentes recibidos,
las comunicaciones que entran y salen del Triturador
CSIRT, relacionados con la respuesta a inci-
dentes. Tambin sirve como una fuente de El CSIRT debe tener una trituradora que le permita destruir informacin
conocimiento para el equipo. Cada correo sensible impresa o discos compactos (CD). La destruccin de los materia-
electrnico enviado a la cuenta para re- les debe ser realizada por el personal del CSIRT, o como se indica en la
portar incidentes (por ejemplo. incidents@ poltica de destruccin de informacin.
cert.xx), as como los formularios comple-
tados en el sitio web del CSIRT generarn
automticamente un ticket en el sistema
de gestin. Estos sistemas tendrn la ca-
pacidad de adaptarse al procedimiento de
gestin de incidentes que se vaya a utili- Almacenamiento lgico porttil
zar, por ejemplo la creacin de colas para
la asignacin y el escalamiento de tickets Durante la respuesta a incidentes, a menudo es necesario el uso de uni-
de incidentes. dades externas o unidades flash para almacenar informacin. El CSIRT
debe tener al menos cuatro unidades externas de 2 TB y cinco unidades
de memoria flash de 32 GB.
79

D
Polticas y procedimientos
operacionales
Las polticas CSIRT son fundamentales para su
funcionamiento. Son directrices que deben ser
seguidas por su personal en la realizacin de
operaciones y reflejan a su vez las directrices de los
patrocinadores del CSIRT, rigen el funcionamiento y
las actividades del centro de respuesta y garantizan
la confidencialidad, la disponibilidad y la integridad
de la informacin y de los recursos CSIRT, as como
la calidad de sus servicios.
Las polticas de un CSIRT, adems de servir como
gua para sus empleados y la comunidad objetivo,
son recursos tiles para los miembros de la
comunidad objetivo, ya que detallan cundo un
CSIRT proporciona qu tipo de servicios y cmo
mantiene y protege la informacin que gestiona.
El mayor foro internacional de CSIRT en el mundo,
la Organizacin FIRST, tiene las siguientes polticas
obligatorias mnimas para un CSIRT que desee
convertirse en un miembro de la comunidad.
80 A B C D Definition
Polticas mnimas obligatorias
Poltica de clasificacin de
informacin
Esta poltica define cmo el CSIRT clasifica
la informacin basado en distintos niveles
de criticidad.
Poltica de proteccin de datos
Esta poltica define la forma de proteger la
informacin de acuerdo a su criticidad.
Poltica de retencin de informacin
Esta poltica define el tiempo que el CSIRT
debe mantener registros u otra informa-
cin de que disponga.
Poltica de destruccin de
informacin
Esta poltica define cmo el CSIRT destru-
ye informacin, registros, medios, disposi-
tivos, etc., para garantizar que la infor-
macin est protegida cuando su ciclo de
vida o los medios que lo contienen llegan
a su fin.
Poltica de divulgacin de
informacin
Esta poltica debe especificar cmo y
cundo el CSIRT puede compartir o
distribuir la informacin interna o exter-
namente.
Poltica sobre el acceso a la
informacin
Esta poltica establece quin puede acce-
der a la informacin del CSIRT, teniendo
en cuenta el personal, miembros de la
comunidad objetivo o el personal de la
organizacin matriz del CSIRT (si lo tiene).
Polticas de uso apropiado de los
sistemas del CSIRT
Esta poltica define el uso aceptable de los
sistemas y recursos del CSIRT.
2
IMPLEMENTATION
Definicin de incidentes de
seguridad y poltica de eventos
Esta poltica describe los criterios que
determinan la definicin de un evento o
incidente de seguridad y la clasificacin de
cada uno segn el tipo y la gravedad.
Poltica de gestin de incidentes
Esta poltica debe definir cmo se lleva a
cabo la gestin de incidentes, incluyendo
el tipo de incidentes a los que el CSIRT
responder, el tiempo de respuesta acep-
tables, los procedimientos que se van a
aplicar, etctera.
Poltica de cooperacin
Esta poltica define las otras entidades
con las que cooperar el CSIRT y cmo lo
harn, particularmente otros equipos de
respuesta a incidentes. <
Otras polticas
Adems de las polticas mnimas requeri-
das para un CSIRT, puede haber otras con
el fin de mejorar la calidad de los servicios
y el funcionamiento del centro:
Poltica de uso de Internet.
Poltica de notificacin de incidentes.
Poltica de comunicacin del CSIRT.
Poltica de capacitacin y entrenamiento.
Poltica de seguridad de computador
personal.
Poltica de seguridad de la red.
Poltica de uso de correo electrnico.
Poltica de uso de dispositivos mviles.
Poltica de seguridad de equipo de tele-
comunicaciones.
Poltica de copias de seguridad.
Poltica de segregacin de funciones.
Poltica de control de cambio.
Poltica de contraseas.
Los anexos contienen ms ejemplos de
polticas.
81
 1
PLANIFICACIN
3 CIERRE

