Diseno de Un CSIRT Colombiano

DISEÑO DE UN CSIRT DE COLOMBIA PARA LA ESTRATEGIA GOBIERNO EN LÍNEA
ÁREA DE INVESTIGACIÓN Y PLANEACIÓN

© República de Colombia - Derechos Reservados
Bogotá, D.C., Diciembre de 2008

INFORME FINAL PARA LA CONSTITUCIÓN DE UN CSIRT
COLOMBIANO – MODELO DE SEGURIDAD – ESTRATEGIA DE
GOBIERNO EN LÍNEA
FORMATO PRELIMINAR AL DOCUMENTO
MANUAL PARA LA CONSTITUCIÓN DE UN CSIRT COLOMBIANO

Título: SISTEMA DE GESTIÓN DE CALIDAD
PROGRAMA AGENDA DE CONECTIVIDAD
Fecha elaboración
2008-12-04
aaaa-mm-dd:
Corresponde a los entregables No. 12 y 13, primero y segundo avance del
Sumario:
CSIRT.
Palabras Claves: CSIRT, Seguridad de la información, Incidentes
Formato: Lenguaje: Castellano
Dependencia: Dirección de planificación e investigación
Código: Versión: 2 Estado: En elaboración
Categoría:
Proyecto Diseño de modelo SGSI
Autor (es): para la estrategia de Gobierno en
Línea
Juan C. Alarcón Firmas:
Revisó:
Jairo Pantoja
Aprobó: Juan C. Alarcón
Información Adicional:
Ubicación:
Página 2 de 188
GOBIERNO EN LÍNEA
CONTROL DE CAMBIOS
VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN

1 23 10 2008 Fernando Gaona Primera versión del documento
1.1 05 11 2008 Fernando Gaona Revisión interna conjunta equipo de Consultoría Digiware
2 04 12 2008 Fernando Gaona Revisión con el Programa Gobierno en Línea
Página 3 de 188
GOBIERNO EN LÍNEA
TABLA DE CONTENIDO
DERECHOS DE AUTOR................................................................................................................................................9
AUDIENCIA..............................................................................................................................................................19
INTRODUCCIÓN.......................................................................................................................................................20
1. QUÉ ES UN CSIRT..............................................................................................................................................22
1.1. DEFINICIÓN.................................................................................................................................................22
1.2. ANTECEDENTES...........................................................................................................................................22
1.3. BENEFICIOS DE CONTAR CON UN CSIRT.......................................................................................................24
2. INICIATIVAS Y EXPERIENCIAS NACIONALES E INTERNACIONALES EN CSIRTS .....................................................25
2.1. ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL MUNDO...............................................................25

2.1.1. FIRST - FORUM FOR INCIDENT RESPONSE AND SECURITY TEAMS....................................................................32
2.1.2. ENISA - EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY...........................................................40
2.1.3. APCERT - ASIA PACIFIC COMPUTER EMERGENCY RESPONSE TEAM.................................................................43
2.1.4. CERT - COORDINATION CENTER DE LA UNIVERSIDAD CARNEGIE MELLON.......................................................44
2.1.5. TERENA - TRANS-EUROPEAN RESEARCH AND EDUCATION NETWORKING ASSOCIATION................................47
2.1.6. ALEMANIA - CERT-BUND (COMPUTER EMERGENCY RESPONSE TEAM FÜR BUNDESBEHÖRDEN)....................49
2.1.7. ARABIA SAUDITA - CERT-SA (COMPUTER EMERGENCY RESPONSE TEAM - SAUDI ARABIA)..............................50
2.1.8. ARGENTINA - ARCERT (COORDINACIÓN DE EMERGENCIAS EN REDES TELEINFORMÁTICAS)...........................51
2.1.9. AUSTRALIA - AUSCERT (AUSTRALIA COMPUTER EMERGENCY RESPONSE TEAM)............................................54
2.1.10. AUSTRIA - CERT.AT (COMPUTER EMERGENCY RESPONSE TEAM AUSTRIA)....................................................55
2.1.11. BRASIL - CERT.BR (COMPUTER EMERGENCY RESPONSE TEAM BRAZIL)..........................................................56
2.1.12. CANADÁ - PSEPC (PUBLIC SAFETY EMERGENCY PREPAREDNESS CANADA)....................................................57
2.1.13. CHILE – CSIRT-GOV.........................................................................................................................................58
2.1.14. CHILE - CLCERT (GRUPO CHILENO DE RESPUESTA A INCIDENTES DE SEGURIDAD COMPUTACIONAL)
59
2.1.15. CHINA - CNCERT/CC (NATIONAL COMPUTER NETWORK EMERGENCY RESPONSE TECHNICAL TEAM)
60
2.1.16. COREA DEL SUR - KRCERT/CC (CERT COORDINATION CENTER KOREA)...........................................................64
2.1.17. DINAMARCA – DK.CERT (DANISH COMPUTER EMERGENCY RESPONSE TEAM)..............................................66
2.1.18. EMIRATOS ÁRABES UNIDOS – AECERT (THE UNITED ARAB EMIRATES COMPUTER EMERGENCY
RESPONSE TEAM)..........................................................................................................................................................67
2.1.19. ESPAÑA - ESCERT (EQUIPO DE SEGURIDAD PARA LA COORDINACIÓN DE EMERGENCIAS EN REDES
TELEMÁTICAS)...............................................................................................................................................................68
Página 4 de 188
GOBIERNO EN LÍNEA
2.1.20. ESPAÑA – IRIS-CERT (SERVICIO DE SEGURIDAD DE REDIRIS)..........................................................................69

2.1.21. ESPAÑA - CCN-CERT (CRYPTOLOGY NATIONAL CENTER - COMPUTER SECURITY INCIDENT RESPONSE
TEAM) 71
2.1.22. ESPAÑA - INTECO-CERT (CENTRO DE RESPUESTAS A INCIDENTES EN TI PARA PYMES Y
CIUDADANOS)...............................................................................................................................................................73
2.1.23. ESTADOS UNIDOS - US-CERT (UNITED STATES - COMPUTER EMERGENCY READINESS TEAM)........................75
2.1.24. ESTONIA – CERT-EE (COMPUTER EMERGENCY RESPONSE TEAM OF ESTONIA)..............................................76
2.1.25. FILIPINAS - PH-CERT (PHILIPPINES COMPUTER EMERGENCY RESPONSE TEAM)............................................77
2.1.26. FRANCIA-CERTA (CENTRE D'EXPERTISE GOUVERNEMENTAL DE RÉPONSE ET DE TRAITEMENT DES
ATTAQUES INFORMATIQUES)........................................................................................................................................78
2.1.27. HONG KONG - HKCERT (HONG KONG COMPUTER EMERGENCY RESPONSE COORDINATION
CENTRE) 80
2.1.28. HUNGRÍA - CERT (CERT-HUNGARY)................................................................................................................81
2.1.29. INDIA - CERT-IN (INDIAN COMPUTER EMERGENCY RESPONSE TEAM)...........................................................83
2.1.30. JAPAN - JPCERT/CC (JP CERT COORDINATION CENTER)..................................................................................85
2.1.31. MÉXICO – UNAM-CERT (EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD EN CÓMPUTO)...................87
2.1.32. NUEVA ZELANDIA – CCIP (CENTRE FOR CRITICAL INFRASTRUCTURE PROTECTION).......................................88
2.1.33. HOLANDA – GOVCERT.NL...............................................................................................................................89
2.1.34. POLONIA - CERT POLSKA (COMPUTER EMERGENCY RESPONSE TEAM POLSKA)............................................90
2.1.35. QATAR - Q-CERT (QATAR CERT).......................................................................................................................91
2.1.36. REINO UNIDO - GOVCERTUK (CESG´S INCIDENT RESPONSE TEAM)................................................................92
2.1.37. SINGAPUR – SINGCERT (SINGAPORE CERT)....................................................................................................93
2.1.38. SRI LANKA – SLCERT (SRI LANKA COMPUTER EMERGENCY RESPONSE TEAM)...............................................94
2.1.39. TÚNEZ - CERT-TCC (COMPUTER EMERGENCY RESPONSE TEAM - TUNISIAN COORDINATION
CENTER) 96
2.1.40. VENEZUELA CERT.VE (VENCERT – EQUIPO DE RESPUESTA PARA EMERGENCIAS INFORMÁTICAS)................100
2.2. EXPERIENCIAS O ANTECEDENTES EN COLOMBIA........................................................................................102
2.2.1. CIRTISI – COLOMBIA (CENTRO DE INFORMACIÓN Y RESPUESTA TÉCNICA A INCIDENTES DE
SEGURIDAD INFORMÁTICA DE COLOMBIA).................................................................................................................102
2.2.2. CSIRT COLOMBIA (COL CSIRT)........................................................................................................................107
2.2.3. COMITÉ INTERAMERICANO CONTRA EL TERRORISMO DE LA OEA (CICTE)....................................................108
2.3. EN RESUMEN.............................................................................................................................................109
2.3.1. CSIRTS PÚBLICOS............................................................................................................................................109
2.3.2. CSIRTS PRIVADOS............................................................................................................................................110
2.3.3. CSIRTS INTERNOS...........................................................................................................................................110
2.3.4. CSIRTS DE COORDINACIÓN.............................................................................................................................111
2.3.5. ESQUEMA ASOCIATIVO ENTRE EL SECTOR PÚBLICO Y EL PRIVADO................................................................111
3. DEFINICIÓN DE LA ORGANIZACIÓN CSIRT PARA COLOMBIA............................................................................112
3.1. TIPO DE ENTIDAD......................................................................................................................................112

3.2. RELACIÓN CON LAS ENTIDADES.................................................................................................................115
3.3. MISIÓN.....................................................................................................................................................116
3.4. VISIÓN......................................................................................................................................................116
3.5. OBJETIVOS ESTRATÉGICOS.........................................................................................................................116
3.6. OBJETIVOS ESPECÍFICOS............................................................................................................................117
Página 5 de 188
GOBIERNO EN LÍNEA
4. PORTAFOLIO DE SERVICIOS.............................................................................................................................118
4.1. SERVICIOS PREVENTIVOS...........................................................................................................................119

4.2. SERVICIOS REACTIVOS...............................................................................................................................121
4.3. GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.....................................................................................123
4.4. CARACTERÍSTICAS DE LOS SERVICIOS.........................................................................................................125
4.4.1. SERVICIOS PREVENTIVOS...............................................................................................................................126
4.4.2. SERVICIOS REACTIVOS....................................................................................................................................126
4.4.3. GESTIÓN DE LA CALIDAD DE LA SEGURIDAD..................................................................................................127
5. PROCESOS Y PROCEDIMIENTOS......................................................................................................................128
5.1. DELIMITACIÓN SISTÉMICA.........................................................................................................................128

5.2. PROCESOS.................................................................................................................................................129
5.3. PROCEDIMIENTOS.....................................................................................................................................132
6. ANÁLISIS DEL MERCADO.................................................................................................................................134
6.1. MACRO ENTORNO.....................................................................................................................................135

6.2. INDUSTRIAS Y SECTORES...........................................................................................................................135
6.3. ALIADOS ESTRATÉGICOS Y MERCADOS......................................................................................................137
7. INDICADORES Y METAS...................................................................................................................................139
7.1. PERSPECTIVA SEGURIDAD DE LA INFORMACIÓN NACIONAL.......................................................................143

7.2. PERSPECTIVA FINANCIERA.........................................................................................................................144
7.3. PERSPECTIVA PROCESOS INTERNOS...........................................................................................................144
7.4. PERSPECTIVA APRENDIZAJE Y CRECIMIENTO..............................................................................................145
7.5. RESUMEN DE LOS INDICADORES................................................................................................................146
7.6. CONSIDERACIONES GENERALES.................................................................................................................148
8. ESTRUCTURA ORGANIZACIONAL....................................................................................................................150
8.1. ORGANIGRAMA........................................................................................................................................151
8.1.1. ASESOR JURÍDICO...........................................................................................................................................151
8.1.2. DIRECCIÓN TÉCNICA.......................................................................................................................................151
8.1.3. DIRECCIÓN DE COOPERACIÓN Y SOPORTE.....................................................................................................154
8.1.4. DIRECCIÓN ADMINISTRATIVO Y FINANCIERA.................................................................................................156
8.2. PROCESO DE SELECCIÓN............................................................................................................................158
8.2.1. COMPETENCIAS COMUNES............................................................................................................................158
8.2.2. COMPETENCIAS COMPORTAMENTALES POR NIVEL JERÁRQUICO..................................................................159
8.2.3. COMPETENCIAS TÉCNICAS.............................................................................................................................159
8.2.4. OTRAS CARACTERÍSTICAS...............................................................................................................................160
8.3. CAPACITACIÓN..........................................................................................................................................161
Página 6 de 188
GOBIERNO EN LÍNEA
9. ETAPAS PARA LA CONFORMACIÓN DEL CSIRT – COLOMBIA............................................................................162
10. PRESUPUESTO PRELIMINAR DE INVERSIÓN Y FUNCIONAMIENTO................................................................163
10.1. PRESUPUESTO DE INVERSIÓN.....................................................................................................................165

10.2. PRESUPUESTO DE FUNCIONAMIENTO......................................................................................................165
11. TERMINOLOGÍA............................................................................................................................................169
12. ANEXOS........................................................................................................................................................183
Página 7 de 188
LISTA DE ILUSTRACIONES
Ilustración 1: Países con CSIRTs Miembros de FIRST.............................................................................34
Ilustración 2: Estructura de ENISA........................................................................................................42
Ilustración 3: Modelo Detallado del Sistema Administrativo Nacional de Seguridad de la

Información.......................................................................................................................................112
Ilustración 4: Delimitación Sistemática de la Entidad............................................................................128
Ilustración 5: Modelo Tecnológico del CSIRT.......................................................................................129
Ilustración 6: Modelo de Segmentación del CSIRT...............................................................................130
Ilustración 7: Despliegue de Procesos.................................................................................................131
Ilustración 8: Catálogo de Procesos....................................................................................................132
Ilustración 9: Catálogo de Procedimientos...........................................................................................132
Ilustración 10: de Análisis del Mercado................................................................................................134
Ilustración 11: Marco Político, Económico, Social y Tecnológico del CSIRT.............................................135
Ilustración 12: Análisis de Competitividad de Porter.............................................................................136
Ilustración 13: Matriz DOFA................................................................................................................138
Ilustración 14: Modelo de Gestión.......................................................................................................140
Ilustración 15: Alineación de la Visión y la Estrategia...........................................................................141
Ilustración 16: Mapa Estratégico.........................................................................................................142
Ilustración 17: Perspectivas y Orientadores Estratégicos......................................................................143
Ilustración 18: Estructura Organizacional Propuesta.............................................................................151
Página 9 de 188
Página 10 de 188
COLOMBIANO – SISTEMA DE GESTIÓN DE CALIDAD –
ESTRATEGIA DE GOBIERNO EN LÍNEA
DERECHOS DE AUTOR
 SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx:
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se

interpreta que se puede hacer referencia a la fuente.
 FIRST. http://www.first.org/
Copyright © 1995 - 2006 by FIRST.org, Inc.

 ENISA. http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf.
Reproduction of material published on this web site is authorized, provided the source is acknowledged,
unless it is stated otherwise. Where prior permission must be obtained for the reproduction or use of
material published on this web site the above mentioned permission shall be cancelled and restrictions
shall be imposed through a legal notice as appropriate published on that specific material.

 APCERT. http://www.apcert.org/.
Copyright(C) 2008 APCERT. All rights reserved

 Terena. http://www.terena.org/

 Alemania - CERT-Bund. http://www.bsi.bund.de/certbund/

GOBIERNO EN LÍNEA
© Federal Office for Information Security (BSI). All rights reserved

 Arabia Saudita - CERT-SA. http://www.cert.gov.sa/
Copyright © 2006 - 2007 | Disclaimer. All Rights Reserved

 Argentina – ArCERT. http://www.arcert.gov.ar/

 Australia – AusCERT. http://www.auscert.org.au/
The material on this web site is covered by copyright. Apart from any use permitted under the Copyright
Act 1968, no part may be reproduced or distributed by any process or means, without the prior written
permission of AusCERT.
AusCERT acknowledges all instances where copyright is held by, or shared with, another organisation.
In such cases, each copyright owner should be contacted regarding reproduction or use of that material.
Se solicita autorización. Respuesta:
Date: Wed, 1 Oct 2008 03:43:58 +0000
CC: auscert@auscert.org.au
Subject: RE: RE: (AUSCERT#200869d4a) Re: Permission to use and to make translations about AusCert
To: fernandogaona@hotmail.com
From: auscert@auscert.org.au
-----BEGIN PGP SIGNED MESSAGE-----
Hash: RIPEMD160
Hi Fernando,
We are happy for you to translate the sections of our website that you have highlighted. Additionally we
have in the last week assisted New Zealand via a workshop to aid them in the creation of a National
CERT, and we also provide training for the purpose of creating National CERT teams.
Página 12 de 188
GOBIERNO EN LÍNEA
Please do not hesitate to contact us further regarding the possibility of training and further
collaboration.
Regards,
- -- Jonathan Levine –
Computer Security Analyst | Hotline: +61 7 3365 4417
AusCERT, Australia's National CERT | Fax: +61 7 3365 7031
The University of Queensland | WWW: www.auscert.org.au
QLD 4072 Australia | Email: auscert@auscert.org.au
 Austria - CERT.at. www.cert.at

 Brasil - CERT.br. http://www.cert.br

 Canadá – PSEPC. http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp

 Chile – CSIRT-GOV. http://www.csirt.gov.cl/
La información presentada en este portal tiene finalidad informativa, especialmente dirigida a los
responsables de seguridad, administradores de redes y sistemas, personal informático y en general
cualquier individuo que cumpla labores al interior de la Administración del Estado. El mal uso de la
información entregada puede ser sancionado en conformidad al estatuto administrativo.
Como el acceso a este portal es público, en los casos en que se detecte uso malicioso de la información,
o intentos de quebrantar la seguridad del sistema, CSIRT Chile se reserva el derecho de ejercer todas
las acciones legales correspondientes contra quien resulte responsable de dichos actos, amparado en la
Ley General de Telecomunicaciones y la Ley de Delito Informático.
Queda estrictamente prohibido utilizar la información presentada en este portal sin el conocimiento y
consentimiento formal por parte de CSIRT Chile, en especial para efectos contrarios a los buscados por
este equipo.
Se solicita autorización.
Página 13 de 188
GOBIERNO EN LÍNEA
 Chile – CLCERT. http://www.clcert.cl

 China - CNCERT/CC. http://www.cert.org.cn/english_web/.

 Corea del Sur - KrCERT/CC. http://www.krcert.or.kr/
COPYRIGHT KRCERT.OR.KR. ALL RIGHTS RESERVED.
All materials released by Internet Incident Response Support Center are protected under the copyright
law and copyrights of all released materials are owned by the center. Accordingly, it is prohibited to
copy or distribute them partially and entirely.
If you seek for economic profits or benefits equivalent of it, a prior consultation with the center or prior
approval from the center is required. In case those materials are quoted partially or entirely after prior
consent or approval, it shall clearly state that the source of quoted contents belongs to the center.
The hyperlink from other web sites to the main web page of the center is allowed but not to the other
web pages (sub domain). Also, before setting a hyperlink to the main web page of the Center, it should
be notified to the center in advance.
In case data posted at a web site of the Center is used for the purpose of positing at the other Internet
sites in a due manner, the arbitrary change of data except simple error correction is prohibited. The
violation of this act is subject to criminal punishment.
For the purpose of news report, criticism, education and study activities, data posted in the web page
can be quoted as long as they satisfy fair practices within a legal boundary.
However, in this case, the quotation of materials is limited to less than 10% of the whole contents. The
violation of this act is regarded as infringement on copyright.
As long as the data provided by the center is used for individual purpose (not commercial purpose) or
within a boundary of household and equivalent boundary, it can be copied for use. However, even if a
specific company, non-profit organization, intends to copy them for the purpose of internal use only, it is
not allowed to copy materials.
The illegal copy and distribution of materials provided by the center falls under infringement on
copyright property law and the violator is sentenced to imprisonment not exceeding 5 years and a fine
not exceeding 50 Mio.won.
For more detailed information, you can contact the Internet Incident Response Support Center
(Tel: 118 / cert@certcc.or.kr, cert@krcert.or.kr).
Página 14 de 188
GOBIERNO EN LÍNEA
 Dinamarca – DK.CERT. https://www.cert.dk/
Información sobre estas páginas pueden ser protegidas por los derechos de autor

 Emiratos Árabes Unidos – aeCERT. http://www.aecert.ae/
© 2007-2008 aeCERT. All rights reserved

 España – ESCERT. http://escert.upc.edu/index.php/web/es/index.html
Los textos, diseños, imágenes, bases de datos, logotipos, estructuras, marcas y otros elementos de
esCERT-UPC, incluido todo lo referente a ALTAIR, están protegidos por la normativa de aplicación
respecto a la propiedad intelectual e industrial. esCERT-UPC autoriza a los usuarios a reproducir, copiar,
distribuir, transmitir, adaptar o modificar exclusivamente los contenidos de la web de esCERT-UPC,
siempre que se especifique la fuente y/o los autores.
 España – IRIS-CERT. http://www.rediris.es/cert/
RedIRIS © 1994-2008

 España - CCN-CERT. https://www.ccn-cert.cni.es/
© 2008 Centro Criptológico Nacional - C/Argentona s/n 28023 MADRID

 España - INTECO-CERT. http://www.inteco.es/rssRead/Seguridad/INTECOCERT
Todos los elementos que forman el sitio Web, así como su estructura, diseño y código fuente de la
misma, son titularidad de INTECO y están protegidos por la normativa de propiedad intelectual e
industrial.
Se prohíbe la reproducción total o parcial de los contenidos de este sitio Web, así como su modificación
y/o distribución sin citar su origen o solicitar previamente autorización.
Página 15 de 188
GOBIERNO EN LÍNEA
INTECO no asumirá ninguna responsabilidad derivada del uso por terceros del contenido del sitio Web y
podrá ejercitar todas las acciones civiles o penales que le correspondan en caso de infracción de estos
derechos por parte del usuario.
 Estados Unidos - US-CERT. http://www.us-cert.gov
You are permitted to reproduce and distribute documents on this web site in whole or in part, without
changing the text you use, provided that you include the copyright statement or "produced by"
statement and use the document for noncommercial or internal purposes. For commercial use or
translations, send your email request to webmaster@us-cert.gov.
 Estonia – CERT-EE. http://www.ria.ee/?id=28201

 Filipinas - PH-CERT. http://www.phcert.org/

 Francia-CERTA. http://www.certa.ssi.gouv.fr/

 Hong Kong – HKCERT. http://www.hkcert.org/

 Hungría – CERT. http://www.cert-hungary.hu/

 India - CERT-In. http://www.cert-in.org.in/

 Japan - JPCERT/CC. http://www.jpcert.or.jp/
Página 16 de 188
GOBIERNO EN LÍNEA
Copyright © 1996-2008 JPCERT/CC All Rights Reserved

 México – UNAM-CERT. http://www.cert.org.mx/index.html
Copyright® Todos los derechos reservados, cert.org.mx. DSC/UNAM-CERT DGSCA

 Nueva Zelandia – CCIP. http://www.ccip.govt.nz/
Except where specifically noted, all material on this site is © Crown copyright.
Material featured on this site is subject to Crown copyright protection unless otherwise indicated. The
Crown copyright protected material may be reproduced free of charge in any format or media without
requiring specific permission, provided that the material is reproduced accurately and is not further
disseminated in any way, and on condition that the source of the material and its copyright status are
acknowledged.
The permission to reproduce Crown copyright protected material does not extend to any material on this
site that is identified as being the copyright of a third party. Authorisation to reproduce such material
must be obtained from the copyright holders concerned.

 Holanda - GOVCERT.NL. http://www.govcert.nl/

 Polonia - CERT Polska. http://www.cert.pl/
Copyright © 2004 NASK

 Qatar - Q-CERT. http://www.qcert.orgv

 Reino Unido – GovCertUK. www.govcertuk.gov.uk
Página 17 de 188
GOBIERNO EN LÍNEA
Crown Copyright 2008

 Reino Unido – GovCertUK. www.govcertuk.gov.uk
The material featured on this site is subject to Crown Copyright protection unless otherwise indicated.
The Crown Copyright protected material (other than CPNI logo and website design) may be reproduced
free of charge in any format or medium provided it is reproduced accurately and not used in a
misleading context. Where any of the Crown Copyright items on this site are being republished or
copied to others, the source of the material must be identified and the copyright status acknowledged.
The permission to reproduce Crown protected material does not extend to any material on this site
which is identified as being the copyright of a third party. Authorisation to reproduce such material must
be obtained from the copyright holders concerned.
For further information on Crown copyright policy and licensing arrangements, please refer to the
guidance on OPSI's website at www.opsi.gov.uk/advice/crown-copyright/copyright-guidance/index.htm.

 Singapur – SingCERT. http://www.singcert.org.sg/
1. SingCERT Security Alerts (such as advisories and bulletins): Permission is granted to reproduce and
distribute SingCERT security alerts in their entirety, provided the SingCERT PGP signature or the PGP
signature of the original creator of the alerts is included and provided the alert is used for
noncommercial purposes with the intent of increasing the awareness of the Internet community.
2. All materials produced by SingCERT except as noted in Section 1, "SingCERT security alerts":
Requests for permission to reproduce documents or Web pages or to prepare derivative works or
external and commercial use should be addressed to SingCERT through email to
cert@singcert.org.sgThis e-mail address is being protected from spam bots, you need JavaScript
enabled to view it.
 Sri Lanka – SLCERT. http://www.cert.lk/
Copyright Reserved. Sri Lanka CERT.
Website Material: All material on this website is covered by copyright. No part may be re-produced or
distributed by any process or means. Requests for permission to reproduce documents or Web pages or
to prepare derivative works for external and commercial use should be addressed to Sri Lanka CERT
through email to slcert@slcert.gov.lk.
Página 18 de 188
GOBIERNO EN LÍNEA
Security Alerts: Permission is granted to reproduce and distribute Sri Lanka CERT security alerts such as
advisories and bulletins in its entirety, provided the signature of the original creator of the alerts is
included and provided the alert is used for non-commercial purposes.
 Túnez - CERT-TCC. http://www.ansi.tn/en/about_cert-tcc.htm
Copyright © 2006 ANSI

 Venezuela CERT.ve. http://www.cert.gov.ve/

 CIRTISI COLOMBIA.
http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de
%20mayo%20de%202007%202.pdf

 CSIRT Colombia. http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt

 Solicitud de Autorización de uso y traducción presentada a los diferentes organismos que así lo
requieren:
Título:
Permission to use and to make translations about CSIRT
Solicitud:
In order to design a CSIRT for the program “Gobierno en Línea” (e-government) of Colombia, we
want to identify a documented relation of national and international initiatives and experiences in
CSIRTs. Then we request authorization to translate and to reproduce available information in your
web page relating to precedents, offered services, structure of the CSIRT and area of coverage.
Página 19 de 188
GOBIERNO EN LÍNEA
The results will be compiled and presented in a technical paper "Design of a CSIRT for the Program
Gobierno en Linea of Colombia " in the chapter " Documented Relation of National and International
Experiences and Initiatives in CSIRTs ".
Cordial greeting,
Fernando Gaona
Organizations Team Leader
Project "Model of the Computer Security Management for e-Government"
Telephone (+57 3164720780)
Program "Agenda de Conectividad": http://www.agenda.gov.co/
Digiware: http://www.digiware.com.co/Digiware/index1.html
Página 20 de 188
GOBIERNO EN LÍNEA
AUDIENCIA
El documento de Diseño de un CSIRT para la Estrategia de Gobierno en Línea de Colombia está

dirigido especialmente para las entidades públicas y privadas, así como la comunidad académica
que participen en la creación del CSIRT Colombiano o demanden sus productos o servicios, así
como la comunidad nacional e internacional relacionada con el tema de la seguridad de la
información.
Página 21 de 188
GOBIERNO EN LÍNEA
INTRODUCCIÓN
Con el rápido desarrollo de internet, las diferentes entidades del país son cada vez más
dependientes del uso de redes públicas, volviendo crítica la protección de la estabilidad de las
infraestructuras nacionales que componen esta nueva e-economía emergente y así mismo es
urgente.
Los ataques contra las infraestructuras computacionales están aumentando de frecuencia, en

sofisticación y en escala. Esta amenaza cada vez mayor requiere un acercamiento y colaboración
con las varias organizaciones públicas, privadas y la academia, que tomen el papel de liderazgo y
coordinación con el apoyo total del gobierno tanto a nivel central como territorial.
Para tratar esta necesidad urgente, se propone el establecimiento de un grupo CSIRT Colombiano
que tendría un foco operacional en la atención de emergencias de seguridad de la información
para las transacciones en línea del país, con una permanente colaboración nacional e
internacional.
CÓMO UTILIZAR ESTE DOCUMENTO
El presente documento describe el modelo propuesto para la creación de un Equipo de Respuesta

a Incidentes de Seguridad de la Información - CSIRT Colombiano (por las siglas en inglés de
Computer Security Incident Response Teams) considerando los siguientes aspectos:
 En el primer capítulo se incluye un marco de referencia donde se define lo que es un CSIRT y

algunos beneficios que conlleva.
 En el segundo capítulo se hace una relación de algunas iniciativas y experiencias nacionales e

internacionales en CSIRTs consideradas para el desarrollo de este documento.
 En el tercer capítulo se presenta una definición general del CSIRT, el tipo de entidad que se
recomienda constituir, su misión, visión, el portafolio de productos y servicios, y sus objetivos
estratégicos.
 En el cuarto capítulo se propone un potencial portafolio de productos y servicios que hagan

auto sostenible la operación del CSIRT Colombiano.
Página 22 de 188
GOBIERNO EN LÍNEA
 En el quinto capítulo se incluyen los procesos y procedimientos que sostengan la operación de

la entidad, haciendo una articulación del modelo de seguridad con la NTC-GP 1000, MECI e
ISO 9000. Su caracterización se presenta en el documento anexo.
 En el sexto capítulo se hace una revisión del entorno del mercado que enfrentará el CSIRT.
 En el séptimo capítulo se hace una recomendación de indicadores y metas que, bajo el

enfoque de la metodología del Balanced Scorecard (Cuadro de Mando Integral), permitan su
adecuado control y gestión.
 En el octavo capítulo se incluye una propuesta de estructura organizacional con las

competencias requeridas para cada rol, el modelo de contratación y capacitación del talento
humano del CSIRT Colombiano.
 En el noveno capítulo se sugieren las etapas para la conformación del CSIRT en Colombia.
 En el décimo capítulo se elabora una propuesta de presupuesto de inversión y funcionamiento

del CSIRT, teniendo en cuenta que sea auto sostenible en el mediano y largo plazo.
Página 23 de 188
GOBIERNO EN LÍNEA
1. QUÉ ES UN CSIRT
1.1. DEFINICIÓN
El término CSIRT significa Computer Security Incident Response Team (Equipo de Respuesta a
Incidentes de Seguridad Informática), y ha sido acuñado respondiendo simultáneamente a
diferentes abreviaturas usadas para denotar a nivel mundial este tipo de equipos:
 CSIRT (Computer Security Incident Response Team / Equipo de Respuesta a Incidentes de

Seguridad Informática): Término usado en Europa.
 CERT o CERT/CC (Computer Emergency Response Team / Coordination Center, equipo de

respuesta a emergencias informáticas / Centro de coordinación): Término registrado en los
Estados Unidos de América por el CERT Coordination Center (CERT/CC).
 IRT (Incident Response Team / Equipo de respuesta a incidentes).
 CIRT (Computer Incident Response Team / Equipo de respuesta a incidentes informáticos).
 SERT (Security Emergency Response Team / Equipo de respuesta a emergencias de

seguridad).
Un CSIRT es un equipo de expertos en seguridad informática que pretenden responder a los

incidentes de seguridad relacionados con la tecnología de la información y a recuperarse después
de sufrir uno de estos incidentes. Para minimizar los riesgos también se ofrecen servicios
preventivos y educativos relacionados con vulnerabilidades de software, hardware o
comunicaciones y se informa a la comunidad sobre los potenciales riesgos que toman ventaja de
las deficiencias de la seguridad.
1.2. ANTECEDENTES
Durante la segunda mitad de los años ochenta se vio la red Arpanet salir de la fase de I&D y
convertirse en una realidad práctica bajo el impulso del mundo universitario y desarrollada por el
DoD (el Departamento de Defensa estadounidense). La eficacia y la constante mejora de los
distintos servicios, entre los cuales se cuenta el correo electrónico, rápidamente hicieron que esta
red sea indispensable para numerosos sitios.
Página 24 de 188
GOBIERNO EN LÍNEA
En noviembre de 1988, un estudiante de la Universidad de Cornell lanzó en esta red un programa

que se propagaba y se replicaba solo. Este programa, conocido con el nombre de “gusano de
Internet”, aprovechaba distintos fallos de seguridad del sistema Unix (el sistema operativo de la
mayoría de los ordenadores conectados en la red). Aunque no fue programado con malas
intenciones, este primer virus informático, se propagó rápidamente obstruyendo al mismo tiempo
las máquinas infectadas por múltiples copias del gusano. En ese entonces, la red constaba de
aproximadamente 60.000 ordenadores. Con sólo el 3 o 4 % de las máquinas contaminadas, la red
estuvo totalmente indisponible durante varios días, hasta que se tomaron medidas cautelares
(incluyendo la desconexión de numerosas máquinas de la red).
Para eliminar este “gusano de Internet”, se creó un equipo de análisis ad hoc con expertos del
MIT, de Berkley, Purdue. Se reconstituyó y analizó el código del virus, lo cual permitió, por una
parte, identificar y corregir los fallos del sistema operativo, y por otra parte, desarrollar y difundir
mecanismos de erradicación. Después de este incidente, el director de obras de Arpanet, la DARPA
(Defense Advanced Research Projects Agency), decidió instalar una estructura permanente, el
CERT Coordination Center (CERT/CC) parecido al equipo reunido para resolver el incidente.
Este incidente actuó como una alarma e impulsó la necesidad de cooperación y coordinación
multinacional para enfrentarse este tipo de casos. En este sentido, la DARPA (Defence Advanced
Research Projects Agency / Agencia de Investigación de Proyectos Avanzados de Defensa) creó el
primer CSIRT: El CERT Coordination Center (CERT/CC 1), ubicado en la Universidad Carnegie
Mellon, en Pittsburgh (Pensilvania, USA).
Poco después el modelo se adoptó en Europa, y en 1992 el proveedor académico holandés

SURFnet puso en marcha el primer CSIRT de Europa, llamado SURFnet-CERT 2. El número de
CSIRTs continuó creciendo, cada uno con su propio propósito, financiación, divulgación y área de
influencia. La interacción entre estos equipos experimentó dificultades debido a las diferencias en
lengua, zona horaria y estándares o convenciones internacionales. Siguieron otros muchos
equipos, y en la actualidad existen más de 100 equipos reconocidos alrededor del mundo. Con el
tiempo, los CERT ampliaron sus capacidades y pasaron de ser una fuerza de reacción a
prestadores de servicios de seguridad completos que incluyen servicios preventivos como alertas,
avisos de seguridad, formación y servicios de gestión de la seguridad. Pronto el término “CERT” se
consideró insuficiente, y a finales de los años noventa se acuñó el término “CSIRT”. En la
actualidad, ambos términos (CERT y CSIRT) se usan como sinónimos.
Internet comenzó su vertiginoso crecimiento y muchas compañías comenzaron a confiar en

