Documente Academic
Documente Profesional
Documente Cultură
Aviso importante
-
niones o polticas de la OEA, de sus Estados miembros ni de las
organizaciones colaboradoras. Esta gua ha sido puesta a conside-
racin de diferentes expertos internacionales en seguridad ciber-
ntica y miembros de la Red Hemisfrica de CSIRT de la OEA; y est
sujeta a actualizaciones peridicas.
Abril de 2016
Secretara General de la Organizacin de los Estados Americanos (OEA)
1889 F Street, N.W., Washington, D.C., 20006
Estados Unidos de Amrica
www.oas.org/cyber/
A B C D
Un equipo de respuesta a incidentes en seguridad informtica
(CSIRT por sus siglas en ingls) es una organizacin cuyo prop-
sito principal consiste en brindar servicios de respuesta a inci-
dentes de seguridad informtica a una comunidad en particular.
A B C D
Contenido
Direccin 68
Definicin 12
Operaciones 68
mbitos de actuacin de los CSIRT 14 Investigacin y Desarrollo 69
El papel de un CSIRT nacional 16 Tecnologa de Informacin 69
Partes interesadas 17
Requisitos de formacin 70
Constitucin 28
Seguridad ciberntica general 72
Documento de constitucin 29 Capacitacin en respuesta
Marco institucional 34 a incidentes en seguridad ciberntica 72
Estructuras organizacionales 46
Tamao de la organizacin 47 3 CIERRE
Funciones y responsabilidades 48
Finalizacin formal de las actividades 85
Estructura organizacional 50
Tamao y cantidad de recursos 56
ANEXOS
Esta gua analiza varios tipos de CSIRT, entre ellos los CSIRT a nivel nacional, que
responden a incidentes a nivel estado-nacin. Por lo general, estos monitorean y
responden a incidentes en las redes gubernamentales y tambin sirven como un
coordinador de seguridad de la informacin para el sector privado u otros secto-
res e instituciones. Y pueden o no prestar servicios de respuesta a incidentes a
usuarios finales o al sector privado.
Todos los aspectos relacionados con los CSIRT, similares a la seguridad de la infor-
macin en s misma, requieren del amplio entendimiento de una serie de diferen-
tes disciplinas, aparte de la tecnologa. Tambin incluyen temas adicionales como
la gestin de recursos humanos, los procesos legales, la planificacin financiera,
las adquisiciones y muchas otras. La supervisin y la gestin de proyectos son
particularmente importantes en la creacin y el despliegue de los CSIRT, ya que
necesitan funcionar de una manera estructurada, gradual y estratgica durante
las fases de planificacin, que requiere la colaboracin entre los diversos grupos
de inters.
Cada pas tiene una estructura poltica, una cultura, una geografa, un marco jur-
dico y recursos diferentes. En virtud de lo anterior, esta gua no pretende estable-
cerse como una plantilla definitiva, sino ms bien como un documento que pueda
adaptarse a las condiciones locales, cuando sea necesario.
8 9
1
PLANIFICACIN
1 PLANIFICACIN
A B C D
1
PLANIFICACIN
A Definicin
Qu es un CSIRT?
Tradicionalmente se define un CSIRT como un equipo o una entidad dentro de un
organismo que ofrece servicios y soporte a un grupo en particular 02 (comunidad ob-
jetivo) con la finalidad de prevenir, gestionar y responder a incidentes de seguridad
de la informacin. Estos equipos suelen estar conformados por especialistas multi-
disciplinarios que actan segn procedimientos y polticas predefinidas, de manera
que respondan, en forma rpida y efectiva, a incidentes de seguridad, adems de
coadyuvar a mitigar el riesgo de los ataques cibernticos.
Con el paso del tiempo, el concepto de CSIRT evolucion para lograr satisfacer el au-
mento de servicios requeridos por la comunidad. Los primeros equipos prestaban
servicios para responder a ataques e incidentes bsicos, pero ms recientemente
algunos CSIRT se han propuesto seguirles el paso a unos adversarios ms grandes
y ms nebulosos, ofreciendo asesoramiento en el anlisis de riesgos, los planes de
continuidad de negocio, el anlisis de malware y muchas otras reas. A la hora de
ampliar la oferta de servicios de un CSIRT, ENISA recomienda incluir el anlisis fo-
rense y la gestin de vulnerabilidades. Nuevamente, el nivel y el tipo de servicios
que se ofrecen sern diferentes en funcin de a quin servir el CSIRT y cules sern
sus mandatos.
Los equipos que surgieron principalmente para responder a incidentes han evolu-
cionado y ahora con frecuencia estn orientados a ser un modelo integral de ges-
tin de seguridad de la informacin. En efecto, mientras que el alcance de los CSIRT
se limitaba en gran medida a prestar servicios de respuesta, hoy en da cada vez
ms adoptan una postura proactiva. Se centran en la prevencin y en la deteccin
de incidentes, lo que logran por medio de una mezcla de habilidades y formacin
de la conciencia, alertas y monitoreo, as como de la difusin de informacin rela-
cionada con seguridad de la informacin, el desarrollo de planes de continuidad de
negocio, y el desarrollo de documentos de mejores prcticas y de anlisis de vulne-
rabilidades, entre otros.
12 A B C D 13
1
PLANIFICACIN
mbitos de actuacin de los CSIRT
CSIRT GUBERNAMENTALES
14 A B C D Definicin 15
1
PLANIFICACIN
El papel de un CSIRT nacional Partes interesadas
Un CSIRT se compone de personas cuyo trabajo es preve- para realizar una respuesta, o de lo contrario puede su-
nir y responder a incidentes de seguridad informtica. Por pervisar de forma remota la gestin de incidencias me- Para planificar la creacin de un CSIRT nacional, el primer
supuesto, el nivel y el tipo de respuesta efectuada por un diante la coordinacin con las partes interesadas. paso que debe dar el equipo consiste en identificar a las
CSIRT particular dependern de muchos factores. partes interesadas.
Como se ha descrito anteriormente, un CSIRT nacional ac-
Una analoga frecuentemente referenciada, propuesta ta como punto de encuentro a nivel internacional de un Como se explic anteriormente, el principal rol de un
inicialmente por la Universidad Carnegie Mellon, pre- pas. Por ejemplo, si un CSIRT del pas A detecta un trfico CSIRT nacional es coordinar a las partes interesadas del
senta una comparacin entre los CSIRT y un cuerpo de malicioso procedente de un banco en el pas B, le enviar pas en actividades de respuesta a incidentes de ciberse-
bomberos. Segn lo explicado por el Manual de CSIRT de una comunicacin al CSIRT nacional del pas B, que lue- guridad. Por este motivo, es fundamental que se identifi-
CMU, de la misma manera que un equipo de bomberos go adelantara directamente las gestiones para abordar la quen claramente quines son las partes interesadas.
responde a una emergencia de incendio, un CSIRT debe fuente del trfico malicioso y as resolver el problema. En
responder y gestionar la solucin a un incidente infor- este ejemplo, tambin es importante tener en cuenta que, Las partes interesadas son las personas o las organizacio-
mtico. An ms, la analoga seala que adems de sus adems de la recepcin de la solicitud por parte del CSIRT nes que se vern afectadas de alguna manera por la im-
funciones de respuesta, los bomberos realizan activida- A, el CSIRT B coordinara el proceso de respuesta a inci- plementacin de un CISRT nacional. Estas partes tendrn
des como educacin, anlisis de riesgos o promocin dentes que debera realizarse en el interior de sus propias diferentes niveles de inters en el proyecto, un determi-
de regulaciones, actividades preventivas que los CSIRT partes interesadas. Estas son funciones de suma importan- nado rol en el ciclo de vida del CSIRT nacional y un deter-
tambin llevan a cabo. Por ltimo, los bomberos suelen cia en un CSIRT nacional: actuar como punto de contacto minado nivel de poder sobre la ejecucin del proyecto y el
investigar cmo y por qu ocurri un incendio con el fin del pas a nivel internacional en materia de seguridad ciber- funcionamiento del CSIRT.
de evitar que suceda de nuevo, que es una funcin rea- ntica y coordinar y llevar a cabo actividades de respuesta a
lizada por casi todos los CSIRT, independientemente de incidentes de seguridad informtica a nivel nacional. Una vez identificadas las partes interesadas, se pueden
su clasificacin. clasificar segn su rol, su responsabilidad y su inters ha-
Al establecer un CSIRT, los funcionarios a menudo se cen- cia la iniciativa del CSIRT. Con esto se trazar una estrate-
Como se mencion anteriormente, un CSIRT puede tener tran nicamente en las capacidades de respuesta a inci- gia para comprometerse con ellas y gestionarlas.
diferentes formas de organizacin: puede ser una institu- dentes tcnicos en lugar de contemplar asuntos ms ge-
cin independiente, privada o pblica, un departamento nerales de la organizacin. Para asegurar que se aborden Aunque se puedan identificar otros, las principales partes Las partes interesadas son las personas o
de otra organizacin o simplemente un grupo de perso- ambos objetivos principales de los CSIRT nacionales, una interesadas05 en actividades de seguridad ciberntica son:
las organizaciones que se vern afectadas
nas distribuidas en diferentes organizaciones. parte importante de esta gua se dedica a la planificacin y
al desarrollo de un modelo para un CSIRT nacional. de alguna manera por la implementacin
Cada CSIRT define cmo desarrollar sus actividades. Pue- de un CISRT nacional.
de que tenga que trasladarse a la escena de un incidente
16 A B C D Definicin 17
1
PLANIFICACIN
tienen una amplia gama de responsabilidades relaciona-
das con el uso de esta red y el alojamiento web. Son ac-
tivos crticos en el mantenimiento de la seguridad de la
Poder Ejecutivo del Estado Fuerzas del orden informacin y la respuesta a los incidentes de seguridad Sociedad civil
ciberntica. La cooperacin de los ISP es clave para el fun-
El gobierno participa como parte interesada en varios Las fuerzas del orden deben garantizar que se implemen- cionamiento del CSIRT, especialmente cuando se necesita La sociedad civil incluye asociaciones profesionales, orga-
papeles. Procesa informacin altamente sensible para el te la legislacin sobre delincuencia ciberntica en un pas. hacerles modificaciones a las redes de Internet, tener pla- nizaciones sin nimo de lucro y grupos de usuarios, entre
pas: de sus ciudadanos y de los sectores de seguridad p- La Polica realiza investigaciones sobre delitos cibernticos nes de contingencia o identificar amenazas y vulnerabili- otros. Estos grupos reunirn a perfiles especficos de tcni-
blica (finanzas, defensa, salud y educacin, entre otros). y a menudo hace el enlace con un CSIRT nacional en este dades. cos y profesionales y tambin proporcionarn formacin y
Debido a la importancia de la informacin que maneja, el sentido. Pueden proporcionar informacin valiosa sobre orientacin; y pueden ayudar con los esfuerzos de sensi-
gobierno necesita mantener sus sistemas seguros y suele actividad ciberntica maliciosa y cooperar con los organis- bilizacin. A menudo son socios estratgicos influyentes.