82 A B C D Definition 83
 3
CLOSURE
El cierre del proyecto se produce cuando toda la
informacin generada en el proceso de creacin del
CSIRT, incluida su integridad, es analizada y verificada.
Despus de que el proceso de cierre est completo, se
habr establecido formalmente el CSIRT nacional.

Al cerrar el proceso de creacin, el Gerente de Proyectos CSIRT tendr:

Lista de interesados.
Documentos de constitucin del CSIRT (misin, visin, servicios, etctera).
Documentos legales de la creacin del CSIRT.
Instalaciones fsicas, contratos de alquiler, etctera.
Recursos humanos contratados y capacitados.
Manual de operaciones con polticas y procedimientos.
Infraestructura tecnolgica y los respectivos contratos de soporte

Adems, se redactarn otros documentos durante la fase de establecimiento, incluyendo

la definicin de alcance, el cronograma y el presupuesto. Se debe convocar al equipo del
proyecto a una sesin informativa para analizar las lecciones aprendidas y dnde se podra
mejorar el proceso.

Por ltimo, con toda la informacin generada, es esencial hacer un informe final que contenga:

Objetivo general del proyecto.

Actividades realizadas.
Desempeo del proyecto (alcance, cronograma, presupuesto).
Lecciones aprendidas.
Recomendaciones futuras.

Este informe se adjuntar a la documentacin del proyecto y le dar su cierre formal.

Finalizacin formal de las actividades

Durante la planificacin, el equipo del proyecto establece medidas claras para ser llevadas a
cabo durante la ejecucin del proyecto. Cada uno de ellos tiene un claro indicador de finali-
zacin, como recursos humanos capacitados. Para registrar la actividad como formalmente
completada, el equipo del proyecto debe verificar que todo el personal necesario recibi el
entrenamiento y luego recoger la documentacin apropiada. Del mismo modo, todos los
contratos y acuerdos de servicio deben ser verificados y tener la aprobacin legal y la docu-
mentacin necesaria.

Por ltimo, el informe final debe ser aprobado por el patrocinador del proyecto con el fin
de completar la fase de implementacin del CSIRT.