Internet sus transacciones diarias. Así mismo, los CSIRTs continuaron creciendo alrededor del
globo, soportando gobiernos enteros u organizaciones multinacionales.
1
CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute - Carnegie
Mellon University. Autor: No determinado
2
SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx. U.A: 2008/09/26. Publicado por: SURFnet
network. Autor: No determinado
Página 25 de 188
GOBIERNO EN LÍNEA
Desde ese entonces, Internet ha seguido creciendo hasta llegar a ser la red que se conoce
actualmente, con una multiplicación rápida de las máquinas conectadas (varios millones) y de las
fuentes de agresión.
1.3. BENEFICIOS DE CONTAR CON UN CSIRT
Disponer de un equipo dedicado a la seguridad de las TI ayuda a las organizaciones a mitigar y

evitar los incidentes graves y a proteger su patrimonio. Otros posibles beneficios son:
 Disponer de una coordinación centralizada para las cuestiones relacionadas con la seguridad
de las TI dentro de la organización (punto de contacto).
 Reaccionar a los incidentes relacionados con las TI y tratarlos de un modo centralizado y

especializado.
 Tener al alcance de la mano los conocimientos técnicos necesarios para apoyar y asistir a los
usuarios que necesitan recuperarse rápidamente de algún incidente de seguridad.
 Tratar las cuestiones jurídicas y proteger las pruebas en caso de pleito.
 Realizar un seguimiento de los progresos conseguidos en el ámbito de la seguridad.
 Fomentar la cooperación en la seguridad de las TI entre los clientes del grupo atendido
(sensibilización).
Página 26 de 188
GOBIERNO EN LÍNEA
2. INICIATIVAS Y EXPERIENCIAS NACIONALES E

INTERNACIONALES EN CSIRTs
2.1. ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL

MUNDO
En la actualidad existen múltiples organizaciones que usan el nombre CERT - Computer Emergency
Response Team (Equipo de Respuesta a Emergencias de Computación) o CSIRT (término genérico
de significado equivalente).
A continuación se presentan algunas de estas experiencias como primer paso fundamental para la
definición de una propuesta de creación del CSIRT Colombiano (ú.a = 30/09/2008).
Nombre del
Resumen Enlace Fuente
Documento
CSIRT – Handbook Teoría General en http://www.cert.org/ CSIRT - Handbook.pdf
temas de CSIRT
CSIRT FAQ Teoría General en http://www.cert.org/ CSIRT FAQ.doc
temas de CSIRT
Incident Management Teoría General en http://www.cert.org/ 07tr008 - Incident
Capability Metrics temas de CSIRT Management Capability
Metrics Version 0.1.pdf
Incident Management Teoría General en http://www.cert.org/ 08tr007 - Incident
Mission Diagnostic temas de CSIRT Management Mission
Method Diagnostic Method,
Version 1.0.pdf
State of the Practice Teoría General en http://www.cert.org/ State of the Practice of
of Computer Security temas de CSIRT Computer Security
Incident Response Incident Response
Teams Teams.pdf
The Real Secrets of Teoría General en http://www.cert.org/ The Real Secrets of
Incident Management temas de CSIRT Incident
Management.pdf
The Real Secrets of Teoría General en http://www.cert.org/ The Real Secrets of
Incident Management temas de CSIRT Incident
Management.MP3
Incident Response Teoría General en http://www.rediris.es/cert/links/ Incident_Response_SHig
Página 27 de 188
GOBIERNO EN LÍNEA
Nombre del
Documento
SHight temas de CSIRT csirt.es.html ht.pdf
Improving CSIRT Teoría General en http://www.tesink.org/thesis.pd Thesis.pdf
Communication temas de CSIRT f
Through Standardized
and Secured
Information Exchange
Limits to Teoría General en https://www.cert.org/archive/p Limits-to-CSIRT-
Effectiveness in temas de CSIRT df/Limits-to-CSIRT- Effectiveness.pdf
Computer Security Effectiveness.pdf
Incident Response
Teams
eCSIRT.net Teoría General en http://www.ecsirt.net/cec/servi wp2-common-
Deliverable Common temas de CSIRT ce/documents/wp2-common- language.pdf
Language language.pdf
Specification &
Guideline to
Application of the
Common Language
part (i)
eCSIRT.net Teoría General en http://www.ecsirt.net/cec/servi wp2-and-3-guideline.pdf
Deliverable1 Guideline temas de CSIRT ce/documents/wp2-and-3-
to Application of the guideline.pdf
Common Language
part (ii)
Seguridad Informática Teoría General en http://www.arcert.gov.ar/ncurs Seg-adm-6p.pdf
para Administradores temas de CSIRT os/material/Seg-adm-6p.pdf
de Redes y Servidores
Seguridad Informática Teoría General en http://www.arcert.gov.ar/curso Seguridad%20para
para temas de CSIRT s/seguridad_adm/Seguridad %20Administradores.pdf
Administradores de %20para
Redes %20Administradores.pdf
y Servidores
Helping prevent Teoría General en http://www.telenor.com/telektr Page_029-037.pdf
information security temas de CSIRT onikk/volumes/pdf/1.2005/Page
risks in the transition _029-037.pdf
to integrated
operations
State of the Practice Teoría General en http://www.rediris.es/cert/links/ 03tr001 - State of the
of Computer Security temas de CSIRT csirt.es.html Practice of Computer
Incident Response Security Incident
Teams (CSIRTs) Response Teams.pdf
Expectations for Teoría General en http://www.ietf.org/rfc/rfc2350. Expectations for
Computer Security temas de CSIRT txt Computer Security
Incident Response Incident Response.doc
Site Security Teoría General en http://www.ietf.org/rfc/rfc2196. Site Security
Handbook temas de CSIRT txt Handbook.doc
Página 28 de 188
GOBIERNO EN LÍNEA
Nombre del
Documento
Guidelines for Teoría General en http://www.ietf.org/rfc/rfc3227. Guidelines for Evidence

Evidence Collection temas de CSIRT txt Collection and
and Archiving Archiving.doc
Why do I need a Teoría General en http://www.terena.org/activitie jaroszewski-assistance-
CSIRT? temas de CSIRT s/tf-csirt/meeting9/jaroszewski- csirt.pdf
assistance-csirt.pdf
Description of the Teoría General en http://www.enisa.europa.eu/cer Description of the
different kinds of temas de CSIRT t_guide/pages/05_01_04.htm different kinds of CSIRT
CSIRT environments environments.docs
Informe del relator Antecedentes de los http://scm.oas.org/pdfs/2007/C CICTE00188E.pdf

del séptimo período CSIRT ICTE00188E.pdf
ordinario de sesiones
del Comité
Interamericano
Contra el Terrorismo
Adopción de una Antecedentes de los http://dgpt.sct.gob.mx/fileadmi doc._472-04.doc
estrategia CSIRT n/ccp1/redes/doc._472-04.doc
interamericana
integral para combatir
las amenazas a la
seguridad cibernética:
Un enfoque
multidimensional y
multidisciplinario para
la creación de una
cultura de seguridad
cibernética
Puesta en marcha del Antecedentes de los http://jiap.org.uy/jiap/JIAP2007 Antel.pdf
CSIRT y Gestión de CSIRT /Presentaciones%20Jiap
Seguridad de la %202007/ANTEL.pdf
Información de
ANTEL
FIRST - Forum for Experiencias en el http://www.first.org/ Página Web
Incident Response Mundo
and Security Teams
ENISA - European Experiencias en el http://www.enisa.europa.eu/cer Página Web
Network and Mundo t_guide/downloads/CSIRT_setti
Information Security ng_up_guide_ENISA-ES.pdf
Agency
APCERT (Asia Pacific Experiencias en el http://www.apcert.org/ Página Web
Computer Emergency Mundo
Response Team)
CERT Coordination Experiencias en el http://www.cert.org/ Página Web
Center de la Mundo
Página 29 de 188
GOBIERNO EN LÍNEA
Nombre del
Documento
Universidad Carnegie
Mellon
Alemania - CERT- Experiencias en el http://www.bsi.bund.de/certbu Página Web
Bund Mundo nd/
Arabia Saudita - Experiencias en el http://www.cert.gov.sa/ Página Web
CERT-SA (Computer Mundo
Emergency Response
Team - Saudi Arabia)
Argentina - ArCERT Experiencias en el http://www.arcert.gov.ar/ Página Web
(Computer Mundo
Emergency Response
Team of the
Argentine Public)
Australia - AusCERT Experiencias en el http://www.auscert.org.au/ Página Web
(Australia Computer Mundo
Emergency Response
Team)
Austria - CERT.at Experiencias en el www.cert.at Página Web
(Computer Mundo
Emergency Response
Team Austria)
Brasil - CERT.br Experiencias en el http://www.cert.br Página Web
(Computer Mundo
Emergency Response
Team Brazil)
Canadá - PSEPC Experiencias en el http://www.psepc- Página Web
(Public Safety Mundo sppcc.gc.ca/prg/em/ccirc/index-
Emergency en.asp
Preparedness
Canada)
Chile – CSIRT-GOV Experiencias en el http://www.csirt.gov.cl/ Página Web
Mundo
Chile - CLCERT Experiencias en el http://www.clcert.cl Página Web
Mundo
China - CNCERT/CC Experiencias en el http://www.cert.org.cn/english Página Web
(National Computer Mundo _web/
Network Emergency
Response Technical
Team)
Corea del Sur - Experiencias en el http://www.krcert.or.kr/ Página Web
KrCERT/CC (CERT Mundo
Coordination Center
Korea)
Dinamarca – DK.CERT Experiencias en el https://www.cert.dk/ Página Web
(Danish Computer Mundo
Emergency Response
Página 30 de 188
GOBIERNO EN LÍNEA
Nombre del
Documento
Team)
Emiratos Árabes Experiencias en el http://www.aecert.ae/ Página Web
Unidos – aeCERT Mundo
(The United Arab
Emirates Computer
Emergency Response
Team)
España - ESCERT Experiencias en el http://escert.upc.edu/index.php Página Web
(Equipo de Seguridad Mundo /web/es/index.html
para la Coordinación
de Emergencias en
Redes Telemáticas)
España – IRIS-CERT Experiencias en el http://www.rediris.es/cert/ Página Web
(Universidades) Mundo
España - CCN-CERT Experiencias en el https://www.ccn-cert.cni.es/ Página Web
(Cryptology National Mundo
Center - Computer
Security Incident
Response Team)
España - INTECO- Experiencias en el http://www.inteco.es/rssRead/S Página Web
CERT (Centro de Mundo eguridad/INTECOCERT
Respuestas a
Incidentes en TI para
PYMES y Ciudadanos)
Estados Unidos - US- Experiencias en el http://www.us-cert.gov Página Web
CERT (United States - Mundo
Computer Emergency
Readiness Team)
Estonia – CERT-EE Experiencias en el http://www.ria.ee/?id=28201 Página Web
Mundo
Filipinas - PH-CERT Experiencias en el http://www.phcert.org/ Página Web
(Philippines Computer Mundo
Emergency Response
Team)
Francia-CERTA Experiencias en el http://www.certa.ssi.gouv.fr/ Página Web
(Centre d'Expertise Mundo
Gouvernemental de
Réponse et de
Traitement des
Attaques
informatiques)
Hong Kong - HKCERT Experiencias en el http://www.hkcert.org/ Página Web
(Hong Kong Mundo
Computer Emergency
Response
Coordination Centre)
Página 31 de 188
GOBIERNO EN LÍNEA
Nombre del
Documento
Hungría - CERT- Experiencias en el http://www.cert-hungary.hu/ Página Web
Hungria Mundo
India - CERT-In Experiencias en el http://www.cert-in.org.in/ Página Web
Mundo
Japan - JPCERT/CC Experiencias en el http://www.jpcert.or.jp/ Página Web
(JP CERT Mundo
Coordination Center)
México – UNAM-CERT Experiencias en el http://www.cert.org.mx/index.h Página Web
Mundo tml
Nueva Zelandia – Experiencias en el http://www.ccip.govt.nz/ Página Web
CCIP (Centre for Mundo
Critical Infrastructure
Protection)
Holanda - Experiencias en el http://www.govcert.nl/ Página Web
GOVCERT.NL Mundo
Polonia - CERT Polska Experiencias en el http://www.cert.pl/ Página Web
(Computer Mundo
Emergency Response
Team Polska)
Qatar - Q-CERT Experiencias en el http://www.qcert.org Página Web
(Qatar CERT) Mundo
Reino Unido - Experiencias en el www.govcertuk.gov.uk Página Web
GovCertUK Mundo
Experiencias en el www.cpni.gov.uk Página Web
Mundo
Singapur – SingCERT Experiencias en el http://www.singcert.org.sg/ Página Web
(Singapore CERT) Mundo
Sri Lanka – SLCERT Experiencias en el http://www.cert.lk/ Página Web
Mundo
Túnez - CERT-TCC Experiencias en el http://www.ansi.tn/en/about_c Página Web
(Computer Mundo ert-tcc.htm
Emergency Response
Team - Tunisian
Coordination Center)
Venezuela CERT.ve Experiencias en el http://www.cert.gov.ve/ Página Web
(VenCERT - Centro de Mundo
Respuestas ante
Incidentes
Telemáticos del
Sector Público)
EXPERIENCIAS o Experiencias en el http://www.udistrital.edu.co/co Página Web
antecedentes EN Mundo munidad/grupos/arquisoft/colcsi
COLOMBIA rt/?q=colcsirt
Página 32 de 188
GOBIERNO EN LÍNEA
Nombre del
Documento
Comité Experiencias en el http://www.cicte.oas.org/Rev/E ENISA -
Interamericano Mundo S/Events/Cyber_Events/CSIRT work_programme_2006.
Contra el Terrorismo %20training pdf
de la OEA (CICTE) %20course_Colombia.asp
CSIRT COLOMBIA Experiencias en http://www.udistrital.edu.co/co CSIRT COLOMBIA.doc
Colombia munidad/grupos/arquisoft/colcsi
rt/?q=colcsirt
Developing an Aspectos Financieros http://www.securityfocus.com/i Developing an Effective
Effective Incident de un CSIRT nfocus/1592 Incident Cost Analysis
Cost Analysis Mechanism.doc
Mechanism
Incident Cost Analysis Aspectos Financieros http://www.cic.uiuc.edu/groups ICAMPReport1.pdf
and Modeling Project de un CSIRT /ITSecurityWorkingGroup/archiv
e/Report/ICAMPReport1.pdf
Incident Cost Analysis Aspectos Financieros http://www.cic.uiuc.edu/groups ICAMPReport2.pdf
and Modeling Project de un CSIRT /ITSecurityWorkingGroup/archiv
I-CAMP II e/Report/ICAMPReport2.pdf
Defining Incident Procesos de un http://www.cert.org/ 04tr015 - Defining
Management CSIRT Incident Management
Processes for CSIRTs Processes for CSIRTs.pdf
Benchmarking CSIRT Procesos de un http://www.hig.no/index.php/c KjÃ¦rem - Benchmarking
work CSIRT ontent/download/3302/70468/fi CSIRT work
Processes le/Kj%C3%A6rem%20- processes.pdf
%20Benchmarking%20CSIRT
%20work%20processes.pdf
How to Design a Procesos de un http://www.securityfocus.com/i How to Design a Useful
Useful Incident CSIRT nfocus/1467 Incident Response
Response Policy Policy.doc
Effectiveness of Productos y Servicios http://www.first.org/conference kossakowski-klaus-
Proactive CSIRT de un CSIRT /2006/papers/kossakowski- papers.pdf
Services klaus-papers.pdf
Recommended Productos y Servicios http://www.ietf.org/rfc/rfc3013. Recommended Internet
Internet Service de un CSIRT txt Service Provider Security
Provider Security Services and
Services and Procedures.doc
Procedures
CSIRT Services List Productos y Servicios http://www.cert.org/ CSIRT-services-list.pdf
de un CSIRT
ENISA - Possible Productos y Servicios http://www.enisa.europa.eu/cer ENISA - Possible services
services that a CSIRT de un CSIRT t_guide/pages/05_02.htm that a CSIRT can
can deliver deliver.doc
Organizational Models Estructura de un http://www.rediris.es/cert/links/ 03hb001 - Organizational
for Computer Security CSIRT csirt.es.html Models for Computer
Incident Response Security Incident
Página 33 de 188
GOBIERNO EN LÍNEA
Nombre del
Documento
Teams (CSIRTs) Response Teams
(CSIRTs)
Organizational Models Estructura de un http://www.sei.cmu.edu/public Organizational Models for
for Computer Security CSIRT ations/documents/03.reports/0 Computer Security
Incident Response 3hb001/03hb001chap07.html Incident Response
Teams Teams.doc
Staffing Your Estructura de un http://www.cert.org/ Staffing Your Computer
Computer Security CSIRT Security Incident
Incident Response Response Team.doc
Team
CERT-FI First 12 Modelo de Negocio http://www.terena.org/activitie huopio-certfi.pdf
months de un CSIRT s/tf-csirt/meeting8/huopio-
certfi.pdf
A step-by-step Modelo de Negocio http://www.enisa.europa.eu/do enisa_csirt_setting_up_g
approach de un CSIRT c/pdf/deliverables/enisa_csirt_s uide.pdf
on how to set up a etting_up_guide.pdf
CSIRT
Steps for Creating Modelo de Negocio http://www.cert.org/archive/pd NationalCSIRTs.pdf
National CSIRTs de un CSIRT f/NationalCSIRTs.pdf
Action List for Modelo de Negocio http://www.cert.org/ Action List for
Developing a CSIRT de un CSIRT Developing a CSIRT.pdf
ENISA - Cómo crear Modelo de Negocio http://www.enisa.europa.eu/cer CSIRT_setting_up_guide
un CSIRT paso a paso de un CSIRT t_guide/downloads/CSIRT_setti _ENISA-ES.pdf
ng_up_guide_ENISA-ES.pdf
2.1.1. FIRST - FORUM FOR INCIDENT RESPONSE AND SECURITY TEAMS3
2.1.1.1. Antecedentes
El Foro de Equipos de Seguridad para Respuesta a Incidentes - FIRST es la primera organización

global reconocida en respuesta a incidentes, tanto de manera reactiva como proactiva.
FIRST fue formado en 1990 en respuesta al problema del gusano de internet que atacó en 1988.
Desde entonces, ha continuado creciendo y desarrollándose en respuesta a las necesidades que
cambiaban de los equipos de la respuesta y de la seguridad del incidente.
2.1.1.2. Servicios Ofrecidos
FIRST reúne una variedad de equipos de respuesta de incidentes de seguridad informática para
entidades gubernamentales, comerciales y académicas. FIRST busca fomentar la cooperación y
3
Tomado de: http://www.first.org/. U.A: 2008/09/26. Publicado por: FIRST.ORG, Inc. Autor: No determinado.
Página 34 de 188
GOBIERNO EN LÍNEA
coordinación en la prevención de incidentes, estimular la reacción rápida a los incidentes y

promover el compartir información entre los miembros y la comunidad.
FIRST proporciona adicionalmente servicios de valor agregado tales como:
 Acceso a documentos actualizados de mejores prácticas.
 Foros técnicos para expertos en seguridad informática.
 Clases
 Conferencia Anual
 Publicaciones y webservices
 Grupos de interés especial
2.1.1.3. Estructura
FIRST funciona bajo de un marco operacional, que contiene los principios que gobiernan y las
reglas de funcionamiento de alto nivel para la organización. Sin embargo, FIRST no ejercita
ninguna autoridad sobre la organización y la operación de los equipos individuales miembros.
Comité de Dirección: El Comité de Dirección es un grupo de individuos responsables de la política

de funcionamiento general, de procedimientos y de materias relacionadas que afectan a FISRT en
su totalidad.
Nombre Entidad Vigencia

Derrick Scholl (Chair) Sun Microsystems, USA 2008-2010
Ken van Wyk (Vice-Chair) KRvW Associates, LLC, USA 2007-2009
Chris Gibson (Treasurer) Citigroup, USA/UK 2008-2010
Peter Allor IBM ISS, USA 2008-2010
Yurie Ito JPCERT/CC, Japan 2007-2009
Scott McIntyre KPN-CERT, NL 2008-2010
Francisco Jesus Monserrat Coll RedIRIS, Spain 2007-2009
Tom Mullen British Telecom, UK 2007-2009
Steve Adegbite Microsoft, USA 2008-2010
Arnold Yoon KrCERT/CC, Korea 2007-2009
Junta Directiva: La Junta Directiva es un grupo de individuos responsables de la política de

funcionamiento general, de procedimientos, y de materias relacionadas que afectan la
organización FIRST en su totalidad.
Página 35 de 188
GOBIERNO EN LÍNEA
Secretaría: La secretaría sirve como punto administrativo para FIRST y proporciona un contacto
general.
Equipos Miembros: Los equipos de la respuesta del incidente que participan en FIRST representan
las organizaciones que asisten a la comunidad de la tecnología de información o a entidades
gubernamentales que trabajan en la prevención y manipulación de incidentes de seguridad
informática.
Enlaces: Individuos o representantes de organizaciones con excepción de los equipos CSIRT que
tienen un interés legítimo en y lo valoran a FIRST.
Comités: El Comité de Dirección de FIRST establece los comités temporales ad hoc requeridos
para alcanzar mejor las metas.
2.1.1.4. Área de Influencia
FIRST está una confederación internacional de los equipos de respuesta a incidente informáticos
que de manera cooperativa manejan incidentes de la seguridad y promueven programas de la
prevención del incidente, anima y promueve el desarrollo de productos, políticas y servicios de la
seguridad, desarrolla y promulga las mejores prácticas de la seguridad y promueve la creación y
expansión de los equipos de incidente alrededor del mundo.
Los miembros de FIRST desarrollan y comparten información técnica, herramientas, metodologías,

procesos y mejores prácticas y utilizan su conocimiento, habilidades y experiencia combinados
para promover un ambiente electrónico global más seguro. FIRST tiene actualmente más de 180
miembros, extienda por África, las Américas, Asia, Europa y Oceanía. Los siguientes son los
equipos CSIRT distribuidos alrededor del mundo, donde Colombia aún no hace parte:
Página 36 de 188
GOBIERNO EN LÍNEA
Ilustración 1: Países con CSIRTs Miembros de FIRST
CSIRT Nombre Oficial del CSIRT

AAB GCIRT ABN AMRO Global CIRT
ACERT Army Emergency Response Team
ACOnet-CERT ACOnet-CERT
AFCERT Air Force CERT
ARCcert The American Red Cross Computer Emergency Response Team
ASEC AhnLab Security E-response Center
AT&T AT&T
AboveSecCERT Above Security Computer Emergency Response Team
Apple Apple Computer
Computer Emergency Response Team of the Argentine Public
ArCERT
Administration
AusCERT Australian Computer Emergency Response Team
Avaya-GCERT Avaya Global Computer Emergency Response Team
BCERT Boeing CERT
BELNET CERT BELNET CERT
BFK BFK edv consulting
BIRT BrandProtect IRT
BMO ISIRT BMO InfoSec Incident Response Team
BP DSAC BP Digital Security Alert Centre
BTCERTCC British Telecommunications CERT Co-ordination Centre
BadgIRT University of Wisconsin-Madison
Bell IPCR Bell Canada Information Protection Centre (IPC) Response
Bunker The Bunker Security Team
CAIS/RNP Brazilian Academic and Research Network CSIRT
CARNet CERT CARNet CERT
CC-SEC Cablecom Security Team
CCIRC Canadian Cyber Incident Response Centre
CCN-CERT (Spanish Governmental National Cryptology Center -
CCN-CERT
Computer Security Incident Response Team)
CERT POLSKA Computer Emergency Response Team Polska
CERT TCC TDBFG Computer Security Incident Response Team
CERT-Bund CERT-Bund
CERT-FI CERT-FI
CERT-Hungary Hungarian governmental Computer Emergency Response Team
CERT-IT CERT Italiano
CERT-In Indian Computer Emergency Response Team
CERT-Renater CERT-Renater
CERT-TCC Computer Emergency Response Team Tunisian Coordination Center
CERT-VW CERT-VW
Página 37 de 188
GOBIERNO EN LÍNEA

CERT.at CERT.at
CERT.br Computer Emergency Response Team Brazil
CERT/CC CERT Coordination Center
CERTA CERT-Administration
CERTBw Computer Emergency Response Team Bundeswehr
CFC Cyber Force Center
CGI CIRT CGI Computer Incident Response Team
CIAC US Department of Energy's Computer Incident Advisory Capability
CLCERT Chilean Computer Emergency Response Team
China Mobile Computer Network Emergency Response Technical
CMCERT/CC
Team /Coordination Center
National Computer Network Emergency Response Technical Team /
CNCERT/CC
Coordination Center of China
ANTEL's Computer and Telecommunications Security Incident
CSIRT ANTEL
Response Centre
CSIRT Banco Real Real Bank Brazil Security Incident Response Team
CSIRT.DK Danish Computer Security Incident Repsonse Team
CSIRTUK CSIRTUK
Cert-IST CERT France Industries, Services & Tertiaire
Cisco PSIRT Cisco Systems Product Security Incident Response Team
Cisco Systems Cisco Systems CSIRT
Citi CIRT Citi CIRT
ComCERT Commerzbank CERT
CyberCIRT Cyberklix Computer Incident Response Team
DANTE Delivery of Advanced Network Technology to Europe Limited
DCSIRT Diageo CSIRT
DFN-CERT DFN-CERT
DIRT DePaul Incident Response Team
DK-CERT Danish Computer Emergency Repsonse Team
E-CERT Energis Computer Emergency Response Team
EDS EDS
EMC EMCs Product Security Response Center
ESACERT ESA Computer and Communications Emergency Response Team
ETISALAT-CERT ETISALAT Computer Emergency Response
EWA-Canada/CanCERT EWA-Canada / Canadian Computer Emergency Response Team
EYCIRT Ernst & Young Computer Incident Response Team
Ericsson PSIRT Ericsson Product Security Incident Response Team
FSC-CERT CERT of Fujitsu-Siemens Computers
FSLabs F-Secure Security Labs
Funet CERT Funet CERT
GD-AIS General Dynamics – AIS
GIST Google Information Security Team
GNS-Cert GNS-Cert
Página 38 de 188
GOBIERNO EN LÍNEA

GOVCERT.NL GOVCERT.NL
GTCERT Georgia Institute of Technology CERT
Goldman Sachs Goldman, Sachs and Company
GovCertUK CESGs Government Computer Emergency Response Team
HIRT Hitachi Incident Response Team
HKCERT Hong Kong Computer Emergency Response Team Coordination Centre
HP SSRT HP Software Security Response Team
IBM IBM
IIJ-SECT IIJ Group Security Coordination Team
ILAN-CERT Israeli Academic CERT
ILGOV-CERT Israel governmental computer emergency response team
ING Global CIRT ING Global CIRT
IP+ CERT IP-Plus CERT
IPA-CERT IPA-CERT
IRIS-CERT IRIS-CERT
IRS (Internal Revenue Service) Computer Security Incident Response
IRS CSIRC
Team
Infosec-CERT Infosec Computer Emergency Response Team
Intel FIRST Team Intel FIRST Team
JANET CSIRT JANET CSIRT
JPCERT/CC JPCERT Coordination Center
JPMC CIRT JPMorgan Chase Computer Incident Response Team
JSOC Japan Security Operation Center
Juniper SIRT Juniper Networks Security Incident Response team
KFCERT Korea Financial Computer Emergency Response Team
KKCSIRT Kakaku.com Security Incident Response Team
KMD IAC KMD Internet Alarm Center
KN-CERT Korea National Computer Emergency Response Team
KPN-CERT Computer Emergency Response Team of KPN
KrCERT/CC KrCERT/CC
LITNET CERT LITNET CERT
MCERT Motorola Cyber Emergency Response Team
MCI MCI, Inc.
MCIRT Metavante Computer Incident Response Team
MFCIRT McAfee Computer Incident Response Team
MIT Network Security Massachusetts Institute of Technology Network Security Team
MLCIRT Merrill Lynch Computer Security Incident Response Team
MODCERT MOD Computer Emergency Response Team
MSCERT Microsoft Product Support Services Security Team
MyCERT Malaysian Computer Emergency Response Team
NAB ITSAR National Australia Bank - IT Security Assessments and Response
NASIRC NASA Incident Response Center
Página 39 de 188
GOBIERNO EN LÍNEA

NCIRC CC NATO Computer Incident Response Capability - Coordination Center
NCSA-IRST National Center for Supercomputing Applications IRST
NCSIRT NRI SecureTechnologies Computer Security Incident Response Team
NGFIRST Northrop Grumman Corporation FIRST
NIHIRT NIH Incident Response Team
NISC National Information Security Center
NIST NIST IT Security
NN FIRST Team Nortel FIRST Team
NORDUnet NORDUnet
NTT Computer Security Incident Response and Readiness Coordination
NTT-CERT
Team
NU-CERT Northwestern University
NUSCERT NUS Computer Emergency Response Team
Nokia-NIRT Nokia Incident Response Team
NorCERT Norwegian Computer Emergency Response Team
ORACERT Oracle Global Security Team
OS-CIRT Open Systems AG Computer Incident Response Team
OSU-IRT The Ohio State University Incident Response Team
OxCERT Oxford University IT Security Team
PRE-CERT PRE-CERT
PSU Pennsylvania State University
Pentest Pentest Security Team
Q-CERT Qatar CERT
Q-CIRT QinetiQ Computer Incident Response Team
RBC FG CSIRT RBC Financial Group CSIRT
RBSG Royal Bank of Scotland, Investigation and Threat Management
RM CSIRT ROYAL MAIL CSIRT CC
RU-CERT Computer Security Incident Response Team RU-CERT
RUS-CERT Stabsstelle DV-Sicherheit der Universitaet Stuttgart
Ricoh PSIRT Ricoh Product Security Incident Response Team
S-CERT CERT of the German Savings Banks Organization
SAFCERT Singapore Armed Forces Computer Emergency Response Team
Science Applications International Corporation - Incident Response
SAIC-IRT
Team
SAP CERT SAP AG CERT
SBCSIRT Softbank Telecommunications Security Incident Response Team
SGI Silicon Graphics, Inc.
SI-CERT Slovenian CERT
SIRCC Security Incident Response Control Center
SITIC Swedish IT Incident Centre
SKY-CERT Skype Computer Emergency Response Team
SLCERT Sri Lanka Computer Emergency Response Team
SUNet-CERT SUNet-CERT
Página 40 de 188
GOBIERNO EN LÍNEA

SURFcert SURFcert
SWAT A.P.Moller-Maersk Group IT-Security SWAT
SWITCH-CERT Swiss Education and Research Network CERT
SWRX CERT SecureWorks Computer Emergency Response Team
Secunia Research Secunia Research
Siemens-CERT Siemens-CERT
SingCERT Singapore CERT
Sprint Sprint
Stanford Stanford University Information Security Services
Sun Sun Microsystems, Inc.
SymCERT Symantec Computer Emergency Response Team
TERIS Telefonica del Peru Computer Security Incidents Response Team
TESIRT TELMEX Security Incident Response Team
TS-CERT TeliaSoneraCERT CC
TS/ICSA FIRST TruSecure Corporation
TWCERT/CC Taiwan Computer Emergency Response Team/Coordination Center
TWNCERT Taiwan National Computer Emergency Response Team
Team Cymru Team Cymru
Telekom-CERT Telekom-CERT
ThaiCERT Thai Computer Emergency Response Team
UB-First UB-First
UCERT Unisys CERT
UGaCIRT The University of Georgia Computer Incident Response Team
UM-CERT University of Michigan CERT
UNAM-CERT UNAM-CERT
UNINETT CERT UNINETT CERT
US-CERT United States Computer Emergency Readiness Center
Uchicago Network Security The University of Chicago Network Security Center
VISA-CIRT VISA-CIRT
VeriSign VeriSign
YIRD Yahoo Incident Response Division
dCERT debis Computer Emergency Response Team
dbCERT Deutsche Bank Computer Emergency Response Team
e-Cop e-Cop Pte Ltd
e-LC CSIRT e-LaCaixa CSIRT
esCERT-UPC CERT for the Technical University of Catalunya
secu-CERT SECUNET CERT
Página 41 de 188
GOBIERNO EN LÍNEA
2.1.2. ENISA - EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY 4
El 10 de marzo de 2004 se creó una Agencia Europea de Seguridad de las Redes y de la

Información (ENISA)5. Su objetivo era garantizar un nivel elevado y efectivo de seguridad de las
redes y de la información en la Comunidad Europea y desarrollar una cultura de la seguridad de
las redes y la información en beneficio de los ciudadanos, los consumidores, las empresas y las
organizaciones del sector público de la Unión Europea, contribuyendo así al funcionamiento
armonioso del mercado interior. Desde hace varios años, diferentes grupos europeos dedicados a
la seguridad, como los CERT/CSIRT, los equipos de detección y respuesta a abusos y los WARP,
colaboran para que Internet sea más seguro.
La ENISA desea apoyar el esfuerzo realizado por estos grupos aportando información acerca de las
medidas que garantizan un nivel adecuado de calidad de los servicios. Además, la Agencia desea
potenciar su capacidad de asesorar a los Estados miembros de la UE y los órganos comunitarios
en cuestiones relacionadas con la cobertura de grupos específicos de usuarios de las TI con
servicios de seguridad adecuados. Por lo tanto, basándose en los resultados del grupo de trabajo
ad-hoc de cooperación y apoyo a los CERT, creado en 2005, este nuevo grupo de trabajo se
encargará de asuntos relativos a la prestación de servicios de seguridad adecuados (servicios de
los CERT) a grupos de usuarios específicos.
Para asegurar el cumplimiento de sus objetivos según lo precisado en su regulación, las tareas de
la agencia se enfocan en:
 Asesorar y asistir a los Estados miembro en temas de seguridad de la información y a la

industria en problemas de seguridad relacionados con sus productos de hardware y de
software.
 Recopilar y analizar datos sobre incidentes de la seguridad en Europa y riesgos emergentes.
 Promover métodos de gestión de riesgo de la seguridad de la información.
Los principales servicios que promueven son:
4
Tomado de: http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf. U.A: 2008/09/26. Publicado
por: ENISA. Autor: No determinado.
5
Reglamento (CE) nº 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la
Agencia Europea de Seguridad de las Redes y de la Información. Una “agencia europea” es un órgano creado por la
UE para realizar una tarea técnica, científica o de gestión muy concreta perteneciente al ámbito comunitario de la UE.
Página 42 de 188
GOBIERNO EN LÍNEA
Gestión de la Calidad de
Servicios Reactivos Servicios Proactivos Manejo de Instancias
la Seguridad
 Alertas y  Comunicados  Análisis de  Análisis de riesgos
advertencias  Observatorio de instancias  Continuidad del
 Tratamiento de tecnología  Respuesta a las negocio y
incidentes  Evaluaciones o instancias recuperación tras un
 Análisis de auditorías de la  Coordinación de la desastre
incidentes seguridad respuesta a las  Consultoría de
 Apoyo a la  Configuración y instancias seguridad
respuesta a mantenimiento de  Sensibilización
incidentes la seguridad  Educación /
 Coordinación de la  Desarrollo de Formación
respuesta a herramientas de  Evaluación o
incidentes seguridad certificación de
 Respuesta a  Servicios de productos
incidentes in situ detección de
 Tratamiento de la intrusos
vulnerabilidad  Difusión de
 Análisis de la información
vulnerabilidad relacionada con la
 Respuesta a la seguridad
vulnerabilidad
 Coordinación de la
respuesta a la
vulnerabilidad
Página 43 de 188
GOBIERNO EN LÍNEA
2.1.2.3. Estructura
Ilustración 2: Estructura de ENISA
ENISA cubre la Comunidad Económica Europea y sus países miembros son: Austria, Bélgica,
Bulgaria, Chipre, República Checa, Dinamarca, Estonia, Finlandia, Francia, Alemania, Grecia, Hungría,
Irlanda, Italia, Latvia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, Rumania, Eslovaquia,
Eslovenia, España, Suecia, Reino Unido, Noruega, Islandia, Liechtenstein.
Página 44 de 188
GOBIERNO EN LÍNEA
2.1.3. APCERT6 - ASIA PACIFIC COMPUTER EMERGENCY RESPONSE TEAM
APCERT ha sido constituida con la misión de mantener una red de contactos de expertos en
seguridad informática en la región Pacífica de Asia, para mejorar el conocimiento y la capacidad de
la región en lo referente a incidentes de la seguridad de la computadora.
 Impulsar la cooperación regional e internacional de Asia pacífica en seguridad de la

información.
 Tomar medidas comunes para atender incidentes de seguridad de la red.
 Facilitar compartir información e intercambio de tecnología, relacionada con seguridad de la

información, virus informáticos y código malévolo, entre sus miembros.
 Promover la investigación y colaboración en temas del interés en sus miembros.
 Asistir a otros CERTs y CSIRTS en la región para conducir respuestas eficiente y eficaz a
emergencia computacionales.
 Generar recomendaciones de ayudar en cuestiones legales relacionadas con la respuesta a

incidentes de seguridad y de emergencias informáticas en la región.
2.1.3.3. Estructura
Miembros de pleno derecho
Equipo Nombre oficial del equipo Economía