ser el principal cliente de un CSIRT nacional ya que pue- mos policiales de otros pases. Los organismos encarga-
de ser vctima de un ataque que tendra consecuencias dos de hacer cumplir la ley a menudo cuentan con una
potencialmente graves. unidad de delito ciberntico especializado con los procedi-
mientos y las herramientas necesarias para obtener prue- Sector privado
Igualmente, los gobiernos son responsables de la regula- bas de ataques cibernticos.
cin y de la generacin de leyes, normas y otras iniciati- El sector privado participa desde dos puntos de vista. Grupos especializados nacionales
vas de importancia nacional. En este sentido, el gobierno Por un lado, estn las empresas privadas que operan en e internacionales
es un instrumento muy importante para las actividades sectores crticos para el Estado. Su compromiso tendra
de regulacin para la prevencin de incidentes de segu- consecuencias negativas para la economa, la seguridad Pueden existir grupos especializados como CSIRT particu-
ridad ciberntica. El gobierno tiene la responsabilidad de pblica o la seguridad nacional. Por otro lado, estn las lares o especficos a nivel local e internacional, en foros
determinar los niveles de riesgo aceptables en los secto- Ministerio de Defensa muchas empresas que fabrican y desarrollan tecnologas internacionales, como el Foro de Equipos de Respuesta
res antes mencionados, incluyendo los relacionados con utilizadas en TI y seguridad de la informacin. Las empre- a Incidentes y de Seguridad (FIRST), o en organizaciones
incidentes informticos. As, el gobierno acta tanto a la En muchos pases, el Ministerio de Defensa administra la sas que operan infraestructuras crticas sern los clientes multilaterales que realizan actividades de seguridad ciber-
manera de un patrocinador como de un promotor CSIRT. informacin valiosa o sensible del pas. Adems, supervi- clave, a menudo convirtindose en socios de confianza ntica, como la OEA.
sa los asuntos de defensa ciberntica, lo que lo convierte con los que se coordinar estrechamente la respuesta a
en un socio clave en las operaciones del CSIRT y la res- incidentes. Mientras tanto, los fabricantes de tecnologa Todos los interesados desempearn papeles ligeramen-
puesta a incidentes. colaboran en la formacin, el soporte, las actualizaciones y te diferentes en la creacin, el desarrollo y la operacin de
los parches de vulnerabilidad. En ambos casos, es esencial un CSIRT nacional. Se pueden agrupar ms o menos en
la interaccin con ellos. funcin de sus contribuciones:
Poder Legislativo del Estado
Patrocinadores o promotores
Adems de ser un cliente en el sentido de que el CSIRT Personas u organizaciones que promueven la existencia
nacional puede proteger sus redes y su informacin, la Academia de un CSIRT nacional y lo apoyarn poltica y econmica-
legislatura crea leyes que promueven la seguridad de la mente.
informacin, establece lmites para un CSIRT y es tambin La comunidad acadmica tiene mucho que aportarle a un Sector financiero
un socio estratgico clave. CSIRT. Por un lado, a menudo es el sector de facto que Clientes
encabeza los esfuerzos para el desarrollo de recursos hu- Se puede subdividir el sector financiero en varios subgru- Organizaciones que utilizarn los servicios del CSIRT
manos y la capacitacin de jvenes en distintas facetas de pos, entre ellos: bancos, bancos centrales (o reguladores), nacional.
la informacin y seguridad informtica. Tambin puede casas de bolsa y de cambio. Cada uno de estos sectores
realizar investigaciones en las mismas reas. Es un socio tiene requisitos particulares, como socios, clientes, e inclu- Proveedores
clave en todo el ciclo de vida de un CSIRT nacional. so patrocinadores. Organizaciones que ofrecen productos o servicios al
Poder Judicial del Estado CSIRT nacional, tales como herramientas, servicios profe-
sionales, formacin, etctera.
Adems de fortalecer los aspectos legales de la criminali-
zacin de los delitos cibernticos, las instituciones judicia- Socios estratgicos
les proporcionan claridad en las reas de la ley que pue- Personal u organizaciones que son estratgicos para
dan afectar a las operaciones del CSIRT. En este sentido, es Proveedores de servicios de Internet el buen desarrollo del CSIRT. En general, estos aliados
una parte interesada clave. ejecutan actividades de inters para el CSIRT que este no
Los Proveedores de Servicios de Internet (ISP por sus si- puede realizar por s solo. Un ejemplo podra ser el mun-
glas en ingls) les permiten a los gobiernos, las empresas do acadmico o los reguladores de sectores especficos.
y los ciudadanos conectarse y utilizar Internet. Como tales,
18 A B C D Definicin 19
1
PLANIFICACIN
Influyentes
CLIENTES
PROVEEDORES
CIBERSEGURIDAD
PATROCINADORES O PROMOTORES
SOCIOS ESTRATGICOS
ACTORES INFLUYENTES
Es importante identificar el papel de cada parte interesada, con un ISP o con una fuerza del orden probablemente se
teniendo en cuenta que esto definir el modo en que un guiar por contratos o acuerdos oficiales. Las asociaciones
CSIRT la involucrar. La relacin entre el CSIRT y cada uno de con instituciones de la sociedad civil o del gobierno, por
sus grupos de inters ser diferente y por lo tanto implicar otro lado, pueden ser ms informales, aunque no menos
un estilo distinto de interaccin. Por ejemplo, la colaboracin importantes.
20 A B C D Definicin 21
1
PLANIFICACIN
ISP PRIVADO A ISPS ISPS ISP PRIVADO A
EMPRESA PRIVADA A MINISTERIO DE DEFENSA
ISP PBLICO ISP PBLICO
EMPRESA PRIVADA B MINISTERIO DE ECONOMA
CIBERSEGURIDAD CIBERSEGURIDAD
PODER EJECUTIVO
FISCALA ACTORES INFLUYENTES PODER EJECUTIVO
POLICA
POLICA GRUPO DE USUARIOS LINUX FISCALA
FISCALA
FISCALA INVESTIGADORES DE LA UNIVERSIDAD MINISTERIO DE TECNOLOGA
...
partes interesadas debe consistir en una sesin preliminar - tiempo, son los destinatarios de servicios CSIRT ya que pue-
a las partes interesadas de lluvia de ideas seguida de entrevistas informativas. da a categorizar los actores nominados en cada grupo. den convertirse en vctimas de un incidente de seguridad
ciberntica o ataque ciberntico. Las agrupaciones pueden
Como se explic anteriormente, los interesados pueden El diagrama anterior muestra un ejemplo de un mapa dividirse a su vez en subgrupos, como se ve a continuacin:
- agruparse de acuerdo con el papel que van a desempear. mental en la mitad del proceso de organizacin.
yecto CSIRT deber conformar un pequeo equipo que re- El primer paso es hacer una lista de los diferentes grupos. Por ltimo, se generar una lista de las partes interesadas
presente una variedad de intereses y de organizaciones. Lo Se pueden utilizar mapas mentales como una herramienta Como se ve en el diagrama, una parte interesada puede ocu- y sus roles en un documento formal.
anterior asegurar que haya mltiples perspectivas y espe- para ordenar esta informacin, lo que ayudar al equipo del par varias funciones simultneamente. Esta situacin suele
cializaciones en el proceso de seleccin y participacin de proyecto a visualizar la informacin fcilmente. presentarse tanto dentro del gobierno como en el sector Esta lista deber contener cada uno de los grupos involu-
los interesados. Si es posible, en un esfuerzo por preservar privado, la academia y la sociedad civil. El ejemplo ms claro
la objetividad, debe haber al menos una persona del equipo Los diagramas de abajo muestran la estructura inicial de un de esto se observa en el interior de un ISP y el gobierno.
que sea ms neutral, o no necesariamente una parte de la - Estos grupos son socios estratgicos sin los cuales sera casi
cin de las partes interesadas. imposible establecer y operar un CSIRT nacional. Al mismo
22 A B C D 23
1
PLANIFICACIN
Entrevistas con las partes interesadas
Qu otras organizaciones
o individuos cree usted que
deberan participar?
24 A B C D Definicin 25
1
PLANIFICACIN
Anlisis de las partes interesadas
ALTA INFLUENCIA
mero consiste en establecer una escala del nivel de apoyo
para el proyecto de la parte interesada, basado en las en- Mantenerlos satisfechos Gestionarlos de cerca
trevistas, por ejemplo, mediante la definicin de tres nive-
les simples de apoyo: se opone a la iniciativa; es neutral; o Los interesados solo deben mantenerse Los interesados con altos niveles de in-
apoya la iniciativa. satisfechos. Como no tienen mucho inters ters o de influencia deben mantenerse
en el proyecto, pueden sobrecargarse fcil- al tanto de todas las novedades y deben
El segundo mtodo consiste en establecer un mapa de mente si se les da demasiada informacin o participar de forma continua. Aunque este
cuadrantes en que la parte interesada en cuestin ser tareas. El equipo del proyecto CSIRT no pue- grupo de inters tenga una visin negativa
clasificada de acuerdo con el nivel de inters en el proyec- de exigirle demasiado a este grupo. del proyecto, debe ser gestionado de cer-
to y el nivel de influencia que tiene sobre este. ca debido a su capacidad para impedir el
trabajo del CSIRT.