84 85
 1
PLANIFICACIN
ANEXOS

86 A B C D Definition 87

Muestra de la poltica de uso aceptable
OBJETIVO El propsito de esta poltica es establecer usos aceptables e inaceptables de los dispositi-
vos electrnicos y recursos de red que pertenecen a CSIRT-XX. Se ha formulado para cum-
plir con las normas legales y ticas establecidas y se basa en la confianza, la integridad y
la transparencia de las actividades del CSIRT.
El CSIRT-XX opera dispositivos de computacin, redes y otros sistemas de informacin
con el fin de llevar a cabo sus mandatos, sus objetivos y sus iniciativas. Todos estos dispo-
sitivos deben ser gestionados de manera responsable para mantener la confidencialidad,
la integridad y la disponibilidad de los activos de informacin que CSIRT-XX tiene en su
poder o con los que trabaja.
Esta poltica requiere que los usuarios de los dispositivos y recursos de la red acepten y
cumplan con las polticas definidas, a fin de proteger el CSIRT-XX, su personal, sus opera-
ciones y sus socios, de los daos y demandas.
ALCANCE Todos los empleados, contratistas, consultores, pasantes y otros que trabajan directa o
indirectamente en CSIRTXX, incluyendo todo el personal afiliado a terceros, deben cumplir
con esta poltica. Esta se aplica a los activos de informacin que son propiedad de o arren-
dados por CSIRT-XX, o a dispositivos que se conectan a la red del CSIRT-XX o que estn
alojados en un sitio que pertenece al CSIRT-XX.
En circunstancias atenuantes, la administracin del CSIRT-XX puede aprobar excepcio-
nes que seran contrarias a esta poltica. Cualquier excepcin debe ser aprobada for-
malmente por escrito e incluir una justificacin y una evaluacin de los posibles riesgos
de tal excepcin.
DECLARACIN
DE LA POLTICA Requerimientos generales
Como empleado de CSIRT-XX, usted es responsable de ejercer el buen juicio con respecto
al uso apropiado de los recursos CSIRT-XX de conformidad con las polticas y los procedi-
mientos establecidos por el CSIRT-XX. Los recursos CSIRT-XX no pueden ser utilizados con
fines ilcitos o que estn en violacin de la Poltica de tica de CSIRT-XX.
Cuentas del sistema
Usted es responsable de la seguridad de los datos, las cuentas y los sistemas bajo su
control. Mantenga contraseas seguras y no comparta su informacin de cuenta o con-
trasea con nadie, incluyendo otros empleados, familiares o amigos. Facilitarle el acceso
a otra persona, ya sea intencionalmente o debido a la falta de garantas de acceso, es una
violacin de esta poltica. Usted debe mantener un nivel de contrasea de usuarios y del
sistema de acuerdo con las directivas de contrasea.
Usted debe asegurarse, por medios legales o tecnolgicos, que la informacin con la que
trabaja se mantiene bajo el control y la gestin de CSIRT-XX en todo momento. El almace-
namiento, el acceso o el uso de informacin confidencial en ambientes o aplicaciones ad-
ministradas por un tercero o no directamente operados o controlados por CSIRT-XX estn
prohibidos. Esto incluye los dispositivos que son mantenidos por terceros con los que no
88
ANNEXES
hay acuerdo contractual. Adems, esto prohbe especficamente el uso de una cuenta de
correo electrnico que no ha sido proporcionada por el CSIRTxx para intercambiar infor-
macin propiedad de la CSIRTxx.
Activos informticos
Usted es responsable de garantizar la proteccin de los activos que le fueron asigna-
dos por CSIRT-XX. Esto incluye el uso de cables de bloqueo del computador y cualquier
otro dispositivo de seguridad. Computadores porttiles que se queden por la noche en el
CSIRT-XX deben ser colocados en un cajn cerrado con llave o un armario. Cualquier robo
o prdida de equipo debe ser reportada a la administracin de CSIRT-XX inmediatamente.
Todas las estaciones de trabajo y dispositivos personales deben asegurarse con un pro-
tector de pantalla protegido por contrasea, y usted debe bloquear la pantalla o cerrar
la sesin cuando est desatendida la estacin de trabajo o dispositivo. Por otra parte, la
funcin de bloqueo automtico se debe activar tal como se establece en el procedimien-
to de configuracin de estacin de trabajo. Cualquier dispositivo que se conecte a la red
CSIRT-XX debe cumplir con la poltica de acceso mnimo.
Uso de comunicaciones electrnicas e Internet
Usted es responsable de la seguridad y el uso adecuado de los recursos de red y de las
herramientas bajo su control. Queda terminantemente prohibida la utilizacin de los re-
cursos que:
causen un fallo de seguridad o violacin de uno o ms recursos de red CSIRT-XX;
causen una interrupcin del servicio a uno o ms recursos de red CSIRT-XX;
violen las disposiciones de la ley de derechos de autor;
violen las polticas de seguridad establecidas de las leyes locales;
apoyen cualquier actividad ilegal, incluyendo la transmisin o ayuda en la transmisin
de material que viole las polticas que protegen la informacin confidencial o de pro-
piedad; y
tergiversen, ofusquen, eliminen o sustituyan una identidad de usuario en cualquier
comunicacin electrnica con el fin de inducir a error al destinatario sobre quin es el
remitente.
Por ltimo, usted debe ejercer buen juicio para evitar tergiversar o exceder su autoridad
en la representacin de las opiniones de los CSIRT-XX al pblico.
IMPLEMENTACIN Un empleado que se encuentre en violacin de esta poltica o de cualquier otra poltica
del CSIRT-XX estar sujeto a medidas disciplinarias, que pueden incluir el despido. Una
violacin de esta poltica por un empleado temporal, contratista o proveedor puede re-
sultar en la terminacin del contrato o cesin con CSIRT-XX.
89