AusCERT Australian Computer Emergency Response Team Australia
BKIS Bach Khoa Internetwork Security Center Vietnam
CCERT CERNET Computer Emergency Response Team República Popular de China
CERT-En Indian Computer Emergency Response Team India
National Computer network Emergency Response
CNCERT/ CC República Popular de China
technical Team / Coordination Center of China
Hong Kong Computer Emergency Response Team
HKCERT Hong Kong, China
Coordination Centre
ID-CERT Indonesia Computer Emergency Response Team Indonesia
JPCERT /CC Japan Computer Emergency Response Team / Japón
6
Tomado de: http://www.apcert.org/. U.A: 2008/09/26. Publicado por: APCERT. Autor: No determinado.
Página 45 de 188
GOBIERNO EN LÍNEA
Equipo Nombre oficial del equipo Economía

Coordination Center
KrCERT/CC Korea Internet Security Center Corea
MyCERT Malaysian Computer Emergency Response Team Malasia
PHCERT Philippine Computer Emergency Response Team Filipino
SingCERT Singapore Computer Emergency Response Team Singapur
ThaiCERT Thai Computer Emergency Response Team Tailandia
Taiwan Computer Emergency Response Team /
TWCERT /CC Taipei china
Coordination Center
TWNCERT Taiwan National Computer Emergency Response Team Taipei china
Miembros Generales
Equipo
Nombre oficial del equipo Economía
BP DSIRT BP Digital Security Incident Response Team Singapur

BruCERT Brunei Computer Emergency Response Team Negara Brunei Darussalam
Government Computer Security and Incident Response
GCSIRT Filipinas
Team
National University of Singapore Computer Emergency
NUSCERT Singapur
Response Team
SLCERT Sri Lanka Computer Emergency Response Team Sri Lanka
VNCERT Vietnam Computer Emergency Response Team Vietnam
La región de Asia Pacífico
Página 46 de 188
GOBIERNO EN LÍNEA
2.1.4. CERT - COORDINATION CENTER DE LA UNIVERSIDAD CARNEGIE

MELLON7
El equipo del CERT CSIRT ayuda a organizaciones para desarrollar, para funcionar, y para mejorar
capacidades de la gerencia del incidente. Las organizaciones pueden aprovecharse de los
productos, del entrenamiento, de los informes, y de los talleres para la comunidad global del
Internet.
El centro de coordinación del CERT (CERT/CC), es uno de los grupos con mayor reconocimiento en
el campo de los CERTs. Aunque fue establecido como equipo de respuesta a incidente, el CERT/CC
se ha desarrollado más allá, centrándose en identificar las amenazas potenciales, de notificar a los
administradores de sistemas y al personal técnico acerca de dichas amenazas y de coordinar con
los proveedores y los equipos CERT en todo el mundo para tratar las amenazas.
Las áreas en las cuales puede ayudar son:
 Análisis de vulnerabilidades, esperando identificar y atenuar los impactos antes de que se

conviertan en una amenaza significativa de la seguridad. Una vez que se identifica una
vulnerabilidad, se trabaja con los proveedores apropiados de la tecnología para resolver la
acción.
 Además de identificar vulnerabilidades, previenen la introducción de nuevas amenazas,

estableciendo prácticas que los proveedores pueden utilizar mejorar la seguridad y la calidad
de su software.
 Promueven el desarrollo de una capacidad global de la respuesta, ayudando a organizaciones y

a países a establecer los Equipos de Respuesta a Incidente de la Seguridad Informática
(CSIRTs) y trabajan con los equipos existentes para coordinar la comunicación y la respuesta
durante acontecimientos importantes de seguridad.
 Examinan, catalogan y hacen ingeniera inversa sobre códigos malévolos. Estas actividades
ayudan a entender mejor cómo el código trabaja y permiten que se identifiquen las tendencias
y los patrones que pueden revelar vulnerabilidades explotables u otras amenazas potenciales.
 Promueven el intercambio de información referente a los servicios de seguridad:
 Avisos de prevención
7
CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute - Carnegie
Mellon University. Autor: No determinado.
Página 47 de 188
GOBIERNO EN LÍNEA
 Actualizaciones de las actividades de seguridad
 Análisis y entrenamiento en incidentes
 Alertas
 Investigación en tendencias, amenazas y riesgos
 Generan intercambios Técnicos
 Consultoría, entrenamiento y desarrollo de habilidades técnicas.
 Intercambios técnicos de personal o afiliados residentes
 Herramienta de desarrollo y ayuda
 Análisis de vulnerabilidad
 Análisis de hardware
 Red de supervisión y análisis
 Evalúan la madurez y capacidad del CSIRT
 Interactúan para el patrocinio de FIRST y presentación a otras organizaciones y socios

estratégicos
 Hacen análisis de la infraestructura crítica
2.1.4.3. Estructura
El Carnegie Mellon CyLab es una iniciativa universitaria, multidisciplinaria que implica más de 200
facultades, estudiantes, y personal en Carnegie Mellon que han construido el liderazgo en
tecnología de información de Carnegie Mellon. Los trabajos de CyLab se centran en la coordinación
del CERT (CERT/CC), el conducir un centro reconocido internacionalmente de seguridad de
Internet. A través de su conexión al CERT/CC, CyLab también trabaja de cerca con US-CERT - una
sociedad entre el departamento de la división nacional de la seguridad de la Ciberseguridad del
gobierno (NCSD) y del sector privado, protegiendo la infraestructura nacional de la información en
Estados Unidos.
Página 48 de 188
GOBIERNO EN LÍNEA
Ilustración 3: CERT apoyados por el Centro de Coordinación de la Universidad Carnegie Mellon
2.1.5. TERENA8 - TRANS-EUROPEAN RESEARCH AND EDUCATION

NETWORKING ASSOCIATION
La Asociación Trans Europea de Redes de Investigación y Educación – TERENA (Trans-European

Research and Education Networking Association) ofrece un foro de colaboración, innovación y
compartir conocimiento para fomentar el desarrollo de la tecnología, de la infraestructura y de los
servicios del Internet que se utilizan por la comunidad de Investigación y educación.
Los objetivos de TERENA se orientan a promover y participar en el desarrollo de información de

alta calidad y de una infraestructura de telecomunicaciones internacionales en beneficio de la
investigación y de la educación.
Las principales actividades de TERENA son:
8
Tomado de: http://www.terena.org/. U.A: 2008/09/26. Publicado por: Terena. Autor: No determinado.
Página 49 de 188
GOBIERNO EN LÍNEA
 Proveer un ambiente de fomento de nuevas iniciativas en la investigación en la comunidad

europea para el establecimiento de una red de conocimiento.
 Empalmar el soporte europeo para evaluar, probar, integrar y promover nuevas tecnologías del
establecimiento de una red de conocimiento.
 Organizar conferencias, talleres y seminarios para el intercambio de la información en

Comunidad europea para el establecimiento de una red de investigación y buscar transferencia
del conocimiento a organizaciones menos avanzadas.
Junto con FIRST, TERENA organiza regularmente talleres de entrenamiento para los miembros de
los Equipos de Respuesta al incidente de Seguridad Computacional (CSIRTs), con base en
materiales desarrollados originalmente por el proyecto TRANSITS que funcionó entre 2002 y 2005.
TRANSITS era originalmente un proyecto financiado por la Comunidad Económica Europea para
promover el establecimiento de los equipos de la respuesta del incidente de la seguridad de la
computadora (CSIRTs) tratando el problema de la escasez del personal experto en CSIRTs. Esta
meta ha sido tratada proporcionando cursos de especialización al personal de CSIRTs en temas
organizacionales, operacionales, técnicos, de mercado y temas legales implicados en el
establecimiento de un CSIRT.
Desde que el proyecto TRANSITS terminó en septiembre de 2005, TERENA y FIRST unieron sus
fuerzas para organizar talleres a través de Europa, con la ayuda de ayuda financiera de varias
organizaciones. Los talleres más recientes han sido co-organizados y patrocinados por ENISA.
2.1.5.3. Estructura
La estructura de TERENA incluye:
 Asamblea General de TERENA
 Asamblea General Representantes
 Comité ejecutivo Técnico de TERENA
 Comité Técnico de TERENA
 Consejo Consultivo Técnico
 Secretaría
Página 50 de 188
GOBIERNO EN LÍNEA
ACOnet, Austria FCCN, Portugal MREN, Montenegro SURFnet, The

Netherlands
AMRES - University of FUNET, Finland PCSS, Poland SWITCH, Switzerland
Belgrade, Serbia
ARNES, Slovenia GARR, Italy RedIRIS, Spain UIIP NASB, Belarus
BELNET, Belgium GRNET, Greece RENATER, France ULAKBIM, Turkey
BREN, Bulgaria HEAnet, Ireland RESTENA, Luxembourg UNI-C, Denmark

CARNet, Croatia HUNGARNET, Hungary RHnet, Iceland UNINETT, Norway
CESNET, Czech Republic IUCC, Israel RoEduNet, Romania Malta, University of
Malta
CYNET, Cyprus JANET(UK), United SANET, Slovakia
Kingdom
DFN, Germany LITNET, Lithuania SigmaNet, Latvia
EENet, Estonia MARNET, FYR of SUNET, Sweden
Macedonia
2.1.6. ALEMANIA - CERT-BUND9 (COMPUTER EMERGENCY RESPONSE TEAM

FÜR BUNDESBEHÖRDEN)
La Oficina Federal para la Seguridad en la Tecnología de Información (Bundesamt für Sicherheit in

der Informationstechnik - BSI) es la central de servicios de seguridad del gobierno y por ende,
asume la responsabilidad de la seguridad de la sociedad, convirtiéndose en la columna básica de la
seguridad interna en Alemania.
Mantiene contacto con los usuarios (administraciones públicas, gobierno y los municipios, así como
las empresas y los usuarios privados) y fabricantes de tecnología de información.
En Septiembre de 2001 se creo el contexto de la reorganización del BSI CERT-BUND (Equipo de

Respuesta a Emergencias Computacionales para las autoridades federales). Los ataques de virus
computacionales repetidos a las redes y sistemas, creo la necesidad de contar con un lugar central
para la solución de los problemas de la seguridad informática, enfocados en prevenir los agujeros
de seguridad en los sistemas informáticos del gobierno, con reacción siete días la semana.
Entre las tareas del CERT están:
9
Tomado de: http://www.bsi.bund.de/certbund/. U.A: 2008/09/26. Publicado por: Bundesamt für Sicherheit in der
Informationstechnik (BSI). Autor: No determinado.
Página 51 de 188
GOBIERNO EN LÍNEA
 Generar y publicar recomendaciones preventivas para evitar las acciones que generen daños.
 Identificar puntos débiles del hardware y software.
 Sugerir medidas de recuperación de los agujeros de seguridad,
 Advertir situaciones especiales de amenaza relacionadas con la tecnología de información.
 Recomendar medidas reactivas para delimitar daños.
 Investigar riesgos de seguridad con el uso de la tecnología de información así como desarrollar
las medidas de seguridad.
 Desarrollar criterios de prueba.
 Evaluar la seguridad en sistemas información.
 Ayudar de las autoridades gubernamentales en temas relacionados con la seguridad en la

tecnología de información.
Alemania
2.1.7. ARABIA SAUDITA - CERT-SA10 (COMPUTER EMERGENCY RESPONSE

TEAM - SAUDI ARABIA)
El Equipo de Respuesta a Emergencia Computacionales (CERT-SA) es un organismo sin ánimo de

lucro establecido para desempeñar un papel importante en la creación de conocimiento, la
administración, la detección, la prevención, la coordinación y la respuesta a los incidentes de
seguridad de la información a nivel nacional en Arabia Saudita.
Su misión se establece en torno a los siguientes objetivos orientados a Arabia Saudita:
 Incrementar el nivel de conocimiento acerca de la seguridad de la información.
 Coordinar a nivel nacional los esfuerzos para promover las mejores prácticas de la seguridad y
crear confianza entre la comunidad del ciberespacio.
10
Tomado de: http://www.cert.gov.sa/. U.A: 2008/09/26. Publicado por:CERT-SA. Autor: No determinado.
Página 52 de 188
GOBIERNO EN LÍNEA
 Ayudar a manejar ataques e incidentes de la seguridad de la información.
 Ser la referencia en seguridad de la información para la comunidad de Ciberespacio.
 Construir talento y capacidad humana en el campo de la seguridad de la información.
 Proporcionar un ambiente de confianza para las e-transacciones.
 Fomentar la confianza, cooperación y colaboración entre los componentes y la ciber-

comunidad de Arabia Saudita.
 Gerencia de la calidad de la seguridad
 Construcción de conocimiento: Proporciona conocimiento y dirección en temas de seguridad de

la información para una mejor adecuación a las prácticas aceptadas en seguridad informática,
vía portal, campaña y seminarios.
 Educación / Entrenamiento: Provee educación en seguridad de la información con el

entrenamiento interno ajustado para requisitos particulares y en colaboración con instituciones
de entrenamiento.
 Servicios Proactivos
 Aviso: Genera alarmas de seguridad de la información que incluye pero no se limitado a la

intrusión, advertencias de vulnerabilidad y asesorías en la seguridad a través del portal.
 Difunde información relacionada con la seguridad.
 Servicios reactivos
 Alarmas y advertencia: Difunde información que describe intrusos, vulnerabilidades de la

seguridad, alarmas de intrusión, virus informáticos, bromas y establece la línea de conducta
relevante para enfrentar problemas específicos.
 Ayuda de la respuesta del incidente: Asiste en la recuperación de incidentes vía teléfono,

email, fax, o documentación. Puede implicar asistencia técnica en la interpretación de los datos
y orienta en estrategias de mitigación y recuperación.
 Análisis del incidente: Examina la información disponible y evidencia de soporte relacionados

con un incidente, con el fin de identificar el alcance del incidente, el grado del daño causado
por el incidente, la naturaleza del incidente y las estrategias de respuesta.
Página 53 de 188
GOBIERNO EN LÍNEA
Arabia Saudita
2.1.8. ARGENTINA - ARCERT11 (COORDINACIÓN DE EMERGENCIAS EN REDES

TELEINFORMÁTICAS)
En el año 1999, la Secretaría de la Función Pública de la Jefatura de Gabinete de Ministros de

Argentina dispuso la creación de ArCERT, unidad de respuesta ante incidentes en redes que
centraliza y coordina los esfuerzos para el manejo de los incidentes de seguridad que afecten los
recursos informáticos de la Administración Pública Nacional, es decir cualquier ataque o intento de
penetración a través de sus redes de información.
Adicionalmente difunde información con el fin de neutralizar dichos incidentes, en forma

preventiva o correctiva, y capacita al personal técnico afectado a las redes de los organismos del
Sector Público Nacional. ArCERT comenzó a funcionar en mayo de 1999 en el ámbito de la
Subsecretaría de la Gestión Pública, siendo sus principales funciones:
 Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administración Pública

Nacional y facilitar el intercambio de información para afrontarlos.
 Proveer un servicio especializado de asesoramiento en seguridad de redes.
 Promover la coordinación entre los organismos de la Administración Pública Nacional para

prevenir, detectar, manejar y recuperar incidentes de seguridad.
 Actuar como repositorio de toda la información sobre incidentes de seguridad, herramientas y

técnicas de defensa
ArCERT cumple funciones de naturaleza eminentemente técnica. No pretende investigar el origen

de los ataques ni quienes son sus responsables. Corresponde al responsable de cada organismo
efectuar las denuncias para iniciar el proceso de investigación
Servicios: Todos los servicios que el ArCERT brinda a los Usuarios son gratuitos y no implican
erogación alguna para el Organismo representado.
11
Tomado de: http://www.arcert.gov.ar/. U.A: 2008/09/26. Publicado por:Subsecretaría de Tecnología de Gestión,
Secretaría de la Gestión Pública, Argentina. Autor: No determinado.
Página 54 de 188
GOBIERNO EN LÍNEA
 Acceso al Sitio Privado de ArCERT
 Análisis y seguimiento de los incidentes de seguridad reportados
 Difusión de información sobre las principales fallas de seguridad en productos
 Recomendación de material de lectura
 Asesorías sobre seguridad informática
 Acceder a la utilización del Producto SiMoS (Sistema de Monitoreo de Seguridad)
 Acceso a la Base de Conocimiento de Seguridad del ArCERT
 Acceso a las Herramientas de Seguridad seleccionadas por el ArCERT
Servicios por Pedidos de Asistencia Específicos
 Instalación y configuración de Firewall de libre disponibilidad
 Instalación y configuración de IDS de libre disponibilidad
 Análisis de la topología de red
 Análisis perimetrales y visibilidad de la red
 Búsqueda de vulnerabilidades en los servidores de red
 Recomendaciones para robustecer los Sistemas Operativos y las Aplicaciones
Productos
 SIMOS - Sistema de Monitoreo de Seguridad: Permite detectar las vulnerabilidades conocidas

de los servidores, que brinden servicio a través de Internet, de los organismos de la
Administración Pública
 FW-APN - Firewall de libre disponibilidad para la Administración Pública Nacional: Solución

basada en software de libre disponibilidad, eficiente, robusta y de bajos requerimientos que
cubre las necesidades de Firewall en la mayoría de las redes de la Administración Pública
Nacional. Funciona directamente desde CD-ROM.
Página 55 de 188
GOBIERNO EN LÍNEA
 DNSar - Sistema de Análisis de Servidores y Dominios DNS: DNSar es un software desarrollado

por ArCERT para analizar los servidores y dominios DNS en busca de posibles errores de
configuración y funcionamiento.
 CAL - Coordinación y Análisis de Logs (En desarrollo): CAL es un conjunto de software, de fácil
instalación, que los organismos pueden instalar en una máquina dedicada para la detección de
alertas de seguridad en su red. Además, estas alertas son reenviadas a ArCERT para una visión
macro de estado de seguridad de la administración pública.
2.1.8.3. Estructura
ArCERT está sustentado por un grupo de especialistas, que hoy conforman el equipo de seguridad
en redes, dedicado a investigar sobre incidentes, hacking, herramientas de protección y detección,
etc., con conocimientos y experiencia entre otras, en las siguientes áreas: tecnologías
informáticas, Firewalls, seguridad en Internet é Intranet, detección y erradicación de intrusos,
políticas y procedimientos de seguridad, administración de riesgos, etc.
Funciona en la Oficina Nacional de Tecnologías de Información de la Subsecretaría de Tecnologías

de Gestión de la Secretaría de Gabinete y Gestión Pública de la Jefatura de Gabinete de Ministros
de Argentina.
Argentina
2.1.9. AUSTRALIA - AUSCERT12 (AUSTRALIA COMPUTER EMERGENCY

RESPONSE TEAM)
AusCERT es el Equipo de Respuesta a Emergencias Computacionales nacional para Australia y

proporciona asesoría en temas de seguridad de la información de la computadora, a la comunidad
australiana y a sus miembros, como punto único de contacto para ocuparse de dichos incidentes
de seguridad que afectan o que implican redes australianas.
AusCERT supervisa y evalúa amenazas globales de la red de ordenadores y las vulnerabilidades.

AusCERT publica boletines de seguridad, incluyendo estrategias recomendadas de prevención y
mitigación.
12
Tomado de: http://www.auscert.org.au/. U.A: 2008/09/26. Publicado por: AusCERT, The University of Queensland,
Brisbane QLD 4072, Australia. Autor: No determinado.
Página 56 de 188
GOBIERNO EN LÍNEA
AusCERT ofrece servicios de administración de incidentes que puede ser una manera eficaz de
parar un ataque en curso de la computadora o proporcionar la asesoría práctica en la respuesta y
recuperación de un ataque.
Las organizaciones del miembro de AusCERT gozan de un número de servicios no disponibles al

público en general. Estos servicios incluyen:
 Servicio de la detección temprana.
 Acceso vía Web site a contenidos exclusivos.
 Entrega vía email de boletines de seguridad.
 Acceso a Foros.
 Servicios de gerencia del incidente: incluyen la coordinación del incidente y la dirección del
incidente.
 Supervisión, evaluación y asesoría acerca de la vulnerabilidad y amenazas.
 Los miembros de AusCERT reciben boletines de la seguridad vía email. Los no miembros
pueden suscribir al servicio de alerta libre nacional.
 AusCERT investiga el ambiente de la seguridad del Internet para el gobierno y la industria

dentro de Australia. Estructura
AusCERT es una organización independiente, sin ánimo de lucro, con base en la Universidad de
Queensland, como parte del área de Servicios de Tecnología de la Información.
AusCERT cubre sus gastos con una variedad de fuentes incluyendo suscripciones de miembros y el
entrenamiento y educación en seguridad informática.
Es miembro activo del Foro FIRST y del Equipo de Respuesta a Emergencia Informática de Asia
Pacífico (APCERT), AusCERT tiene acceso a la información sobre amenazas y vulnerabilidades de la
red de ordenadores que surgen de manera regional y global.
Australia y Asia en la región pacífica
Página 57 de 188
GOBIERNO EN LÍNEA
2.1.10. AUSTRIA - CERT.AT13 (COMPUTER EMERGENCY RESPONSE TEAM

AUSTRIA)
CERT.at es el CERT austríaco nacional que comenzó como un ensayo en marzo de 2008. Como el
CERT nacional, CERT.at es el punto de contacto primario para la seguridad informática en el
contexto nacional. CERT.at coordina otro CERT que funciona en el área de la infraestructura crítica
o de la infraestructura de la comunicación. En el caso de ataques en línea significativos contra la
infraestructura austríaca, CERT.at coordina la respuesta de los operadores y de los equipos locales
de la seguridad.
 Respuesta al incidente: CERT.at asiste al equipo de seguridad en el manejo de los aspectos

técnicos y de organización de incidentes. Particularmente, proporciona ayuda o asesoría con
respecto a los aspectos siguientes de la administración del incidente:
 Determina si un incidente es auténtico y define la prioridad requerida.
 Coordinación del incidente: Investiga el incidente y toma las medidas apropiadas. Facilita el
contacto con otros participantes que puedan ayudar a resolver el incidente.
 Resolución del incidente. Recomienda las acciones apropiadas.
 Actividades Proactivas:
 Recopila información de contacto de los equipos locales de seguridad.
 Publica avisos referentes a amenazas serias de la seguridad.
 Informa acerca de tendencias en tecnología y distribuyen conocimiento relevante.
 Ofrece foros para construir la comunidad e intercambiar información.
Austria
13
Tomado de: www.cert.at. U.A: 2008/09/26. Publicado por: Computer Emergency Response Team Austria. Autor: No
determinado.
Página 58 de 188
GOBIERNO EN LÍNEA
2.1.11. BRASIL - CERT.BR14 (COMPUTER EMERGENCY RESPONSE TEAM BRAZIL)
El CERT.br es el equipo de respuesta a los incidentes de seguridad para el Internet brasileño,

responsable de recibir, analizar y responder a dichos incidentes.
Más allá del proceso de respuesta a los incidentes en sí mismo, el CERT.br también actúa sobre los
problemas de la seguridad, la correlación entre los acontecimientos en el Internet brasileño y de
ayuda al establecimiento de nuevos CSIRTs en el Brasil.
Los servicios dados para el CERT.br incluyen:
 Ser un único punto para las notificaciones de los incidentes de seguridad, para proveer la
coordinación y la ayuda necesaria en el proceso de respuesta a los incidentes, contactando las
piezas implicadas cuando sea necesario.
 Establecer un trabaje colaborativo con otras entidades, como el gobierno, los proveedores de
acceso y servicios y de Internet.
 Dar apoyo al proceso de recuperación y al análisis de sistemas.
 Entrenar en la respuesta a los incidentes de seguridad, especialmente a los miembros de

CSIRTs y de las instituciones que están creando sus propios grupos.
Brasil
14
Tomado de: http://www.cert.br. U.A: 2008/09/26. Publicado por: Comitê Gestor da Internet no Brasil (CGI.br). Autor:
No determinado.
Página 59 de 188
GOBIERNO EN LÍNEA
2.1.12. CANADÁ - PSEPC15 (PUBLIC SAFETY EMERGENCY PREPAREDNESS

CANADA)
El Centro Canadiense de Respuesta a Ciberincidentes (CCIRC) es responsable de supervisar

amenazas y de coordinar la respuesta nacional a cualquier incidente de la seguridad del
ciberespacio. Su foco es la protección de la infraestructura crítica nacional contra incidentes.
El centro es una parte del Centro de Operaciones del Gobierno y un componente importante en la
preparación de la seguridad nacional para atender emergencias en los peligros que acechan al
gobierno.
Las iniciativas actuales incluyen:
 Coordinación de la respuesta del incidente a través de jurisdicciones.
 Fomentar el compartir la información entre las organizaciones y las jurisdicciones
 Generar las advertencias en torno a la seguridad.
 Divulgación de incidentes
 Desarrolla estándares operacionales de seguridad de la tecnología de información y

documentación técnica en temas tales como supervisión del sistema y software malévolo.
 Servicios de inteligencia canadienses de la seguridad: Investiga y analiza amenazas del

ciberespacio a la seguridad nacional. También proporciona asesoría en la seguridad e
inteligencia, incluyendo amenazas y la información de riesgos.
 Establecimiento de la seguridad de comunicaciones: Proporciona asesoría y dirección en la

protección del gobierno acerca de la información electrónica de Canadá y de las
infraestructuras de la información. También ofrece ayuda técnica y operacional a las agencias
federales en la aplicación de la Ley de Seguridad.
CCIRC le proporciona los servicios a los profesionales y los encargados de la infraestructura crítica
y de otras industrias relacionadas. Estos servicios se hacen sin cargo alguno:
15
Tomado de: http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp. U.A: 2008/09/26. Publicado por: Gobierno de Canadá.
Autor: No determinado.
Página 60 de 188
GOBIERNO EN LÍNEA
 Coordinación 7*24 y ayuda a la respuesta del incidente.
 Supervisión 7*24 y análisis del ambiente de la amenaza del ciberespacio.
 Asesoría técnica 7*24 relacionada con seguridad de la tecnología de información
 Construcción de la capacidad nacional (estándares, mejores prácticas, conocimiento,

educación)
Canadá
2.1.13. CHILE – CSIRT-GOV16
Tiene como propósito contribuir a asegurar el ciberespacio del Gobierno de Chile, en conformidad
con lo señalado en el artículo 17 de la Agenda Digital. Su misión es constituirse como referente en
materias de seguridad informática para todos los servicios que forman parte de la administración
del Estado.
CSIRT Chile es dirigido por la jefatura de la División Informática del Ministerio del Interior.
El equipo de trabajo CSIRT Chile ofrece a los sistemas y redes gubernamentales los siguientes
servicios:
 Monitoreo de actividades y detección de anomalías.
 Apoyo forense en respuesta a incidentes computacionales.
 Asesoría en la generación e implementación de políticas y sistemas de seguridad.
 Boletines de alertas adecuadamente traducidos y adaptados a las necesidades nacionales.
 Asesoría en la implementación del decreto supremo 83/2004 del Ministerio Secretaría General
de la Presidencia.
16
Tomado de: http://www.csirt.gov.cl/. U.A: 2008/09/26. Publicado por: Ministerio del Interior, Palacio de la Moneda,
Santiago de Chile. Autor: No determinado.
Página 61 de 188
GOBIERNO EN LÍNEA
2.1.13.3. Estructura
El CSIRT Chile es una unidad dependiente de la División de Informática del Ministerio del Interior.
Chile
2.1.14. CHILE - CLCERT17 (GRUPO CHILENO DE RESPUESTA A INCIDENTES DE

SEGURIDAD COMPUTACIONAL)
El Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional – CLCERT, tiene como

misión monitorear y analizar los problemas de seguridad de los sistemas computacionales en Chile,
y reducir la cantidad de incidentes de seguridad perpetrados desde y hacia éstos.
Desde comienzos de 2004, el CLCERT se auto-financia a través de su área de capacitación,

asesorías en la generación de políticas públicas concernientes a seguridad de sistemas
informáticos y proyectos de colaboración con el sector productivo.
Para ello, CLCERT se constituye como un punto nacional de encuentro, contacto y coordinación
entre instituciones y personas relacionadas del medio local.
El CLCERT tiene como principales objetivos:
 Entregar en forma oportuna y sistemática información sobre vulnerabilidades de seguridad y

amenazas
 Divulgar y poner a disposición de la comunidad información que permita prevenir y resolver

estos incidentes de seguridad
 Educar a la comunidad en general sobre temas de seguridad, promoviendo las políticas que
permiten su implementación.
 CLCERT promueve el uso de Internet, los sistemas computacionales abiertos, y las tecnologías
de la información, haciendo sus usos más seguros y que por lo tanto gocen de la confianza de
la comunidad que los utiliza.
17
Tomado de: http://www.clcert.cl. U.A: 2008/09/26. Publicado por: FCFM Ingeniería, Universidad de Chile. Autor: No
determinado.
Página 62 de 188
GOBIERNO EN LÍNEA
El origen del CLCERT (fines de 2001) está estrechamente ligado al del Laboratorio de Criptografía
Aplicada y Seguridad (CASLab). Surge como una forma en que el CASLab se vincula con el medio
local.
El CLCERT y el CASLab conforman una misma unidad y comparten financiamiento, pero los
ámbitos de acción son distintos. El CASLab prioriza las actividades de investigación, formación de
capital humano altamente especializado y tiene por ámbitos de acción el medio académico
principalmente internacional. El CLCERT prioriza actividades de formación profesional, extensión,
transferencia tecnológica y tiene por principal ámbito de acción el medio local.
Chile
2.1.15. CHINA - CNCERT/CC18 (NATIONAL COMPUTER NETWORK EMERGENCY

RESPONSE TECHNICAL TEAM)
El Equipo Técnico Nacional de Respuesta a Emergencias de Redes Computacionales / Centro de

Coordinación de China CNCERT/CC (National Computer Network Emergency Response Technical
Team / Coordination Center of China) es una organización funcional que opera en la Oficina de
Coordinación de Respuesta a Emergencia de Internet del Ministerio de la Industria de Información
de China y que es responsable de la coordinación de actividades entre todos los equipos de
Respuesta a Emergencias Computacionales de China relacionadas con incidentes en las redes
públicas nacionales.
CNCERT/CC fue fundado en octubre de 2000 y se hizo miembro de FIRST en agosto de 2002.
CNCERT/CC formó parte activa en el establecimiento de APCERT como miembro del comité de
dirección de APCERT. Así CNCERT/CC está parado para una nueva plataforma para una
cooperación internacional mejor y un interfaz prestigioso de la respuesta del incidente de la
seguridad de la red de China. 　
Proporciona servicios de seguridad de la red de ordenadores y brinda orientación para el manejo

de los incidentes de seguridad para las redes públicas nacionales, los sistemas nacionales
importantes y las principales organizaciones, incluyendo la detección, predicción, respuesta y
prevención. Recopila, verifica, acumula y publica la información relacionada con la seguridad del
18
Tomado de: http://www.cert.org.cn/english_web/. U.A: 2008/09/26. Publicado por: CNCERT/CC. Autor: No
determinado.
Página 63 de 188
GOBIERNO EN LÍNEA
Internet. Es también responsable del intercambio de la información y la coordinación de acciones

con organizaciones de la seguridad internacional.
 Recopila información oportuna sobre acontecimientos de seguridad.
 Supervisión de Incidentes: Detecte los problemas y acontecimientos severos de la seguridad a

tiempo, y entrega prevenciones y apoyo a las organizaciones relacionadas.
 Dirección del Incidente.
 Análisis de datos de los incidentes de seguridad.
 Recopila y mantiene la información básica pertinente, incluyendo vulnerabilidades,

correcciones, herramientas y las últimas tecnologías de seguridad.
 Investigación sobre las tecnologías de seguridad.
 Entrenamiento en seguridad: Proporciona los cursos en respuesta de la emergencia, las

tecnologías requeridas, la orientación y la construcción del CERT.
 Ofrece servicios de consultoría técnica en el manejo de incidentes de seguridad.
 Promueve el intercambio internacional, organizando CERTs locales para orientar la cooperación

y el intercambio internacionales.
Ilustración 4: Estructura CNCERT/CC
Página 64 de 188
GOBIERNO EN LÍNEA
El CNCERT/CC hace parte del Sistema de la Red Pública Nacional de Respuesta a Emergencias de
Seguridad China:
Ilustración 5: Sistema de la Red Pública Nacional de Respuesta a Emergencias de Seguridad

China
China
Página 65 de 188
GOBIERNO EN LÍNEA
2.1.16. COREA DEL SUR - KRCERT/CC19 (CERT COORDINATION CENTER KOREA)
Para hacer frente a los ataques informáticos, prevenir los casos de infracción de seguridad
informática y reducir al mínimo los posibles daños en Corea, el Centro de Seguridad del Internet
de Corea ha dedicado su energía a definir las medidas y metodología eficaces para dar respuesta
técnica a los ataques, para la protección de la red de comunicaciones, de la infraestructura de la
red y para el refuerzo del sistema de la predicción y de alarmas.
Desde julio de 1996 se establece el equipo coreano de respuestas a la emergencia computacional

llamado CERTCC-KR.
En junio de 1997 se establece la Organización de Respuesta al Incidente en el Asia Pacífico
En febrero de 1998 se establece como el primer miembro coreano en el FIRST (foro de Equipos de
la Respuesta y de la Seguridad del Incidente).
En diciembre de 2003 se establece el KISC (Korea Internet Security Center), con su centro de
operaciones KrCERT/CC's.
 Administración del Centro de Respuesta y Asistencia a Incidentes
 Análisis de incidentes y tecnología de soporte
 Establecimiento del sistema de coordinación para respuesta a incidentes de internet.
 Equipo de Análisis de Incidentes:
 Investigación sobre nuevas vulnerabilidades de la red y tendencias de nuevos virus.
 Verificación y análisis en vulnerabilidades de la red
 Análisis en virus.
19
Tomado de: http://www.krcert.or.kr/. U.A: 2008/09/26. Publicado por: Korea Internet Security Center. Autor: No
determinado.
Página 66 de 188
GOBIERNO EN LÍNEA
 Recopilación de muestras de virus.
 Establecimiento y gerencia de la base de datos de vulnerabilidades.
 Equipo de Monitoreo de la Red:
 Supervisión del trafico de ISPs y los Web site más importantes nacionales o internacionales.
 Respuesta temprana a los incidentes, pronóstico y mensajes de alerta al público.
 Atención de respuestas y direccionamiento de incidentes que ocurren de manera local o

internacional.
 Publicación de reportes mensuales con estadística y análisis del virus
 Equipo de Respuesta a Hacking:
 Investigación sobre técnicas y tendencias de hacking.
 Análisis de casos de hacking en redes piloto.
 Establecimiento y gerencia de investigaciones de incidentes y del sistema del análisis.
 Desarrollo y distribución de tecnologías para enfrentar ocurrencias de hacking.
 Respuesta de la emergencia contra incidentes y ayuda tecnológica
 Equipo de Coordinación de Respuestas:
 Muestras incrementales para recopilar y compartir información.
 Cooperación con FIRST para el CERT.
 Operación de la oficina administrativa para APCERT y CONCERT.
 Recepción de correos electrónicos de incidentes y manipulación de ellos.
 Activación del CERT nacional y establecimiento del sistema cooperativo.
 Participación en la estandarización con respecto a incidentes del Internet.
Página 67 de 188
GOBIERNO EN LÍNEA
Corea del Sur
2.1.17. DINAMARCA – DK.CERT20 (DANISH COMPUTER EMERGENCY RESPONSE

TEAM)
DK CERT es el equipo danés de Respuestas a Emergencias Computacionales y es de los pioneros

alrededor del mundo, cuando a inicios de los años noventa FIRST tomó la iniciativa de establecer
la cooperación internacional basada en el concepto original de CERT en los E.E.U.U. Como parte
del trabajo cooperativo internacional DK CERT supervisa la seguridad en Dinamarca.
El objetivo de DK CERT es recopilar información y conocimientos técnicos vía la cooperación en