Una vez que las partes interesadas se encuentran en sus
respectivos cuadrantes, habr un mapa claro de cmo
gestionar a cada uno con eficacia. En este punto hay un
mapa con los interesados identificados, su inters en el
proyecto, su actitud hacia dar apoyo a la iniciativa, ya sea
buena o mala, y su nivel de influencia. Las partes interesa-
das pueden ser gestionadas usando los diagramas prece-
dentes.06
BAJA INFLUENCIA
Una vez que el proceso de identificacin y anlisis de las
partes interesadas ha terminado, usted tendr una lista
Slo monitorearlos Mantenerlos informados
estructurada de todas las partes interesadas, de sus res-
pectivas funciones, niveles de inters en el proyecto, y su Las partes interesadas que tienen poco in- Las partes interesadas que tienen un gran
actitud hacia ella, as como cada una de sus capacidades ters y poca influencia en el proyecto solo inters en el proyecto, pero baja capaci-
para influir en el CSIRT. En ltima instancia, esta informa- deben ser monitoreadas. No hay mucho que dad de influencia, deben ser informados.
cin ser til para permitir que el equipo del proyecto ganar o perder por parte de este grupo, ya Al mismo tiempo, evitar darles responsa-
identifique las fuentes de asistencia, financiacin, aseso- sea positivo o negativo. bilidades crticas porque no tienen poder
ramiento o cualquier otro elemento beneficioso para el para influir materialmente. Sin embargo,
desarrollo del CSIRT. Al mismo tiempo, se revelarn los son aliados fiables.
potenciales clientes insatisfechos o instituciones que po-
dran complicar las actividades del CSIRT.
26 A B C D Definicin 27
1
PLANIFICACIN
Documento de constitucin
B Constitucin
Para crear un CSIRT es necesario definir el marco que El marco institucional de un CSIRT establecer su confi-
guiar y regir el funcionamiento del equipo. El marco guracin. Un CSIRT puede constituirse como una empresa
o documento de constitucin cubrir, entre otros, los si- independiente para proporcionar servicios en el mbito pri-
guientes aspectos:07 vado, como una unidad dentro de una organizacin pblica
o privada para prestar servicios internos o externos, o como
Entrada Herramientas Salida
La naturaleza y los objetivos del CSIRT. una organizacin en s misma que no depende de ningn
La comunidad objetivo (gobierno, sector privado, o grupo o entidad en particular. Esta gua se centrar en una
ambos). estructura organizativa para un CSIRT nacional.
Un CSIRT nacional debe identificar claramente su misin y Por ltimo, es probable que sea necesario un marco le-
- Documento de constitucin
- Mesas de trabajo su visin. Estos dos aspectos no solo servirn de gua a los gal para proteger el CSIRT y sus operaciones, teniendo en
- Equipo del proyecto - Misin y visin
moderadas que trabajan en el equipo, sino que servirn como referencia cuenta que un equipo de respuesta con responsabilidades a
- Documento de involucrados - Marco institucional
- Consultas a expertos a cualquier persona que reciba sus servicios o colabore con nivel nacional se ocupar de muchos temas sensibles, posi-
- Marco legal
l. En resumen, la misin y el objetivo son las razones por las blemente con implicaciones en la seguridad nacional, la eco-
cuales existe el CSIRT. noma macro, o la seguridad pblica. Esta gua presentar
y analizar los pros y los contras de varios tipos de marcos
legales para un CSIRT nacional.
28 A B C D Definition 29
1
PLANIFICACIN
Misin y objetivo
30 A B C D Constitucin 31
1
PLANIFICACIN
Visin Metodologa propuesta para la definicin de la misin y la visin
La visin establece la direccin, en el largo plazo, que La visin est estrechamente relacionada con la cultura de Dado que la misin y la visin definen la perspectiva del
tomar la organizacin y cmo espera ser vista por los cada nacin, y el CSIRT puede incorporar ciertos rasgos de CSIRT en el mediano y largo plazo, es importante que estas
externos, sean clientes, pares o sponsors. Se refiere a la un pas, como la reputacin, la eficiencia, la fiabilidad, la partes del plan del CSIRT cuenten con el apoyo de buena par-
reputacin de la organizacin y su propsito en el futuro. eficacia, la rendicin de cuentas y la innovacin. Sin em- te, sino con el total, de los grupos de inters identificados en Cul considera usted que es
La visin establece la ruta que tomar la organizacin a bargo, la visin es importante, no solo para los actores el captulo anterior. En este sentido, es til formar un grupo
el propsito principal de un
largo plazo y sirve para guiar las decisiones estratgicas.10 externos, sino tambin para las operaciones reales de un de trabajo compuesto por una pluralidad de partes interesa-
CSIRT nacional?
Bill Gates expuso una de las ms famosas visiones TIC de CSIRT u organizacin, ya que establecer los valores de la das para determinar estos dos componentes crticos de un
todos los tiempos, que se caracteriza por su claridad, su organizacin11. La visin de una organizacin no debera plan de CSIRT. Los delegados del grupo de trabajo deben ser
Qu necesidades cubrira?
brevedad y la ambicin: Una computadora personal en cambiar con el tiempo. designados por su alta direccin para asegurar que los pro-
cada escritorio. ductos finales tienen la autoridad y la aprobacin oficial de
A quines debera darles
Estos son ejemplos de visiones de algunos de los CSIRT las instituciones participantes. Al mismo tiempo, el nmero
nacionales en la regin. de representantes que componen el equipo de redaccin
servicio?
debe ser lo suficientemente pequeo para que el progreso
sea eficiente y que participen solo aquellos con el mayor in-
Qu tipo de servicios
ters e influencia en el proyecto. ofrecer?
Una vez que se elabora una lista adecuada de partes inte- Qu consideraciones
resadas, se deben establecer varios grupos de trabajo para restringiran sus
trabajar de forma independiente en la misin y en la visin. operaciones?
Visin del VenCERT | Venezuela NCCIC | USA Vision Una persona actuar como moderador, y una variedad de
preguntas ayudar a los asistentes a lo largo de la discusin. Qu metas o factores de
Los servicios del VenCERT permitirn proteger La visin del NCCIC es una infraestructura ciber- xito deben considerarse
y garantizar la defensa y la seguridad de la ntica y de comunicaciones segura y resistente Al igual que en la redaccin de la misin, para la creacin para el CSIRT nacional?
nacin, as como la suprema vigilancia de los que apoya la seguridad nacional, una economa de la visin, los moderadores pueden plantear preguntas
intereses generales de la Repblica, la conser- vibrante y la salud y la seguridad del pueblo para guiar a los delegados.
vacin de la paz pblica y la recta aplicacin de estadounidense. En el esfuerzo para lograr esta
la ley en todo el territorio nacional, conforme visin, el NCCIC har lo siguiente: Despus de recoger las opiniones de los participantes, el
a las competencias establecidas en la Constitu- moderador ayudar con la redaccin para finalizar declara-
cin de la Repblica Bolivariana de Venezuela, Se centrar en la coordinacin proactiva de ciones claras y concisas. Una vez completado este paso, los
para el Poder Pblico Nacional. la prevencin y la mitigacin de las amenazas resultados deben ser distribuidos a un grupo ms amplio Cmo espera que sus
cibernticas y de telecomunicaciones que de partes interesadas. Tambin es importante documen- clientes/la comunidad vean al
representan el mayor riesgo para la nacin. tar el proceso y asegurar que se tomen las actas en todas CSIRT nacional?
Buscar la integracin operativa de todo el las reuniones que indiquen claramente cmo se llevaron a
pas mediante al abordaje y la profundiza- cabo las actividades y quines participaron en ellas. Qu valores espera que este
cin de la participacin de sus socios para inspire?
gestionar las amenazas, las vulnerabilidades
y los incidentes. En qu sentido ayudar a
Romper las barreras tecnolgicas e ins- Los delegados del grupo de trabajo deben mejorar la calidad de vida
CERTuy Vision | Uruguay titucionales que impiden el intercambio cola- ser designados por su alta direccin para de las personas? Por qu?
borativo de informacin, conocimiento de la
Ser un centro de respuesta a incidentes en situacin y la comprensin de las amenazas
asegurar que los productos finales tienen Cmo?
seguridad informtica confiable y un referente y de su impacto. la autoridad y la aprobacin oficial de las
Cmo se adaptar el
a nivel nacional y regional. Mantendr una disposicin constante para instituciones participantes. CISRT nacional a los
responder de inmediato y de manera eficaz a
todos los incidentes cibernticos y de telecomu-
cambios de tecnologa y de
nicaciones que afecten la seguridad nacional. administracin?
Servir a las partes interesadas como un Una vez terminado, se utilizarn la misin y la visin du-
centro nacional de excelencia y experiencia rante el ciclo de vida del CSIRT nacional. Cmo conseguir destacarse
en materia de seguridad ciberntica y de en su entorno?
telecomunicaciones.
Proteger la privacidad y los derechos cons-
titucionales del pueblo norteamericano en la
realizacin de su misin.
32 A B C D Constitucin 33
1
PLANIFICACIN
Marco institucional Metodologa para la creacin del marco institucional
El marco institucional del CSIRT nacional es clave para Responsabilidades Una vez establecidos los grupos de inters, la misin y la
su creacin y su funcionamiento a lo largo de su ciclo de Autoridad visin, el equipo del proyecto debe identificar dnde se es-
vida. Como se indic anteriormente, se pueden configu- Interaccin con los interesados tablecer el CSIRT nacional. El equipo debe estar ubicado
rar CSIRT nacionales de diferentes maneras, pero tendrn Recursos financieros en una institucin que
rasgos en comn. Es importante que el pas adopte una Recursos humanos
estructura CSIRT que se ajuste a sus realidades legales, Infraestructura tenga la capacidad de establecer o influenciar polticas
polticas y culturales. Resiliencia relacionadas con seguridad de las TIC a nivel nacional;
resida lo suficientemente cerca de los ms altos niveles
El marco institucional de un CSIRT nacional establecer las Un CSIRT nacional con una funcin de coordinacin debe de gobierno para que pueda contar con su apoyo cuan-
directrices para las siguientes consideraciones: estar ubicado en una oficina u organismo que tiene con- do sea necesario;
tacto e influencia con una gama de partes interesadas. De sea capaz de obtener financiacin;
lo contrario, ser difcil de ejecutar y comunicar el trabajo tenga jurisdiccin y autonoma apropiada cuando sea
del equipo de respuesta. Al igual que con la mayora de las necesario.
cosas que se describen en esta gua, la ubicacin del CSIRT
depender de la estructura de su gobierno. En Amrica Debido al carcter transversal de los temas con los que
Latina, los CSIRT se encuentran en una variedad de ins- trabaja un CSIRT, se formar un grupo multidisciplinario
tituciones. En Brasil, Panam y Uruguay, por ejemplo, los para determinar dnde se ubicar el CSIRT. Debe estar
equipos estn en los rganos ejecutivos bajo la Presiden- compuesto de expertos en:
cia. En Colombia y en Per, los Ministerios de Defensa y de
Seguridad manejan la respuesta nacional a incidentes. Sin Seguridad informtica y respuesta a incidentes.