Poltica de divulgacin
OBJETIVO Definir qu informacin puede ser revelada a quin, cmo y en qu circunstancias, incluyen-
do las partes interesadas, socios CSIRT, otros rganos del gobierno, o incluso otros miem-
bros del CSIRT-XX. La manera en que se comparta la informacin se har de acuerdo a su
nivel de clasificacin.
ALCANCE Toda la informacin en poder o generada por el CSIRT-XX.
DECLARACIN Informacin pblica
DE LA POLTICA
La divulgacin de informacin pblica est autorizada, aunque debe ser difundida por
medio de los canales establecidos y gestionada por las comunicaciones o la unidad de
asuntos pblicos de CSIRT-XX, y se har de acuerdo con los procedimientos de esa unidad.
Informacin clasificada
La informacin clasificada solo podr ser divulgada cuando sea autorizada por el director
del CSIRT-XX o su designado. En todos los casos, se firmar un acuerdo de no divulgacin,
que establece que cualquier destinatario de informacin clasificada ser debidamente
notificado de la clasificacin de la informacin que est recibiendo.
Informacin clasificada de uso comunitario
La informacin que es clasificada pero aprobada para su difusin dentro de la comuni-
dad es un tipo especial de informacin. Todas las consideraciones anteriormente men-
cionadas siguen siendo vlidas, salvo que la divulgacin que realizan ciertos miembros de
la comunidad objetivo sea autorizada por el director de CSIRT-XX.
Informacin confidencial La comunicacin y el enlace con la prensa sern coordinados y realizados exclusivamente
El CSIRT-XX y su personal no divulgarn informacin confidencial. Si, por razones opera-
tivas, se hace necesario compartir informacin confidencial con terceros, usted deber
obtener el consentimiento del propietario de la informacin, que podr autorizar la di-
vulgacin o no. Si el propietario lo autoriza, se le exigir al receptor firmar un acuerdo de
no divulgacin, ya sea proporcionado por el propietario de la informacin o por el CSIRT.
Informacin secreta
En ningn caso el CSIRT-XX revelar informacin secreta por la ley.
90
ANNEXES
Informacin incompleta/no terminada
La informacin que se encuentra en borrador, y que no contiene informacin confiden-
cial, puede ser revelada individualmente siguiendo las directrices definidas para este fin.
DIVULGACIN INTERNA Dentro del equipo CSIRT-XX no habr limitaciones en la divulgacin ni en el intercambio
de informacin, a menos que se haga una peticin expresa por parte del director con
respecto a una accin especfica. Como parte de los requisitos operativos diarios, el CSIRT-
XX revelar cierta informacin a los miembros de la organizacin. Cualquier divulgacin
deber tener en cuenta los procedimientos establecidos de acuerdo con la clasificacin de
la informacin de que se trate; la divulgacin de informacin sensible debe ser autorizada
por el director del CSIRT-XX o su designado.
ASPECTOS LEGALES El CSIRT-XX cumplir con toda la legislacin nacional o poltica de la organizacin para res-
ponder a todas las peticiones de informacin por parte de terceros. Dichas solicitudes de
informacin deben hacerse por medio del departamento jurdico o el asesor del CSIRT-XX.
INFORMACIN DE Grupos de respuesta a incidentes
PEDIDOS
La cooperacin y el intercambio de informacin con otros grupos de respuesta a inciden-
tes son vitales para el funcionamiento y la supervivencia de CSIRT-XX y la comunidad na-
cional e internacional ms amplia de los equipos de respuesta a incidentes de seguridad
informtica. La mayor cantidad de informacin posible ser compartida con otros grupos
de respuesta, de acuerdo con esta poltica, mediante la evaluacin de cada caso de forma
individual y con el permiso del director de CSIRT-XX o su designado.
Prensa
por el portavoz designado de CSIRT-XX, con la aprobacin previa del director de CSIRT-XX
o su designado. Cuando sean contactados por un representante de la prensa, todos los
miembros del CSIRT-XX trasladarn las solicitudes al portavoz, lo que indica que no estn
autorizados a divulgar informacin y no revelarn ninguna informacin en ninguna cir-
cunstancia, independientemente de la clasificacin de la informacin en cuestin.
COMUNICADO Cuando sea necesario, la informacin confidencial ser divulgada de tal manera que evite
DE PRENSA DE el acceso a esta por un tercero no autorizado.
INFORMACIN
SENSIBLE
91
 ANNEXES
Formatos de respuesta a incidentes
1 Defacement Incident Response Form