FIRST permitiendo a DK CERT publicar alarmas y otra información relacionada con riesgos
potenciales de la seguridad. Así mismo recibe información sobre incidentes de seguridad y
coordina esfuerzos en el campo.
DK CERT es un miembro del Foro de los Equipos de Respuesta y Seguridad del Incidente (FIRST).
 Consulta con respecto a incidentes de la seguridad
 DK CERT analiza notificaciones de las personas que se han expuesto a los incidentes de
seguridad, propone soluciones a los problemas y advierte a otros que pudieron ser blancos
potenciales para incidentes similares.
 DK CERT coordina la información entre las partes implicadas y otras organizaciones, tales
como equipos extranjeros de respuesta y la policía.
 DK CERT tiene un papel consultivo y no tiene ninguna autoridad para ordenar realizar tareas.
 DK CERT puede actuar como intermediario de la información entre diversas partes que desean
mantener el anonimato
 DK CERT proporciona asesoría con respecto a riesgos potenciales de seguridad y ofrece la

ayuda por ejemplo, para identificar el método de ataque. Además da instrucción en cómo los
sistemas pueden ser restaurados y como se pueden remediar los daños posibles.
20
Tomado de: https://www.cert.dk/. U.A: 2008/09/26. Publicado por: DK.CERT - Danish Computer Emergency Response
Team. Autor: No determinado.
Página 68 de 188
GOBIERNO EN LÍNEA
DK CERT fue establecido en 1991 por el Centro para la Educación y la Investigación Danes UNI-C,
bajo el Ministerio Danés de la Educación, por uno de los primeros casos del hacker en Dinamarca.
DK CERT coordina aproximadamente 10.000 incidentes de seguridad por año.
Dinamarca
2.1.18. EMIRATOS ÁRABES UNIDOS – AECERT 21 (THE UNITED ARAB EMIRATES

COMPUTER EMERGENCY RESPONSE TEAM)
El Equipo de Respuesta a Emergencias Computacionales (aeCERT) es el centro de coordinación de

la seguridad del ciberespacio en los Emiratos Árabes Unidos. Ha sido establecido por la Autoridad
Reguladora de Telecomunicaciones (TRA) como iniciativa para facilitar la detección, la prevención
y la respuesta de los incidentes de la seguridad del ciberespacio en Internet.
Su misión es sostener una infraestructura vigilante de las ciber amenazas de la seguridad y

construir una cultura de la seguridad del ciberespacio en los Emiratos Árabes Unidos.
 Ayudar en la creación de nuevas leyes para la seguridad del ciberespacio.
 Recopilar conocimiento de la seguridad de la información de los Emiratos Árabes Unidos.
 Construir experiencia nacional en seguridad de la información, administración del incidente y la

computación forense.
 Proporcionar a punto central confiable de contacto para el manejo de incidentes de la

seguridad del ciberespacio en los Emiratos Árabes Unidos.
 Establecer un centro nacional para divulgar la información sobre las amenazas,

vulnerabilidades e incidentes de la seguridad del ciberespacio.
 Fomentar el establecimiento de nuevos CSIRTs.
21
Tomado de: http://www.aecert.ae/. U.A: 2008/09/26. Publicado por: aeCERT. Autor: No determinado.
Página 69 de 188
GOBIERNO EN LÍNEA
 Coordinar las operaciones entre CSIRTs doméstico, internacionales y organizaciones

relacionadas.
Ha sido establecido por la Autoridad Reguladora de Telecomunicaciones (TRA) de los Emiratos

Árabes Unidos como un cuerpo consultivo que debe recomendar buenas prácticas, políticas,
procedimientos y tecnologías, sin embargo sin ejercer ninguna autoridad sobre su adopción ni
responsabilidad sobre la administración de los riesgos de la ciberseguridad.
Emiratos Árabes Unidos
2.1.19. ESPAÑA - ESCERT22 (EQUIPO DE SEGURIDAD PARA LA COORDINACIÓN

DE EMERGENCIAS EN REDES TELEMÁTICAS)
A principios de la década de los noventa surge en Europa una iniciativa dispuesta a crear Equipos
de Respuestas a Incidentes de Seguridad en Ordenadores. Gracias al apoyo del programa técnico
TERENA se empiezan a crear CSIRT europeos, es entonces cuando aparece, concretamente a
finales de 1994, esCERT-UPC (Equipo de Seguridad para la Coordinación de Emergencias en Redes
Telemáticas - Universidad Politécnica de Cataluña) como primer centro español dedicado a
asesorar, prevenir y resolver incidencias de seguridad en entornos telemáticos.
esCERT - UPC ayuda y asesora en temas de seguridad informática y gestión de incidentes en

redes telemáticas.
Los principales objetivos son:
 Informar sobre vulnerabilidades de seguridad y amenazas.
 Divulgar y poner a disposición de la comunidad información que permita prevenir y resolver

incidentes de seguridad.
 Realizar investigaciones relacionadas con la seguridad informática.
 Educar a la comunidad en general sobre temas de seguridad.
22
Tomado de: http://escert.upc.edu/index.php/web/es/index.html. U.A: 2008/09/26. Publicado por: Equipo de Seguridad para la
Coordinación de Emergencias en Redes Telemáticas. Autor: No determinado.
Página 70 de 188
GOBIERNO EN LÍNEA
De esta forma esCERT pretende mejorar la seguridad de los sistemas informáticos y a su vez
aumentar el nivel de confianza de las empresas y de los usuarios en las redes telemáticas.
Para llevar a cabo sus objetivos esCERT-UPC ofrece a la comunidad una serie de servicios que van
desde la respuesta a incidentes a la definición de una política de seguridad para las empresas,
pasando por la formación.
 Respuesta a Incidentes
 Altair (Servicio de Avisos de Vulnerabilidades)
 Formación
esCERT es miembro de TF-CSIRT (Task Force-Collaboration of Incident Response Teams) y junto

con otros equipos de seguridad como los de las compañías Telia o British Telecom.
Forma parte de EPCI (European Private CERT Initiative) una agrupación de CERTs europeos
privados. Dentro de EPCI se encuentran compañías como BT, Alcacel o Siemens.
esCERT en el ámbito mundial participa en el FIRST, principal foro de coordinación de los diferentes
CERTs de todo el mundo.
España
2.1.20. ESPAÑA – IRIS-CERT23 (SERVICIO DE SEGURIDAD DE REDIRIS)
El servicio de seguridad de RedIRIS (IRIS-CERT) tiene como finalidad la detección de problemas

que afecten a la seguridad de las redes de centros de RedIRIS, así como la actuación coordinada
con dichos centros para poner solución a estos problemas. También se realiza una labor
preventiva, avisando con tiempo de problemas potenciales, ofreciendo asesoramiento a los
centros, organizando actividades de acuerdo con los mismos, y ofreciendo servicios
complementarios.
23
Tomado de: http://www.rediris.es/cert/. U.A: 2008/09/26. Publicado por: IRIS - CERT. Autor: No determinado.
Página 71 de 188
GOBIERNO EN LÍNEA
IRIS-CERT es miembro del FIRST desde el 11 de Febrero de 1997. Además ha sido contribuidor al
piloto EuroCERT desde el 25 de Marzo de 1997 hasta la finalización del mismo en Septiembre de
1999. Actualmente participa activamente en el Task Force auspiciado por TERENA, TF-CSIRT, para
promover la cooperación entre CSIRTs en Europa.
Los usuarios del servicio de seguridad son de tres tipos:
 Instituciones afiliadas a RedIRIS: Incluye universidades y otros centros de investigación. Estos

usuarios tienen derecho a todos los servicios (por definición) y pueden participar en la
coordinación de los mismos.
 Otros servicios de seguridad nacionales e internacionales: IRIS-CERT actúa como punto de

contacto y de coordinación de incidentes para otros servicios de seguridad. El ámbito de
coordinación es toda España. El ámbito de representación es todo el mundo. IRIS-CERT es
miembro de FIRST, fue contribuyente del proyecto EuroCERT y actualmente participa en el
Task Force de TERENA TF-CSIRT, para promover la cooperación entre CSIRTs en Europa.
IRIS-CERT también puede actuar de enlace con las fuerzas de seguridad del Estado (Policía y
Guardia Civil), aunque no tomará acción judicial en nombre de terceros, y limitará su
participación en tales procesos a la asesoría técnica.
 Proveedores y usuarios de Internet en España: El servicio ofrecido a éstos, fuera de las

instituciones de RedIRIS, se limita a lo siguiente:
 Uso de los recursos públicos de IRIS-CERT (Servidor web, FTP, listas de correo).
 Atención de incidentes de seguridad. El servicio de atención de incidentes se ofrece a todos

por igual, según los criterios y prioridades establecidos aquí.
IRIS-CERT ofrece una serie de servicios principalmente orientados a las instituciones afiliadas a
RedIRIS. Algunos de estos servicios se ofrecen, así mismo, a la comunidad de Internet.
 Comunidad RedIRIS
 Asesoramiento instituciones afiliadas
 Auditoría en línea
 Comunidad de Internet
 Gestión de incidentes.
 Listas de Seguridad de RedIRIS
Página 72 de 188
GOBIERNO EN LÍNEA
 Otros Servicios de Seguridad (Servicios no específicos de IRIS-CERT)
 Infraestructura de Clave Pública para la comunidad RedIRIS (RedIRIS-PKI)
 Servidor de claves públicas PGP
 Red de Sensores AntiVirus de la Comunidad Académica (RESACA)
EL servicio no tiene costo para quien tenga derecho a usar el servicio. No se presta servicio a
nadie más. El Plan Nacional de I+D financia una red para los investigadores, y un servicio de
seguridad que garantice la integridad de la misma. La coordinación de incidentes ajenos a RedIRIS
es una tarea adicional, necesaria para llevar a cabo ese servicio.
IRIS-CERT funciona bajo el auspicio y con la autoridad delegada del director de RedIRIS.
El IRIS-CERT espera trabajar cooperativo con los administradores y los usuarios de sistema en las
instituciones conectadas RedIRIS, evitando relaciones autoritarias.
España
2.1.21. ESPAÑA - CCN-CERT24 (CRYPTOLOGY NATIONAL CENTER - COMPUTER

SECURITY INCIDENT RESPONSE TEAM)
Este servicio se creo a principios de 2007 como CERT gubernamental español y está presente en
los principales foros internacionales en los que se comparte objetivos, ideas e información sobre la
seguridad de forma global.
Su principal objetivo es contribuir a la mejora del nivel de seguridad de los sistemas de

información de las tres administraciones públicas existentes en España (general, autonómica y
local).
Su misión es convertirse en el centro de alerta nacional que coopere y ayude a todas las
administraciones públicas a responder de forma rápida y eficiente a los incidentes de seguridad
24
Tomado de: https://www.ccn-cert.cni.es/. U.A: 2008/09/26. Publicado por: Centro Criptológico Nacional. Ministerio
de Defensa de España. Autor: No determinado.
Página 73 de 188
GOBIERNO EN LÍNEA
que pudieran surgir y afrontar de forma activa las nuevas amenazas a las que hoy en día están
expuestas.
Para contribuir a esta mejora del nivel de seguridad, el CCN-CERT ofrece sus servicios a todos los
responsables de Tecnologías de la Información de las diferentes administraciones públicas a través
de cuatro grandes líneas de actuación:
 Soporte y coordinación para la resolución de incidentes que sufra la Administración General,

Autonómica o Local. El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación,
actúa rápidamente ante cualquier ataque recibido en los sistemas de información de las
administraciones públicas.
 Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre

todos los miembros de las administraciones públicas. En este sentido, las citadas Series CCN-
STIC elaboradas por el CCN ofrecen normas, instrucciones, guías y recomendaciones para
garantizar la seguridad de los Sistemas TIC en la Administración.
 Formación a través de los cursos STIC, destinados a formar al personal de la Administración

especialista en el campo de la seguridad de las TIC e impartidos a lo largo de todo el año. Su
principal objetivo, aparte de actualizar el conocimiento del propio equipo que forma el CCN-
CERT, es el de permitir la sensibilización y mejora de las capacidades del personal para la
detección y gestión de incidentes.
 Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de

información, recopiladas de diversas fuentes de reconocido prestigio (incluidas las propias)
El CCN-CERT ofrece información, formación y herramientas para que las distintas administraciones
puedan desarrollar sus propios CERTs, permitiendo a este equipo actuar de catalizador y
coordinador de CERTs gubernamentales.
El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro

Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI).
España
Página 74 de 188
GOBIERNO EN LÍNEA
2.1.22. ESPAÑA - INTECO-CERT25 (CENTRO DE RESPUESTAS A INCIDENTES EN

TI PARA PYMES Y CIUDADANOS)
El Centro de Respuesta a Incidentes en Tecnologías de la Información para PYMEs y Ciudadanos

sirve de apoyo al desarrollo del tejido industrial nacional y ofrece los servicios clásicos de un
Centro de Respuesta a Incidentes, dando soluciones reactivas a incidentes informáticos, servicios
de prevención frente a posibles amenazas y servicios de información, concienciación y formación
en materia de seguridad a la PYME y ciudadanos españoles. Para todo el proceso de definición y
creación de INTECO-CERT se han seguido las directrices propuestas por ENISA (European Network
and Information Security Agency, Agencia Europea de Seguridad de las Redes y de la
Información).
El centro de respuesta surge como iniciativa pública con los siguientes objetivos:
 Proporcionar información clara y concisa acerca de la tecnología, su utilización y la seguridad

que mejore su comprensión.
 Concienciar a las PYMEs y ciudadanos de la importancia de contemplar y abordar

adecuadamente todos los aspectos relacionados con la seguridad informática y de las redes de
comunicación.
 Proporcionar guías de buenas prácticas, recomendaciones y precauciones a tener en cuenta

para mejorar la seguridad.
 Proporcionar mecanismos y servicios de divulgación, formación, prevención y reacción ante

incidencias en materia de seguridad de la información.
 Actuar como enlace entre las necesidades de PYMEs y ciudadanos y las soluciones que ofertan
las empresas del sector de la seguridad de las tecnologías de la información.
Para llevar a cabo la misión de concienciación, formación, prevención y reacción en materia de

seguridad en tecnologías de la información, INTECO-CERT ofrece un catálogo de servicios a los
usuarios:
 Servicios de información sobre Actualidad de la Seguridad:
25
Tomado de: http://www.inteco.es/rssRead/Seguridad/INTECOCERT. U.A: 2008/09/26. Publicado por: Instituto Nacional de
Tecnologías de la comunicación S.A.. Autor: No determinado.
Página 75 de 188
GOBIERNO EN LÍNEA
 Suscripción a boletines, alertas y avisos de seguridad.
 Actualidad, noticias y eventos de relevancia.
 Avisos sobre nuevos virus, vulnerabilidades y fraude. Estadísticas.
 Servicios de Formación en seguridad y en la legislacón vigente para Pyme y ciudadanos,

proporcionando guías, manuales, cursos online y otros recursos a los usuarios.
 Servicios de Protección y prevención: catálogo de útiles gratuitos y actualizaciones de

software.
 Servicios de Respuesta y Soporte:
 Gestión y soporte a incidentes de seguridad.
 Gestión de malware y análisis en laboratorio del INTECO-CERT.
 Lucha contra el fraude.
 Asesoría Legal en materia de seguridad en las tecnologías de la información.
 Foros de Seguridad.
 Cooperación y coordinación con otras entidades de referencia en el sector, tanto a nivel

nacional como internacional.
INTECO-CERT como servicio público e intermediario INTECO-CERT tiene vocación de servicio

público sin ánimo de lucro. El Centro surge con la vocación de servir de apoyo preventivo y
reactivo en materia de seguridad en tecnologías de la información y la comunicación a una
tipología de usuarios, la Pequeña y Mediana Empresa (PYME) y ciudadanos, que no disponen de la
formación, sensibilización y recursos suficientes en dicho campo.
INTECO-CERT no vende soluciones tecnológicas o de consultoría. Si en su labor de apoyo a PYME

y ciudadanos, entiende que debe aconsejar alguno de ellos, facilita un directorio de entidades que
prestan esos servicios, para que el usuario elija según su criterio.
El Centro de Respuesta quiere, en este contexto, erigirse como un puente entre las necesidades
de la demanda (PYMEs y ciudadanos) y las soluciones de la oferta (entidades del sector de la
seguridad de las tecnologías de la información).
Página 76 de 188
GOBIERNO EN LÍNEA
España
2.1.23. ESTADOS UNIDOS - US-CERT 26 (UNITED STATES - COMPUTER

EMERGENCY READINESS TEAM)
Establecido en 2003 para proteger la infraestructura del Internet de la nación, US-CERT coordina
la defensa contra y respuestas a los ataques del ciberespacio a través de la nación.
US-CERT es cargado con la protección de la infraestructura del Internet coordinando la defensa y

la respuesta a los ataques del ciberespacio.
US-CERT es responsable de
 Analizar y reducir amenazas y vulnerabilidades del ciberespacio.
 Divulgar información y advertencias de amenaza del ciberespacio.
 Coordinar la respuesta a incidente.
 US-CERT obra recíprocamente con las agencias federales, industria, la comunidad de

investigación, el estado y los gobiernos locales, y otros para divulgar la información de la
seguridad del ciberespacio entre el público.
El equipo de la Preparación para Emergencias Computacionales de Estados Unidos (US-CERT) es

una sociedad entre Departamento de la seguridad de la patria y los sectores públicos y privados
Estados Unidos
26
Tomado de: http://www.us-cert.gov. U.A: 2008/09/26. Publicado por: Department of Homeland Security - USA.
Página 77 de 188
GOBIERNO EN LÍNEA
2.1.24. ESTONIA – CERT-EE 27

(COMPUTER EMERGENCY RESPONSE TEAM OF
ESTONIA)
El Equipo de la Respuesta a Emergencias Computacionales de Estonia (CERT Estonia), se

establece en 2006. Su tarea es asistir a usuarios estonios del Internet en la puesta en práctica de
medidas preventivas para reducir los daños posibles de incidentes de la seguridad y ayudarles a
responder a las amenazas de la seguridad. El CERT Estonia se ocupa de los incidentes de la
seguridad que ocurren en redes estonias.
Los incidentes de la seguridad se atienden acorde con una prioridad definida según su severidad y
alcance potenciales considerando el número de usuarios afectados, el tipo de un incidente, la
blanco del ataque, así como el origen del ataquey los recursos requeridos para manejar el
incidente. Los incidentes prioritarios incluyen, por ejemplo: ataques que pueden comprometer la
vida de la gente, ataques en la infraestructura del Internet (servidores de nombres, nodos de red
importantes y ataques automáticos en grande en los servidores de la red), etc.
El CERT Estonia ofrece los servicios siguientes:
 Orientación en el incidente
 Recepción de informes de incidente
 Asignación de prioridades a los incidentes según su nivel de la severidad
 Análisis del incidente
 Respuesta a los incidentes.
Estonia
27
Tomado de: http://www.ria.ee/?id=28201. U.A: 2008/09/26. Publicado por: Department for Handling Information Security
Incidents - Estonia. Autor: No determinado.
Página 78 de 188
GOBIERNO EN LÍNEA
2.1.25. FILIPINAS - PH-CERT28 (PHILIPPINES COMPUTER EMERGENCY

RESPONSE TEAM)
El Equipo de Respuesta a Emergencias Computacionales de Filipinas (PH-CERT) es una

organización sin ánimo de lucro que pretende brindar un punto confiable de contacto para
emergencias computacionales, de internet y otras emergencias relacionadas de la tecnología de
información.
 Proporcione ayuda legal y consultiva.
 Opera como punto central para divulgar vulnerabilidades de la seguridad computacional y

proporcionará ayuda coordinada en respuesta a tales informes.
 Genera informes técnicos de análisis referentes a código malévolo.
 Proporciona información sobre la futura tecnología que puede plantear amenazas de la

seguridad.
 Proporciona entrenamiento para promover el conocimiento de la seguridad.
 Genera alarmas sobre medidas a tomar contra amenazas existentes o próximas de la

seguridad.
 Proporciona pautas en el uso y la combinación eficaces de las herramientas de la seguridad

para detección y prevención del incidente.
Filipinas
28
Tomado de: http://www.phcert.org/. U.A: 2008/09/26. Publicado por: Philippines Computer Emergency Response
Team. Autor: No determinado.
Página 79 de 188
GOBIERNO EN LÍNEA
2.1.26. FRANCIA-CERTA29 (CENTRE D'EXPERTISE GOUVERNEMENTAL DE

RÉPONSE ET DE TRAITEMENT DES ATTAQUES INFORMATIQUES)
El Primer Ministro anunció la creación del CERTA, tras la decisión del Comité Interministerial para
la Sociedad de la Información (CISI), en enero de 1999 e inaugurado en febrero de 2000, con el
fin de reforzar la protección de las redes del Estado contra los ataques. A fin de reforzar y
coordinar la lucha contra las intrusiones en los sistemas informáticos de las administraciones del
Estado, el Gobierno decide la creación de una estructura de alerta y de asistencia en la Internet
encargada de la misión de vigilar y responder a los ataques informáticos.
Los dos principales objetivos del CERTA son:
 Garantizar la detección de las vulnerabilidades y la resolución de incidentes relativos a la

seguridad de los sistemas de información
 Asistir en la instalación de medios que permitan prevenir futuros incidentes.
Para alcanzar estos dos objetivos, deben llevarse a cabo en paralelo las tres misiones siguientes:
 Llevar a cabo una vigilancia tecnológica.
 Organizar la instalación de una red de confianza.
 Administrar la resolución de un incidente (si es necesario en relación con la red mundial de los
CERT).
El CERTA es miembro del FIRST desde el 12 de setiembre de 2000 y participa en la actividad TF-
CSIRT (Computer Security Incident Response Team) que es la coordinación de los CERT europeos.
En la actualidad existen varios CERT en Francia. Esta es la lista de los equipos miembros del FIRST
o de la TF-CSIRT:
 El CERTA es el CERT dedicado al sector de la administración francesa.
 El Cert-IST es el CERT dedicado al sector de la Industria, de los Servicios y del Terciario (IST).
Fue creado a finales del año 1998 por cuatro socios: ALCATEL, el CNES, ELF y France Telecom.
29
Tomado de: http://www.certa.ssi.gouv.fr/. U.A: 2008/09/26. Publicado por: Premier Ministre / Secrétariat Général de la
Défense Nationale / Direction centrale de la sécurité des systèmes d'information. Autor: No determinado.
Página 80 de 188
GOBIERNO EN LÍNEA
 El CERT-RENATER es el CERT dedicado a la comunidad de los miembros del GIP RENATER

(Red Nacional de telecomunicaciones para la tecnología, la Enseñanza y la Investigación).
Las tareas prioritarias del CERT son las siguientes:
 Centralización de las solicitudes de asistencia tras los incidentes de seguridad (ataques) en las
redes y sistemas de informaciones: recepción de las solicitudes, análisis de los síntomas y
eventual correlación de los incidentes.
 Tratamiento de las alertas y reacción a los ataques informáticos: análisis técnico, intercambio
de informaciones con otros CERT, contribución a estudios técnicos específicos.
 Establecimiento y mantenimiento de una base de datos de las vulnerabilidades.
 Prevención por difusión de informaciones sobre las precauciones que tomar para minimizar los
riesgos de incidente o, por lo menos, sus consecuencias.
 Coordinación eventual con las demás entidades (fuera del campo de acción): centros de
competencia en redes, operadores y proveedores de acceso a Internet, CERT nacionales e
internacionales.
Dicha estructura depende de la Secretaría General de la Defensa Nacional y trabajará en red con
los servicios encargados de la seguridad de la información en todas las administraciones del
Estado. Participará en la red mundial de los CERT (Computer Emergency Response Team).
El CERTA depende de la Dirección Central de la Seguridad de Sistemas de Información (DCSSI) en

la Secretaría General de la Defensa Nacional (SGDN), y se encarga de asistir a los organismos de
la administración en la instalación de medios de protección y en la resolución de los incidentes o
las agresiones informáticas de las cuales son víctimas. Constituye el complemento indispensable
para las acciones preventivas ya aseguradas por la DCSSI y que son anteriores en el
procedimiento de seguridad de los sistemas de información.
Francia
Página 81 de 188
GOBIERNO EN LÍNEA
2.1.27. HONG KONG - HKCERT30 (HONG KONG COMPUTER EMERGENCY

RESPONSE COORDINATION CENTRE)
En respuesta a las necesidades de hacer frente a amenazas de la seguridad, el gobierno ha

financiado al consejo de la productividad de Hong Kong para poner a funcionar el Centro de
Coordinación del Equipo de Respuesta a Emergencias Computacionales de Hong Kong (HKCERT).
El objetivo de HKCERT es proporcionar un contacto centralizado en la divulgación de incidentes y
seguridad computacionales y de la red y brindar la respuesta para las empresas locales y los
usuarios del Internet en el caso de los incidentes de la seguridad. Coordinará las acciones de
respuesta y recuperación para los incidentes divulgados, ayuda a supervisar y a divulgar la
información sobre seguridad y proporciona asesoría en medidas preventivas contra amenazas de
la seguridad. El HKCERT también organiza seminarios del conocimiento y cursos de en asuntos
relacionados seguridad de la información.
 Respuesta a Incidentes: HKCERT proporciona respuesta durante 24 horas al día, 7 días a la

semana. Acepta incidentes por teléfono, fax y e-mail. HKCERT asiste y coordina las acciones de
recuperación para los incidentes.
 Alarma de la Seguridad: HKCERT supervisa de cerca la información sobre temas relacionadas

con la seguridad tales como últimos virus, debilidades de la seguridad y divulga la información
al público.
 Publicación: HKCERT publica pautas, listas de comprobación, alarmas y artículos relacionados

con la seguridad. Estos documentos incluyen la información sobre vulnerabilidades de la
seguridad, estrategias de defensa y detección temprana de ataques probables. HKCERT
también publica un boletín de noticias mensual que proporciona la información más reciente en
seguridad computacional y de la red.
 Entrenamiento y educación: Para elevare el conocimiento de la seguridad de la información y

para mejorar la comprensión pública, HKCERT organiza seminarios libres y brinda a los
informes a las asociaciones comerciales regularmente. HKCERT también organiza los cursos
que proporcionan conocimiento profundizado en asuntos del específico de la seguridad de la
información.
 Investigación y desarrollo: HKCERT conduce estudios en asuntos seleccionados seguridad de la

información y la situación en Hong Kong referente ataques de la computadora, pérdida,
contramedidas, etc.
30
Tomado de: http://www.hkcert.org/. U.A: 2008/09/26. Publicado por: HKCERT. Autor: No determinado.
Página 82 de 188
GOBIERNO EN LÍNEA
Hong Kong
2.1.28. HUNGRÍA - CERT31 (CERT-HUNGARY)
CERT-Hungría es el centro húngaro de la seguridad de la red y de la información del gobierno. Su

tarea es proporcionar la ayuda de la seguridad de la red y de la información al público húngaro
entero, a los negocios y a los sectores privados. El centro tiene un papel vital en la protección
crítica de la infraestructura de la información de Hungría. CERT-Hungría también actúa como base
de conocimiento para profesionales y público húngaro.
CERT-Hungría fue fundada en 2004 en la fundación de Theodore Puskas con la ayuda del
Ministerio de la Informática y de las Comunicaciones.
Los servicios públicos de la organización se ofrecen al gobierno, a los municipios, y a los negocios
húngaros, con la atención especial a la protección de los sistemas informáticos del gobierno
húngaro.
CERT-Hungría es lista abordar problemas de la seguridad 24 horas al día 365 días al año.
Proporciona alarmas sobre amenazas nuevamente que emergen. Es responsable de manejar
compromisos de la seguridad en los sistemas informáticos del gobierno húngaro. Proporciona la
dirección para reducir boquetes de la seguridad, y aumenta conocimiento social sobre la
información y seguridad de la computadora a través de varios foros.
CERT-Hungría ofrece los servicios siguientes:
 Alarmas y advertencias: Este servicio implica que CERT-Hungría divulgue la información que
describe los ataques de intrusos, vulnerabilidades de la seguridad, alarmas de intrusión, virus
informáticos, bromas, proporcionando una línea de conducta recomendada a corto plazo para
ocuparse del problema. La alarma, la advertencia o la asesoría se envían como reacción a un
problema existente para notificar los componentes de la actividad y para proporcionar la
orientación para proteger los sistemas o recuperar cualquier sistema que fuera afectado.
 Avisos: Los avisos incluyen, pero no se limitan a las alarmas de la intrusión, las advertencias
de la vulnerabilidad y las recomendaciones de seguridad. Los avisos permiten proteger
sistemas y redes contra problemas encontrados antes de que puedan explotar.
31
Tomado de: http://www.cert-hungary.hu/. U.A: 2008/09/26. Publicado por: CERT Hungary. Autor: No determinado.
Página 83 de 188
GOBIERNO EN LÍNEA
 Difusión de la información relacionada con la Seguridad: Este servicio provee una recopilación
de información útil para mejorar la seguridad. Tal información puede incluir:
 Información de contactos para CERT-Hungría y pautas de divulgación.
 Archivos de alarmas, de advertencias y de otros avisos
 Documentación sobre mejores prácticas actuales
 Orientación general de la seguridad computacional
 Políticas, procedimientos y listas de comprobación
 Información del desarrollo y distribución de correcciones
 Ajustes de proveedores
 Estadística y tendencias actuales en la divulgación del incidente
 Otra información que puede mejorar seguridad total
 Dirección del incidente: CERT-Hungría se ocupa solamente de incidentes de la seguridad

informática. Estos incidentes de la seguridad pueden ser acceso desautorizado a los datos
sobre un sistema informático, negación de los ataques del servicio, virus contra un sistema
informático, las vulnerabilidades, o cualquier otra actividad o programa que amenacen la
seguridad de un sistema informático. Durante su incidente los expertos de CERT-Hungría
reciben, dan la prioridad, y responden a los incidentes y a los informes y analizan incidentes y
acontecimientos. Las actividades particulares de la respuesta pueden incluir:
 Acción a tomar para proteger los sistemas y las redes afectadas o amenazadas por el intrusos
 Proveer soluciones y estrategias de mitigación de o de alarmas relevantes
 Filtración de tráfico de la red
 Dirección de la vulnerabilidad: Las vulnerabilidades están basadas en errores de la

configuración que crean los agujeros de seguridad en los sistemas informáticos y redes. La
dirección de la vulnerabilidad implica recibir información sobre vulnerabilidades del hardware y
del software. CERT-Hungría analiza la naturaleza, mecanismos y efectos de las
vulnerabilidades y desarrollan las estrategias de la respuesta para detectar y reparar las
vulnerabilidades.
Página 84 de 188
GOBIERNO EN LÍNEA
 Manejo de artefactos: Un artefacto es cualquier archivo u objeto encontrado en un sistema

que impacta en sistemas y redes, que atacan o que se esté utilizando para destruir medidas de
seguridad. CERT-Hungría analiza la naturaleza, mecanismos, versión y el uso de los artefactos
y desarrolla (o sugiere) las estrategias de respuesta para detectar, quitar y defender contra
estos artefactos.
 Educación y entrenamiento: Con seminarios, los talleres, los cursos y clases particulares,
CERT-Hungría educa sobre soluciones de seguridad computacional. Los temas pueden ser:
 Incidente y pautas
 Métodos apropiados de respuesta
 Herramientas de respuesta del incidente
 Métodos para la prevención del incidente
 Otra información necesaria para proteger, detectar, divulgar y responder a los incidentes de la
seguridad computacional.
Hungría
2.1.29. INDIA - CERT-IN32 (INDIAN COMPUTER EMERGENCY RESPONSE TEAM)
El propósito del CERT-In es convertirse en la agencia de confianza de la comunidad india para

responder a los incidentes de la seguridad de computacional. CERT-In asiste a los miembros de la
comunidad india para ejecutar medidas proactivas para reducir los riesgos de los incidentes de la
seguridad informática.
 Servicios Reactivos
 Proporciona un solo punto del contacto para divulgar problemas locales.
32
Tomado de: http://www.cert-in.org.in/. U.A: 2008/09/26. Publicado por: Department of Information Technology. Ministry
of Communications & Information Technology, Government of India. Autor: No determinado.
Página 85 de 188
GOBIERNO EN LÍNEA
 Asiste al gobierno y a la comunidad general en la prevención y la manipulación de incidentes

de la seguridad computacional.
 Comparte la información y las lecciones aprendidas con el CERT/CC, otros CERTs y las
organizaciones.
 Respuesta del incidente
 Proporciona el servicio de una seguridad 24 x 7.
 Procedimientos de recuperación
 Análisis de artefactos
 Trazo del incidente
 Servicios Proactivos
 Publica las pautas de la seguridad, las recomendaciones y consejos oportunos.
 Análisis y respuesta de la vulnerabilidad
 Análisis del riesgo
 Evaluación de producto relacionados con la seguridad
 Colaboración con los proveedores
 Perfilar atacantes.
 Entrenamiento, investigación y desarrollo de la conducta.
 Funciones
 Divulgación
 Punto central para divulgar incidentes
 Base de datos de incidentes
 Análisis
Página 86 de 188
GOBIERNO EN LÍNEA
 Análisis de tendencias y patrones de la actividad del intruso
 Desarrollo de las estrategias preventivas
 Respuesta
 La respuesta del incidente es un proceso dedicado a restaurar sistemas afectados a la

operación
 Envío de recomendaciones para la recuperación y la contención del daño causada por los
incidentes.
 Ayuda a los administradores de sistemas a tomar la acción de seguimiento para prevenir la

repetición de incidentes similares
CERT-In funciona bajo auspicios y con la autoridad delegada del Departamento de Tecnología de
Información, del Ministerio de Comunicaciones y Tecnología de Información, del gobierno de la
India.
CERT-In trabaja cooperativamente con los oficiales de información y los administradores de

sistema de varias redes sectoriales y de gobierno.
India
2.1.30. JAPAN - JPCERT/CC33 (JP CERT COORDINATION CENTER)
JPCERT/CC es el primer CSIRT establecido en Japón. Se coordina con los proveedores de servicios
de red, vendedores de productos de seguridad, agencias estatales, así como las asociaciones
gremiales de la industria. En la región Pacífica de Asia, JPCERT/CC ayudó a formar APCERT
(Equipo de Respuesta a Emergencias Computacionales de Asia Pacífico) y ejerce la función de
secretaría para APCERT. Es miembro del Foro de Equipos de Respuesta y Seguridad del Incidente
(FIRST).
Los objetos de JPCERT/CC son:
33
Tomado de: http://www.jpcert.or.jp/. U.A: 2008/09/26. Publicado por: JPCERT/CC. Autor: No determinado.
Página 87 de 188
GOBIERNO EN LÍNEA
 Proporcionar respuestas a incidente de seguridad computacionales.
 Coordinar la acción con CSIRTs locales e internacional y organizaciones relacionadas.
 Ayudar al establecimiento de nuevos CSIRTs y promover la colaboración entre CSIRTs
 Divulgar información técnica sobre incidentes de seguridad computacional y las

vulnerabilidades y ajustes a la seguridad, generar alarmas y advertencias.
 Generar investigación y análisis de incidentes de la seguridad computacional.
 Conducir investigaciones sobre tecnologías relacionadas con la seguridad.
 Aumentar el entendimiento de la seguridad de la información y del conocimiento técnico, con

educación y entrenamiento.
 Incidente Respuesta y análisis: JPCERT/CC proporciona ayuda técnica para divulgar problemas
de la seguridad de la siguiente manera:
 Con base en información proporcionada por los sitios afectados, JPCERT/CC determina los
daños.
 Identifica las vulnerabilidades.
 Proporciona información técnica relevante.
 Adicionalmente genera un informe semanal y trimestral sobre respuestas y análisis de

incidentes y otra información relevante a la seguridad computacional.
 Alertas de Seguridad: JPCERT/CC recopila la información relacionada con seguridad

computacional y genera alarmas y mensaje para prevenir ataques contra redes locales de las
organizaciones, así como para evitar que el impacto de tales ataques llegue a ser extenso. Un
informe semanal, contiene amenazas potenciales y mensajes de cómo evitarlos o reducir al
mínimo el daño causado por incidentes o las vulnerabilidades.
 Coordinación con otros CSIRTs: Siendo el primer CSIRT formado en Japón, mantiene
relaciones cercanas establecidas con mucho CSIRTs no sólo en la Asia y la región pacífica, sino
también en otras regiones. La coordinación y la colaboración con esos CSIRTs es crucial para
el uso seguro de la tecnología del Internet en todo el mundo.
Página 88 de 188
GOBIERNO EN LÍNEA
 Coordinación de Proveedores: Con el fin de evitar, reduce al mínimo o recupera del daño con
eficacia y eficiencia, la coordinación con los proveedores que pudieron afectar la seguridad del
Internet es importante. JPCERT/CC comparte la información con los proveedores locales y
distribuyen la información de la vulnerabilidad de manera oportuna.
 Educación y entrenamiento: JPCERT/CC proporciona la educación y el entrenamiento

relacionados con la seguridad de la red, incidentes de seguridad, vulnerabilidad y las
tendencias y ayudas de seguridad a partir de seminarios y talleres. Además, vario informes
técnicos y otros documentos están disponibles en el web site.
 Investigación y análisis: Los incidentes de la computadora se están convirtiendo en un

problema cada vez más difícil de identificar. JPCERT/CC ejerce investigación y análisis para
encontrar mejores maneras de prevenir ataques o de limitar su daño.
Japón
2.1.31. MÉXICO – UNAM-CERT34 (EQUIPO DE RESPUESTA A INCIDENTES DE