embargo, en otros pases como Paraguay, el CSIRT opera Polticas pblicas en tecnologa y telecomunicaciones.
desde el Ministerio de Tecnologa. Que un equipo forme Seguridad y defensa nacional.
parte del gobierno no debe, de ninguna manera, impe- Ley pblica.
dirle el intercambio de informacin y de estrategias con Marco legal.
el sector privado y con otros actores. De hecho, muchos
CSIRT forman comits o juntas directivas compuestas por En funcin de las instituciones gubernamentales del pas,
selectos actores que debaten y discuten las decisiones el equipo del proyecto debe recomendar:
clave que enfrenta el equipo de respuesta. Mientras que
algunos CSIRT aceptan las decisiones de sus comits como Si el CSIRT ser una organizacin independiente, cuyo
obligatorias, otros los utilizan simplemente como un foro nico propsito es ser un CSIRT nacional, o una divisin
para el debate y la colaboracin, y la decisin final la tiene dentro de otra organizacin.
en ltima instancia el equipo. Si el CSIRT ser exclusivamente una organizacin esta-
tal o incluir la participacin del sector privado, la aca-
Un aspecto a menudo pasado por alto a la hora de esta- demia o la sociedad civil.
blecer un CSIRT es la financiacin. Parece obvio, pero un Si hay participacin de terceros, exactamente cmo se
equipo nacional de respuesta a incidentes sin una fuente llevar a cabo y cul ser el modelo de negocio asociado.
constante de financiacin no podr funcionar ms all del Cmo se ver la estructura de financiacin de la orga-
corto plazo. Por esta razn, mientras que asegurar finan- nizacin y cmo se asegurar?
ciacin semilla o inicial es fundamental, el equipo del pro- Cmo se formar el comit de direccin/coordinacin
yecto debe tambin hacer proyecciones de cunto dinero y qu facultades tendr?
ser necesario, despus de asegurados los costos inicia-
les, para financiar el sostenimiento del equipo12. Igual que con otros procesos, las discusiones deben ser
anotadas con el fin de promover la transparencia y au-
mentar el apoyo de los grupos de inters. Las recomenda-
ciones finales acordadas por este grupo de trabajo, junto
con la misin y la visin, se unificarn en un solo docu-
mento, que luego ser revisado por expertos legales para Debido al carcter transversal de los
establecer su aplicacin.
temas con los que trabaja un CSIRT, se
formar un grupo multidisciplinario para
determinar dnde se ubicar el CSIRT.
34 A B C D Constitucin 35
1
PLANIFICACIN
Marco legal
ColCERT | Colombia
Qu instrumento se utilizar
para el marco institucional?
Legislacin, decretos o
resoluciones?
Resolucin de Jefatura
de Gabinete de Ministros 580/2011
36 A B C D Constitucin 37
1
PLANIFICACIN
Comunidad objetivo
- Anlisis de requerimientos
- Documento de constitucin
de servicios - Comunidad objetivo
- Misin
- Consulta a expertos - Definicin de servicios
- Visin
- Anlisis de recursos
38 A B C D Definition 39
1
PLANIFICACIN
Modelos de autoridad con la comunidad objetivo Servicios
Varios modelos de autoridad vinculan el CSIRT con su comu- Los servicios de un CSIRT estn fuertemente relacionados
- con su misin, la comunidad objetivo y el conocimiento,
ciones del CSIRT cuando se enfrenta a un incidente ocurrido las habilidades y las capacidades de los recursos humanos Servicios proactivos
en su comunidad. a su disposicin.
Hay cuatro tipos de autoridad comunes que un CSIRT puede Estos servicios pueden ser proporcionados en su totalidad Servicios
ejercer sobre su comunidad:13 por personal de CSIRT, con la asistencia de las partes inte- de monitoreo y alertas
resadas, o por medio de otros actores con los que el CSIRT Monitoreo externo.
tiene acuerdos, como empresas de software o hardware. Monitoreo interno.
En cada caso, el CSIRT debe evaluar la mejor manera de Desarrollo de herramientas
ofrecer el servicio en una situacin dada, dependiendo de de seguridad.
la disponibilidad de recursos y de la especializacin. Reportes y alertas de
seguridad
Servicios de investigacin
y desarrollo
En cada caso, el CSIRT debe evaluar la Auditoras de seguridad.
mejor manera de ofrecer el servicio en Escaneo de vulnerabilidades.
Escaneo de artefactos
una situacin dada, dependiendo de maliciosos.
la disponibilidad de recursos y de la Monitoreo de tecnologa.
Anlisis de artefactos.
especializacin. Anlisis forense.
Autoridad completa Autoridad compartida
El CSIRT tiene autoridad para realizar todas La toma de decisiones frente un inciden-
las acciones necesarias inherentes a la ges- te es conjunta entre los miembros de la Los servicios prestados por el CSIRT suelen agruparse en
tin de un incidente, y los miembros de la comunidad afectada. El CSIRT apoya a los tres tipos: servicios reactivos, servicios proactivos y servi- Servicios reactivos
comunidad estn obligados a implantar las actores involucrados en un incidente y cola- cios de valor agregado.14
medidas propuestas por el CSIRT. bora con los equipos y con experticia. Gestin de incidentes
Respuesta a vulnerabilidades
40 A B C D Alcance 41
1
PLANIFICACIN
Servicios reactivos Servicios proactivos
Los servicios reactivos son los servicios ms importantes Estos servicios tienen como objetivo mejorar los procesos
que ofrece un CSIRT. En esencia, los servicios reactivos de infraestructura y de seguridad de la comunidad obje-
responden a los incidentes de seguridad ciberntica que tivo para prevenir incidentes de seguridad o reducir su
ocurren en la comunidad del CSIRT o en su propia infraes- impacto cuando se producen. Los principales tipos de ser-
tructura. Se puede brindar una respuesta derivada de una vicios proactivos consisten en la realizacin del seguimien-
solicitud de asistencia. Los principales tipos de servicios to, la distribucin de alertas y el ofrecimiento de servicios
reactivos son la gestin de incidentes, la respuesta de la de investigacin y desarrollo.
vulnerabilidad y la respuesta a artefactos.
3 Tercer nivel
Servicios avanzados
Servicios bsicos
Servicios intermedios
Servicios intermedios +
Evolucin a SOC de
servicios de monitoreo y
Servicios bsicos alertas.
Servicios bsicos + Evolucin a laboratorio
de investigacin y Entrada Herramientas Salida
Monitoreo y alertas desarrollo.
Gestin de incidentes. (segundo nivel). Incorporacin de
Respuesta a Investigacin y servicios de investigacin
vulnerabilidades. desarrollo y desarrollo de tercer
Respuesta a artefactos. (segundo nivel). nivel. - Misin - Anlisis de estructuras
Monitoreo y alerta - Visin de CSIRT - Organigrama
(primer nivel). - Comunidad objetivo - Recursos materiales - RRHH
- Servicios disponibles
Investigacin y
desarrollo
(primer nivel).
44 A B C D Alcance 45
1
PLANIFICACIN
Estructuras organizacionales Tamao de la
organizacin
Existen cuatro estructuras CSIRT principales15 16: La estructura organizativa de un CSIRT, como cual-
quier organizacin, depende precisamente de lo
que har y cmo pretende lograr sus objetivos. Al-
gunas de las preguntas que deber responder el ge-
rente de proyecto del CSIRT para determinar cmo
se organizar el equipo son:
Equipo de seguridad Equipos de respuesta Equipo
localizada a incidentes distribuidos coordinador
Esta es la estructura CSIRT menos formal. La teora Grandes organizaciones con infraestructuras de TI Este modelo es similar al modelo de equipos de
que sustenta el equipo de seguridad sencillo es distribuidas geogrficamente o varias unidades de respuesta distribuidos, pero a nivel de centros de Qu servicios quiero ofrecer
que los eventos de seguridad se resuelven con el negocios en particular a menudo adoptan estructu- respuesta. La diferencia es que el coordinador de y en qu momentos?
personal existente en las organizaciones. Los miem- ras de respuesta a incidentes distribuidos. Estos se centro de respuesta no necesariamente tiene que
bros del equipo de seguridad no son necesariamen- componen de un centro de respuesta integral dividi- intervenir en las gestiones de otros equipos coor- Qu tan grande es la
te especialistas en respuesta a incidentes o seguri- do en varios equipos, uno de los cuales coordina las dinados. comunidad objetivo?
dad de la informacin; pueden ser administradores actividades de los dems. Las funciones de respuesta
de sistemas, bases de datos o tienen conocimientos a incidentes se dividen segn el rea de conocimien- Este tipo de modelo surge de la necesidad de los Cul es la distribucin
especializados en los diversos componentes o pro- to de cada equipo, en funcin de la ubicacin geogr- centros de respuesta de interactuar de forma coor-
geogrfica de mi comunidad
ductos que intervienen en los sistemas de TI como fica donde se producen los incidentes, o en funcin dinada para lograr un objetivo comn, o generar si-
objetivo?
cortafuegos y routers, entre otros. En la mayora de del sector de la comunidad objetivo afectado. nergias entre los centros de sectores similares o re-
los casos, el equipo de seguridad no tendr todos los giones, empresas o agencias de un mismo gobierno.
conocimientos y la experiencia necesaria para llevar El papel del equipo de coordinacin es esencial para
a cabo operaciones de seguridad slidas. Por ejem- garantizar unos procedimientos de respuesta efecti- Su principal funcin es la de coordinar la eficacia
plo, puede resolver un incidente, mas no determinar vos y estandarizados, mantener estadsticas de inci- de la respuesta y la interaccin mediante la coor-
su causa, y as deja a la organizacin expuesta a ser dentes, aumentar la sinergia y promover el trabajo dinacin de gestiones y colaboracin, proporcionar El lugar donde est ubicado el CSIRT tambin ser
explotada de nuevo. La naturaleza de un equipo colaborativo por medio del intercambio de las mejo- anlisis de incidentes y de vulnerabilidades, boleti- determinante en la forma en que se estructurar.
de seguridad por lo general impide la aplicacin de res prcticas y lecciones aprendidas y cmo asignar nes de noticias, estadsticas y documentacin de las Asimismo, vale la pena mencionar que su modelo
mejores prcticas, investigacin y desarrollo, moni- adecuadamente los recursos de seguridad. mejores prcticas, entre otras. organizativo, junto con los servicios que ofrezca, po-
toreo y actividades de alerta de seguridad. dr cambiar en el tiempo.