92 93
 ANNEXES
2 Unit Linux Intrusion Detection Incident Response Form

UNIX LINUX INTRUSION DETECTION INCIDENT RESPONSE FORM UNIX LINUX INTRUSION DETECTION INCIDENT RESPONSE FORM
INFORMATION FOR ANALYSIS

GENERAL INFORMATION
Run the following commands and save the results to a TXT file.
FOLIO:
Command Description
Name: Position:
Identification of the operating system

Office: Contact Phone No: uname -a Provides: Name, version, date and time of
installation

Institutional e-mail: Personal e-mail (optional): hostname Name of equipment

lscpu Kernel information

Date and Time of Report:
Agent of the Case or Incident: lsb_release a Displays distribution and system version

RedHat: cat /etc/redhat-release
Brief description of the facts:

date Current date and time of the system (option u
shows universal time zone)
who -b Date and time the system was started

df h Hard drive information

hdparm [/dev/DISCO]

dmes | grep hd
GENERAL INFORMATION OF THE COMPROMISED EQUIPMENT
fdisk -l List of partitions per disk (root)
Operating
System: Hard Drive Capacity:
free o m State of RAM and SWAP memory

smbclient L nom-equipo See which shared resources are on the
RAM Capacity: Network Interfaces (add IP addresses): equipment
Red Hat: net l share S nom-
equipo
Kernel Version: Time Zone of the Compromised System:

dumpe2fs -h /dev/sda1 | grep Date of operating system installation (root)

created
Additional Information: The install.log file provides information on when
ls -lct /etc/ | tail -1 | awk '{print the OS was installed
$6. $7, $8}'

Red Hat: install.log

Mount Devices mounted on the system

1 2

94 95
 ANNEXES
UNIX LINUX INTRUSION DETECTION INCIDENT RESPONSE FORM UNIX LINUX INTRUSION DETECTION INCIDENT RESPONSE FORM

df lsof -i Files open on the network (root)

Red hat: /etc/mtab findsmb NetBIOS configurations

/proc/mounts /etc/resolv.conf DNS Servers

RAM extraction User Information

dd if=/dev/mem of=direc- Generates a copy of RAM memory cat /etc/passwd List of users registered in the system
destino
w Active users in the system
objdump [Binario] Obtains information of a binary
last Last users that used the system
fsstat -f linux-ext2 General image information
[RutaImagen.dd] cat /etc/passwd User files, groups and passwords (to view them
you should have administrator privileges)
Xxd [Imagen] General image information cat /etc/group

Creacin de Imagen cat /etc/shadow

dd Clones partitions or hard drives whoami Current system user

EnCase Forensic tool that helps create images

FTK Imager Forensic tool, helps create images

Information of applications and services 1. Copy the file records listed below (when applicable) to a TXT file:
/var/log/auth.log (for Operating System: DEBIAN, UBUNTU, LINUX MINT)
ps -fe System processes (option -fe is used for
standard syntaxes) /var/log/secure (for Operating System: RED HAT, FEDORA, CENTOS)
/var/log/httpd/error.log (for Operating System: RHEL, RED HAT, CENTOS and FEDORA)
dpkg -l Installed applications and updates
/var/log/mysqld.log (for Operating System: RED HAT, RHEL, CENTOS, FEDORA)
Red Hat: rpm -qa

service --status-all See system services For Operating System: DEBIAN and UBUNTU:
/etc/log/apache2/acceses.log
/var/log/mysql.log
Network Information /var/log/mysqld.error.log
ifconfig -a Network Interfaces, IP addresses, netmask and /usr/local/uce/server/logs/audit.log
gateway
/usr/local/uce/server/logs/error.log
netstat -nap Active connections list on the system /home/nombredeusuario/.mozilla/firefox/archivo_aleatorio.default/places.sqlite
arp -a Relation of IP with MAC Address