SEGURIDAD EN CÓMPUTO)
El UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo) es un equipo de

profesionales en seguridad en cómputo localizado en el Departamento de Seguridad en Cómputo
(DSC) de la Dirección General de Servicios de Cómputo Académico (DGSCA), de la UNAM.
El UNAM-CERT se encarga de proveer el servicio de respuesta a incidentes de seguridad en

cómputo a sitios que han sido víctimas de algún "ataque", así como de publicar información
respecto a vulnerabilidades de seguridad, alertas de la misma índole y realizar investigaciones de
la amplia área del cómputo y así ayudar a mejorar la seguridad de los sitios.
El DSC (Departamento de Seguridad en Cómputo) de la DGSCA, UNAM, es un punto de encuentro

al cual puede acudir la comunidad de cómputo para obtener información, asesorías y servicios de
seguridad, así como para intercambiar experiencias y puntos de vista, logrando con ello,
establecer políticas de seguridad adecuadas, disminuir la cantidad y gravedad de los problemas de
seguridad y difundir la cultura de la seguridad en cómputo.
34
Tomado de: http://www.cert.org.mx/index.html. U.A: 2008/09/26. Publicado por: UNAM-CERT. Autor: Jefe del
Departamento de Seguridad en Cómputo: Juan Carlos Guel. Líder del Proyecto: Alejandro Núñez Sandoval.
Página 89 de 188
GOBIERNO EN LÍNEA
El DSC pone a la disposición de los Institutos, Facultades y organizaciones externas su portafolio

de servicios de Seguridad en Tecnologías de la Información:
 Análisis de Riesgos.
 Test de Penetración.
 Análisis Forense.
 Auditorias de Seguridad.
 Administración de Infraestructura de Seguridad en TI.
 Tecnologías de Seguridad.
 Desarrollo de Soluciones.
 Asesorías.
El UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo) es un equipo de

profesionales en seguridad en cómputo localizado en el Departamento de Seguridad en Cómputo
(DSC) de la Dirección General de Servicios de Cómputo Académico (DGSCA), de la UNAM.
México
2.1.32. NUEVA ZELANDIA – CCIP35 (CENTRE FOR CRITICAL INFRASTRUCTURE

PROTECTION)
El Centro para la Protección de la infraestructura Crítica (CCIP) es la agencia de estatal dedicada al

trabajo con las organizaciones, la industria y el gobierno relacionados con la infraestructura crítica
de Nueva Zelandia, para mejorar la protección y la seguridad computacional de amenazas.
35
Tomado de: http://www.ccip.govt.nz/. U.A: 2008/09/26. Publicado por: Centre for Critical Infrastructure Protection.
Página 90 de 188
GOBIERNO EN LÍNEA
 Proporcionar un servicio de asesoría 7*24 hacia dueños y operadores de la Infraestructura

Crítica Nacional y del gobierno de Nueva Zelandia.
 Investigar y analizar los incidentes del ciberespacio que ocurren contra la Infraestructura
Crítica Nacional.
 Trabajar con las agencias de protección de la Infraestructura Crítica Nacional tanto de manera
local como internacionalmente para mejorar el conocimiento de la seguridad del ciberespacio
en Nueva Zelandia.
El Centro para la Protección de la Infraestructura Crítica (CCIP) es una unidad de negocio dentro
de la oficina de Seguridad de Comunicaciones del Gobierno (GCSB).
La persona responsable del CCIP y de GCSB es el Primer Ministro de Nueva Zelandia.
Nueva Zelandia
2.1.33. HOLANDA – GOVCERT.NL36
GOVCERT.NL es el Equipo de Respuesta a Emergencias Computacionales para el gobierno

holandés. Desde 2002 apoya al gobierno en la prevención y atención de incidentes relacionados
con la seguridad.
 Coordinación: Actúa como punto central de la emergencia de incidentes relacionados con la

seguridad, tales como virus informáticos y detección de vulnerabilidades.
 Información: Proporciona la información correspondiente a temas de seguridad a las partes

apropiados.
 Asiste a oficiales del gobierno en la prevención de incidentes de seguridad.
36
Tomado de: http://www.govcert.nl/. U.A: 2008/09/26. Publicado por: GOV-CERT.NL. Autor: No determinado.
Página 91 de 188
GOBIERNO EN LÍNEA
 Intercambio internacional del conocimiento: mantiene la cooperación e intercambio de

información a nivel internacional.
 Banco de datos: GOVCERT. NL es un centro de información. Proporciona acceso al

conocimiento y a la experiencia de su personal y organizaciones que participan. Además,
promueve el intercambio de información entre estas organizaciones. El banco de datos facilita
el intercambio por medio de listas de distribución, de archivos de documentos relevantes y de
mejores prácticas.
 Paneles: Organizamos reuniones periódicas para dar la oportunidad de intercambiar

conocimiento e ideas en temas de actualidad.
 Ayuda en caso de incidentes: Ofrece ayuda haciendo frente a todas las clases de incidentes,
extendiéndose al correo Spam, a los ataques de la red de la escala grande, con un soporte
7*24.
Holanda
2.1.34. POLONIA - CERT POLSKA37 (COMPUTER EMERGENCY RESPONSE TEAM

POLSKA)
El CERT Polska es el nombre oficial del equipo desde el enero de 2001. Era conocido antes como
CERT Nask. Desde el febrero de 1997 el CERT Polska ha sido un miembro del Foro Mundial de
Equipos de Respuesta y Seguridad del Incidente - FIRST. El CERT Nask fue establecido en marzo
de 1996 según la disposición del director de Nask (Red Académica y de Investigación en Polonia).
Sus objetivos son constituir un único punto confiable de atención a incidentes y prevención en
Polonia para los clientes de la comunidad Nask y otras redes en Polonia, responder por los
incidentes de seguridad, proveer información referente a la seguridad y advertencias de los
ataques en cooperación con otros equipos de respuesta a incidentes por todo el mundo
 El CERT Polska registra las peticiones, alertas y proporcionará datos e informes estadísticos de
incidentes.
 Proporciona ayuda a los sitios que tienen problemas de seguridad.
37
Tomado de: http://www.cert.pl/. U.A: 2008/09/26. Publicado por: CERT Polska. Autor: No determinado.
Página 92 de 188
GOBIERNO EN LÍNEA
 El CERT Polska brinda información actual sobre problemas de seguridad y su solución (vía web
y lista de suscripción).
El equipo lo conforma la Red Académica y de Investigación en Polonia, con la ayuda de expertos

de universidades polacas.
Polonia
2.1.35. QATAR - Q-CERT38 (QATAR CERT)
Como Equipo Nacional de Respuesta a Incidente de Seguridad Computacional de Qatar, Q-CERT

coordinará el sistema de actividades de la ciber - seguridad necesarias para mejorar la protección
de infraestructuras críticas en la nación y en la región.
Para alcanzar esta meta, Q-CERT trabajará con las agencias y la industria estatal para formar una
estrategia de la gerencia de riesgo para la seguridad del ciberespacio que incluye los siguientes
frentes:
 Planeamiento, medición y evaluación
 Disuasión
 Protección
 Supervisión, detección y análisis
 Respuesta
 Reconstitución y recuperación
 Investigación y desarrollo
38
Tomado de: http://www.qcert.org. U.A: 2008/09/26. Publicado por: Supreme Council of Information &
Comunication Technology. Autor: No determinado.
Página 93 de 188
GOBIERNO EN LÍNEA
Q-CERT cubre todas las organizaciones autorizadas para utilizar el dominio del código de país.qa,
así como la población en general de Qatar que utiliza el Internet. Incluye al gobierno de Qatar, a
los negocios e instituciones educativas que utilizan el Internet para sus operaciones. Los socios
estratégicos incluyen la industria petrolera del aceite, la industria de servicios financieros, la
industria de las telecomunicaciones, y los ministerios del estado de Qatar. Q-CERT trabajará con
los institutos educativos en Qatar para aumentar conocimiento de la seguridad de la información y
para mejorar prácticas de seguridad de la información.
 Talleres, seminarios, y cursos diseñados para aumentar el conocimiento acerca de la seguridad

del ciberespacio.
 Provee un Web site para brindar información sobre las amenazas que emergen, nuevas
vulnerabilidades y otros temas de seguridad.
 Explorar la información de la seguridad de sistemas de fuente abierta para prevenir amenazas

emergentes.
 Genera nuevas alarmas y estrategias de mitigación.
 Analiza vulnerabilidades y código malévolo para desarrollar estrategias de la mitigación.
 Analizar incidentes de la seguridad e identifica contramedidas.
 Coordina a través de las organizaciones internacionales el manejo de atención a incidentes e

investigaciones.
 Ayuda en la determinación del alcance y de la magnitud de incidentes de seguridad e identifica

estrategias de la recuperación
Q-CERT es un organismo nacional patrocinado del Consejo Supremo para la Tecnología de

Información y de Comunicaciones (ictQATAR) del estado de Qatar en asocio con el programa CERT
que es parte de Instituto de Ingeniería de Software de la Universidad Carnegie - Mellon en
Pittsburgh, Estados Unidos.
Gobierno y sector privado en Qatar y en la región cercana del golfo.
Página 94 de 188
GOBIERNO EN LÍNEA
2.1.36. REINO UNIDO - GOVCERTUK39 (CESG´S INCIDENT RESPONSE TEAM)
GovCertUK nace en febrero de 2007, como la autoridad técnica nacional para el aseguramiento de
la información y proporciona la función de CERT al gobierno británico. Asiste a organizaciones del
sector público en la respuesta a los incidentes de seguridad computacional y proporciona asesoría
para reducir la exposición a la amenaza.
Este papel incluye disponer de una capacidad de respuesta a emergencias de las organizaciones
del sector público que pueden requerir la ayuda técnica y la asesoría durante períodos de ataque
electrónico o de otros incidentes de la seguridad de la red.
El equipo GovCertUK presta ayuda técnica y asesoría al Centro para la Protección de la

Infraestructura Nacional (Centre for the Protection of National Infrastructure – CPNI 40), que
proporcionará un papel similar de ayuda a la infraestructura nacional crítica, a las organizaciones
del sector público y privado, protegiendo la seguridad nacional ayudando así a reducir la
vulnerabilidad de la infraestructura nacional al terrorismo y a otras amenazas.
 Publicaciones orientadas a la protección general de la seguridad.
 Informes de seguridad de la información destacando los riesgos frente a la infraestructura

nacional.
 Notas técnicas de la Seguridad de la Información.
 Vulnerabilidades de la Seguridad de la Información.
 Investigación en vulnerabilidades computacionales para determinar las amenazas, identificar

problemas y se trabaja de la mano con proveedores de tecnología para suministrar patches de
software.
 Promueven las mejores prácticas entre los operadores de la infraestructura nacional,

compartiendo la información.
39
Tomado de: www.govcertuk.gov.uk. U.A: 2008/09/26. Publicado por: CESG GovCertUK Incident Response Team.
40
Tomado de: www.cpni.gov.uk. U.A: 2008/09/26. Publicado por: Centre for the Protection of National Infrastructure
– CPNI. Autor: No determinado.
Página 95 de 188
GOBIERNO EN LÍNEA
 Descripción de tecnologías emergentes.
 Intercambios de información sobre los riesgos.
Reino Unido e Irlanda del Norte
2.1.37. SINGAPUR – SINGCERT41 (SINGAPORE CERT)
El Equipo de Respuesta a Emergencias Computacionales de Singapur (SingCERT) fue instalado

para facilitar la detección, la resolución y la prevención de incidentes relacionados con la seguridad
en Internet.
Sus objetivos son:
 Ser un punto de contacto confiable.
 Facilitar la resolución de las amenazas de la seguridad.
 Aumente la capacidad nacional en seguridad.
 Genera alarmas, recomendaciones y patches de seguridad.
 Promueve el conocimiento de la seguridad a través de cursos, seminarios y talleres de

seguridad.
 Colabora con los proveedores y otros CERTs para encontrar soluciones a los incidentes de la
seguridad
SingCERT fue establecido inicialmente en octubre de 1997 como programa de la autoridad del
desarrollo de Infocomm de Singapur, en colaboración con el Centro para la Investigación del
Internet de la Universidad Nacional de Singapur.
41
Tomado de: http://www.singcert.org.sg/. U.A: 2008/09/26. Publicado por: Singapur – SingCERT. Autor: No
determinado.
Página 96 de 188
GOBIERNO EN LÍNEA
Singapur
2.1.38. SRI LANKA – SLCERT42 (SRI LANKA COMPUTER EMERGENCY RESPONSE

TEAM)
El Equipo de Respuesta a Emergencia Computacionales de Sri Lanka (SLCERT) es el centro para la

seguridad del ciberespacio, designado por mandato para proteger la infraestructura de la
información de la nación y para coordinar medidas protectoras y respuestas a las amenazas y a las
vulnerabilidades de la seguridad informática.
Un CERT nacional actúa como punto focal para la seguridad de Ciberespacio para una nación. Es
la única fuente confiable para asesorar sobre las amenazas y las vulnerabilidades más recientes
que afectan los sistemas informáticos y las redes y para asistir al gobierno en responder y
recuperarse de Ataques computacionales.
SLCERT ofrece tres categorías de servicio:
 Servicios de Respuesta: Son los servicios que son activados por los acontecimientos que son
capaces de causar efectos nocivos sobre los sistemas de información. Los ejemplos son
ataques de Spam, virus y acontecimientos inusuales de intrusos.
 Dirección en incidentes: Este servicio implica responder a una petición o a una notificación
asociada a la detección de un acontecimiento inusual, que puede afectar el funcionamiento, la
disponibilidad o la estabilidad de los servicios o sistemas informáticos.
 SLCERT realizará pasos para identificar el incidente y para clasificar la severidad del incidente,
asesorando en cómo contener el incidente y suprimir la causa. Una vez los sistemas se
recuperan completamente, SLCERT genera un informe de incidente detallando su naturaleza,
medidas tomadas para recuperarse de incidente y medidas preventivas recomendadas para el
futuro.
 Servicios del Conocimiento: Se diseñan para educar en la importancia de la seguridad de la

información y de los asuntos relacionados y las mejores prácticas.
42
Tomado de: http://www.cert.lk/. U.A: 2008/09/26. Publicado por: Sri Lanka – SLCERT. Autor: No determinado.
Página 97 de 188
GOBIERNO EN LÍNEA
 Alarmas: Este servicio se utiliza para divulgar la información en relación con virus informáticos,
bromas y vulnerabilidades de la seguridad, y en lo posible, para proporcionar recomendaciones
a corto plazo para ocuparse de las consecuencias de tales ataques.
 Seminarios y conferencias: Estos servicios tienen la intención de aumentar el conocimiento

sobre la seguridad de la información, seguridad estándares y mejores prácticas. Se busca
ayudar a reducir perceptiblemente la probabilidad de ser atacado.
 Talleres: Estos servicios son dirigido para aumentar el conocimiento acerca de la seguridad de
la información. Se orientan a los profesionales más técnicos, que realizan tareas diarias
relacionadas con la seguridad de la información.
 Base de Conocimiento: La base de conocimiento es un servicio pasivo ofrecido por SLCERT a

los interesados con documentos, artículos, noticias, etc., publicado en el Web site de SLCERT y
los medios. Se busca proporcionar una gama de recursos del conocimiento que permitan a
cualquier persona encontrar información útil para ayudar a aumentar su comprensión de la
seguridad de la información.
 Servicios de la Consulta: Estos servicios se orientan a proveer medios de toma de decisiones

con respecto a la seguridad de la información, y para tomar las medidas necesarias para
consolidar las defensas.
 Soporte Técnico: Este servicio de revisión y análisis está dirigido a la infraestructura y

procedimientos de la seguridad adoptados dentro de las organizaciones, de acuerdo con la
experiencia en seguridad de la información del SLCERT y de ciertos parámetros predefinidos.
El resultado final es un identificación detallada de las debilidades de la infraestructura, las
mejoras que deben llevarse a cabo y cómo tales las mejoras deben ser puestas en ejecución.
 Soporte Consultivo para Política Nacional: Éste es un servicio realizado por SLCERT como
obligación con la nación. Como autoridad primaria en seguridad de la información en Sri Lanka,
SLCERT es responsable de generar y de hacer cumplir estándares de seguridad de la
información a nivel nacional.
Sri Lanka
Página 98 de 188
GOBIERNO EN LÍNEA
2.1.39. TÚNEZ - CERT-TCC43 (COMPUTER EMERGENCY RESPONSE TEAM -

TUNISIAN COORDINATION CENTER)
A partir de 2002 se establece el núcleo de un CSIRT en Túnez, que condujo en 2004 al

lanzamiento oficial del CERT-TCC (Computer Emergency Response Team - Centro Tunecino de
Coordinación), un CSIRT público gestionado por la Agencia Nacional para la Seguridad
Computacional.
El CERT-TCC tiene los siguientes objetivos:
 Aumentar el conocimiento y entendimiento acerca de la seguridad de la información y de la

seguridad de la computadora a través de medidas proactivas.
 Proporcionar un soporte confiable7*24, con un solo punto de contacto para las emergencias,
para ayudar a manejar incidentes de la seguridad y para asegurar la protección del
Ciberespacio nacional y la continuidad de servicios críticos nacionales a pesar de ataques.
 Proporcionar el entrenamiento y la certificación de alto nivel para los aprendices y los

profesionales.
 Informar sobre las mejores prácticas y sobre aspectos de organización de la seguridad, con un
foco especial en la gerencia de la intervención y de riesgo.
 Informar sobre vulnerabilidades y respuestas correspondientes y sirve como un punto confiable

de contacto para recopilar e identificar vulnerabilidades en sistemas informáticos.
 Informar sobre mecanismos y herramientas de la seguridad y asegurar que la tecnología

apropiada y las mejores prácticas de gerencia sean utilizadas.
 Poner en ejecución los mecanismos que permitan alertar y dar respuesta a organizaciones y a
instituciones, para desarrollar sus propias capacidades de la gerencia del incidente
 Facilitar la comunicación entre el profesional y los expertos que trabajan en estructuras de

seguridad y estimular la cooperación entre y a través de los negocios públicos y privados de las
agencias estatal y de las organizaciones académicas.
 Colaborar con la comunidad internacional y nacional en incidentes de detección y de resolución

de la seguridad computacional.
43
Tomado de: http://www.ansi.tn/en/about_cert-tcc.htm. U.A: 2008/09/26. Publicado por: National Agency for Computer
Security - Tunez. Autor: No determinado.
Página 99 de 188
GOBIERNO EN LÍNEA
 Promover o emprende el desarrollo de los materiales educativos, de conocimiento y de

entrenamiento apropiados para mejorar las habilidades y el conocimiento técnico de los
usuarios y los profesionales de la seguridad.
 Actividades del conocimiento
 Publicaciones: Como material del conocimiento, se desarrollan y distribuyen folletos y guías

que explican a los usuarios de una manera simple y clara las amenazas y cómo proteger sus
sistemas. También distribuyen libremente los CDs con las herramientas de seguridad y de
control parental, libres para el uso doméstico, pero también los patches.
 Presentaciones: Co-organizan e intervienen en conferencias nacionales y talleres relacionados

con la seguridad, con demostraciones en vivo de ataques, para sensibilizar a la gente con la
realidad de los riesgos y la importancia de las mejores prácticas.
 Juventud y padres: Referente a conocimiento de la juventud y de los padres, preparan material

del conocimiento. Un manual “Pasaporte de la seguridad para la familia” incluyendo concursos,
historietas y juego pedagógico, que explican a los niños de una manera divertida, los riesgos
(pedofilia, virus, etc…) y las reglas básicas de protección.
 Prensa: Participa en emisiones semanales en medios nacionales, creando un posicionamiento.
 Información y actividades de alertas: Una de las principales tareas es detectar y analizar

amenazas y transmitir esa información a los administradores de sistema y a la comunidad de
usuarios. CERT-TCC divulga regularmente información y alarmas sobre vulnerabilidades críticas
y actividades malévolas a través de sus listas de distribución y con su web site. Analiza las
vulnerabilidades potenciales, recogiendo la información, trabajando con otros CSIRTs y
proveedores de software para conseguir las soluciones a estos problemas.
 Entrenamiento y educación: CERT-TCC está actuando para la construcción de un grupo de

trabajo de los multiplicadores y e la creación de diplomados especializados en seguridad, junto
con el estímulo de los profesionales para obtener certificación internacional. Para solucionar
eficientemente el problema de la carencia del entrenamiento especializado en seguridad, el
CERT-TCC organiza entrenamientos para los multiplicadores que estarán en cargo de
reproducir esos cursos en una escala mayor. Los primeros asuntos identificados son los
siguientes:
 Técnicas de seguridad del perímetro de la red: Arquitecturas seguras, cortafuegos,

identificaciones, servidores de marcado manual seguros.
 Organización y técnicas internas: Desarrollo de política de la seguridad, desarrollo del plan de

seguridad, herramientas de seguridad de la red (Cortafuegos, entradas distribuidos contra-
virus, PKI.).
Página 100 de 188

GOBIERNO EN LÍNEA
 Tecnologías de supervivencia de la información: Planes de recuperación de desastres.
 Base técnica para la prevención de la intrusión: Identifica y previene intrusiones y defectos de

seguridad.
 Fundamentos en la orientación del manejo del incidente.
 Metodologías de la autovaloración de la seguridad.
 ISO 17799 e ISO 27000.
 Curso de CBK, para la preparación a la certificación de CISSP.
 Cursos especializados para el personal judicial y de investigación.
 También desarrollan un programa de entrenamiento para la certificación de personas del

sector privado, que permite la obtención de la certificación nacional de interventor de la
seguridad, además, al entrenamiento para los administradores de los sistemas de e-gobierno,
y como motivación para la certificación de CISSP, los entrenamientos que cubren todos los
capítulos del CBK.
 CERT-TCC trabaja con profesionales e instituciones académicas para desarrollar planes de

estudios en seguridad de la información y se tiene el proyecto para lanzar un centro de
entrenamiento regional en seguridad en sociedad con el sector privado.
 Prepara adicionalmente los entrenamientos especiales para los jueces, y periodistas.
 Educación: En colaboración con dos instituciones académicas, se lanzó la primera maestría en

seguridad en 2004 y ahora tres universidades públicas y cuatro privadas, proponen programas
de maestría similares. Para motivar a estudiantes a atender a esos cursos, se les ofrece la
posibilidad de postular a la certificación nacional del interventor de la seguridad. De otro lado,
consideran que todos los estudiantes deben ser preparados para obtener conocimiento
apropiado sobre riesgos y la existencia de las mejores prácticas y de herramientas de
seguridad para la protección. Con ese propósito, comenzaron sesiones del conocimiento de
verano para los nuevos profesores de las escuelas secundarias y están motivando a todas las
entidades de educación para la introducción de los cursos básicos del conocimiento dentro de
programas académicos, desde las escuelas secundarias hasta la universidad. CERT-TCC
comenzó el desarrollo del material y de los programas del conocimiento para las escuelas
secundarias.
 Dirección y ayuda del incidente: Según la ley relacionado con la seguridad computacional, las
corporaciones privadas y públicas deben informar al CERT-TCC sobre cualquier incidente, que
pueda tener impacto en otros sistemas de información nacionales, con la garantía de
confidencialidad ala que están obligados los empleados del CERT-TCC y los interventores de la
seguridad, bajo sanciones penales. Las organizaciones tanto privadas como públicas deben
Página 101 de 188

GOBIERNO EN LÍNEA
confiar en el CERT-TCC por lo cual se obligan a guardar confidencial sobre sus identidades y la
información sensible proporcionada. También deben ser neutrales, que permita trabajar con
las entidades y las entidades sin predisposición.
 Se establecieron teléfonos 7*24 que permiten a los profesionales y a los ciudadanos divulgar y
llamar para solicitar ayuda en caso de incidentes de la seguridad computacional y también para
solicitar la información y/o la ayuda en cualquier tema relacionado a la seguridad.
 En las actividades de dirección de la vulnerabilidad y del incidente se asigna una prioridad más
alta a los ataques y a las vulnerabilidades que afectan directamente el ciberespacio nacional.
En este sentido se comenzó a desarrollar un sistema llamado “Saher” que permite determinar y
predecir amenazas grandes y potenciales a las infraestructuras de telecomunicación sensibles y
al Ciberespacio local, basado en código abierto que permite supervisar la seguridad del
Ciberespacio nacional en tiempo real para la detección temprana de ataques masivos. El
primer prototipo fue desplegado en noviembre de 2005.
 Para asegurar una respuesta rápida y correcta en caso de ataques grandes contra el
Ciberespacio, se ha desarrollado un plan global de la reacción basado en el establecimiento de
células de crisis coordinadas a nivel de varios agentes del Ciberespacio nacional ( ISPs, IDCs,
proveedores de acceso, redes corporativas grandes) con CERT-TCC actuando como
coordinador entre ellos.
 Colaboración con asociaciones: Co-organizan regularmente talleres del conocimiento y

entrenamiento buscando sinergia entre los profesionales y los agentes nacionales. Animan la
creación de dos asociaciones especializadas en el campo de la seguridad informática: Una
asociación académica lanzada en 2005 (“Asociación Tunecina para la Seguridad Numérica”) y
durante 2006 (“Asociación Tunecina de Expertos en Seguridad Computacional”). Con el
propósito de motivar la agregación técnica de esas asociaciones, las están motivando para la
creación de equipos de trabajo técnicos.
 Colaboración internacional: CERT-TCC se ha establecido como miembro de pleno derecho de

FIRST en mayo de 2007 y busca colaborar con otros CSIRTs para lograr un apoyo mayor y
colaboración en investigaciones. También intentan ser activos a nivel regional en África y en
organizaciones internacionales.
Cuenta con dos equipos:
 Equipo Amen: A cargo del análisis del incidente y coordinación y respuesta en sitio y en caso
de emergencia nacional.
 Equipo Saherel: A cargo de la detección del incidente y del artefacto, que desarrolla y maneja
un sistema de supervisión para el ciberespacio nacional, basado en soluciones de código
abierto. Está también a cargo de dar asistencia técnica y ayuda para el despliegue de las
soluciones de código abierto.
Página 102 de 188

GOBIERNO EN LÍNEA
Túnez
2.1.40. VENEZUELA CERT.VE44 (VENCERT – EQUIPO DE RESPUESTA PARA

EMERGENCIAS INFORMÁTICAS)
El Ministerio de Ciencia y Tecnología, cumpliendo su competencia en materia de Tecnologías de

Información y Comunicación, pone en marcha el proyecto parea conformar un Equipo de
Respuesta para Emergencias Informáticas a través de la Superintendencia de Servicios de
Certificación Electrónica - SUSCERTE. Este equipo en conjunto con la academia, centralizará y
coordinará los esfuerzos para el manejo de incidentes que afecten oi puedan afectar los recursos
informáticos de la Administración Pública, así como difundir información de cómo neutralizar
incidentes, tomar precauciones para las amenazas de virus que puedan comprometer la
disponibilidad y confiabilidad de las redes.
Además centralizará los reportes sobre incidentes de seguridad ocurridos en la Administración

Pública y facilitará el intercambio de información para afrontarlos, provee documentación y
asesoría sobre la seguridad informática.
Sus objetivos son combinar esfuerzos con la comunidad internet nacional e internacional para
facilitar y proporcionar respuesta a los problemas de seguridad informática que afecten o puedan
afectar a los sistemas centrales, así como elevar la conciencia colectiva sobre temas de seguridad
informática y llevar a cabo tareas de investigación que tengan como finalidad mejorar la seguridad
de los sistemas existentes. Coordinar las acciones de monitoreo, detección temprana y respuesta
ante incidentes de seguridad de informática entre los órganos del Poder Público, así como el
tratamiento formal de estos incidentes y su escalamiento ante las instancias correspondientes.
La Superintendencia debe promocionar y divulgar el uso de Políticas de Seguridad, la firma

electrónica y certificado electrónico apoyándose en los centros educativos, planteándose
programas académicos que apoyen a dichos centros en las carreras jurídicas para dar a conocer la
Ley sobre mensaje de Datos y Firma Electrónica, los reglamentos y las resoluciones de la
superintendencia. Así se pretende lograr que la Administración Pública venezolana identifique sus
requisitos de seguridad y aplique medidas para alcanzarlos, mediante el uso de tres fuentes
principales:
 Valoración de los riesgos de cada uno de los Entes Gubernamentales. Con ello se identifican las
amenazas a los activos, se evalúa la vulnerabilidad y la probabilidad de su ocurrencia y se
estima su posible impacto.
44
Tomado de: http://www.cert.gov.ve/. U.A: 2008/09/26. Publicado por: Venezuela CERT.ve. Autor: No determinado.
Página 103 de 188

GOBIERNO EN LÍNEA
 Determinación de requisitos legales, estatutarios y regulatorios que deberían satisfacer los

entes de la Administración Pública, sus usuarios, contratistas y proveedores de servicios.
 Establecimiento de los principios, objetivos y requisitos que forman parte del tratamiento de la
información que el Gobierno Nacional ha desarrollado para apoyar sus operaciones.
Para ello el VenCERT (Centro de Respuestas ante incidentes telemáticos del Sector Público)
implementará un conjunto de políticas, prácticas, y procedimientos y los controles que garanticen
el cumplimiento de los objetivos específicos de seguridad. Asimismo, orientará y asesorará en la
definición de estructuras organizativas, funciones de software y necesidades de formación.
El VenCERT deberá igualmente constituirse en eje central de un sistema de investigación científica

aplicada a la seguridad telemática, convirtiéndose en demandante principal de sus productos y
proveedor permanente de nuevos temas de investigación.
 Proveer un servicio especializado de asesoramiento en seguridad de redes
 Promover la coordinación entre los organismos de la Administración Pública para prevenir,

detectar, manejar y recuperar incidentes de seguridad.
 Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administración Pública y

facilitar el intercambio de información para afrontarlos.
 Crear listas de correo con el fin de mantener informados a los directores de informática sobre
las noticias más recientes en materia de seguridad.
2.1.40.2.1. Estructura
El VenCERT hace parte de la Superintendencia de Servicios de Certificación Electrónica de

Venezuela – SUSCERTE.
Administración Pública de Venezuela
Página 104 de 188

GOBIERNO EN LÍNEA
2.2. EXPERIENCIAS O ANTECEDENTES EN COLOMBIA
2.2.1. CIRTISI – COLOMBIA45 (CENTRO DE INFORMACIÓN Y RESPUESTA

TÉCNICA A INCIDENTES DE SEGURIDAD INFORMÁTICA DE COLOMBIA)
En colaboración de varías entidades gubernamentales se desarrolló una primera propuesta para la

constitución de un Centro de Información y Respuesta Técnica a Incidentes de Seguridad
Informática de Colombia – CIRTISI.
Según esta propuesta, CIRTISI Colombia buscaría propender por la prevención, detección y
reacción frente a incidentes de seguridad informática que amenacen y/o desestabilicen la normal
operación de entidades gubernamentales e incluso la seguridad nacional, mediante apoyo
tecnológico, entrenamiento y generación de una cultura global de manejo de la información.
Sus objetivos generales serían:
 Brindar apoyo a las entidades gubernamentales para la prevención y rápida detección,

identificación, manejo y recuperación frente a amenazas a la seguridad informática.
 Interactuar con los entes de policía judicial generando un espacio de consulta frente a las
amenazas de seguridad e investigaciones informáticas.
 Proporcionar información especializada y conocimiento a las autoridades de policía judicial

durante los procesos investigativos relacionados con la seguridad informática.
 Construir un laboratorio de detección e identificación, control y erradicación de amenazas

informáticas para los diferentes organismos gubernamentales.
 Consolidar el capitulo HTCIA (High Technology Crime Investigation Association) Colombia y

adelantar las actividades necesarias para su permanencia y crecimiento
Sus objetivos específicos serían:
 Proporcionar alertas tempranas frente a amenazas informáticas que puedan desestabilizar la

tecnología y la seguridad nacional.
 Fomentar la investigación y desarrollo de estrategias de seguridad informática.