Otra de las funciones vitales del equipo coordina- Es importante tener en cuenta que con el fin de
dor es facilitar la interaccin y la cooperacin entre definir el modelo de CSIRT por implementar, es
los equipos. esencial analizar los servicios que desean ofrecer.
Ciertos modelos de CSIRT no son adecuados para
la prestacin de algunos de los servicios antes men-
Equipo de respuesta a cionados, en particular los servicios que requieren
incidentes centralizado recursos permanentes.
En esta estructura hay un solo equipo responsable de Es importante definir el tipo de modelo de CSIRT
la gestin y respuesta de incidentes de seguridad por por implementar, ya que esto tendr una conse-
medio de una serie de ubicaciones que pertenecen cuencia directa sobre el tamao de la organizacin.
a una organizacin ms grande. Este modelo sera
apropiado, por ejemplo, en una empresa. Esta estruc-
tura es apropiada para organizaciones cuya infraes-
tructura de TI no est dispersa geogrficamente.
46 A B C D Organizacin y RRHH 47
1
PLANIFICACIN
Funciones y responsabilidades
Direccin estratgica del centro. Clasifica y prioriza los eventos. Gestiona y mantiene la infraestructura de Canal de comunicacin autorizado con la
Supervisa a todo el equipo. Asigna casos a personal tcnico. red del CSIRT. prensa.
Entrevista y contrata a nuevos miembros Ayuda en la respuesta a incidentes en casos
del equipo. relacionados a redes.
Asiste a las sesiones del consejo asesor de
seguridad.
Da soporte a la Direccin. Analiza incidentes, monitoreo, registro y Administra y mantiene los sistemas del Acceso a repositorios seguros de
Lidera el equipo en las actividades diarias. respuesta. CSIRT. informacin.
Asigna deberes y tareas. Coordina respuesta a incidentes. Asiste en la respuesta a incidentes cuando
Conduce la gestin de claves. Colabora con otros grupos de respuesta o se necesita experticia en sistemas.
Autoriza los permisos de acceso a la tcnicos para resolver un incidente. Gestiona el acceso a la informacin.
informacin.
48 A B C D Organizacin y RRHH 49
1
PLANIFICACIN
.
Estructura organizacional
Como se mencion anteriormente, los servicios iniciales re-
comendados para un CSIRT nacional son la gestin de inci-
dentes, la gestin de vulnerabilidades, el monitoreo del sis-
tema, la publicacin de alertas y la formacin.
Direccin
Operaciones TI I&D
Servicios de apoyo
50 A B C D Organizacin y RRHH 51
MILITARY
1
LEGESLATIVE
PLANIFICACIN
CLOSELY Bajo este modelo, cada rea es responsable de las siguientes tareas:
NICATION
ORK
NT
DIANS
La Direccin del CSIRT estable- El rea de Operaciones es la Investigacin y Desarrollo es el La seccin de TI implementa y Los servicios de apoyo que
ce principalmente las lneas de parte crtica del CSIRT. Aqu es rea del CSIRT que implementar administra todos los sistemas que supervisan la gestin de prensa,
la organizacin y lleva a cabo la donde se realiza la gestin de las funciones secundarias de los controlan y manejan el correo las consideraciones legales y la
planificacin estratgica. Tambin incidentes, el monitoreo y el an- equipos, como el desarrollo de electrnico, pgina web, servidor administracin y las finanzas son
establece acuerdos de coopera- lisis de incidentes. Puede tomar herramientas, la realizacin de cur- de archivos, el sistema de gestin esenciales para el funcionamiento
cin con otras organizaciones y algn tiempo para que el rea de sos de formacin y la investigacin de tickets, la supervisin del siste- de cualquier CSIRT. Estas activi-
sirve de enlace con el Comit Di- Operaciones comience a recibir de nuevas tendencias y amenazas ma, la red y los servidores de se- dades deben tenerse en cuenta
rectivo CSIRT. El director del CSIRT un gran nmero de incidentes a de la seguridad ciberntica. El rea guridad del CSIRT. Al igual que el en un CSIRT nacional, aunque
tambin acta como portavoz a la medida que se dan a conocer tan- de I+D estar ocupada desde el ini- departamento de I+D, la seccin pueden ser subcontratados o
prensa. to el CSIRT como los servicios que cio del CSIRT ya que estar a cargo estar ocupada desde el principio provistos externamente.18
les ofrece a los mandantes. de la mayor parte de la planifica- con la implementacin y el ajuste
cin, la capacitacin y el desarrollo de la arquitectura del CSIRT.
de cualquier solucin necesaria
elaborada internamente. Esta rea
trabajar en estrecha colaboracin
con el rea de TI.
52 A B C D Organizacin y RRHH 53
1
PLANIFICACIN
A medida que el equipo de respuesta madura, es probable que cree nuevas reas y funciones. Con servicios adicionales, el diagrama de flujo del CSIRT sera:
Entre las posibles reas nuevas estn:
Direccin
Auditora
Esta rea, que puede estar bajo Si la hoja de ruta del servicio Si el objetivo es establecer servi- Gestin
la Direccin o de I+D, llevar a indica que tiene un centro de cios de apoyo para la implemen- de seguridad
Operaciones TI I&D Capacitacin
cabo las actividades forenses o el operaciones de seguridad, se tacin de SGSI, se puede estable- de la
anlisis de malware y proporcio- puede crear una zona SOC, que cer un rea especfica para ello. informacin
nar servicios de investigacin a puede depender directamente de
otras reas. la Direccin o de Operaciones.
Formacin
A medida que crece el tamao del equipo, SOC Desarrollo
puede llegar a tener que incorporar un
departamento de auditora para verificar
si las polticas y los procedimientos en el
CSIRT se siguen de acuerdo con el nivel Laboratorios
Respuesta (malware,
Si el CSIRT y su comunidad obje-
deseado por la comunidad objetivo. a incidentes forensics)
tivo tienen suficientes solicitudes
para la formacin, se puede
establecer un departamento de
formacin dedicado.
Servicios de apoyo
54 A B C D Organizacin y RRHH 55
1
PLANIFICACIN
Tamao y cantidad de recursos Departamentos Personal
CSIRT
SATISFIED
Independientemente
INFORMED
de la posicin
MONITOR
que
MISSION VULNERABILITY
EVENT INCIDENT NETWORK
ocuparn, el personal debe tener una
ALERT amplitud
RESEARCH de conocimientos
VALUE a fin de evitar Investigacin 1 Lder 1 Lder
SYSTEM ASISTANT ASISTANT
y Desarrollo
puntos nicos de falla en el CSIRT. MIDDLE 1 Especialista tcnico 2 Especialistas en seguridad
NFRAESTRUCTURE COMMERCIAL GOVERMENT NATIONAL MILITARYMANAGEMENT SPEAKER CUSTODIANS
(analista/investigador,
custodio de registros)
NTERPRISE INPUT TOOLS OUTPUT LEGESLATIVE
MANAGEMENT
La tabla que sePROV.
muestra a FINANCIAL
MANAGEMENT
SERVICE
continuacin
MANAGEMENTes un ejemplo
TRIAGE de COMUNICATION
ECURITY EVOLUTION CIVIL CLOSELY
cmo un CSIRT que inicia con nueve personas puede dis-
tribuir sus roles y sus funciones. La informacin seINCIDENT
EVENT obtuvo NETWORK
NFORMED MONITOR MISSION
por medio de consultas con los CSIRT de laVULNERABILITY
regin, que si
bien varan en sus circunstancias y sus experiencias,
SYSTEM
sirven
ASISTANT ASISTANT
Operaciones 1 Lder 1 Lder
ESEARCH como modelos
VALUE para el xito.
ACADEMY INFRAESTRUCTURE COMMERCIAL GOVERMENT NATIONAL MILITARY
MIDDLE
server fax 1 Especialista tcnico 3 Especialistas en incidentes
MANAGEMENT SPEAKER CUSTODIANS
(clasificacin, triage, manejo)
PROVIDER ENTERPRISE INPUT TOOLS OUTPUT LEGESLATIVE
FINANCIAL
JUDICIAL SECURITY SERVICE PROV.
EVOLUTION Notas
CIVIL CLOSELY
MANAGEMENT TRIAGEcomputer COMUNICATION
MANAGEMENT shredder
SATISFIED INFORMED MONITOR MISSION Esta tabla se basa en las experiencias
VULNERABILITY
EVENT INCIDENT NETWORK adquiridas por medio de consultas
ALERT RESEARCH VALUE con algunos CSIRT en la regin Servicios 1 Abogado (apoyo legal) 1 Abogado (apoyo legal)
SYSTEM phone ASISTANT ASISTANT
storage (ningn CSIRT est estructurado de Apoyo20
COMMERCIAL
server GOVERMENT fax NATIONAL MILITARY exactamente igual; cada CSIRT 1 Reportero (comunicaciones) 1 Reportero (comunicaciones)
MIDDLE
MANAGEMENT SPEAKER CUSTODIANS es diferente en funcin de sus
INPUT TOOLS OUTPUT LEGESLATIVE necesidades o funciones particulares). 1 Analista financiero 1 Analista financiero
Algunas posiciones pueden ser
FINANCIAL
SERVICE PROV.
EVOLUTION
MANAGEMENT CIVIL
MANAGEMENT CLOSELY
MANAGEMENT TRIAGE asumidas por una misma persona.
COMUNICATION
computer
shredder
MONITOR MISSION VULNERABILITY
EVENT INCIDENT NETWORK
5
1
Implementar infraestructura tecnolgica.
Arranque de operaciones.