Iptables L Firewall configuration (root)

2. Additional Information (optional):
Red Hat: /etc/sysconfig/iptables

/etc/sysconfig/ip6tables

3 4

96 97
 ANNEXES
3 Information Leak Incident Response Form

UNIX LINUX INTRUSION DETECTION INCIDENT RESPONSE FORM INFORMATION LEAK INCIDENT RESPONSE FORM
4.- Send the TXT files generated via email to the account of your countrys incident response
team along with this form, indicating the email subject as intrusion detection in Unix Linux
GENERAL INFORMATION
incident folio: XXX where XXX is the folio assigned to this incident.
FOLIO:

Name: Position:

Office: Contact Phone No:

Institutional e-mail: Personal e-mail (optional):


Date and Time of Report:
Agent of the Case or Incident:


Brief description of the facts:

GENERAL INFORMATION OF THE COMPROMISED DOMAIN (IF APPLICABLE)

Operating
System: Hard Drive Capacity:

RAM Capacity: Network Interfaces (add IP addresses):

Kernel Version: Time Zone of the Compromised System:


Additional Information:

5 1

98 99
 ANNEXES
4 Phishing Incident Response Form

INFORMATION LEAK INCIDENT RESPONSE FORM PHISHING INCIDENT RESPONSE FORM

INFORMATION FOR ANALYSIS

GENERAL INFORMATION

1. Put the URL where the compromised information is posted: FOLIO:

Name: Position:

Office: Contact Phone No:
2. Take a screenshot of the website posting the extracted information and save it as a jpg file.

Institutional e-mail: Personal e-mail (optional):


Date and Time of Report:
Agent of the Case or Incident:


3. Additional incident information (optional): Brief description of the facts:

4.- Send the information via email to the account of your countrys computer security incident

response team along with this form, indicating the email subject as information leak incident
folio: XXX where XXX is the folio assigned to this incident. (who provides the folio number) GENERAL INFORMATION OF THE COMPROMISED DOMAIN

Operating
System: Hard Drive Capacity:

RAM Capacity: Network Interfaces (add IP addresses):

Kernel Version: Time Zone of the Compromised System:


Additional Information:

2 1

100 101
 Referencias

1. Centro Criptolgico Nacional: Gua de Creacin de

un CERT/CSIRT (CCN-STIC-810): Espaa, 2011.

2. CERT Program at the Software Engineering Institute:

FIRST Site Visit Requirements and Assessment: Esta-
PHISHING INCIDENT RESPONSE FORM dos Unidos, Carnegie Mellon University, 2013.

3. CERT Program at the Software Engineering Institute
INFORMATION FOR ANALYSIS CMU: Best Practices for National Cyber Security:
Building a National Computer Security Incident
1. Put the URL of the apocryphal site: Management Capability: Estados Unidos, Carnegie
Mellon, 2011.

4. CERT/CC: CMU Creating and Managing CSIRTs: Esta-

dos Unidos, Carnegie Mellon, 2004.
If the fake site is hosted on one of your servers, compress the files in the directory where the
phishing site was mounted (phishing kit) on a file with .zip extension entering the password 5. Charles W. L. HILL y Gareth R. JONES: Administracin
phishing2014. estratgica. Un enfoque integrado. Santa F de Bo-
2. If you have access to the server that was breached to put the fake site, save your web server got: McGraw Hill Interamericana S.A., 1996.
logs (at least two days before the incident was registered and two days after, if applicable) to a
TXT file and compress them with a .zip extension and enter the password phishing2014.
6. ENISA: Good Practice Guide for Incident Manage-
ment: Unin Europea, ENISA, 2010.

3. Write the handler and the database version, if applicable: 7. Baseline Capabilities of National/Governmental
CERT: Unin Europea, ENISA, 2012.

8. Georgia Killcrece et al: Organizational Models

for Computer Security Incident Response Teams
4. If the phishing arrived via a fake email, store the email headers and forward the phishing email (CSIRT). Estados Unidos, Carnegie Mellon, 2003.
(if applicable) to the email account of your national incident response team.
9. Jack Fleitman: Negocios exitosos: Mxico, Interamer-
5. Additional Information (optional):
icana McGraw Hill, 2000.