45
Documento: CIRTISI COLOMBIA, Tomado de
http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de%202007%202.pdf. U.A:
2008/09/26. Publicado por: Gobierno en Línea. Autor: No determinado.
Página 105 de 188

GOBIERNO EN LÍNEA
 Brindar una adecuada respuesta a incidentes de seguridad informática, con un enfoque

metodológico que propenda por la eficiencia de las investigaciones realizadas.
 Establecer canales de comunicación nacionales expeditos de manera que sea posible ofrecer
una atención a incidentes en forma efectiva.
 Generar redes de apoyo temáticas en materia de seguridad de la información.
 Promover la coordinación nacional con otras entidades pertinentes del orden regional
 Fortalecer la cooperación con organismos intergubernamentales en el ámbito subregional,

regional e internacional.
 Impulsar la cooperación internacional con organismos de similar naturaleza y propósito.
 Participar en el Forum of Incident Response and Security Teams (FIRST)
 Consolidar, mantener y liderar el capitulo HTCIA Colombia
 Fomentar una conciencia global de seguridad informática
 Proveer un servicio especializado de asesoramiento en seguridad de redes.
2.2.1.2. Servicios Propuestos
 Investigación técnica de amenazas informáticas existentes e identificación de tendencias.
 Generación de alertas tempranas frente a las amenazas existentes, conocidas y potenciales.
 Entrenamiento local, nacional o internacional en materia de seguridad informática y

procedimientos de computación forense para los organismos de policía judicial colombiana.
 Respuesta efectiva a incidentes de seguridad informática que se presenten en cualquier órgano

gubernamental, brindando apoyo técnico para la recolección, análisis, preservación y
presentación de evidencia digital en incidentes que den lugar a investigaciones informáticas.
 Promover la cultura de la seguridad informática y la estandarización de protocolos de

seguridad.
 Establecer contactos con equipos de similar naturaleza o propósito y con organizaciones que
agrupen estos equipos, tanto a nivel nacional como internacional.
Página 106 de 188

GOBIERNO EN LÍNEA
El CIRTISI - Colombia propone desarrollar sus actividades dentro de los siguientes ejes
estratégicos:
 Desarrollo de Políticas: Promover la formulación de políticas que contribuyan con la

prevención, detección, identificación, manejo y recuperación frente a amenazas a la seguridad
informática así como con la adopción de legislación para adecuar y actualizar la tipificación de
las conductas conocidas por el CIRTISI.
 Actividad Operacional: Obtener diagnósticos reales sobre las diferentes amenazas informáticas
que se generan a partir de una cobertura de servicios y sectores definida y, de la permanente
capacitación y optimización tecnológica.
 Impacto Social: Generación de una cultura global de manejo de la información y fomento de la

conciencia frente a la seguridad informática mediante la permanente socialización de las
amenazas conocidas y nuevas y su impacto sobre la seguridad informática en Colombia.
2.2.1.3. Estructura Sugerida
La conformación del CIRTISI involucraría cinco áreas o divisiones con liderazgo propio de manera
que se puedan cubrir diversos aspectos de la seguridad informática nacional.
Ilustración 6: Estructura CIRTISI Colombia
 División de Infraestructura y Asesoría: Esta división será la encargada de todo el planeamiento

logístico y estratégico necesario para la conformación y puesta en operación del CIRTISI -
Colombia, apoyando directamente a la dirección general y junta directiva que se designe.
Página 107 de 188

GOBIERNO EN LÍNEA
 División de Alertas Tempranas y Coordinación: Esta división se concentrará en el monitoreo de

amenazas y coordinación con CERT’s nacionales e internacionales, generando las alertas
tempranas frente a amenazas potenciales. En conjunto con la investigación y desarrollo son el
corazón del CIRTISI en la medida que se convierte en el punto de detección de amenazas
globales. Adicionalmente, esta división está encargada de mantener una base estadística de
amenazas a la seguridad de la información.
 División de Investigación y Desarrollo: La división de Investigación y Desarrollo estará

encargada del laboratorio de amenazas, proporcionadas por la división de alertas tempranas,
con el fin de identificar riesgos efectivos. Esta división afinará la base estadística de amenazas
convirtiéndolas en riesgos y generando las alertas acerca de aquellos riesgos que podrían
impactar de mayor manera la seguridad nacional. Estos estudios contribuirán con la
elaboración de diagnósticos sobre la situación real del país en materia de seguridad
informática. Adicionalmente, esta División se encargará todo lo relacionado con capacitación y
entrenamiento tanto al interior del CIRTISI como hacia los diferentes entes del Gobierno.
Asimismo, administrará y distribuirá entre las entidades nacionales competentes las ofertas de
cooperación, asistencia y capacitación en nuevas tecnologías y manejo de incidentes de
seguridad informática.
 División de Respuesta a Incidentes: La División de Respuesta a Incidentes será el grupo de

reacción frente a cualquier incidente de seguridad de la información que se presente en el
sector Gobierno. Esta división estará a cargo de los mecanismos de comunicación únicos
nacionales que atenderían y manejarían los requerimientos de incidentes. Adicionalmente, los
funcionarios de esta división podrán interactuar con las entidades con funciones de policía
judicial en el desarrollo de investigaciones informáticas ofreciendo apoyo técnico y
especializado. Asimismo, el CIRTISI pondría a disposición de dichas entidades las estadísticas
sobre investigaciones informáticas a nivel nacional. Inicialmente, contará con la infraestructura
necesaria para brindar asistencia de lunes a viernes de 9:00 a 18:00 horas, y en el mediano
plazo, a medida que aumente la capacidad y la demanda, entraría a operar en el modelo 24
horas al día, 7 días a la semana (7/24).
 División de Divulgación y Concienciación: Esta División será la única encargada de proporcionar

la información oficial que se derive de las actividades del CIRTISI hacia los medios de
comunicación y la comunidad en general. Adicionalmente y, como parte de la misión social del
CIRTISI, promoverá la generación de conciencia en el adecuado manejo de la seguridad de la
información.
Las entidades involucradas en su constitución serían:
 Ministerio del Interior y de Justicia
 Ministerio de Defensa Nacional
 Ministerio de Relaciones Exteriores
 Ministerio de Comunicaciones
Página 108 de 188

GOBIERNO EN LÍNEA
 Ministerio de Comercio, Industria y Turismo
 Departamento Administrativo de Seguridad (DAS)
 Policía Nacional (DIPOL, DIJIN)
 Comisión de Regulación de Telecomunicaciones (CRT)
 Dirección Nacional de Planeación (DNP)
 Fiscalía General de la Nación
 Cuerpo Técnico de Investigación (CTI)
 Procuraduría General de la Nación
El CIRTISI Colombia tendría un alcance nacional que abarca el sector Gobierno y brindaría apoyo a
las entidades gubernamentales para la prevención y rápida detección, identificación, manejo y
recuperación frente a amenazas a la seguridad informática.
También brindaría apoyo técnico y proporcionaría información especializada a los cuerpos de

policía judicial y de control en aspectos relacionados con la seguridad informática. En estos casos,
manteniendo reserva en la información reportada a los organismos y teniendo en cuenta las
responsabilidades y controles que el manejo de este tipo de información requiere.
El CIRTISI establecería canales de interlocución con usuarios del sector privado y la academia con
el propósito de ampliar la información en materia de tendencias e investigación. En este sentido,
hará seguimiento a los principales dispositivos, aplicaciones y herramientas (hardware, software),
a fin de conocer las vulnerabilidades de los sistemas operativos, alertar y obrar en consecuencia.
Adicionalmente, mantendrá una base de datos de incidentes de seguridad, la cual servirá para
consulta, seguimiento, y permitirá llevar un registro histórico de los mismos.
El CIRTISI brindaría capacitación especializada a las áreas técnicas de las diferentes entidades
nacionales.
Teniendo en cuenta que la cooperación e intercambio de información entre equipos de esta

naturaleza está basada en la confianza, el CIRTISI - Colombia estaría llamado a constituirse en el
punto focal confiable para organismos similares en el ámbito internacional. El CIRTISI entraría en
contacto con otros Equipos de Seguridad existentes en el mundo, y con las organizaciones que los
agrupan, y establecería canales comunicación permanente para facilitar el intercambio de
información técnica, experiencias, metodologías, procesos, buenas prácticas y otros servicios que
ofrecen dichas organizaciones.
Página 109 de 188

GOBIERNO EN LÍNEA
2.2.2. CSIRT COLOMBIA46 (COL CSIRT)
El COL-CSIRT es un grupo de investigación de la Universidad Distrital Francisco José de Caldas que

pretende un marco de operación nacional y cuyo constituyente estará dado por entidades de
educación superior y entidades oficiales del estado.
Su objetivo es ofrecer un servicio de soporte a las entidades estatales y de educación superior,

para la prevención, detección y corrección de los incidentes de seguridad informáticos, con los
siguientes objetivos específicos.
 Desarrollar una Base de Datos que contenga la información concerniente a los diferentes
incidentes de seguridad informáticos existentes y las preguntas más frecuentemente
contestadas (FAQ's).
 Prestar el soporte sobre Sistemas Operativos Windows y Linux (Unix).
 Utilizar la clasificación taxonómica de los incidentes y ataques con código malicioso propuesta
en el proyecto de maestría en Teleinformática titulado "ANÁLISIS DE INCIDENTES RECIENTES
DE SEGURIDAD EN INTERNET 1995 a 2003" para ofrecer una respuesta oportuna, eficaz y
eficiente a los distintos reportes y alertas que se reciban diariamente en el centro de
respuesta.
 Establecer detalladamente los servicios que prestará el centro de respuesta con respecto a los
incidentes de seguridad informáticos.
 Integrar la base de datos del Centro de Respuesta a incidentes y ataques con código malicioso,
al portal WEB del COL-CSIRT que está siendo desarrollado por el grupo de investigación
ARQUISOFT de la Universidad Distrital Francisco José de Caldas.
46
Tomado de: http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt. U.A: 2008/09/26. Publicado por:Universidad Distrital
Francisco José de Caldas. Autores: Coordinadora: MsC. Zulima Ortiz Bayona. Docentes asistentes: Ing. Claudia Liliana Bucheli, María del Pilar
Bohorquez. Estudiantes coordinadores: Erika Tatiana Luque Melo, Jeffrey Steve Borbón Sanabria, Anthony Molina. Estudiantes investigadores:
Lina Rocio Infante, Diego Alfonso Barrios Contreras, Ivon Carolina Rodríguez Parra, Laura Patricia Ortiz Ortiz, Diego Iván Arango, Jorge
Eduardo Ibáñez Sepúlveda, Edwin Giovanny Gutierrez Ramírez, Jairo Andrés Gómez Monrroy, Rene Alejandro Rangel Segura, Alvaro
Hernando Talero Niño, Daniel Arturo Acosta, Camilo Andrés Alfonso Vargas, Mónica Patricia Basto Guevara, Wilmer Daniel Galvis, Saira
Carvajal, Diana Marcela Cotte Corredor, Luis Francisco Fontalvo Romero, Cristian Camilo Betancourt Lemus, Rodrigo Cruz Hernández, Julián
Bonilla M, Jorge Gamba V, Giulio Leonardo Aquite Pinzón, Nidia Marcela Corcovado B, Jorge Andrés Diab, Daniel Felipe Rentería Martínez
Página 110 de 188

GOBIERNO EN LÍNEA
Prestará el servicio de manejo de incidentes de seguridad informáticos, a través del análisis de

incidentes, respuesta a los incidentes en línea, soporte a la respuesta del incidente y la
coordinación de la respuesta del incidente.
2.2.2.3. Estructura
El grupo está compuesto por una coordinación, docentes asistentes, estudiantes coordinadores y
estudiantes investigadores.
Colombia
2.2.3. COMITÉ INTERAMERICANO CONTRA EL TERRORISMO DE LA OEA

(CICTE)
En junio de 2004 se llevó a cabo un taller para practicantes en materia de seguridad cibernética
del CICTE sobre la estrategia integral de seguridad cibernética de la OEA 47, y sirvió como marco
para establecer una Red Interamericana CSIRT de vigilancia y alerta.
Su objetivo era crear una red hemisférica de puntos nacionales de contacto entre equipos de
respuesta a incidentes de seguridad en computadoras (Computer Security Incident Response
Teams: CSIRT) con responsabilidad nacional (CSIRT nacionales), en los Estados Miembros de la
OEA, con el mandato y la capacidad de responder debida y rápidamente a las crisis, incidentes y
peligros relacionados con la seguridad cibernética.
Estos equipos podrían comenzar simplemente como puntos de contacto oficiales en cada uno de
los Estados y estarían a cargo de recibir información sobre seguridad cibernética. En el futuro se
convertirían en un CSIRT.
Reviste importancia creciente la colaboración mundial y la capacidad de respuesta en tiempo real

entre los equipos. Dicha colaboración debe permitir lo siguiente:
 El establecimiento de CSIRT en cada uno de los Estados Miembros
 El fortalecimiento de los CSIRT hemisféricos
 La identificación de los puntos de contacto nacionales
47
Tomado de: http://www.cicte.oas.org/Rev/en/Documents/OAS_GA/AG-RES.%202004%20(XXXIV-O-04)_SP.pdf. U.A: 2008/09/26.
Publicado por: Comité Interamericano Contra el Terrorismo de la OEA. Autor: No determinado.
Página 111 de 188

GOBIERNO EN LÍNEA
 La identificación de los servicios críticos
 El diagnóstico rápido y preciso del problema
 El establecimiento de protocolos y procedimientos para el intercambio de información
 La pronta diseminación regional de advertencias sobre ataques
 La pronta diseminación regional de advertencias sobre vulnerabilidades genéricas
 a difusión de un alerta regional sobre actividades sospechosas y la colaboración para analizar y

diagnosticar tales actividades
 El suministro de información sobre medidas para mitigar y remediar los ataques y amenazas
 La reducción de duplicaciones de análisis entre los equipos
 El fortalecimiento de la cooperación técnica y la capacitación en materia de seguridad

cibernética para establecer los CSIRTs nacionales
 La utilización de los mecanismos subregionales existentes.
En mayo de 2008 se llevó a cabo en la ciudad de Bogotá una capacitación en “Fundamentos para
creación y manejo de un CSIRT” organizada por la Secretaría del CICTE en coordinación con la
Cancillería y la Policía Nacional de Colombia (DIJIN), con la participación de representantes de
Bolivia, Chile, Ecuador, Paraguay, Perú, República Dominicana, y Colombia, con responsabilidades
técnicas y/o políticas relativas al desarrollo de su infraestructura nacional de seguridad cibernética,
incluida la creación y desarrollo de Computer Security Incident Response Teams (CSIRT).
2.3. EN RESUMEN
A modo de resumen de la revisión documental acerca de las iniciativas y experiencias de CSIRT

nacionales e internacionales y en concordancia con los comentarios recibidos de la firma Suárez
Beltrán & Asociados por medio del Programa Gobierno en Línea, se identifica una tipificación de
los CSIRT acorde con sus estructuras, objetivos y funciones.
2.3.1. CSIRTs PÚBLICOS
El carácter público de los CSIRT suelen ser los responsables por la seguridad de la información
para las entidades gubernamentales, enfocándose en servir como punto único y de coordinación
para el manejo de incidentes de la información relacionados con las infraestructuras críticas
nacionales. Así mismo, son responsables por la definición de estándares y buenas prácticas e
impulsan la formación y difusión del conocimiento en temas de seguridad de la información. Se
Página 112 de 188

GOBIERNO EN LÍNEA
identifican dos tipos de estructuras: Unidades públicas independientes o unidades de negocio

dependientes de entidades existentes.
 Unidades públicas independientes: Tiene su área de influencia limitada al país y a las entidades
públicas, pero cuentan con plena autoridad para impulsar medidas y tomar acciones
preventivas a lo largo de los sectores económicos y administrativos. Dentro de los beneficios
de contar con un CSIRT dentro de la estructura del gobierno se pueden considerar el permitir
identificar un punto único de contacto central, así como la capacidad de tener un equipo capaz
de instrumentar y conducir una rápida respuesta para contener un incidente de seguridad de la
información que pueda poner en riesgo la infraestructura crítica nacional.
 Unidades de negocio dependientes de entidades existentes. Estas dependencias suelen estar

asociadas a las áreas de inteligencia, sector de las comunicaciones, la ciencia y tecnología,
directamente vinculadas a gabinetes de gobierno o a las entidades policiales o militares.
Suelen tener autoridad compartida con otras instancias para el manejo del incidente
informático.
2.3.2. CSIRTs PRIVADOS
 Organismos consultivos sin ánimo de lucro: Despliegan gran parte de sus servicios y
actividades a favor de sus miembros inscritos, quienes pagan una suma por la afiliación para el
mantenimiento de la estructura del CSIRT. Tiene un papel consultivo y no tiene ninguna
autoridad para ordenar o realizar tareas por parte de sus miembros o el área de influencia. Son
fuentes generalizadas de buenas prácticas, documentos técnicas compartidos con la
comunidad y creación de estándares de mercado. De igual forma, promueven foros para la
creación y difusión de conocimiento técnico.
 Organismo con ánimo de lucro: Identificados como proveedores, el mercado ofrece los
servicios de los CSIRT a través de varias alternativas:
o Centros de Análisis, que se concentran en la agrupación y análisis de datos desde varias

fuentes para determinar las tendencias y patrones en la actividad de incidentes.
o Equipos de Proveedores, que manejen informes de vulnerabilidades en sus productos de

software o hardware.
o Proveedores de Respuesta a Incidentes, que ofrecen servicios de manejo de incidentes

para otras organizaciones.
No tienen ningún tipo de autoridad para la mitigación o tratamiento en los incidentes

informáticos.
 Iniciativas Académicas: Bajo este esquema universitario, se generan equipos con énfasis en la
investigación y el análisis de la seguridad informática. Se elaboran publicaciones, foros y
talleres, cursos de capacitación y boletines periódicos.
Página 113 de 188

GOBIERNO EN LÍNEA
2.3.3. CSIRTs INTERNOS
Estos equipos sólo responden a las necesidades de las organizaciones privadas a las que
pertenecen, imparte instrucciones, políticas y reglas de aplicación. Su principal actividad es la
gestión de incidentes en sus propias entidades.
2.3.4. CSIRTs DE COORDINACIÓN
Estas organizaciones coordinan y facilitan el manejo de incidentes de seguridad de la informaciñon

con el apoyo de todas las entidades relacionadas con el tema a nivel nacional y a través de varios
CSIRTs nacionales e internacionales.
2.3.5. ESQUEMA ASOCIATIVO ENTRE EL SECTOR PÚBLICO Y EL PRIVADO
Esta alianza se organiza con el fin de proteger la infraestructura de internet del país, ante ataques
que pongan en juego su seguridad de la información, beneficiándose del patrocinio económico del
sector privado.
Página 114 de 188

GOBIERNO EN LÍNEA
3. DEFINICIÓN DE LA ORGANIZACIÓN CSIRT PARA

COLOMBIA
3.1. TIPO DE ENTIDAD
Iniciando el proceso de definición y diseño de un CSIRT48 en Colombia, es muy importante tener

en cuenta la naturaleza del programa Gobierno en Línea en el cual se enmarca este proyecto.
El CSIRT entra a apoyar el modelo de Seguridad de la Información definido para el programa

Gobierno en Línea, facilitando la rápida y efectiva acción para el manejo estratégico de incidentes
de seguridad de la información, e interactuando con el Grupo Técnico de Apoyo que tiene entre
sus responsabilidades los estudios técnicos y el soporte técnico - jurídico para la preparación de
los documentos, políticas, objetivos de control y controles recomendados que son avalados por la
Comisión. Asesora a las entidades en su implementación, certifica su cumplimiento y proporciona
apoyo técnico y jurídico para la operatividad del modelo.
48
CSIRT: Computer Security Incident Response Team (Equipo de Respuesta a Incidentes de Seguridad
Computacional)
Página 115 de 188

GOBIERNO EN LÍNEA
Ilustración 3: Modelo Detallado del Sistema Administrativo Nacional de Seguridad de la

Información
Si bien es cierto que en el marco de este proyecto, el CSIRT que se constituya se orientará a los
aspectos de seguridad de la información para la Estrategia de Gobierno en Línea, con el ánimo de
hacerlo auto sostenible en el tiempo, es necesario considerar un amplio portafolio de servicios
orientados tanto al sector público como privado, para lo cual se han considerado 3 alternativas de
tipo de entidad, cada una con ventajas y desventajas respectivamente:
Ventajas Consideradas:
MODELO 1 MODELO 2 MODELO 3

(Como Dirección del (Como Asociación Pública (Como Asociación con
Ministerio de sin ánimo de lucro) Participación Mixta)
Comunicaciones)
Está sometida al control fiscal y Está sometida al control fiscal Foco de la entidad en el objeto
social que verifica que los fondos y social que verifica que los misional del CSIRT.
públicos sean utilizados de fondos públicos sean
acuerdo con la Ley y la eficiencia utilizados de acuerdo con la
administrativa - competitividad. Ley y la eficiencia
Brinda mayor transparencia a su administrativa -
operación. competitividad. Brinda mayor
transparencia a su operación.
Página 116 de 188

GOBIERNO EN LÍNEA

Comunicaciones)
No pueden suspender sus No pueden suspender sus Mayor credibilidad por parte de la
funciones por voluntad de las funciones por voluntad de las comunidad.
personas que están a su cargo. personas que están a su
Los órganos de la administración cargo. Los órganos de la
y los servicios que se han administración y los servicios
establecido deben continuar que se han establecido deben
mientras la Ley no autorice la continuar mientras la Ley no
suspensión o supresión de ellos, autorice la suspensión o
con lo cual se garantiza la supresión de ellos, con lo cual
continuidad del servicio. se garantiza la continuidad del
servicio.
Los resultados de un Los resultados de un Menor costo de operación ya que se
establecimiento público no se establecimiento público no se puede transferir a las empresas
miden en términos de utilidades miden en términos de privadas
o ganancias que se reparten en utilidades o ganancias que se
beneficio de particulares sino por reparten en beneficio de
el grado de eficiencia del servicio particulares sino por el grado
que se le lleva a la comunidad y de eficiencia del servicio que
la seguridad es un tema de alto se le lleva a la comunidad y la
impacto en el que todas las seguridad es un tema de alto
entidades deben involucrarse. impacto en el que todas las
entidades deben involucrarse.
Toma de decisiones depende de La adopción de decisiones se La adopción de decisiones se hace de
un único actor hace de manera coordinada, manera coordinada por cuanto ellas
por cuanto ellas suponen un suponen un ejercicio colegiado, y
ejercicio colegiado, y opera opera según lo que el acto constitutivo
según lo que el acto establezca.
constitutivo establezca.
Foco de la entidad en el
objeto misional del CSIRT.
Estructuración a través de Régimen Laboral de derecho Régimen Laboral de derecho privado,
decreto lo cual permite contar privado, salvo a los Directivos salvo a los Directivos y Ordenadores de
con un CSIRT rápidamente. y Ordenadores de Gasto, lo Gasto, lo cual permite mejorar la
cual permite mejorar la escala escala de remuneración.
de remuneración.
Desventajas Consideradas:

Comunicaciones)
En la comunidad Colombiana Se debe entrar a negociar la Se debe entrar a negociar la
existe una baja confianza en la participación de los participación de los integrantes de la
Página 117 de 188

GOBIERNO EN LÍNEA

Comunicaciones)
efectividad de las instituciones integrantes de la sociedad. sociedad.
públicas.
El CSIRT no tendría jerarquía
como centro de respuesta.
Limitado a la burocracia del
Ministerio.
La constitución y los actos de una Régimen legal mixto. Régimen legal mixto.
entidad pública se rigen por leyes
y decretos de función pública.
Todos sus actos son
reglamentados y están
encaminados a la prestación de
servicios de interés general para
la sociedad, sin embargo esto
puede hacer más lenta su
operación.
Ausencia de personal
especializado para cubrir los
frentes de trabajo del C-SIRT,
aunque podría acudirse a
contrataciones de prestación de
servicios.
La constitución de la La constitución de la asociación
asociación supone la supone la elaboración de actos de
elaboración de actos de constitución que se deben concertar
constitución que se deben con cada uno de los miembros, lo cual
concertar con cada uno de los toma tiempo.
miembros, lo cual toma
tiempo.
Sujeción a las reglas de Sujeción a las reglas de
ejecución presupuestal. Rigidez y ejecución presupuestal.
problemas operativos. Rigidez y problemas
operativos.
La seguridad de la información nacional es un punto crítico del Estado y se convierte en soporte

básico para la seguridad nacional, siendo la seguridad nacional y la seguridad de su infraestructura
crítica una responsabilidad del mismo Estado, que no puede dejarse en manos de particulares. Por
esta razón, se recomienda el establecimiento de una Asociación de carácter público sin ánimo de
lucro, adscrita al Ministerio de Comunicaciones, que favorezca los intereses de seguridad nacional
sobre intereses particulares y que garantice la transparente e igualitaria gestión de sus servicios.
La composición de esta sociedad puede establecerse con la participación del Ministerio de
Comunicaciones (50%), los entes policivos (DAS, Policía, Fiscalía con el 25%) y la academia
(25%), representada por el Instituto Colombiano para el Desarrollo de la Ciencia y la Tecnología,
‘Francisco José de Caldas’, COLCIENCIAS (ahora constituido como Departamento Administrativo).
Página 118 de 188

GOBIERNO EN LÍNEA
Algunas de las ventajas de contar con un CSIRT como entidad pública son:
 Velar con prioridad por la seguridad de la información de la infraestructura crítica nacional.
 Contar con un adecuado, seguro, transparente e igualitario manejo de la información

confidencial de cada organización cuando se presente un incidente de seguridad de la
información.
 Contar con un grupo de personal especializado, certificado y entrenado en aspectos técnicos a

los cuales muchas entidades públicas no tendrían acceso de manera individual.
 Establecer canales y acuerdos de intercambio de información de manera oficial con otros

CSIRT de carácter gubernamental, policivo y privado así como con organizaciones que agrupan
equipos de seguridad de la información a nivel internacional (por ejemplo, el FIRST y la Red
Interamericana de Respuesta a Incidentes de Seguridad Cibernética de la Organización de
Estados Americanos).
3.2. RELACIÓN CON LAS ENTIDADES
El CSIRT entra a apoyar el Modelo de Seguridad de la Información definido para la Estrategia de

Gobierno en Línea y como tal, su relación con las entidades corresponderá a la definida en el
Sistema Administrativo Nacional de Seguridad de la Información (ver documento “Modelo
Seguridad - SANSI –SGSI.doc”, numeral 3 –Estructura Institucional). Así mismo, en el capítulo de
definición de los Procesos y Procedimientos, en el numeral 5, se detallará la relación con las
diferentes entidades.
3.3. MISIÓN
El CSIRT es el órgano técnico que lidera y coordina los procesos de aseguramiento de la

información en el ámbito Colombiano, para prevenir, detectar, proteger y reaccionar frente a
amenazas, vulnerabilidades e incidentes de seguridad de la información, a usuarios en entidades
públicas y privadas, mediante apoyo tecnológico, entrenamiento y generación de una cultura e
higiene para el manejo adecuado de la seguridad de la información.
3.4. VISIÓN
El CSIRT se consolidará como referente a nivel regional en temas de prevención, detección,

coordinación y respuesta a incidentes de seguridad de la información buscando el mejoramiento
continuo y coordinando el trabajo de grupos de apoyo nacionales e internacionales.
Página 119 de 188

GOBIERNO EN LÍNEA
3.5. OBJETIVOS ESTRATÉGICOS
Perspectiva Objetivos Estratégicos Definición
Brindar apoyo a las entidades públicas y

privadas para la prevención, rápida
detección, identificación, manejo,
Brindar apoyo para optimizar la
coordinación y recuperación frente a
seguridad de la información en las
incidentes relacionados con la seguridad de
entidades públicas y privadas.
la información, proporcionando servicios
SEGURIDAD DE preventivos y reactivos frente a las amenazas
LA y vulnerabilidades potenciales.
INFORMACIÓN
NACIONAL Consolidar actuaciones que posicionen al
CSIRT Colombia, de acuerdo con su objeto
misional a nivel nacional, así como reforzar la
Consolidar la marca CSIRT Colombia,
nueva marca y la creación de una cultura de
con base en la credibilidad de los
Empresa a la sociedad en general,
usuarios.
fundamentado en la credibilidad generada en
la población objetivo, por los resultados
obtenidos.
Ofrecer productos y servicios que garanticen
FINANCIERA Ser una entidad auto sostenible.
la auto sostenibilidad de la organización.
Hacer de manera correcta los procesos
PROCESOS Lograr la cultura, excelencia internos y hacer que estos se traduzcan en
INTERNOS operacional y la competitividad. mejores resultados en la satisfacción de
clientes y estados financieros.
Identificar, registrar y administrar el
conocimiento esencial con el cual se dará un
Gestionar el Conocimiento.
eficiente y eficaz cumplimiento a las ideas
rectoras del CSIRT.
APRENDIZAJE Y
CRECIMIENTO Contar con el mejor Talento Humano en
técnicas de seguridad de la información,
Tener el Mejor Talento Humano. personal profesional con certificaciones y/o
especializaciones en seguridad de la
información.
3.6. OBJETIVOS ESPECÍFICOS
 Impulsar la cooperación e interactuar con organismos nacionales e internacionales de similar

naturaleza y propósito, con entidades públicas, privadas, la academia y las instituciones
policivas generando un espacio de trabajo conjunto frente a las amenazas e investigaciones y
redes de apoyo temáticas en materia de seguridad de la información.
 Proporcionar alertas tempranas frente a amenazas de la seguridad de la información que

puedan desestabilizar la seguridad nacional relacionada con la información.
Página 120 de 188

GOBIERNO EN LÍNEA
 Fomentar la investigación y desarrollo de estrategias de seguridad de la información.
 Brindar una adecuada respuesta a incidentes de seguridad de la información, con un enfoque

metodológico.
 Fomentar una conciencia nacional de seguridad de la información.
 Proveer un servicio especializado de asesoramiento en seguridad de la información.
Por defecto, todos los usuarios de información en Colombia, tanto personas jurídicas como
naturales, entidades públicas o privadas, podrán ser apoyados por el CSIRT.
Página 121 de 188

GOBIERNO EN LÍNEA
4. PORTAFOLIO DE SERVICIOS
Para el CSIRT, la adecuada selección de servicios se convierte en una decisión relevante para su
definición, fortalecimiento, sostenimiento y continuidad. A continuación, se presenta una
recopilación de los principales tipos de servicios que podría llegar a ofrecer el CSIRT partiendo de
la experiencia de otros CSIRT a nivel mundial. De manera general, los posibles servicios se
agrupan así:
Gestión de la Seguridad de la
Servicios Preventivos Servicios Reactivos
información
 Comunicados  Tratamiento de incidentes  Consultoría de seguridad
 Análisis de riesgos  Análisis de incidentes  Publicaciones
 Observatorio de tecnología  Recopilación de pruebas  Sensibilización
 Planificación de la forenses  Prensa
continuidad del negocio y  Seguimiento o rastreo  Educación / Formación
recuperación tras un  Coordinación de la respuesta a  Formación Comunitaria
desastre incidentes  Evaluación y graduación de
 Evaluaciones de la  Apoyo a la respuesta a Entidades
seguridad incidentes  Evaluación y graduación de
 Auditorías de la seguridad  Coordinación del Manejo de Establecimientos.
 Alertas y advertencias evidencias  Alquiler de Software
 Configuración y  Respuesta a incidentes in situ  Alquiler equipos forenses
mantenimiento de la  Centro de interacción
seguridad multimedia.
 Desarrollo de  Estandarización pliegos de
herramientas de seguridad seguridad informática para el
 Difusión de información sector gobierno.
relacionada con la
seguridad
Es importante anotar que a pesar que todos los servicios ofrecidos serán responsabilidad y
experticia del CSIRT, su labor principal será la de coordinación de todas las acciones y entidades
involucradas en el manejo de incidentes de la información a nivel nacional y el desarrollo de estas
actividades será objeto de tercerización, buscando el beneficio de las mejores experiencias y
conocimientos a nivel nacional e internacional. En este sentido, ejercerá las funciones de
coordinador de otros CSIRT nacionales o internacionales, las entidades públicas y privadas
involucradas en los incidentes de seguridad de la información, los proveedores de servicios
relacionados con la seguridad de la información, los proveedores de hardware y software y la
academia. En particular con los entes policivos, su responsabilidad llegará hasta la entrega de los
Página 122 de 188

GOBIERNO EN LÍNEA
casos y sus insumos correspondientes para su posterior judicialización. A continuación, se detalla

cada uno de los servicios que puede brindar con el apoyo de las entidades coordinadas.
4.1. SERVICIOS PREVENTIVOS
Aquellos servicios que proveen asistencia y atención para ayudar a preparar, proteger y asegurar
un componente de sistema en anticipación a futuros ataques, problemas o eventos. Llevar a cabo
este tipo de servicios reducirá directamente el número de incidentes en el futuro.
 Comunicados: Este servicio busca informar de manera proactiva a sus clientes, nuevas
vulnerabilidades o herramientas de intrusión recientemente detectadas. Estos comunicados
tales como: alertas de intrusos, advertencias de vulnerabilidad y avisos sobre seguridad,
permiten proteger sistemas y redes de nuevos problemas antes de que éstos se presenten.
 Análisis de riesgos: Este servicio busca diagnosticar y evaluar los posibles riesgos sobre los
activos críticos relacionados con la información, para mejorar así o determinar las estrategias
de protección y respuesta.
 Observatorio de la tecnología: Busca que a través del análisis al entorno de su injerencia, el

CSIRT observe y haga seguimiento a nuevos desarrollos técnicos, actividades de intrusos y
tendencias en identificación de futuras amenazas. Lo cual podrá incluir las disposiciones
jurídicas y legislativas, las amenazas sociales o políticas y las nuevas tecnologías. Todo lo
anterior se deberá desarrollar mediante diferentes actividades tales como: lectura de listas de
correo de seguridad, sitios web de seguridad y noticias y artículos periodísticos de carácter
científico, tecnológico, político y público, con lo cual se logrará una buena retroalimentación en
información relacionada con la seguridad de los sistemas y las redes de los clientes.
Adicionalmente y con el objeto de obtener y validar la información e interpretación exacta, se
deberán buscar alianzas o conexiones con otros CSIRT o partes consideradas autoridades en
este ámbito. El producto de este servicio podrá materializarse a través de comunicados,
directrices o unas recomendaciones centradas en las cuestiones de seguridad a medio o largo
plazo.
 Planificación de la continuidad de los negocios y la recuperación tras un desastre: Teniendo en

cuenta que cada vez serán más los incidentes potenciales que provoquen una degradación
grave de las operaciones comerciales, se ofrece este servicio que permite aprovechar el
conocimiento y experiencia del CSIRT, para la planificación de la continuidad de negocio y la
recuperación tras un desastre en los eventos relacionados con los ataques y las amenazas a la
 Evaluaciones de la seguridad: Estudio y evaluación de la infraestructura de seguridad de una

organización, basados en los requisitos establecidos por ésta o por otras normas nacionales o
internacionales aplicables. Existen varios tipos entre las que se destacan:
 Revisión de las infraestructuras: Con el fin de asegurar las políticas de mejores prácticas y las
configuraciones estándar de la organización o de la industria, se revisan manualmente todos
los dispositivos informáticos que intervengan o prevengan un incidente informático, entre los
Página 123 de 188

GOBIERNO EN LÍNEA
que se destacan de manera general el hardware, software, enrutadores, cortafuegos,

servidores, etc.
 Revisión de las mejores prácticas: Con el objeto de determinar si las prácticas de seguridad se
adaptan a la política establecidas y definida por la organización u otras normas establecidas, se
realizaran entrevistas con los empleados y con los administradores del sistema y de la red.
 Escaneo: Uso de detectores de vulnerabilidades o de virus para averiguar qué sistemas y redes
son vulnerables.
 Pruebas de penetración: Con esta evaluación o auditoria se busca comprobar la seguridad de

un sitio a través de un ataque deliberado a sus sistemas y redes.
 Auditorías de la seguridad: Las auditorías de seguridad pueden ser técnicas, que se centran en
los riesgos existentes en los sistemas de información de la organización y en la calidad técnica
de las medidas de protección introducidas, y no técnicas o procedimentales, que estudian el
cumplimiento efectivo de la Política de Seguridad de la organización y de sus procedimientos.
 Alertas y advertencias: Servicio que difunde información, por medio de la cual se describe el
ataque de un intruso, vulnerabilidades de seguridad, alertas de intrusos, virus informáticos o
hoaxes49, etc. Este a su vez recomienda, acciones a corto plazo para la atención o solución a
problemas consecuentes.
 Configuración y mantenimiento de herramientas, aplicaciones, infraestructuras y servicios de

seguridad: Este servicio, tiene como objeto principal la identificación y orientación para
configurar y mantener de un modo seguro las herramientas, las aplicaciones y la
infraestructura informática general que usan los clientes atendidos por el CSIRT. El alcance a
este servicio será cualquier cuestión o problema que surja con las configuraciones o con el uso
de herramientas y aplicaciones que el CSIRT considere podría dejar a un sistema, vulnerable a
un ataque. Dentro de este servicio, se podrá actualizar la configuración y realizar el
mantenimiento de herramientas y servicios de seguridad, como los sistemas de detección de
intrusos, el escaneo de la red o el control de los sistemas, filtros, cortafuegos, redes privadas
virtuales (VPN) y mecanismos de autenticación. Incluso se podrá configurar los servidores, los
ordenadores personales y portátiles, los asistentes digitales personales (PDA) y otros
dispositivos inalámbricos de acuerdo con las políticas de seguridad, así como encargarse de su
propio mantenimiento.
 Desarrollo de herramientas de seguridad: Este servicio ofrece desarrollar herramientas

específicas para necesidades particulares o generales de sus clientes o propias del CSIRT.
Como por ejemplo, desarrollo de actualizaciones correctivas de seguridad para el software
utilizado por el grupo de clientes o la distribución de software protegido que se pueda utilizar
para reconstruir ordenadores comprometidos. Así mismo se podrá desarrollar herramientas o
secuencias de comandos que amplíen la funcionalidad de las herramientas de seguridad
49
Mensajes de correo electrónico engañosos que se distribuyen en cadena.
Página 124 de 188

GOBIERNO EN LÍNEA
existentes, tales como un nuevo plug-in para una vulnerabilidad o escáner de red, secuencias
de comandos que faciliten el uso de la tecnología de encripción o mecanismos de distribución
automática de actualizaciones correctivas.
 Difusión de información relacionada con la seguridad: Servicio que proporciona de manera fácil
y completa, información útil para mejorar la seguridad. Dicha información puede incluir:
o Directrices de comunicación e información de contacto del CSIRT
o Ficheros de alertas, advertencias y otros comunicados
o Estadísticas y tendencias actuales de los incidentes de seguridad de la información.
o Recolección, análisis y publicación de estadísticas de seguridad de la información para