7
8 9
58 Cronograma 59
1
PLANIFICACIN
NOMBRE DURACIN COMIENZO FINAL PREDECESORES
OBTENER LAS CONSEGUIR CONTRATAR CAPACITAR ADQUIRIR IMPLEMENTAR
APROBACIONES INSTALACIONES RECURSOS RECURSOS INFRAESTRUCTURA INFRAESTRUCTURA
NECESARIAS HUMANOS HUMANOS TECNOLGICA TECNOLGICA 01 OBTENER LAS APROBACIONES NECESARIAS 60 DAS 08/25/14 11/14/14
DURACIN 60 DAS DURACIN 20 DAS DURACIN 40 DAS DURACIN 60 DAS DURACIN 40 DAS DURACIN 20 DAS
COMIENZO 08/25/2014 COMIENZO 11/17/2014 COMIENZO 12/15/2014 COMIENZO 02/09/2015 COMIENZO 05/04/2015 COMIENZO 06/29/2015
02 CONSEGUIR INSTALACIONES 20 DAS 11/17/14 12/12/14 01
FINAL 11/14/2014 FINAL 12/12/2014 FINAL 02/06/2015 FINAL 05/01/2015 FINAL 06/26/2015 FINAL 07/24/2015
01 02 03 04 05 06
04 CAPACITAR RECURSOS HUMANOS 60 DAS 02/09/15 05/01/15 v 03
DEFINIR POLTICAS,
PROCESOS Y 05 ADQUIRIR INFRAESTRUCTURA TECNOLGICA 40 DAS 05/04/15 06/26/15 04
PROCEDIMIENTOS
DURACIN 40 DAS
COMIENZO 05/04/2015
06 IMPLEMENTAR INFRAESTRUCTURA TECNOLGICA 20 DAS 06/29/15 07/24/15 05
FINAL 06/26/2015
09
08 EJECUTAR PLAN DE COMUNICACIN Y DISPERSIN 20 DAS 11/17/14 12/12/14 01
07 08 AGO- SEP - OCT NOV DIC ENE FEB MAR ABR MAY JUN JUL
COMIENZO
DE LA OPERACIN
01 02 03 04 05 06 07
DURACIN 0 DAS
COMIENZO 07/24/2015
09
10 07 08
Una vez que se completa una lista de actividades, estas de- Final a final: La finalizacin de una actividad sucesora cin de cada una de las actividades, que dependen de los Estimacin por analoga: En esta tcnica se busca in-
ben ser organizadas secuencialmente, teniendo en cuenta depende del final de la actividad predecesora. recursos disponibles para su ejecucin. Tambin puede formacin histrica de otros proyectos que hayan teni-
las dependencias que los vinculan. Una de las maneras ms Inicio a inicio: El inicio de la actividad sucesora depen- haber factores externos importantes para considerar en la do actividades similares y se utilizan los valores histri-
convenientes para formular y planear un proyecto, inclu- de del inicio de la actividad predecesora. determinacin del cronograma, incluidos plazos polticos, cos de las duraciones.
yendo las dependencias, es construir un diagrama utilizan- Inicio a final: La finalizacin de la actividad sucesora procesos de concesin de licencias, fechas de los cursos de Estimacin de tres valores: Se utilizan las tcnicas an-
do el Mtodo de Diagramacin de Precedencia (PDM por depende del inicio de la actividad predecesora. formacin impartidos, asignacin de recursos, etctera. teriormente mencionadas, pero en este caso se toman
sus siglas en ingls). tres valores para estimar: uno pesimista, uno optimista y
Durante esta etapa de planificacin, el equipo del proyec- Hay varias maneras de estimar la duracin de las activida- uno ms probable. Esta tcnica es muy utilizada cuando
El PDM utiliza nodos y flechas. Cada nodo representa una to deber examinar las actividades de paralelizacin para des necesarias para la implementacin de un CSIRT. A con- es complejo encontrar informacin histrica de caracte-
actividad que est conectada con otra por medio de flechas reducir el tiempo necesario de su implementacin. tinuacin se muestran tres: rsticas similares.21
que representan las dependencias. En PDM reconoce cua-
tro modos en que las actividades se relacionan: Un ejemplo de un diagrama de precedencia con las activi- Juicio de expertos: Con informacin de contexto el Finalmente se establece el diagrama del cronograma. A
dades mencionadas anteriormente podra ser el que sigue. equipo del proyecto puede consultar a expertos en la continuacin se muestra anteriormente un ejemplo del
Final a inicio: El inicio de una actividad sucesora de- materia, que pueden realizar la estimacin basados en diagrama de Gantt:
pende del fin de la predecesora. Por ltimo, una vez que est listo el PDM, se debe estable- su experiencia. Esta tcnica es muy simple y efectiva.
cer el cronograma. Esto requiere la estimacin de la dura-
60 Cronograma 61
1
PLANIFICACIN
Conclusin de la
planificacin preliminar
Misin y visin.
Marco institucional.
Marco legal.
Actas de reuniones.
Lista de servicios.
Estructura organizacional.
Estos documentos servirn como referencia y gua para el resto del proyecto; algunos
sern documentos formales firmados, mientras que otros solo sern documentos de
soporte.
62 Conclusin 63
1
PLANIFICACIN
2 EJECUCIN
64 A B C D Definition 65
2
IMPLEMENTATION
A
Seleccin de recursos
humanos
66 A B C D Definition 67
2
IMPLEMENTATION
GOVERMENT NATIONAL
ACADEMY MILITARY
INFRAESTRUCTURE COMMERCIAL GOVERMENT NATIONAL MILITARY
TOOLS OUTPUT
PROVIDER LEGESLATIVE
ENTERPRISE INPUT TOOLS OUTPUT LEGESLATIVE
FINANCIAL FINANCIAL
JUDICIAL SECURITY SERVICE PROV. CIVIL CLOSELY
EVOLUTION CIVIL CLOSELY EVOLUTION
MISSION SATISFIED
VULNERABILITY INFORMED MONITOR MISSION VULNERABILITY
FO RMAC IN F O R M A CI N F OR M A C I N F OR MA C I N
Requerido Ttulo Universitario en TI. Requerido Ttulo universitario en TI. Requerido Ttulo universitario en TI. Requerido Ttulo universitario o estudiante
server
Especializacin
fax
en Especializacin en Seguridad Conocimiento de desarrollo avanzado en TI.
Seguridad Ciberntica. Ciberntica. de sistemas, familiaridad con
al menos tres lenguajes de
programacin (Python, BashShell,
computer
shredder
Se valorar Cursos de especializacin y PHP, C++, Java, etctera).
experiencia en respuesta a
incidentes de seguridad ciberntica.
Se valorar Postgrado en Gerencia Se valorar Cursos de especializacin en Se valorar Cursos de especializacin
Cursos de especializacin en
phone (MBA, MMoTstorage o similar). seguridad ciberntica y respuesta a en seguridad ciberntica y
informtica forense u otra rea
Certificaciones en incidentes de seguridad ciberntica. respuesta a incidentes de
de seguridad ciberntica y
Seguridad Ciberntica Cursos de especializacin en seguridad ciberntica.
aseguramiento de informacin.
(CISSP, CISM, CISA o informtica forense. Cursos de gestin basados
Certificaciones en seguridad
similar). Certificaciones en seguridad en ITIL.
ciberntica (CISSP, CISM, CISA o
ciberntica (CISSP, CISM, CISA).
similar).
Requerido Ms de diez aos de Requerido Ms de cinco aos de Requerido Ms de cinco aos de Requerido Ms de tres aos de experiencia
experiencia en posiciones experiencia en posiciones experiencia en posiciones en posiciones tcnicas en
tcnicas en TI o Seguridad tcnicas en TI o seguridad tcnicas en TI, Desarrollo TI o como administrador de
Ciberntica. ciberntica. de proyectos y seguridad sistemas.
Ms de tres aos en ciberntica.
posiciones de gerencia de TI.
Se valorar Experiencia en respuesta Se valorar Experiencia en operaciones Se valorar Experiencia en investigacin y Se valorar Experiencia en organizaciones
a incidentes de seguridad y respuesta a incidentes de desarrollo. utilizando ITIL.
ciberntica. seguridad ciberntica. Experiencia en metodologas de Experiencia en metodologas de
Experiencia en posiciones Experiencia en metodologas de gestin giles. gestin giles.
similares. gestin giles. Experiencia en trabajo con Experiencia en trabajo con
Experiencia en administracin sistemas criptogrficos y PKI. sistemas criptogrficos (PKI,
de sistemas, soporte y trabajo en PGP).
organizaciones utilizando ITIL.
70 A B C D Definition 71
1
PLANIFICACIN
Seguridad ciberntica general Capacitacin en respuesta Cursos de anlisis
a incidentes en seguridad de malware y forense
ciberntica
Las organizaciones International Information Systems Instituciones con amplia experiencia en temas de respues- CMU y SANS son lderes mundiales en cursos sobre anli-
Security Certification Consortium (ISC) e Information Sys- ta a incidentes de seguridad ciberntica son la Universi- sis de malware y forense, as:
tems Audit and Control Association (ISACA) ofrecen algu- dad Carnegie Mellon (CMU) y el Instituto SANS.
nas de las certificaciones de seguridad ciberntica ms
respetadas y completas disponibles, en particular los t- CMU ofrece tanto cursos bsicos como avanzados de ma-
tulos otorgados abarcan el Profesional Certificado en la nejo de incidentes cibernticos. Los enlaces a estos cursos
Seguridad de Sistemas de Informacin (CISSP), el Gerente son los siguientes:
Certificado en la Informacin de Seguridad (CISM) y el Au-
ditor de Sistemas de Informacin Certificada (CISA). Para
ms detalle se puede consultar su sitio web:
(ISC) SANS
Advanced Computer Forensics
El Instituto SANS ofrece la certificacin en respuesta a in- and Incident Response, FOR 508
cidentes y una multitud de otros cursos relacionados con
SANS
la seguridad de la informacin, incluidos los que cubren
Advanced Network Forensics
tcnicas de hacking, explotacin y manejo de incidentes:
and Analysis, FOR 572
El Centro de Coordinacin CERT (CERT-CC) de la Univer-
sidad Carnegie Mellon tambin tiene excelentes cursos SANS
de seguridad ciberntica, incluyendo seguridad de la in- Reverse-Engineering Malware: Malware
formacin para el personal tcnico, muchos de los cuales Analysis Herramientas and Techniques,
estn disponibles por medio de su plataforma de apren- FOR610
dizaje en lnea.
Incident response
72 A B C D Requisitos de Formacin 73
2
IMPLEMENTATION
Instalaciones CSIRT
C
Instalaciones e Debido a la sensibilidad de la informacin con la que tra-
sus redes de datos y telecomunicaciones sern ceso a la informacin. Adems de asegurar la informacin
electrnica, el CSIRT mantendr un depsito de seguridad
Aire acondicionado y piso falso
(principalmente para el centro de datos).
diseadas orientadas a la proteccin no solo de la para almacenar informacin sensible no digital, fichas, dis- Sistemas de deteccin y extintores en las
cos duros y servidores, entre otros. salas comunes y en el centro de datos.
informacin confidencial recogida sino tambin de ilustracin
Sistemas redundantes (fuente de
el propio CSIRT, en lugar de tener que subcontratar instalaciones del CSIRT con el fin de evitar Mtodos para restringir el acceso fsico
esta actividad o almacenar la informacin fuera del el acceso no autorizado a los recursos y a a las distintas zonas
la informacin.
sitio o fuera del pas. Acceso controlado a:
El edificio (puertas y ventanas).