6.- Send the information gathered as attachments via email to the account of your national 10. Moira J. West-Brown, et al: Handbook for Computer
CERT along with this form, indicating the email subject as phishing incident folio: XXX where Security Incident Response Team. Estados Unidos,
Carnegie Mellon, 2003.
XXX is the folio assigned to this incident.

11. Orin Aramayo: Manual de planificacin estratgica.

Chile, Universidad de Chile, 2009.

12. Rubn Aquino Luna et al: Manual de gestin de

incidentes de seguridad informtica. AMPARO y
LACNIC.

102 103
 Notas finales

1. Gua de Buenas Prcticas en la Gestin de Inci-
dentes (2010).
http://www.enisa.europa.eu/act/cert/support/inci-
dent-management/files/good-practice-guide-for-in-
cident-management.
2. Gua de Creacin de un CERT/CSIRT (CCN-STIC-810)
del Centro Criptolgico Nacional de Espaa.
3. Baseline Capabilities of National/Governmental
CERTs: Unin Europea, ENISA, 2012.
4. Gua de Creacin de un CERT/CSIRT (CCN-STIC-810)
del Centro Criptolgico Nacional de Espaa.
5. CERT Program at the Software Engineering Institute
CMU: Best Practices for National Cyber Security.
6. John M. Bryson, en su artculo Stakeholder Identifi-
cation and Analysis Techniques.
7. Handbook for Computer Security Incident Response
Team: Carnegie Mellon University.
8. Charles W. L. Hill y Gareth R. Jones, Administracin
estratgica: Un enfoque integrado. Santa Fe de Bo-
got: McGraw Hill Interamericana S.A.
9. Handbook for Computer Security Incident Response
Team: Estados Unidos, Carnegie Mellon, 2003.
13. Home, Centro Criptolgico Nacional de Espaa,
visitada el 21 de diciembre de 2015, https://www.
ccn.cni.es/.
14. Handbook for Computer Security Incident Response
Team: Estados Unidos, Carnegie Mellon, 2003.
15. Organizational Models for Computer Security
Incident Response Teams (CSIRT): Estados Unidos,
Carnegie Mellon, 2003.
16. Manual de gestin de incidentes de seguridad in-
formtica: AMPARO y LACNIC.
17. Manual de gestin de incidentes de seguridad in-
formtica. AMPARO y LACNIC.
18. http://www.enisa.europa.eu/activities/cert/support/
guide2/internal-management/structure
19. CMU Creating and Managing CSIRT: EE.UU., Carne-
gie Mellon, 2004.
20. Es comn que los servicios de soporte se apoyen
en los departamentos financieros, de comunicacin
y legales de la institucin que alberga el CSIRT.
21. Instituto de gestin de proyectos PMBOK.

10. Negocios exitosos: Mxico, Interamericana McGraw

Hill, 2000

11. Orin Aramayo, Manual de Planificacin Estratgica,

Universidad de Chile.

12. Handbook for Computer Security Incident Response

Team: Estados Unidos, Carnegie Mellon, 2003.

104
Secretario General
Luis Almagro Lemes

Secretario General Adjunto

Nestor Mendez

BUENAS PRCTICAS
PARA EL ESTABLECIMIENTO DE UN CSIRT NACIONAL

Secretario Ejecutivo del Comit Interamericano Contra el Terrorismo

Alfred Schandlbauer

Desarrollado por
Ignacio Lagomarsino
Santiago Paz

Coordinacin de Proyecto
Diego Subero
Belisario Contreras

Editores
Pablo Martinez
Kerry-Ann Barrett
Robert Fain
Barbara Marchiori
Geraldine Vivanco

Contribuidores
Brian Dito
Yezyd Donoso
Luis Fuentes
Gonzalo Garcia-Belenguer
Jos Mara Gmez de la Torre
Catalina Lillo
Raul Millan
Emmanuelle Pelletier
Francisco Javier Villa

Departamento de Seguridad Nacional de los Estados Unidos

Polica Federal de Mxico
A B C D