Colombia por medio de redes de investigación abiertas.
o Asesoramiento general sobre seguridad de la información
o Documentación acerca de las mejores prácticas actuales
o Políticas, procedimientos y listas de comprobación
o Desarrollo de actualizaciones correctivas y difusión de información
o Enlaces con proveedores
o Otras informaciones que puedan mejorar las prácticas generales de seguridad.
Esta información podrá proceder de fuentes externas tales como otros CSIRT, proveedores,
y expertos en seguridad.
4.2. SERVICIOS REACTIVOS
Aquellos servicios que se provocan o se desencadenan por un evento o requerimiento. Este tipo de
servicios, son un componente clave para un trabajo de atención de incidentes.
 Tratamiento de incidentes: Servicio que abarca la recepción, evaluación, priorización y

respuesta a peticiones y comunicaciones, así mismo al análisis de incidentes y
acontecimientos. Las actividades de respuestas pueden ser entre otras las siguientes:
o Actuaciones para proteger sistemas y redes afectadas o amenazadas por la actividad de

intrusos.
Página 125 de 188

GOBIERNO EN LÍNEA
o Aportación de soluciones y estrategias de mitigación a partir de avisos o alertas.
o Reconstrucción de sistemas.
o Filtrado del tráfico de la red.
o Búsqueda de actividad de intrusos en otras partes de la red.
o Corrección o reparación de sistemas.
o Desarrollo de otras estrategias de respuesta o provisionales.
 Análisis de Incidentes: Este servicio busca definir el alcance del daño e incidentes causados, su
naturaleza, así como también la estrategia definitiva o temporal de respuesta. Este análisis es
un examen general de la información disponible y de las pruebas o instancias relacionadas con
un incidente o evento. Existen muchos niveles de análisis de incidentes y numerosos
subservicios, que dependen del servicio mismo, objetivos y procesos del CSIRT. A continuación
se detallan dos subservicios.
o Recopilación de pruebas forenses: Acción que incluye la recolección, la conservación, la

documentación y análisis de las pruebas procedentes de un sistema informático
comprometido, para determinar cambios en el sistema y ayudar a reconstruir los
eventos que han desembocado en el compromiso. Las actividades de recopilación de
pruebas forenses incluyen, entre otras cosas, la realización de una copia bit a bit del
disco duro de los sistemas afectados, la búsqueda de cambios en el sistema, tales
como nuevos programas, archivos, servicios y usuarios, el examen de los procesos en
ejecución y los puertos abiertos, y la búsqueda de troyanos y juegos de herramientas.
Es usual que las personas que tengan a cargo este tipo de responsabilidades, declaren
como testigos periciales en actos judiciales.
o Seguimiento o rastreo: Busca rastrear los orígenes de un intruso o identificar sistemas

a los que éste haya tenido acceso. Con este servicio además de incluir la identificación
del intruso, se podrá en los sistemas afectados y redes relacionadas, incluir el
seguimiento al acceso del intruso.
 Coordinación de la respuesta a incidentes: Servicio que busca coordinar tareas de respuesta

entre las partes implicadas en el incidente. Dentro de estos se incluye, la víctima del ataque,
los sitios relacionados con el ataque y cualquier otro sitio necesario de asistencia para el
análisis del ataque. Este se hace extensivo inclusive, aquellas áreas de soporte (IT) de la
víctima, tales como proveedores de servicio de internet, administradores de sistema y la red,
así como también a otros CSIRT. La recolección de información sobre contactos, la notificación
a los sitios de su implicación potencial (como víctimas o como orígenes de un ataque), la
recolección de datos estadísticos sobre el número de sitios implicados y tareas dirigidas a
facilitar el intercambio y el análisis de la información, así como el reporte del incidente a
Página 126 de 188

GOBIERNO EN LÍNEA
departamentos internos o externos, serán entre otras las tareas de coordinación que pueden
abarcar este servicio. Este no incluye una respuesta a los incidentes directa e in situ.
 Apoyo respuesta a incidentes: Servicio proporcionado a través de orientación remota, para que
el personal in situ realice por si mismo las tareas de recuperación. La función del CSIRT será la
de orientar y ayudar al grupo víctima del ataque, a recuperarse del incidente, pero lo hará por
medios telefónicos, correo electrónico fax o documentación. Dentro del servicio se podrá
incluir, entre otros, la interpretación de los datos recogidos, la entrega de información sobre
contactos o la orientación en cuanto a estrategias de mitigación y recuperación.
 Coordinación del Manejo de evidencias: Con fines policivos, se coordina la labor de recopilación
y manejo de evidencias en casos de incidentes de la información, con el fin de garantizar el
debido proceso en el manejo de evidencias digitales (Servicios Forenses).
 Respuesta a incidentes in situ: Asistencia directa, que busca ayudar a los clientes del grupo
atendido a recuperarse de un incidente. El CSIRT se encargara de analizar físicamente los
sistemas afectados, repararlos y recuperarlos, en especial en aquellos casos que no exista un
equipo local respondiendo al incidente. Para sospecha de incidente, el servicio incluye todas las
actividades necesarias para su corrección o mitigación.
4.3. GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Son servicios establecidos y muy conocidos, diseñados para mejorar la seguridad general de una
organización. Estos servicios están diseñados para tener en cuenta los comentarios recibidos y las
lecciones aprendidas basándose en los conocimientos adquiridos al responder a incidentes,
vulnerabilidades y ataques. Lo anterior hace que se oferten productos que permitan a terceros
ayudar a mejorar toda la seguridad de una organización, identificar riesgos, amenazas y
debilidades del sistema. Son servicios generalmente no técnicos pero preventivos en naturaleza,
contribuyendo indirectamente a la reducción en el número de incidentes.
 Consultoría sobre seguridad: Este servicio busca asesorar y orientar, a los grupos de clientes
atendidos en las mejores prácticas de seguridad. Por lo cual el CSIRT participará en las
recomendaciones o identificación de requisitos de compra, instalación o protección de nuevos
sistemas, aplicaciones de software, dispositivos de red entre otros. Así mismo se ofrece
asistencia y orientación en la definición de políticas de seguridad.
 Publicaciones: Se busca elaborar y distribuir folletos que expliquen de manera simple, las
diferentes amenazas, acciones preventivas y correctivas para el tratamiento de riesgos
informáticos. Estas publicaciones podrán tener adjuntos Discos Compactos de libre uso
doméstico de herramientas de seguridad y de control parental 50.
50
Programas (software) que tienen la capacidad de bloquear, restringir o filtrar el acceso a determinada información
ofensiva para los niños o personas susceptibles.
Página 127 de 188

GOBIERNO EN LÍNEA
 Sensibilización: Buscando que los grupos de clientes atendidos y/o potenciales, desarrollen sus
labores cotidianas de manera más segura, así como también de mejorar el grado de
entendimiento de las temáticas relacionadas con seguridad, se ofrece un servicio que intenta
reducir el número de ataques con éxito y aumentar la probabilidad de que se detecten y
comuniquen ataques. Lo anterior, por medio de la sensibilización de incidentes de seguridad de
la información a través de artículos y desarrollando pósteres, boletines, sitios web u otros
recursos informativos que explican las mejores prácticas en seguridad y consejos sobre las
precauciones que conviene tomar. Durante este proceso de sensibilización también se incluye
reuniones o seminarios de actualización.
 Prensa: Participar en emisiones periódicas en los principales medios nacionales, creando así un
posicionamiento del CSIRT.
 Educación / Formación: Este servicio busca capacitar tanto a primer respondiente en las
entidades, como a los grupos de clientes atendidos y/o potenciales, entre otros temas en la
comunicación de incidentes, métodos de respuesta adecuados, herramientas de respuesta a
incidentes, métodos de prevención de incidentes y otras temáticas necesarias para protegerse
de incidentes de seguridad de la información, detectarlos, comunicarlos y responder a ellos. El
servicio podrá ofrecerse a través de seminarios, talleres, cursos y/o tutoriales. Incluso podrá
crearse diplomados especializados en seguridad. Teniendo en cuenta la importancia de la
seguridad de la información dentro de cualquier organización, su amplio campo de acción
laboral y el incremento a la demanda de personal capacitado, se pueden crear y ofrecer con
colaboración de la academia programas de capacitación. Estos servicios se enfocarán y
desarrollarán teniendo en cuenta las necesidades propias de cada uno de los sectores públicos
y privados, sin embargo este servicio será cobrado únicamente al sector privado.
 Formación Comunitaria: Este servicio podría enfocarse y ofrecerse a la sociedad en general y

específicamente a la familia a través de entidades estatales que lo promuevan. El objeto
principal será la de explicar de manera didáctica en especial a los niños, los riesgos y reglas
básicas de la protección, en diferentes temas que afecten su vida cotidiana. Este servicio busca
inculcar a edades tempranas una cultura de protección y mitigación de cualquier tipo de
riesgo, incluidos los informáticos. Lo anterior podrá ser ofrecido a través de concursos,
historietas, obras de teatro, juegos pedagógicos, etc.
 Graduación y certificación: El CSIRT valorará el grado al cual las entidades se nivelen dentro
del Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea: RSI Grado
1, Grado 2 y Grado 3, siendo el RSI Grado 1 el más básico y el RSI Grado 3 el más avanzado.
Lo anterior, se realizará inicialmente en las entidades a través de una auto-evaluación de
diferentes criterios (ver documento “Modelo Seguridad - SANSI –SGSI.doc”, capítulo 6.11),
para el cual, el CSIRT generará un registro del grado que será otorgado a las entidades y
establecimientos como sello de operación y facilitará a los usuarios identificar que
establecimientos son seguros para realizar sus trámites electrónicos.
De la misma forma, el SANSI a través del CSIRT podrá facultar a terceros para que actúen
como empresas certificadoras basándose en sus competencias, conocimiento, características
técnicas, de infraestructura y know how en torno a la seguridad de la información, para que
certifiquen de manera directa, a las entidades públicas y privadas que cumplan con el Modelo
Página 128 de 188

GOBIERNO EN LÍNEA
de Seguridad de la Información para la Estrategia de Gobierno en Línea. Lo anterior se

realizará a través de una marca de certificación para el Modelo de Seguridad, la cual será
validada nacionalmente como un sello de seguridad en la información a las empresas
premiadas, esto actuará como un incentivo para fomentar la participación de las entidades en
el Modelo de Seguridad y la ventaja competitiva entre entidades. A continuación, se detallan
los tipos de certificación otorgadas por los terceros facultados:
o Certificación de entidades: Certificación otorgada a las entidades públicas y privadas

que cumplan con los requerimientos plasmados en el Modelo de Seguridad de la
Información para la Estrategia de Gobierno en Línea, evidenciando el mejoramiento y
evolución de su sistema de gestión en seguridad de la información SGSI. Esta
certificación se otorga teniendo en cuenta los siguientes criterios:
 La certificación es renovada anualmente.
 La certificación provee un sello que puede ser usado tanto en la página web de
la Entidad como en las firmas de sus empleados.
 La certificación no es renovada cuando la Entidad no evidencie el mejoramiento

de su sistema de gestión en seguridad de la información SGSI o cuando una
auditoría encuentre no conformidades mayores con el Modelo.
o Certificación de establecimientos: Otorgada a los establecimientos que pertenezcan a la

cadena de prestación de servicios para la Estrategia de Gobierno en Línea (ISP,
Telecentros, Compartel, centros de acceso comunitario, cafés Internet, entre otros),
que cumplan con los requerimientos plasmados en el Modelo de Seguridad de la
Información para la Estrategia de Gobierno en Línea, evidenciando la implementación
de sus controles y recomendaciones. Estas certificaciones se otorgan con los siguientes
periodos de renovación para los establecimientos:
 Certificación renovada anualmente para los ISP.
 Certificación renovada bi-anualmente para los Telecentros, Compartels y centros

de acceso comunitario.
 Certificación renovada tri-anualmente para los cafés internet / otros.
 Alquiler de Software: Este servicio permite que el CSIRT, tenga la posibilidad de cobrar el uso
de sus licencias de software de seguridad de la información (por internet), a través del pago
de una cuota periódica. Entre las ventajas para el cliente, están entre otras dedicar el dinero
que destinaría a las licencias y al proyecto, a su actividad principal, ahorro de costos, reducir el
riesgo de obsolescencia del software, libertad de continuidad en caso de que el software no
cumpla con las expectativas, etc.
Página 129 de 188

GOBIERNO EN LÍNEA
 Alquiler de Equipo Forense: Permite al CSIRT la generación de ingresos provenientes de la

plataforma instalada y su óptimo aprovechamiento.
 Centro de interacción multimedia: Línea de atención a nivel de seguridad, que tendrá como
función, facilitar la comunicación entre el CSIRT y los clientes a través de cualquier medio
interactivo (Ej, internet, chat, teléfono, SMS, etc), permitiendo que estos últimos contacten o
sean contactados para solución de problemas e inquietudes de seguridad de la información.
Este servicio será fuente de información que podrá materializarse en estadísticas y diseño de
nuevos servicios.
 Estandarización de pliegos de seguridad de la información del sector gobierno: Con el objeto

de apoyar la contratación pública, y dar un acompañamiento a las interventorías de seguridad
de la información, el CSIRT con su experiencia normalizara parámetros que permitan a las
entidades del Gobierno, de acuerdo con sus necesidades de seguridad de la información,
realizar contrataciones públicas con estándares mínimos exigibles para cada caso.
4.4. CARACTERÍSTICAS DE LOS SERVICIOS
Todos los servicios propuestos serán responsabilidad del CSIRT, sin embargo algunos de ellos
tendrán la posibilidad de ser ofrecidos por firmas externas (terceros) que tengan la competencia
necesaria, para soportar las actividades del CSIRT. Todas las compañías públicas y privadas que
usen servicios del CSIRT, deberán estar matriculados por medio de una membrecía periódica
pagada, la cual le otorga el uso de algunos de esos servicios que se incluyen en el valor de la
membrecía. Existen otros servicios que se excluyen de esta membrecía y deberán ser pagados de
manera independiente, así como algunos servicios que se ofrecen gratuitamente. A continuación
se resumen los servicios de acuerdo con lo anterior.
Del total de servicios ofrecidos, solo el 32% serán ejecutados directamente por el CSIRT, el 68%
restante serán responsabilidad de este mismo, pero ejecutados por Terceros. Así mismo el 94% de
los servicios ofrecido, traerá para este ente técnico retribuciones de tipo económico.
Página 130 de 188

GOBIERNO EN LÍNEA
4.4.1. SERVICIOS PREVENTIVOS
Servicios Preventivos Tipo de Oferta Tarifa

Comunicados Directa Incluida en la Membresía
Análisis de riesgos Tercerizada Costo
Observatorio de tecnología Directa Incluida en la Membresía
Continuidad del negocio y recuperación tras un desastre Tercerizada Incluida en la Membresía
Evaluaciones de seguridad Tercerizada Costo
Auditorías de la seguridad Tercerizada Costo
Alertas y advertencias Tercerizada Incluida en la Membresía
Configuración y mantenimiento de la seguridad Tercerizada Costo
Desarrollo de herramientas de seguridad Tercerizada Costo
Difusión de información relacionada con la seguridad Directa Incluida en la Membresía
4.4.2. SERVICIOS REACTIVOS
Servicios Reactivos Tipo de Oferta Tarifa

Tratamiento de incidentes Tercerizada Incluida en la Membresía
Análisis de incidentes Tercerizada Incluida en la Membresía
Recopilación de pruebas forenses Tercerizada Incluida en la Membresía
Seguimiento o rastreo Tercerizada Incluida en la Membresía
Coordinación de la respuesta a incidentes Directa Incluida en la Membresía
Apoyo a la respuesta a incidentes Directa Incluida en la Membresía
Coordinación del Manejo de evidencias Directa Incluida en la Membresía
Respuesta a incidentes in situ Tercerizada Incluida en la Membresía
4.4.3. GESTIÓN DE LA CALIDAD DE LA SEGURIDAD
Gestión de la Calidad de la Seguridad Tipo de Oferta Tarifa

Consultoría en seguridad Tercerizada Costo
Publicaciones Directa Gratis para toda la comunidad
Sensibilización Tercerizada Costo
Prensa Directa Gratis para toda la comunidad
Educación / Formación sector publico Tercerizada Incluida en la Membresía
Educación / Formación sector privado Tercerizada Costo
Formación Comunitaria Tercerizada Costo
Graduación a terceros para entidades Costo para los grados 2 y 3,
Directa subsididado para grado 1.
Graduación a terceros para productos Directa Costo
Alquiler Software Tercerizada Costo
Alquiler equipos forenses Tercerizada Costo
Centro de interacción multimedia Tercerizada Incluida en la Membresía
Estandarización pliegos de seguridad de la información Directa Incluida en la Membresía
Página 131 de 188

GOBIERNO EN LÍNEA
5. PROCESOS Y PROCEDIMIENTOS
5.1. DELIMITACIÓN SISTÉMICA
Para entender una organización en términos de procesos es fundamental delimitar con precisión
los bordes de la institución creada o a crear, identificando los procesos y los diferentes actores o
agentes que definen el quehacer de la entidad. En la gráfica siguiente se muestra dicha
delimitación, partiendo del nemónico TASCOI que permite precisar seis elementos necesarios para
esta tarea: Transformación (Misión de la entidad), Actores (Quienes participan directamente en la
transformación que adelanta la entidad), Suministradores (Proveedores), Clientes (Beneficiarios o
usuarios), Organizadores (Quien dirige y orienta el curso de la entidad) e Intervinientes (Aunque
no hacen parte de la entidad regulan su propósito). Espejo et al., 1996).
Ilustración 4: Delimitación Sistemática de la Entidad
Página 132 de 188

GOBIERNO EN LÍNEA
Esta grafica ilustra de manera general el comportamiento de la entidad en términos de su proceso

de transformación y quienes intervienen en él, permitiendo abordar con más precisión el análisis
de procesos a continuación.
5.2. PROCESOS
Con este capítulo se pretende evitar la fragmentación funcional y promover la integración de

actividades en una estructura organizacional por procesos, que permita identificar las relaciones de
estos (interacción) y su secuencia lógica para maximizar el valor a ofertar al usuario final del
producto institucional, para el efecto se ha partido de identificar un modelo tecnológico de
procesos y un modelo de segmentación por servicios, después de esto se cruzan los dos modelos y
se despliegan los procesos para al final caracterizar los mismos.
El Modelo Tecnológico o Mapa de Procesos permite identificar 4 niveles de procesos, estratégicos,

misionales, evaluación y de apoyo, permitiendo visualizar de manera grafica el comportamiento de
los mismos y un primer acercamiento a las necesidades de herramientas tecnológicas de
información para apoyarlos. Es el mapa de procesos de la entidad.
Ilustración 5: Modelo Tecnológico del CSIRT
El Modelo de Segmentación permite un acercamiento de manera general a los servicios que puede
prestar la nueva institución, de tal forma que pueda ir previendo la estructura funcional, los cargos
y competencias requeridas para operar.
Página 133 de 188

GOBIERNO EN LÍNEA
Ilustración 6: Modelo de Segmentación del CSIRT
En seguida se cruzan los dos modelos y esto permite establecer de qué manera se despliegan los
procesos en la entidad, base para poder iniciar el proceso de caracterización, es decir, de
identificación de los rasgos diferenciadores de cada proceso:
Página 134 de 188

Ilustración 7: Despliegue de Procesos

Con esta información se define el catálogo final de procesos y se inicia la caracterización de los mismos,
disponible en el documento ANEXO A – CARACTERIZACIÓN DE PROCESOS Y PROCEDIMIENTOS.
Ilustración 8: Catálogo de Procesos
5.3. PROCEDIMIENTOS
Los procedimientos no son otra cosa que la forma especificada de llevar a cabo los procesos, en otras
palabras, el como se adelanta de manera operativa la tarea. Así las cosas y basados en el esquema del
numeral anterior, se ha definido el siguiente catalogo de procedimientos:
Ilustración 9: Catálogo de Procedimientos

GOBIERNO EN LÍNEA
El catalogo se desarrolla en documento ANEXO A – CARACTERIZACIÓN DE PROCESOS Y

PROCEDIMIENTOS.
Página 137 de 188

GOBIERNO EN LÍNEA
6. ANÁLISIS DEL MERCADO
En este análisis se busca identificar las influencias externas generadas por tres diferentes niveles del
entorno empresarial, que afectan directa o indirectamente al CSIRT. Todo el análisis en su conjunto
permitirá a los directivos de esta nueva Entidad, entender que factores pueden influir en el éxito o fracasos
de las estrategias a implementar.
Ilustración 10: de Análisis del Mercado
El análisis propuesto, resulta efectivo en la medida que se haga una periódica retroalimentación a cada uno
de los niveles, ya que el entorno empresarial tiene como características, su amplia diversidad, complejidad
y alto velocidad de cambio. A continuación se describe brevemente cada uno de los tres niveles y su
metodología de análisis.
Página 138 de 188

GOBIERNO EN LÍNEA
6.1. MACRO ENTORNO
Detalla los factores generales del entorno que afectan en mayor o menor medida al CSIRT. El marco PEST
permite identificar como pueden afectar a la organización las tendencias políticas, económicas, sociales,
tecnológicas.
Ilustración 11: Marco Político, Económico, Social y Tecnológico del CSIRT
Dentro de este abanico de factores externos, se resalta el tema regulatorio, las tendencias informacionales
a nivel mundial y el compromiso del Gobierno por garantizar la seguridad nacional y allí la seguridad de la
seguridad de la información en Colombia.
6.2. INDUSTRIAS Y SECTORES
Grupo de empresas que prestan similares o iguales servicios, que son sustitutos cercanos a los ofertados
por el nuevo CSIRT. El modelos de las cinco fuerzas de Porter resulta útil para comprender los cambios de
Página 139 de 188

GOBIERNO EN LÍNEA
la dinámica competitiva dentro y fuera del sector de seguridad de TIC. A continuación se detalla su
análisis.
Ilustración 12: Análisis de Competitividad de Porter
Por su naturaleza es una industria con bastante competencia, en la cual se ofertan varios tipos de servicios
y productos focalizados en la seguridad de la información, los usuarios tienen un buen poder de
negociación, ya que además de tener acceso a información, poseen una variedad de posibilidades que les
permiten hacer procesos de selección variados y ajustados a cada unas de sus realidades informáticas. Por
lo cual no existe una dependencia a los proveedores de estos servicios o productos, sino más bien infinidad
de los mismos, los cuales podrán ser sustituidos en su gran mayoría.
Es importante resaltar que existen barreras de entradas, para empresas que busquen incurrir en negocios
de seguridad TIC’s, tales como los grandes capitales de inversión en el desarrollo y oferta de servicios y
productos, así como también una insipiente regulación en términos de seguridad de la información los
cuales se espera se concreten en el mediano plazo. No se evidencia en el país, casos generales a nivel
nacional (solo algunos casos, especialmente en universidades), en la que tanto empresas públicas como
privadas presenten una oferta variada de servicios integrados, dirigidos a cubrir servicios de seguridad de
la información, a nivel departamental o nacional.
Página 140 de 188

GOBIERNO EN LÍNEA
6.3. ALIADOS ESTRATÉGICOS Y MERCADOS
Dentro de este sector existen varias organizaciones con distintas características, participando del mercado
sobre bases diferentes. El principal objetivo será el de identificar este tipo de proveedores directos e
indirectos, con el fin de crear alianzas estratégicas que permitan el cumplimiento de los objetivos
misionales del nuevo CSIRT.
Es importante considerar iniciativas y actuales modelos de seguridad de la información, como aliados

estratégicos en el propósito mismo del nuevo CSIRT, el cual está enfocado principalmente a la
coordinación de incidentes computacionales a través de proveedores que faciliten esta gran
responsabilidad. Lo anterior abarcará de igual forma alianzas con proveedores de servicios informáticos, de
software y hardware, la academia, sectores públicos y privados así como gremios, que se ajusten a los
objetivos institucionales de esta Entidad y al portafolio de servicio y productos, que se busca ofertar.
Los conceptos analizados en los tres anteriores niveles ayudan a comprender los factores
macroeconómicos, de la industria y el mercado del CSIRT. Sin embargo, lo verdaderamente importante son
las implicaciones que se derivan de esta comprensión general para las decisiones y elecciones estratégicas.
Por lo cual se hace necesario comprender a detalle cómo puede influir este conjunto de factores sobre el
éxito o fracaso estratégico. Para lo anterior se realiza un análisis DOFA.
Página 141 de 188

GOBIERNO EN LÍNEA
Ilustración 13: Matriz DOFA
De los diferentes análisis hechos, se puede concluir de manera general, que la competencia de servicios y
productos que cubren necesidades de seguridad de la información es alta, así mismo se observa que no
hay una masa crítica de competidores directos, que integren un conjunto de servicios es pos de la
seguridad de la información. Lo anterior y para el caso particular del nuevo CSIRT, será más una
oportunidad para poder ofertar la mejor y mayor variedad de servicios en este campo, para lo cual se
vislumbran posibles oportunidades de demanda y crecimiento económico dentro del país, así como en la
región.
Página 142 de 188

GOBIERNO EN LÍNEA
7. INDICADORES Y METAS
La propuesta planteada a través de este documento no podrá quedarse solo en planes, sino que deberá
ser implementada y sus resultados deberán evaluarse y medirse. Por lo cual será responsabilidad de este
nuevo CSIRT, la implementación y control estratégico de su accionar.
Como mecanismo de control y seguimiento, se propone un modelo integral de gestión, basado en la

filosofía Balanced Scorecard (BSC) o Cuadro de Mando Integral 51, con lo cual se busca que el nuevo CSIRT,
sea una organización enfocada en su estrategia. Este alineamiento estratégico se divide en planeación,
difusión, revisión y ajuste, con lo que se busca entre otros lo siguiente:
 Movilizar el cambio a través del liderazgo ejecutivo,
 Traducir la estrategia en términos operativos: Definir los mapas estratégicos, los objetivos, indicadores
y metas,
 Alinear la organización con una única estrategia,
 Hacer de la estrategia un trabajo de todos: Proporcionar formación, comunicación, definición de metas,

compensación por incentivos y capacitación del personal,
 Hacer de la estrategia un proceso continuo: integrar la estrategia en la planificación, el presupuesto, la

generación de informes y las revisiones de gestión,
51
KAPLAN, Robert, NORTON, David. “Cuadro de Mando Integral”.
Página 143 de 188

GOBIERNO EN LÍNEA
Ilustración 14: Modelo de Gestión52
Este conjunto de elementos ayudará como instrumento de planificación, información y control simultaneo
de las diversas partes de esta organización, al mismo tiempo que:
 Proveerá una clara definición de lo que el nuevo CSIRT debe medir,
 Alineará los elementos ya estructurados en la fase de formulación estratégica,
 Establecerá indicadores cuantitativos en cada una de sus perspectivas,
 Mantendrá las métricas financieras tradicionales e introducirá nuevos componentes como guía para los
nuevos elementos de gestión empresarial,
 Traducirá las directrices del nuevo CSIRT en un conjunto equilibrado de indicadores de desempeño,
 Comunicará los objetivos estratégicos a través de toda la organización,
 Alineará las iniciativas individuales y organizacionales,
52
SERNA GOMEZ, Humberto. “Índices de Gestión”.
Página 144 de 188

GOBIERNO EN LÍNEA
 Mejorará el aprendizaje y la retroalimentación estratégica del CSIRT.
Esta herramienta tiene un conjunto de componentes que es importante conocer y definir. El Cuadro de
Mando propuesto se divide en cuatro perspectivas, que representan de manera general las áreas más
relevantes del nuevo CSIRT. Es importante tener en cuenta en el diseño detallado se definirá de manera
táctica y operativa a través de toda la gestión de la entidad.
Ilustración 15: Alineación de la Visión y la Estrategia
 Perspectiva Seguridad de la información Nacional: Esta perspectiva es la razón de ser del CSIRT,
buscando minimizar el impacto de fallos informáticos con base en la prevención y protección frente a
amenazas, vulnerabilidades e incidentes computacionales a usuarios de la tecnología de información,
logrando una permanente incorporación y retención de clientes, con base en su satisfacción,
garantizándoles el soporte efectivo y eficiente.
 Perspectiva Financiera: Garantizar la auto sostenibilidad de la operación del CSIRT, generando

rentabilidad a sus accionistas.
 Perspectiva Interna: Lograr un excelente desempeño ante el cliente que se deriva de procesos,
decisiones y acciones basadas en las mejores prácticas mundiales en seguridad de la información. Así
como también crear e inculcar una cultura propia para el eficiente y efectivo desarrollo de las
actividades de esta nueva organización.
Página 145 de 188

GOBIERNO EN LÍNEA
 Perspectiva de Aprendizaje y Crecimiento: A partir del mejor talento humano y el permanente

desarrollo de las personas, el CSIRT estará en capacidad de crear conocimiento en torno a la seguridad
de la información, aprender de su propio actuar, lanzar nuevos productos y servicios, crear más valor
para los clientes y mejorar la eficiencia operativa continuamente. El aprendizaje organizacional se
convierte en una ventaja competitiva y se integra al mejoramiento continuo de esta nueva
organización.
Estas cuatro perspectivas deberán interrelacionarse, por medio de algunos orientadores estratégicos, tales
como: posicionamiento, calidad, servicio al cliente, motivación y cultura. Y serán la base y propósito de la
gestión gerencial del CSIRT. A continuación se detallan a nivel estratégico, los principales objetivos por
cada una de las perspectivas, con su respectivo indicador y meta, así como su interacción con los
orientadores estratégicos, a través del esquema de un mapa estratégico.
Ilustración 16: Mapa Estratégico
Página 146 de 188

GOBIERNO EN LÍNEA
Ilustración 17: Perspectivas y Orientadores Estratégicos
7.1. PERSPECTIVA SEGURIDAD DE LA INFORMACIÓN NACIONAL
 Cobertura del CSIRT en entidades a nivel nacional: Con este indicador se pretende medir el apoyo
brindado en seguridad de la información al mayor número de entidades a nivel nacional, de manera
periódica no menor a 1 año. Se separa en entidades públicas y en entidades privadas.
 Cobertura del CSIRT en departamentos a nivel nacional: Este indicador busca definir porcentualmente
el número de departamentos al que se espera llegar con el alcance del CSIRT, de manera periódica no
menor a 1 año.
 Porcentaje de de incidencia de seguridad declaradas con impacto negativo. Este indicador busca definir
porcentualmente para los diferentes grupos de clientes, de manera periódica no mayor a 3 meses, el
total de incidencias ocurridas a nivel nacional, las cuales se discriminen por incidencias ocurridas,
incidencias prevenidas y incidencias de impacto. Entre las incidencias a definir se podrá incluir: la
denegación de servicios, troyanos, recepción de correo no deseado, virus informático, software espía o
Página 147 de 188

GOBIERNO EN LÍNEA
spyware, instrucciones remotas de ordenadores, intrusiones en su correo electrónico, intrusiones en

otras cuentas de servicio web, bombas lógicas, robos de información, fraudes, robo de ancho de
banda, etc.
 Posicionamiento (Top of Mind): Este indicador busca entender la dinámica de la marca CSIRT en
Colombia, se recomienda hacerse de manera periódica no menor a un año. Con este indicador la
compañía podrá darse cuenta a través del mercado objetivo, si existe o se tiene un bajo o alto grado
de recordación de la marca CSIRT. Este índice es una relación entre el numero de menciones de marca
sobre el total de entrevistados.
 Índice de Satisfacción de Usuarios: Mediante encuestas, se pretende determinar la satisfacción de los

usuarios basada en la calidad percibida como medición de una satisfacción general, el cumplimiento de
expectativas y la cercanía a la compañía perfecta acorde con el estándar internacional del Índice
Americano de Satisfacción de Clientes (ACSI – American Customer Satisfaction Index) 53
7.2. PERSPECTIVA FINANCIERA
 Gasto versus Punto de Equilibrio: El nuevo CSIRT deberá verificar en el volumen de venta que, luego
de deducidos los costos variables, queda un excedente suficiente para cubrir los costos fijos. Este
punto umbral de rentabilidad será el punto en el que el CSIRT ingresa a una zona de ganancias,
mientras que por debajo, no cubrirá sus costos. Por esta razón el CSIRT debe operar a un nivel
superior al punto de equilibrio para poder reponer sus equipos, distribuir sus dividendos y tomar
providencias para su expansión. Este indicador se recomienda sea teniendo en cuenta sólo para un
periodo de tiempo definido por la propia organización (no mayor a un año), este después deberá ser
remplazado por uno que mida y exija beneficios monetarios ascendentes. Este indicador busca medir la
auto sostenibilidad financiera y de crecimiento del CSIRT para que pueda ofrecer servicios sostenibles a
los diferentes mercados objetivos. Se deberá observar en este una tendencia de crecimiento y
diversificación sana y sostenida de la oferta de servicios, con una muy buena calidad de cartera y
adecuados niveles de eficiencia y rentabilidad. Así mismo este, busca medir como mínimo en un
periodo inferior a 6 meses. Se medirá como mínimo, con base en el cubrimiento de los costos fijos del
negocio (punto de equilibrio), teniendo en cuenta el margen bruto de rentabilidad.
7.3. PERSPECTIVA PROCESOS INTERNOS
 Promedio de la Evaluación de 360 grados: La Evaluación de 360 grados o evaluación integral es una
herramienta que permite medir el desempeño de los funcionarios y sus competencias, y de esta forma
diseñar programas de desarrollo para individuales y colectivos. La evaluación de 360 grados pretende
dar a los empleados una perspectiva de su desempeño desde el punto de vista de sus jefes, sus
compañeros, subordinados, clientes internos, etc. El propósito de aplicar esta evaluación es brindar al
funcionario la retroalimentación necesaria para mejorar su desempeño, su comportamiento o ambos y
dar a la dirección la información necesaria para tomar decisiones oportunas. Se recomienda aplicarse
semestralmente.
53
The American Customer Satisfaction Index (ACSI). http://www.theacsi.org/
Página 148 de 188

GOBIERNO EN LÍNEA
 Certificaciones obtenidas: Este indicador busca garantizar la calidad de los procesos del CSIRT. El
término se refiere a una serie de normas universales basadas inicialmente en la norma NTGCP 1000 y
la norma ISO 27000. Una certificación indica a los clientes que el CSIRT ha implementado un sistema
para garantizar que cualquier producto o servicio que ofrezca cumplirá constantemente con las normas
internacionales de calidad.
7.4. PERSPECTIVA APRENDIZAJE Y CRECIMIENTO
 La principal función de la gestión del conocimiento es que el CSIRT no deba pasar dos veces por un
mismo proceso para resolver de nuevo el mismo problema, sino que ya disponga de mecanismos para
abordarlo utilizando información guardada sobre situaciones previas. Este indicador busca transformar
el conocimiento tácito en conocimiento explícito, se recomienda se logre alcanzar este objetivo en no
menos a seis meses. Para este fin pueden emplearse nuevas herramientas, como las bases de datos o
las intranets, u otras más clásicas (revistas, manuales y bibliotecas), que en su conjunto forman la
denominada "memoria organizacional" que permite organizar el conocimiento explicitado. Existen
diferentes técnicas para representar y gestionar el conocimiento, codificado desde áreas diferentes: La
inteligencia artificial, los sistemas de gestión de bases de datos, como text mining, la ingeniería del
software, y otras técnicas empleadas desde la perspectiva del estudio de los sistemas de información.
Esta tendencia se denomina “orientación al conocimiento”, y es la que el CSIRT deberá tener como
objetivo en el desarrollo al propósito de crear un sistema de gestión documental.
La Gestión del Conocimiento contribuye a:
o Mejorar la rapidez de respuesta en un entorno, tanto interno como externo, en continua

evolución Tiempo promedio de atención de incidentes)
o Mejorar la calidad de los productos o servicios desarrollados por la propia entidad y reducir los
errores en el proceso productivo (Número de errores en el proceso productivo).
o Publicación y difusión de conocimiento concerniente al tema de seguridad de la información

(Número de Investigaciones publicadas al año)
o Protección y registro de Derechos de Propiedad Intelectual.
 Porcentaje de funcionarios directivos y técnicos certificados en CISSP o CISM: El Talento Humano será
el elemento de mayor participación dentro del nuevo CSIRT, siendo ésta la base para crear valor
agregado intangible que le permita sobresalir en un mercado competitivo y exigente. Debido a lo
anterior será importante el proceso de selección de cada uno de los empleados, en el que se deberán
contemplar las aptitudes, conocimiento y habilidades técnicas / gerenciales definidas a través de este
documento. El objetivo será el de cumplir con el mayor numero de requerimientos establecidos para
cada cargo y del mismo modo desarrollarlos o capacitarlos en el total de los mismos.
Algunas de las certificaciones para los perfiles de trabajo en el CSIRT son:
Página 149 de 188

GOBIERNO EN LÍNEA
o CISSP54: Dominio de conocimiento en tecnología y gerencia en Seguridad de la Información.
o CISM55: Conocimiento en gerencia de Seguridad de la Información.
o ABCP o CBCP56: Conocimiento en planes y gestión de la continuidad del negocio.
o CISA57: Experiencia en auditoría de sistemas.
o ISO 27001 Lead Auditor: Conocimiento en auditoría de sistemas de gestión en seguridad de la

información SGSI.
7.5. RESUMEN DE LOS INDICADORES
METAS
OBJETIVOS
PERSPECTIVA INDICADOR UNIVERSO
ESTRATÉGICOS
Año 1 Año 2
SEGURIDAD DE Brindar apoyo Cobertura del CSIRT