El piso.
Zonas comunes (Operaciones, Soporte
El siguiente diagrama muestra un ejemplo de un diseo Informtico, I+D, etctera).
de un CSIRT. El ejemplo debe servir como una gua para la Centro de datos.
creacin de las instalaciones de un CSIRT; sin embargo, los rea de Logstica.
pases pueden construir su modelo sobre la base de sus Proyectos futuros (laboratorio, sala de
necesidades y realidades logsticas. monitoreo).
74 A B C D Definition 75
2
IMPLEMENTATION
Plano de planta bsico
Diseo bsico de la red CSIRT
Internet
Internet
DMZ externa
DMZ Ext.
76 A B C D Instalaciones e infraestructura 77
2
IMPLEMENTATION
Equipo bsico sugerido
Sistemas de software CSIRT, que incluyen lo siguiente: El personal del CSIRT debe tener computadoras porttiles que se utilicen
exclusivamente para funciones de trabajo.
78 A B C D Instalaciones e infraestructura 79
2
IMPLEMENTATION
Polticas mnimas obligatorias Definicin de incidentes de
D
Polticas y procedimientos seguridad y poltica de eventos
Esta poltica describe los criterios que
80 A B C D Definition 81
1
PLANIFICACIN
3 CIERRE
82 A B C D Definition 83
3
CLOSURE
El cierre del proyecto se produce cuando toda la
informacin generada en el proceso de creacin del
CSIRT, incluida su integridad, es analizada y verificada.
Despus de que el proceso de cierre est completo, se
habr establecido formalmente el CSIRT nacional.
Lista de interesados.
Documentos de constitucin del CSIRT (misin, visin, servicios, etctera).
Documentos legales de la creacin del CSIRT.
Instalaciones fsicas, contratos de alquiler, etctera.
Recursos humanos contratados y capacitados.
Manual de operaciones con polticas y procedimientos.
Infraestructura tecnolgica y los respectivos contratos de soporte
Por ltimo, con toda la informacin generada, es esencial hacer un informe final que contenga:
Por ltimo, el informe final debe ser aprobado por el patrocinador del proyecto con el fin
de completar la fase de implementacin del CSIRT.
84 85
1
PLANIFICACIN
ANEXOS
86 A B C D Definition 87
ANNEXES
Muestra de la poltica de uso aceptable
hay acuerdo contractual. Adems, esto prohbe especficamente el uso de una cuenta de
OBJETIVO El propsito de esta poltica es establecer usos aceptables e inaceptables de los dispositi- correo electrnico que no ha sido proporcionada por el CSIRTxx para intercambiar infor-
vos electrnicos y recursos de red que pertenecen a CSIRT-XX. Se ha formulado para cum- macin propiedad de la CSIRTxx.
plir con las normas legales y ticas establecidas y se basa en la confianza, la integridad y
la transparencia de las actividades del CSIRT.
Activos informticos
El CSIRT-XX opera dispositivos de computacin, redes y otros sistemas de informacin
con el fin de llevar a cabo sus mandatos, sus objetivos y sus iniciativas. Todos estos dispo- Usted es responsable de garantizar la proteccin de los activos que le fueron asigna-
sitivos deben ser gestionados de manera responsable para mantener la confidencialidad, dos por CSIRT-XX. Esto incluye el uso de cables de bloqueo del computador y cualquier
la integridad y la disponibilidad de los activos de informacin que CSIRT-XX tiene en su otro dispositivo de seguridad. Computadores porttiles que se queden por la noche en el
poder o con los que trabaja. CSIRT-XX deben ser colocados en un cajn cerrado con llave o un armario. Cualquier robo
o prdida de equipo debe ser reportada a la administracin de CSIRT-XX inmediatamente.
Esta poltica requiere que los usuarios de los dispositivos y recursos de la red acepten y
cumplan con las polticas definidas, a fin de proteger el CSIRT-XX, su personal, sus opera- Todas las estaciones de trabajo y dispositivos personales deben asegurarse con un pro-
ciones y sus socios, de los daos y demandas. tector de pantalla protegido por contrasea, y usted debe bloquear la pantalla o cerrar
la sesin cuando est desatendida la estacin de trabajo o dispositivo. Por otra parte, la
funcin de bloqueo automtico se debe activar tal como se establece en el procedimien-
to de configuracin de estacin de trabajo. Cualquier dispositivo que se conecte a la red
ALCANCE Todos los empleados, contratistas, consultores, pasantes y otros que trabajan directa o CSIRT-XX debe cumplir con la poltica de acceso mnimo.
indirectamente en CSIRTXX, incluyendo todo el personal afiliado a terceros, deben cumplir
con esta poltica. Esta se aplica a los activos de informacin que son propiedad de o arren-
dados por CSIRT-XX, o a dispositivos que se conectan a la red del CSIRT-XX o que estn Uso de comunicaciones electrnicas e Internet
alojados en un sitio que pertenece al CSIRT-XX.
Usted es responsable de la seguridad y el uso adecuado de los recursos de red y de las
En circunstancias atenuantes, la administracin del CSIRT-XX puede aprobar excepcio- herramientas bajo su control. Queda terminantemente prohibida la utilizacin de los re-
nes que seran contrarias a esta poltica. Cualquier excepcin debe ser aprobada for- cursos que:
malmente por escrito e incluir una justificacin y una evaluacin de los posibles riesgos
de tal excepcin. causen un fallo de seguridad o violacin de uno o ms recursos de red CSIRT-XX;
causen una interrupcin del servicio a uno o ms recursos de red CSIRT-XX;
violen las disposiciones de la ley de derechos de autor;
violen las polticas de seguridad establecidas de las leyes locales;
DECLARACIN apoyen cualquier actividad ilegal, incluyendo la transmisin o ayuda en la transmisin
DE LA POLTICA Requerimientos generales de material que viole las polticas que protegen la informacin confidencial o de pro-
piedad; y
Como empleado de CSIRT-XX, usted es responsable de ejercer el buen juicio con respecto tergiversen, ofusquen, eliminen o sustituyan una identidad de usuario en cualquier
al uso apropiado de los recursos CSIRT-XX de conformidad con las polticas y los procedi- comunicacin electrnica con el fin de inducir a error al destinatario sobre quin es el
mientos establecidos por el CSIRT-XX. Los recursos CSIRT-XX no pueden ser utilizados con remitente.
fines ilcitos o que estn en violacin de la Poltica de tica de CSIRT-XX.
Por ltimo, usted debe ejercer buen juicio para evitar tergiversar o exceder su autoridad
en la representacin de las opiniones de los CSIRT-XX al pblico.
Cuentas del sistema
Usted es responsable de la seguridad de los datos, las cuentas y los sistemas bajo su
control. Mantenga contraseas seguras y no comparta su informacin de cuenta o con- IMPLEMENTACIN Un empleado que se encuentre en violacin de esta poltica o de cualquier otra poltica
trasea con nadie, incluyendo otros empleados, familiares o amigos. Facilitarle el acceso del CSIRT-XX estar sujeto a medidas disciplinarias, que pueden incluir el despido. Una
a otra persona, ya sea intencionalmente o debido a la falta de garantas de acceso, es una violacin de esta poltica por un empleado temporal, contratista o proveedor puede re-
violacin de esta poltica. Usted debe mantener un nivel de contrasea de usuarios y del sultar en la terminacin del contrato o cesin con CSIRT-XX.
sistema de acuerdo con las directivas de contrasea.
Usted debe asegurarse, por medios legales o tecnolgicos, que la informacin con la que
trabaja se mantiene bajo el control y la gestin de CSIRT-XX en todo momento. El almace-
namiento, el acceso o el uso de informacin confidencial en ambientes o aplicaciones ad-
ministradas por un tercero o no directamente operados o controlados por CSIRT-XX estn
prohibidos. Esto incluye los dispositivos que son mantenidos por terceros con los que no
88 89
ANNEXES
Poltica de divulgacin
OBJETIVO Definir qu informacin puede ser revelada a quin, cmo y en qu circunstancias, incluyen- Informacin incompleta/no terminada
do las partes interesadas, socios CSIRT, otros rganos del gobierno, o incluso otros miem-
bros del CSIRT-XX. La manera en que se comparta la informacin se har de acuerdo a su La informacin que se encuentra en borrador, y que no contiene informacin confiden-
nivel de clasificacin. cial, puede ser revelada individualmente siguiendo las directrices definidas para este fin.
DIVULGACIN INTERNA Dentro del equipo CSIRT-XX no habr limitaciones en la divulgacin ni en el intercambio
ALCANCE Toda la informacin en poder o generada por el CSIRT-XX. de informacin, a menos que se haga una peticin expresa por parte del director con
respecto a una accin especfica. Como parte de los requisitos operativos diarios, el CSIRT-
XX revelar cierta informacin a los miembros de la organizacin. Cualquier divulgacin
deber tener en cuenta los procedimientos establecidos de acuerdo con la clasificacin de
la informacin de que se trate; la divulgacin de informacin sensible debe ser autorizada
DECLARACIN Informacin pblica por el director del CSIRT-XX o su designado.
DE LA POLTICA
La divulgacin de informacin pblica est autorizada, aunque debe ser difundida por
medio de los canales establecidos y gestionada por las comunicaciones o la unidad de
asuntos pblicos de CSIRT-XX, y se har de acuerdo con los procedimientos de esa unidad. ASPECTOS LEGALES El CSIRT-XX cumplir con toda la legislacin nacional o poltica de la organizacin para res-
ponder a todas las peticiones de informacin por parte de terceros. Dichas solicitudes de
informacin deben hacerse por medio del departamento jurdico o el asesor del CSIRT-XX.
Informacin clasificada
La informacin clasificada solo podr ser divulgada cuando sea autorizada por el director
del CSIRT-XX o su designado. En todos los casos, se firmar un acuerdo de no divulgacin,
que establece que cualquier destinatario de informacin clasificada ser debidamente INFORMACIN DE Grupos de respuesta a incidentes
notificado de la clasificacin de la informacin que est recibiendo. PEDIDOS
La cooperacin y el intercambio de informacin con otros grupos de respuesta a inciden-
tes son vitales para el funcionamiento y la supervivencia de CSIRT-XX y la comunidad na-
Informacin clasificada de uso comunitario cional e internacional ms amplia de los equipos de respuesta a incidentes de seguridad
informtica. La mayor cantidad de informacin posible ser compartida con otros grupos
La informacin que es clasificada pero aprobada para su difusin dentro de la comuni- de respuesta, de acuerdo con esta poltica, mediante la evaluacin de cada caso de forma
dad es un tipo especial de informacin. Todas las consideraciones anteriormente men- individual y con el permiso del director de CSIRT-XX o su designado.
cionadas siguen siendo vlidas, salvo que la divulgacin que realizan ciertos miembros de
la comunidad objetivo sea autorizada por el director de CSIRT-XX.
Prensa
Informacin confidencial La comunicacin y el enlace con la prensa sern coordinados y realizados exclusivamente
por el portavoz designado de CSIRT-XX, con la aprobacin previa del director de CSIRT-XX
El CSIRT-XX y su personal no divulgarn informacin confidencial. Si, por razones opera- o su designado. Cuando sean contactados por un representante de la prensa, todos los
tivas, se hace necesario compartir informacin confidencial con terceros, usted deber miembros del CSIRT-XX trasladarn las solicitudes al portavoz, lo que indica que no estn
obtener el consentimiento del propietario de la informacin, que podr autorizar la di- autorizados a divulgar informacin y no revelarn ninguna informacin en ninguna cir-
vulgacin o no. Si el propietario lo autoriza, se le exigir al receptor firmar un acuerdo de cunstancia, independientemente de la clasificacin de la informacin en cuestin.
no divulgacin, ya sea proporcionado por el propietario de la informacin o por el CSIRT.
Informacin secreta COMUNICADO Cuando sea necesario, la informacin confidencial ser divulgada de tal manera que evite
DE PRENSA DE el acceso a esta por un tercero no autorizado.
En ningn caso el CSIRT-XX revelar informacin secreta por la ley. INFORMACIN
SENSIBLE
90 91
ANNEXES
Formatos de respuesta a incidentes
1 Defacement Incident Response Form
92 93
ANNEXES
2 Unit Linux Intrusion Detection Incident Response Form
UNIX LINUX INTRUSION DETECTION INCIDENT RESPONSE FORM UNIX LINUX INTRUSION DETECTION INCIDENT RESPONSE FORM
INFORMATION FOR ANALYSIS
GENERAL INFORMATION
Run the following commands and save the results to a TXT file.
FOLIO:
Command Description
Name:
Position:
Identification of the operating system
Office:
Contact
Phone
No:
uname -a Provides: Name, version, date and time of
installation
Institutional
e-mail:
Personal
e-mail
(optional):
hostname Name of equipment
lscpu Kernel information
Date
and
Time
of
Report:
Agent
of
the
Case
or
Incident:
lsb_release a Displays distribution and system version
RedHat: cat /etc/redhat-release
Brief
description
of
the
facts:
date Current date and time of the system (option u
shows universal time zone)
who -b Date and time the system was started
df h Hard drive information
hdparm [/dev/DISCO]
dmes | grep hd
GENERAL INFORMATION OF THE COMPROMISED EQUIPMENT
fdisk -l List of partitions per disk (root)
Operating
System:
Hard
Drive
Capacity:
free o m State of RAM and SWAP memory
smbclient L nom-equipo See which shared resources are on the
RAM
Capacity:
Network
Interfaces
(add
IP
addresses):
equipment
Red Hat: net l share S nom-
equipo
Kernel
Version:
Time
Zone
of
the
Compromised
System:
dumpe2fs -h /dev/sda1 | grep Date of operating system installation (root)
created
Additional
Information:
The install.log file provides information on when
ls -lct /etc/ | tail -1 | awk '{print the OS was installed
$6. $7, $8}'
1 2
94 95
ANNEXES
UNIX LINUX INTRUSION DETECTION INCIDENT RESPONSE FORM UNIX LINUX INTRUSION DETECTION INCIDENT RESPONSE FORM
dd if=/dev/mem of=direc- Generates a copy of RAM memory cat /etc/passwd List of users registered in the system
destino
w Active users in the system
objdump [Binario] Obtains information of a binary
last Last users that used the system
fsstat -f linux-ext2 General image information
[RutaImagen.dd] cat /etc/passwd User files, groups and passwords (to view them
you should have administrator privileges)
Xxd [Imagen] General image information cat /etc/group
Information of applications and services 1. Copy the file records listed below (when applicable) to a TXT file:
/var/log/auth.log (for Operating System: DEBIAN, UBUNTU, LINUX MINT)
ps -fe System processes (option -fe is used for
standard syntaxes) /var/log/secure (for Operating System: RED HAT, FEDORA, CENTOS)
/var/log/httpd/error.log (for Operating System: RHEL, RED HAT, CENTOS and FEDORA)
dpkg -l Installed applications and updates
/var/log/mysqld.log (for Operating System: RED HAT, RHEL, CENTOS, FEDORA)
Red Hat: rpm -qa
service --status-all See system services For Operating System: DEBIAN and UBUNTU:
/etc/log/apache2/acceses.log
/var/log/mysql.log
Network Information /var/log/mysqld.error.log
ifconfig -a Network Interfaces, IP addresses, netmask and /usr/local/uce/server/logs/audit.log
gateway
/usr/local/uce/server/logs/error.log
netstat -nap Active connections list on the system /home/nombredeusuario/.mozilla/firefox/archivo_aleatorio.default/places.sqlite
arp -a Relation of IP with MAC Address
/etc/sysconfig/ip6tables
3 4
96 97
ANNEXES
3 Information Leak Incident Response Form
UNIX LINUX INTRUSION DETECTION INCIDENT RESPONSE FORM INFORMATION LEAK INCIDENT RESPONSE FORM
4.- Send the TXT files generated via email to the account of your countrys incident response
team along with this form, indicating the email subject as intrusion detection in Unix Linux
GENERAL INFORMATION
incident folio: XXX where XXX is the folio assigned to this incident.
FOLIO:
Name:
Position:
Office:
Contact
Phone
No:
Institutional
e-mail:
Personal
e-mail
(optional):
Date
and
Time
of
Report:
Agent
of
the
Case
or
Incident:
Brief
description
of
the
facts:
GENERAL INFORMATION OF THE COMPROMISED DOMAIN (IF APPLICABLE)
Operating
System:
Hard
Drive
Capacity:
RAM
Capacity:
Network
Interfaces
(add
IP
addresses):
Kernel
Version:
Time
Zone
of
the
Compromised
System:
Additional
Information:
5 1
98 99
ANNEXES
4 Phishing Incident Response Form
4.- Send the information via email to the account of your countrys computer security incident
response team along with this form, indicating the email subject as information leak incident
folio: XXX where XXX is the folio assigned to this incident. (who provides the folio number) GENERAL INFORMATION OF THE COMPROMISED DOMAIN
Operating
System:
Hard
Drive
Capacity:
RAM
Capacity:
Network
Interfaces
(add
IP
addresses):
Kernel
Version:
Time
Zone
of
the
Compromised
System:
Additional
Information:
2 1
100 101
Referencias
3. Write the handler and the database version, if applicable: 7. Baseline Capabilities of National/Governmental
CERT: Unin Europea, ENISA, 2012.
6.- Send the information gathered as attachments via email to the account of your national 10. Moira J. West-Brown, et al: Handbook for Computer
CERT along with this form, indicating the email subject as phishing incident folio: XXX where Security Incident Response Team. Estados Unidos,
Carnegie Mellon, 2003.
XXX is the folio assigned to this incident.
102 103
Notas finales
1. Gua de Buenas Prcticas en la Gestin de Inci- 13. Home, Centro Criptolgico Nacional de Espaa,
dentes (2010). visitada el 21 de diciembre de 2015, https://www.
http://www.enisa.europa.eu/act/cert/support/inci- ccn.cni.es/.
dent-management/files/good-practice-guide-for-in-
cident-management. 14. Handbook for Computer Security Incident Response
Team: Estados Unidos, Carnegie Mellon, 2003.
2. Gua de Creacin de un CERT/CSIRT (CCN-STIC-810)
del Centro Criptolgico Nacional de Espaa. 15. Organizational Models for Computer Security
Incident Response Teams (CSIRT): Estados Unidos,
3. Baseline Capabilities of National/Governmental Carnegie Mellon, 2003.
CERTs: Unin Europea, ENISA, 2012.
16. Manual de gestin de incidentes de seguridad in-
4. Gua de Creacin de un CERT/CSIRT (CCN-STIC-810) formtica: AMPARO y LACNIC.
del Centro Criptolgico Nacional de Espaa.
17. Manual de gestin de incidentes de seguridad in-
5. CERT Program at the Software Engineering Institute formtica. AMPARO y LACNIC.
CMU: Best Practices for National Cyber Security.
18. http://www.enisa.europa.eu/activities/cert/support/
6. John M. Bryson, en su artculo Stakeholder Identifi- guide2/internal-management/structure
cation and Analysis Techniques.
19. CMU Creating and Managing CSIRT: EE.UU., Carne-
7. Handbook for Computer Security Incident Response gie Mellon, 2004.
Team: Carnegie Mellon University.
20. Es comn que los servicios de soporte se apoyen
8. Charles W. L. Hill y Gareth R. Jones, Administracin en los departamentos financieros, de comunicacin
estratgica: Un enfoque integrado. Santa Fe de Bo- y legales de la institucin que alberga el CSIRT.
got: McGraw Hill Interamericana S.A.
21. Instituto de gestin de proyectos PMBOK.
9. Handbook for Computer Security Incident Response
Team: Estados Unidos, Carnegie Mellon, 2003.
104
Secretario General
Luis Almagro Lemes
BUENAS PRCTICAS
PARA EL ESTABLECIMIENTO DE UN CSIRT NACIONAL
Desarrollado por
Ignacio Lagomarsino
Santiago Paz
Coordinacin de Proyecto
Diego Subero
Belisario Contreras
Editores
Pablo Martinez
Kerry-Ann Barrett
Robert Fain
Barbara Marchiori
Geraldine Vivanco
Contribuidores
Brian Dito
Yezyd Donoso
Luis Fuentes
Gonzalo Garcia-Belenguer
Jos Mara Gmez de la Torre
Catalina Lillo
Raul Millan
Emmanuelle Pelletier
Francisco Javier Villa