LA para optimizar la en entidades públicas
50 100 182
INFORMACIÓN seguridad de la del orden nacional
NACIONAL información en las (grados 2 y 3)
entidades públicas
y privadas. Cobertura del CSIRT
en entidades privadas 50 100 21.210
a nivel nacional
Cobertura del CSIRT

en departamentos a 5 15 32
nivel nacional
Porcentaje de 30% 10% Total de

incidencia de incidentes
seguridad declaradas reportados al
con impacto negativo CSIRT
54
www.isc2.org
55
www.isaca.org
56
www.drii.org
57
www.isaca.org
Página 150 de 188

GOBIERNO EN LÍNEA
METAS
OBJETIVOS
PERSPECTIVA INDICADOR UNIVERSO
ESTRATÉGICOS
Año 1 Año 2
Total de
Consolidar la Posicionamiento (Top
>80% >80% Encuestas
marca CSIRT of Mind)
realizadas
Colombia, con
base en la
Total de
credibilidad de los Índice de Satisfacción
>65% >75% Encuestas
usuarios. de Usuarios
realizadas
Ser una entidad Gasto versus Punto de Gastos <= Gastos <=
FINANCIERA Total gastos
auto sostenible. Equilibrio (P.E.) P.E. P.E.
Evaluaciones
Promedio de la
360 grados al
Evaluación de 360 80% 85%
total de
grados
funcionarios
Lograr la cultura y
PROCESOS
excelencia
INTERNOS Total de
operacional.
NTGCP certificaciones
Certificaciones NTGCP
1000, ISO de calidad
obtenidas 1000
27000 aplicables al
CSIRT
Total de
Tiempo promedio de
4 horas 1 horas incidentes
atención de incidentes
atendidos
Total de errores
3 errores 1 error por
registrados y
Número de errores en por cada 10 cada 10
total de
el proceso productivo incidencias incidencias
incidentes
atendidas atendidas
atendidos
Gestionar el
conocimiento.
Total de
Número de
APRENDIZAJE Y investigaciones
Investigaciones 3 10
CRECIMIENTO publicadas por el
publicadas al año
CSIRT
Total de
Número de patentes patentes
1 3
registradas al año registradas por
el CSIRT
Porcentaje de Total de
Tener el mejor funcionarios directivos funcionarios
> 60% > 80%
Talento Humano. y técnicos certificados directivos y
en CISSP o CISM técnicos
Página 151 de 188

GOBIERNO EN LÍNEA
7.6. CONSIDERACIONES GENERALES
Una vez descrita la formulación a nivel estratégico del posible sistema integrado de medición, a través del
Cuadro de Mando Integral, finalmente es importante tener en cuenta para el diseño e implementación, los
siguientes puntos:
 El marco previo de referencia al proceso de planeación estratégica, antes de la ejecución de los planes
y control de la gestión, será la formulación del concepto estratégico, formulación del plan estratégico
basado en la estrategia y la formulación de los planes tácticos y operacionales.
 El presupuesto, el Talento Humano, la tecnología y el negocio deben alinearse con la estrategia,
 El CSIRT deberá crear un contexto positivo para la medición,
 El enfoque de la medición será la creación de valor,
 La medición deberá ser integral (horizontal y vertical),
 La recolección de información y experiencias deberán ser transformadas en estrategias,
 La medición y control deberá ser parte de la cultura organizacional,
 Clarificar las condiciones que crearan valor para el cliente,
 Definir los procesos que transformaran los activos intangibles a resultados financieros y del cliente,
 Definir los activos intangibles que deben ser alineados e integrados para facilitar la creación de valor,
 Los componentes del Sistema Integrado de Medición son el direccionamiento estratégico y las
perspectivas,
 Los indicadores se deberán definir en diferentes niveles organizacionales: Estratégicos (Monitorean y

miden fundamentalmente el desempeño de los macro procesos), tácticos (Monitorean y miden los
procesos), operativos (Monitorean y miden las actividades) y de frontera o compartidos (Monitorean y
miden el desempeño de los procesos donde existe responsabilidad compartida),
 Los indicadores deberán tener necesariamente una relación causa efecto,
 El mapa estratégico hará explicita y comunicable a cualquier nivel la estrategia,
 La ejecución a este modelo debe ser el elemento central de la cultura de una organización,
Página 152 de 188

GOBIERNO EN LÍNEA
 Comunicación, Implantación y Sistematización: Incluye divulgación, automatización, agenda gerencial

con el Cuadro de Mando Integral, planes de acción para detalles, plan de alineación de iniciativas y
objetivos estratégicos, plan de despliegue a toda la empresa.
Con todo lo anterior se propone y plantea que a partir de los diferentes lineamientos dados en este
documento, se diseñe e implemente esta iniciativa estratégica, la cual permitirá al nuevo CSIRT monitorear
y evaluar su desempeño de una manera integral frente a sus objetivos estratégicos.
Página 153 de 188

GOBIERNO EN LÍNEA
8. ESTRUCTURA ORGANIZACIONAL
De acuerdo con el Software Engineering Institute en su documento “Organizational Models for Computer
Security Incident Response Teams (CSIRTs)” 58, existen criterios definidos para tres tipos de estructuras
organizacionales para un CSIRT, con lo cual se procederá a determinar cuales de estas, se ajustan a la
realidad de la estrategia de Gobierno en Línea.
Estos grupos son:
 Equipos de Seguridad
 CSIRT Coordinado
 CSIRT Interno
Teniendo en cuenta el modelo de Seguridad de la Información definido para el programa Gobierno en

Línea, el CSIRT propuesto será un ente técnico que funcione como un ente coordinador, que faculte a
terceros en el desarrollo y prestación de los servicios, de este modelo se destaca:
 Su equipo coordina el esfuerzo de respuesta de incidentes e intercambio de información a través de

muchos CSIRT, equipos de seguridad, terceros u otras organizaciones externas.
 Su equipo no pertenece a la misma organización de su jurisdicción.
 El CSIRT, será el responsable de la prestación de servicios ofrecidos por terceros.
Su principal servicio es coordinar intercambio de información y facilitar la discusión de incidentes.
58
Tomado de: http://www.rediris.es/cert/links/csirt.es.html. Fecha de acceso: 2008/10/10. Publicado por Carnegie
Mellon University - Software Engineering Institute. Autores: Georgia Killcrece, Klaus-Peter Kossakowski, Robin Ruefle,
Mark Zajicek.
Página 154 de 188

GOBIERNO EN LÍNEA
8.1. ORGANIGRAMA
Ilustración 18: Estructura Organizacional Propuesta
A continuación se describen cada uno de los principales objetivos de las direcciones que conforman el
CSIRT, y sus principales responsabilidades generales.
8.1.1. ASESOR JURÍDICO
La Asesoría Jurídica tiene por objetivo asesorar a la Dirección General, en todo lo relacionado con temas
legales de competencia del CSIRT, relacionados tanto a nivel administrativo y comercial como a nivel de la
consultoría, prestación de servicios y temas forenses de seguridad de la información.
8.1.2. DIRECCIÓN TÉCNICA
8.1.2.1. Grupo de Incidentes
Grupo que busca proveer a las empresas facultadas o tercerizadas por el CSIRT (en la prestación de los
diferentes servicios), la coordinación, asistencia y atención, para ayudar a preparar, proteger y asegurar
componentes de sistemas de clientes objetivos, en anticipación a futuros ataques, problemas o eventos
derivados de la seguridad de la información.
Página 155 de 188

GOBIERNO EN LÍNEA
 Hacer seguimiento de los principales indicadores y políticas relacionadas con la seguridad de la

información en el ámbito nacional e internacional.
 Crear una base de conocimiento que permita el análisis y evaluación de la seguridad de la información.
 Definir, planificar y fomentar las responsabilidades y respuestas primarias, de carácter operacional,

para el control de cualquier tipo de emergencia de seguridad de información.
 Promover y velar para que métodos probados internacionalmente, para el control de las emergencias
hechas por terceros, se apliquen eficiente y eficazmente.
 Definir y fomentar equipos de trabajo que puedan utilizar las técnicas elementales de acción ante
emergencias.
 Definir técnicas o herramientas que permitan rastrear los orígenes de un incidente o identificar
sistemas a los se haya tenido acceso no autorizado.
 Definir y fomentar la integración de equipos de trabajo técnico, con roles perfectamente definidos ante
una emergencia.
 Asistir en la recuperación tras desastres relacionados con los ataques y las amenazas a la seguridad de
información de las Entidades, mediante la coordinación de los diferentes recursos.
 Mediante actividades de coordinación, velar por la eficiente y eficaz detección, tratamiento, análisis y
respuesta de incidentes de seguridad de la información, hechas por las empresas facultadas por el
CSIRT en esta materia.
 Gestionar la recopilación de pruebas forenses, en lo que se refiere a la recolección, la conservación, la

documentación y el análisis de las pruebas procedentes del sistema informático comprometido.
8.1.2.2. Grupo Gestión y Control
Este grupo tiene como fin coordinar y dar soporte a las empresas tercerizadas por el CSIRT, para que
consoliden y apliquen los conocimientos y habilidades requeridas, para administrar, controlar y auditar los
sistemas informáticos.
 Realizar la validación y monitoreo del modelo de seguridad de la información.
 Soportar la evaluación de infraestructuras de seguridad de la información, a través de evaluaciones y/o

auditorias de seguridad, basados en los requisitos establecidos por el sistema y/o normas nacionales e
internacionales aplicables.
 Administrar la herramienta de autoevaluación y soportar las auditorias, monitoreos y análisis a la

información, desarrollada por los terceros contratados por el CSIRT.
Página 156 de 188

GOBIERNO EN LÍNEA
 Brindar soporte en lo relacionado con la herramienta de autoevaluación y auditoria.
 Desarrollar y complementar las herramientas de auto-evaluación y de auditoría con base en las

necesidades y requisitos actuales y futuros del Modelo de Seguridad.
 Recopilar las estadísticas, métricas e indicadores que permitan medir el desempeño y evidenciar el
mejoramiento del modelo de seguridad en las Entidades.
 Centralizar la información enviada por los diferentes terceros contratados por el CSIRT.
8.1.2.3. Grupo de Investigación y Desarrollo
El Grupo de Investigación y Desarrollo, tiene como principal propósito la investigación científica, el

desarrollo y la innovación de la seguridad de la información. En este grupo se establecen instrumentos y/o
medios que garanticen el cumplimiento del modelo de seguridad de la información. Adicionalmente se
busca el desarrollo y la gestión del conocimiento del CSIRT, a través de eficientes y eficaces vías de
comunicación.
 Asesorar a las Entidades públicas y privadas en materia de seguridad de la información, así como
apoyar a la elaboración, seguimiento y evaluación de políticas en este ámbito.
 Difundir información relacionada con la seguridad de la información a todos los actores relacionados.
 Desarrollar herramientas específicas para necesidades particulares o generales de sus clientes o propias
del CSIRT.
 Convocar al sector privado y a la academia para obtener apoyo en la investigación en materia de

 Mantener contacto permanente con los distintos sectores de la industria para la identificación de
necesidades tecnológicas y de seguridad de la información.
 Recomendar o identificar para las Entidades objetivo, requisitos de compra, instalación o protección de
nuevos sistemas de seguridad, aplicaciones de software, dispositivos de seguridad, entre otros. Así
mismo, ofrecer asistencia y orientación en la implementación de las políticas de seguridad del modelo.
 Proponer los lineamientos, temas y elementos de sensibilización al Grupo CSIRT – Función de

Capacitación, en lo concerniente a las campañas de Concienciación - sensibilización.
 Gestionar la información y documentación del CSIRT.
 Diseñar herramientas de organización y difusión del conocimiento dentro del CSIRT.
Página 157 de 188

GOBIERNO EN LÍNEA
 Gestionar la comunicación interna de la Institución.
 Gestionar el aprendizaje organizativo del CSIRT.
 Gestionar del cambio y la innovación institucional.
 Adecuar la taxonomía de las piezas de conocimiento conforme se incremente el conjunto de

conocimiento derivado de la experiencia y conocimiento del CSIRT.
 Generar estrategias de difusión de piezas de conocimiento de interés general.
 Fomentar la automatización de los procesos relacionados con seguridad de la información.
 Realizar auditorías anuales de conocimiento a los empleados del CSIRT.
 Vigilar que el conocimiento fluya de forma ágil a través del CSIRT.
 Diseñar políticas para el uso de las bases de datos institucionales.
8.1.3. DIRECCIÓN DE COOPERACIÓN Y SOPORTE
8.1.3.1. Grupo Capacitación
El Grupo de Capacitación tiene como principal objeto, ayudar a sensibilizar, dar a conocer y preparar al
mercado objetivo, en los beneficios y amenazas que se derivan de la seguridad de la información,
desarrollar la capacidad de estos para alcanzar objetivos de desarrollo informático y a promover el uso de
herramientas y procedimientos que prevengan posibles incidentes de seguridad de la información.
 Promover campañas de capacitación periódicas para el sector público y privado, en temas relacionados
con la seguridad de la información, coordinando los diferentes cursos, charlas y/o conferencias.
 Mantener la articulación con los entes policivos para la atención de los incidentes de seguridad de la
información.
 Buscar convenios con terceros, para soportar, ejecutar y/o fortaleces los diferentes programas de
capacitación, en los que se incluya de manera integrada, la academia, el sector público y privado.
 Dar lineamientos generales, a los responsables directos de los programas de capacitación, en las
diferentes áreas de seguridad de la información.
 Soportar a terceros en la capacitación y entrenamiento a las Entidades, en temas relacionados con la

herramienta de autoevaluación y auditoria.
Página 158 de 188

GOBIERNO EN LÍNEA
 Planear el desarrollo de capacitaciones internas para el desarrollo de las competencias y habilidades

técnico/gerenciales para todo el personal del Grupo Técnico de Apoyo y el de la Comisión Nacional de
Seguridad de la Información.
8.1.3.2. Grupo Relaciones Públicas y Comunicación
Grupo que tiene como objetivo, gestionar y proyectar de manera integral los sistemas de comunicación e
información del CSIRT, liderar cambios, establecer programas de cultura e identidad corporativa,
diagnosticar y planear estratégicamente y de manera armónica la comunicación según los diferentes
públicos y entornos.
 Diseñar e implementar el plan de comunicaciones del CSIRT.
 Gestionar la comunicación entre el CSIRT y público clave para construir, administrar y mantener su
imagen positiva.
 Construir la identidad, la cultura y la reputación del CSIRT, como un camino que facilitará la
construcción de vínculos con los involucrados (Stakeholders), mediante el desarrollo de programas de
identidad corporativa.
 Definir y diseñar la Política de imagen corporativa que deba adoptar el CSIRT.
 Crear estrategias de publicidad para lograr difundir y promocionar el programa de capacitación.
 Posicionar la nueva marca CSIRT en el mercado nacional y regional, por medio de rutinas de campañas
de publicidad.
 Diseñar métodos y mecanismos que permitan conocer el grado de aceptación de los programas y
proyectos desarrollados por el CSIRT.
 Sensibilizar a los grupos objetivo en el conocimiento y uso de los temas relacionados con la seguridad
de información.
 Coordinar la emisión de boletines, revistas y toda clase de documentos relacionados con la acción del
CSIRT.
 Difundir estudios e informes publicados por otras entidades y organismos nacionales e internacionales,
así como de información sobre la actualidad en materia de la seguridad y confianza de la Información.
 Propender por las buenas relaciones y comunicaciones, con la prensa local, seccional, nacional e
internacional.
 Crear alianzas con CSIRT nacionales e internacionales.
Página 159 de 188

GOBIERNO EN LÍNEA
 Crear alianzas de largo plazo con el sector académico, privado, proveedores de tecnología, etc, las
cuales permitan entre otros crear, gestionar y trasmitir el conocimiento del CSIRT.
 Diseñar mecanismos y establecer los conductos de divulgación del CSIRT.
8.1.4. DIRECCIÓN ADMINISTRATIVO Y FINANCIERA
Este grupo tiene como principal objeto administrar los recursos financieros, tecnológicos (IT), legales y
humanos del CSIRT.
8.1.4.1. Financieros
 Administrar el proceso de elaboración presupuestaria.
 Controlar y supervisar la ejecución del presupuesto de manera articulada con la planificación

estratégica y el control de gestión de la institución.
 Realizar la gestión contable, patrimonial y la administración de recursos de la institución, procurando el

estricto cumplimiento en la aplicación de todos los sistemas y procedimientos administrativos
establecidos.
 Administrar el proceso de compras y contrataciones de bienes y servicios del CSIRT.
 Intervenir desde el punto de vista presupuestario en el financiamiento de los proyectos.
 Desarrollar criterios, metodologías e instrumentos de aspectos administrativos, contables y de control.
 Administrar la gestión de desarrollo de la infraestructura física y la gestión de servicios de

mantenimiento y soporte logístico de las distintas direcciones.
 Establecer e implantar mecanismos idóneos para la administración de los recursos financieros, de

bienes, materiales y servicios asignados al funcionamiento del CSIRT.
 Coordinar con la Gerencia de Recursos Humanos las tareas contables, administrativas y financieras
requeridas para la administración del personal de la Institución.
 Dirigir y supervisar la elaboración de los estados contables del CSIRT.
8.1.4.2. Tecnologicos
 Mantener, monitorear y reparar la infraestructura de redes del CSIRT.
 Implementar y mantener servidores y servicios de red comunes dentro del CSIRT.
Página 160 de 188

GOBIERNO EN LÍNEA
 Diseñar, implementar y mantener sistemas de monitoreo y respaldo para la infraestructura de redes del
CSIRT.
 Asegurar la calidad y la performance en el funcionamiento de la infraestructura de redes y servicios de

la organización.
8.1.4.3. Legales
 Auxiliar en la elaboración de todo tipo de contratos, actas constitutivas, actas de Asamblea e

instrumentos jurídicos de la competencia del CSIRT.
 Participar en la negociación, seguimiento y hasta el cierre de distintos tipos de operaciones con

clientes y proveedores de naturaleza comercial, de alianza estratégica, societaria, etc.
 Emitir consultas y opiniones acerca de asuntos que influyan de manera directa en el patrimonio y
responsabilidad de la empresa y sus socios dentro de su operación comercial.
 Auxiliar en la realización de todo tipo de trámites ante dependencias gubernamentales de carácter

departamental y nacional.
8.1.4.4. Humanos
 Asesorar y participar en la formulación de la política de personal.
 Dar a conocer las políticas de personal y asegurar su cumplimiento.
 Establecer y normalizar el perfil y el rol de cada uno de los puestos de trabajo dentro del CSIRT.
 Reclutar, seleccionar y contratar al personal del CSIRT.
 Desarrollar y gestionar la estructura y política salarial.
 Planear las diferentes capacitaciones internas para promover y desarrollar las competencias y
habilidades técnico/gerenciales para todo el personal del CSIRT.
 Mantener todos los registros necesarios concernientes al personal.
 Incentivar la integración y buenas relaciones humanas entre el personal.
 Recibir quejas, sugerencias y resuelve los problemas de los colaboradores.
 Hacer la evaluación del desempeño de los colaboradores.
Página 161 de 188

GOBIERNO EN LÍNEA
8.2. PROCESO DE SELECCIÓN
Las competencias laborales generales se establecerán de acuerdo con el Decreto número 2539 de 2005, en
el cual se detallan para los empleos públicos de los distintos niveles jerárquicos de las entidades, las
competencias requeridas. Estas deberán tenerse en cuenta a la hora de realizar los procesos de selección
de los diferentes vacantes creadas para el CSIRT. A continuación se enumeran dichas competencias:
8.2.1. COMPETENCIAS COMUNES
 Orientación a resultados
 Orientación al usuario y al ciudadano
 Transparencia
 Compromiso con la Organización
Nivel Directivo
 Liderazgo
 Planeación
 Toma de decisiones
 Dirección y Desarrollo de Personal
 Conocimiento del entorno
Nivel Asesor Nivel Profesional
 Experticia Profesional  Aprendizaje Continuo
 Conocimiento del entorno  Experticia profesional
 Construcción de relaciones  Trabajo en Equipo y Colaboración
 Iniciativa  Creatividad e Innovación
Página 162 de 188

GOBIERNO EN LÍNEA
Nivel Técnico Nivel Asistencial
 Experticia Técnica  Manejo de la Información
 Trabajo en equipo  Adaptación al cambio
 Creatividad e innovación  Disciplina
 Relaciones Interpersonales
 Colaboración
8.2.2. COMPETENCIAS COMPORTAMENTALES POR NIVEL JERÁRQUICO
Cuando se tengan personal a cargo, se deberá incluir; liderazgo de grupos de trabajo y toma de decisiones
8.2.3. COMPETENCIAS TÉCNICAS
Estas deberán evaluarse con mayor exigencia dependiendo de las responsabilidades propias del cargo.
 Principios de seguridad de la información.
 Amplio conocimiento de la tecnología y los protocolos de Internet y redes.
 Conocimiento de diversos sistemas operativos tipo Windows, Unix, Linux.
 Conocimiento de los equipos de infraestructura de redes (enrutador, switches, DNS, proxy, correo,
etc.).
 Conocimiento de las aplicaciones de Internet.
 Conocimiento de amenazas a la seguridad (phishing, defacing, sniffing, etc.).
 Conocimiento de la evaluación del riesgo y las implementaciones prácticas.
 Servicios y aplicaciones de red.
 Habilidades de programación.
Página 163 de 188

GOBIERNO EN LÍNEA
 Habilidades en manejo y análisis de incidentes.
 Certificaciones.
 CISSP59 - Dominio de conocimiento tecnología y gerencia en seguridad de la información.

Obligatoria.
 CISM60 - Conocimiento en gerencia de seguridad de la información. Obligatoria.
 ABCP o CBCP61 - Conocimiento en planes y gestión de la continuidad del negocio. Opcional.
 CISA62 – Experiencia en auditoría de sistemas. Opcional.
 ISO27001 Lead Auditor – conocimiento en auditoría de sistemas de gestión en seguridad de la

información SGSI. Opcional.
8.2.4. OTRAS CARACTERÍSTICAS
 Disponibilidad para viajar a soportar operaciones en lugares diferentes a su ciudad base.
 Nivel educativo. Dependiendo del cargo se requerirán carreras técnicas profesionales o a nivel de
posgrado.
 Experiencia laboral en el ámbito de la seguridad de las TI principalmente.
 Disposición a trabajar por turnos.
Es importante que el tipo de contratación se haga a término indefinido, haciendo un seguimiento por cada
empleado a través de una evaluación de desempeño, la cual evalué de manera general entre otros los
siguientes puntos.
 Cumplimiento de objetivos.
 Competencias técnicas.
 Competencias Administrativas.
 Eficiencia en el gerenciamiento de las responsabilidades.
59
www.isc2.org
60
www.isaca.org
61
www.drii.org
62
www.isaca.org Página 164 de 188
GOBIERNO EN LÍNEA
 Excelencia de servicio.
 Eficiencia en el liderazgo.
La calificación de estas evaluaciones de desempeño, afectaran individualmente o en grupo, cualquiera que

sea el caso, en las retribuciones, en la promoción, en los concursos, y en las capacitaciones a ofrecer.
8.3. CAPACITACIÓN
Dentro del proyecto se deberá destinar un presupuesto dirigido a la capacitación del personal. Esto como
consecuencia a la dificultad de encontrar personal, con el total de las habilidades anteriormente descritas y
a que constantemente se presentaran avances y mejoras en la practicas informáticas o de soporte, a
utilizar en cada una de las responsabilidades.
Si bien es cierto que el personal a contratar, deberá contar con un conocimiento y experiencia previa a la
mayoría de las habilidades. No se hace necesario que cumpla con el 100% de estas. Por esto se deberá
priorizar para cada uno de los cargos las principales competencia y de las faltantes se suplirán con una
posterior capacitación. Es importante que la relaciones con entes como el sector privado, académico y
publico, ayuden a formalizar este plan de capacitación.
El plan de capacitación deberá fundamentarse en las habilidades anteriormente detalladas y en el dominio

de:
 Área de cobertura y sistemas y operaciones de su área de cobertura.
 Políticas y procedimientos estándares de operación.
 Política sobre revelación de información.
 Política sobre uso aceptable del equipamiento y de la red.
Página 165 de 188

GOBIERNO EN LÍNEA
9. ETAPAS PARA LA CONFORMACIÓN DEL CSIRT – COLOMBIA
La constitución del CSIRT en Colombia supone el cumplimiento de ciertas etapas, considerando que iniciar
una nueva etapa supone la estabilización y permanente sostenibilidad y continuidad de las etapas
anteriores. Para la conformación del proyecto CSIRT en Colombia se consideran las siguientes etapas:
 Etapa I – Alistamiento: Se definirán todos los procesos, procedimientos, roles y responsabilidades

necesarias para poner en operación el CSIRT- Colombia. De la misma manera, se llevaría a cabo el
alistamiento tecnológico, logístico y estratégico para la definición de los alcances visibles e indicadores
de gestión del CSIRT.
 Etapa II – Capacitación y Entrenamiento Involucra la capacitación y entrenamiento necesarios para

iniciar el proceso. Una vez iniciado, esta capacitación podría gestionarse a través de la cooperación
nacional e internacional, tanto a nivel bilateral como multilateral. En todo caso, la capacitación o
entrenamiento deberá ser permanente a lo largo de la existencia del CSIRT.
 Etapa III – Generación de Alertas e Investigación: Se busca un servicio de alertas tempranas e

investigación y desarrollo en laboratorio, para comenzar a prestar un servicio informativo a las
entidades de tanto públicas como privadas.
 Etapa IV - Respuesta a Incidentes y Apoyo en Investigación del Delito: Supone una madurez suficiente
en procesos, procedimientos, capacitación, entrenamiento e información de amenazas y riesgos como
para poder conformar operativamente el grupo de respuesta a incidentes y apoyar las investigaciones
informáticas adelantadas por las autoridades competentes.
 Etapa V – Operación, Revisión y Mejoramiento Continuo: Involucra la revisión constante de los

procesos, procedimientos, indicadores de gestión y genera la retroalimentación interna para el
mejoramiento continuo.
Página 166 de 188

GOBIERNO EN LÍNEA
10. PRESUPUESTO PRELIMINAR DE INVERSIÓN Y

FUNCIONAMIENTO
A continuación se presenta un presupuesto preliminar de Inversión y Funcionamiento, que deberá ser

ajustado de acuerdo con las validaciones que se realicen al modelo con la comunidad.
Costo
Frecuencia
Rubro Unidades Unitario / Total
Anual
Mensual
Presupuesto de Inversión
Estudios y Diseños 1 1 40.000.000 40.000.000
Plataforma Tecnológica
Hardware 1 1 20.000.000 20.000.000
Software 1 1 20.000.000 20.000.000
Servicios de seguridad 1 1 25.000.000 25.000.000
Mantenimiento y reparaciones 1 1 15.000.000 15.000.000
Desarrollo Web 1 1 50.000.000 50.000.000
Tecnologías de seguridad de la red y de la
1 1 75.000.000 75.000.000
información
Gestión de equipos de seguridad (hasta 20
1 1 20.000.000 20.000.000
elementos)
Monitoreo de equipos de seguridad (hasta 20
1 1 5.000.000 5.000.000
elementos)
Correlación de equipos de seguridad (hasta 20
1 1 20.000.000 20.000.000
elementos)
Protección a los sistemas 1 1 50.000.000 50.000.000
Total Plataforma Tecnológica 300.000.000
Muebles 1 1 20.000.000 20.000.000
Seguros de equipos e Infraestructura 1 1 10.000.000 10.000.000
Total Presupuesto de Inversión 370.000.000
Presupuesto de Funcionamiento
Costo de Personal - Salarios
Página 167 de 188

GOBIERNO EN LÍNEA
Costo
Frecuencia
Anual
Mensual
Director General 1 14 9.600.000 134.400.000
Directores 3 14 7.200.000 302.400.000
Jefes Grupo 6 14 6.000.000 504.000.000
Profesionales Certificados en seguridad 3 14 4.800.000 201.600.000
Equipo base 10 14 2.400.000 336.000.000
Administrativo 1 14 1.200.000 16.800.000
Total Costo de Personal - Salarios 1.495.200.000
Entrenamiento y Capacitación 1 1 30.000.000 30.000.000
Operación
Logística para Conferencias y talleres 1 6 20.000.000 120.000.000
Costos de representación 1 1 20.000.000 20.000.000
Suscripciones a medios especializados 1 1 2.000.000 2.000.000
Traducciones 1 1 5.000.000 5.000.000
Elaboración de Talleres 1 1 20.000.000 20.000.000
Publicaciones y materiales informativos 1 1 20.000.000 20.000.000
Viáticos 2 12 2.000.000 48.000.000
Total Costo de Operación 235.000.000
Infraestructura
Alquiler del Establecimiento 1 12 5.000.000 60.000.000
Servicios Públicos 1 12 1.900.000 22.800.000
Mantenimiento 1 12 3.000.000 36.000.000
Total Costo Infraestructura 118.800.000
Costo Variable
Auditorías de la seguridad 1 25 14.666.667 366.666.667
Configuración y mantenimiento de la seguridad 1 13 1.600.000 20.800.000
Análisis de riesgos 1 12 32.000.000 384.000.000
Planificación de la continuidad del negocio y
1 3 66.666.667 200.000.000
recuperación tras un desastre
Recopilación de pruebas forenses 1 10 1.600.000 16.000.000
Respuesta a incidentes in situ 1 21 800.000 16.800.000
Evaluación de productos 1 3 4.000.000 12.000.000
Total Presupuesto Variable 1.016.266.667
Total Presupuesto Costo de Funcionamiento Año 1 2.895.266.667
Presupuesto de Ventas
Presupuesto de Ventas de Servicios para miembros y

no miembros
Graduación Nivel 2 1 0 4.000.000 0
Graduación Nivel 3 1 50 8.000.000 400.000.000
Página 168 de 188

GOBIERNO EN LÍNEA
Costo
Frecuencia
Anual
Mensual
Auditorías de la seguridad 1 25 36.666.667 916.666.667
Configuración y mantenimiento de la seguridad 1 13 4.000.000 52.000.000
Análisis de riesgos 1 12 80.000.000 960.000.000
Planificación de la continuidad del negocio y
1 3 166.666.667 500.000.000
recuperación tras un desastre
Presupuesto de Ventas de Servicios para no miembros
Recopilación de pruebas forenses 1 10 4.000.000 40.000.000
Respuesta a incidentes in situ 1 21 2.000.000 42.000.000
Evaluación de productos 1 3 10.000.000 30.000.000
Total Presupuesto de Ventas Año 1 2.940.666.667
A continuación se describen algunos de los criterios utilizados para la estimación preliminar del
presupuesto de Inversión y Funcionamiento para el montaje del CSIRT en Colombia.
10.1. PRESUPUESTO DE INVERSIÓN
El Presupuesto de Inversión comprende todo el cuadro de adquisición de maquina y equipo que permitan
asegurar el proceso productivo y ampliar la cobertura del mercado. Los principales componentes
considerados para el Presupuesto de Inversión son:
 Estudios y Diseños: Los costos de Estudios y Diseños incluyen las evaluaciones de riesgos y
vulnerabilidades de seguridad de la información tanto nacionales como internacionales, que permitan
prevenir la acción de los incidentes y crear una línea base para el desarrollo de los servicios y el
monitoreo de la seguridad nacional de la información en las entidades atendidas por la Estrategia de
Gobierno en Línea.
 Plataforma Tecnológica: incluye el hardware y software requerido para garantizar la operación y la

seguridad de la información propia del CSIRT así como la necesaria para la prestación de los servicios
ofrecidos.
 Infraestructura: Incluye la planta física requerida para la operación del CSIRT.
10.2. PRESUPUESTO DE FUNCIONAMIENTO
El presupuesto de funcionamiento incluye las actividades para el período siguiente al cual se elabora (en el
caso de este documento será el ejercicio 2009). Son estimados que en forma directa tienen que ver con la
razón principal de la entidad. Los principales componentes del Presupuesto de Funcionamiento son:
 Costos de Personal - Salarios: Se considera la estructura organizacional considerada de manera

preliminar en el presente documento, con salarios acordes el mercado laboral y los perfiles requeridos.
Página 169 de 188

GOBIERNO EN LÍNEA
 Costos de Reclutamiento: Asume la contratación de un tercero para el proceso de búsqueda y

reclutamiento del personal del CSIRT.
 Entrenamiento: Costos asociados con la preparación técnica del personal para un mejor desempeño en
la operación.
 Operación: Costos estimados asociados a la operación diaria del CSIRT en la prestación de los servicios
ofrecidos: Atención de incidentes y la sensibilización de la comunidad, entre otros.
 Costos de Infraestructura, considerando el posible alquiler del espacio físico para la operación, los
servicios públicos y le mantenimiento de la planta y equipos.
 Costo Variable adicional: Es el costo variable que depende de volumen de ventas. A este costo se
descuenta el costo de personal de planta disponible permanentemente para e desarrollo de proyectos.
 Presupuesto de ventas: Se estima con base en tarifas y comportamientos esperados del mercado y
considerando que la operación del CSIRT en Colombia comience en mayo de 2009.
Página 170 de 188

Detalle Presupuesto de Ventas (Millones de Pesos) - Año 1
Presupuesto de Ventas:
Rango de
Precios
dependiendo Precio
Ventas del tamaño Unitario May Jun Jul Ago Sep Oct Nov Dic Totales
de la entidad Ponderado
y alcance del
servicio
Graduación Nivel 2 Unidades 0
8 4 0 0 0 0 0 0 0 0 0
Graduación Nivel 3 Unidades 2 3 5 6 6 8 11 9 50
15 8 16 24 40 48 48 64 88 72 400
Presupuesto de Ventas de Servicios para miembros y no miembros

GOBIERNO EN LÍNEA
4
Auditorías de la Unidades
1 2 2 2 4 4 6 25
seguridad
"5 - 100 37 37 73 73 73 147 147 147 220 917
Configuración y
mantenimiento de Unidades 1 1 1 2 2 2 2 2 13
la seguridad
1 - 10 4 4 4 4 8 8 8 8 8 52
Análisis de riesgos Unidades 1 1 1 1 2 2 2 2 12
20 - 200 80 80 80 80 80 160 160 160 160 960
Planificación de la
continuidad del
negocio y Unidades 1 1 1 3
recuperación tras
un desastre
50 - 400 167 0 0 167 0 167 0 167 0 500
Presupuesto de Ventas de Servicios para no miembros
Página 172 de 188

GOBIERNO EN LÍNEA
Recopilación de
Unidades 1 1 1 1 1 1 2 2 10
pruebas forenses
1 - 10 4 4 4 4 4 4 4 8 8 40
Respuesta a
Unidades 1 2 3 4 5 6 21
incidentes in situ
2 2 0 0 2 4 6 8 10 12 42
Evaluación de
Unidades 1 1 1 3
productos
10 10 0 0 0 0 0 10 10 10 30
Página 173 de 188

11. TERMINOLOGÍA
Acción correctiva: (Inglés: Corrective action). Medida de tipo reactivo orientada a eliminar la causa de una
no-conformidad asociada a la implementación y operación del SGSI con el fin de prevenir su repetición.
Acción preventiva: (Inglés: Preventive action). Medida de tipo pro-activo orientada a prevenir potenciales
no-conformidades asociadas a la implementación y operación del SGSI.
Accreditation body: Véase: Entidad de acreditación.
Aceptación del Riesgo: (Inglés: Risk acceptance). Según [ISO/IEC Guía 73:2002]: Decisión de aceptar un
riesgo.
Activo: (Inglés: Asset). En relación con la seguridad de la información, se refiere a cualquier información o
sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Según [ISO/IEC
13335-1:2004]: Cualquier cosa que tiene valor para la organización.
Alcance: (Inglés: Scope). Ámbito de la organización que queda sometido al SGSI. Debe incluir la
identificación clara de las dependencias, interfaces y límites con el entorno, sobre todo si sólo incluye una
parte de la organización.
Alerta: (Inglés: Alert). Una notificación formal de que se ha producido un incidente relacionado con la
seguridad de la información que puede evolucionar hasta convertirse en desastre.
Amenaza: (Inglés: Threat). Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el
cual puede causar el daño a un sistema o la organización.
Análisis de riesgos: (Inglés: Risk analysis). Según [ISO/IEC Guía 73:2002]: Uso sistemático de la
información para identificar fuentes y estimar el riesgo.
Análisis de riesgos cualitativo: (Inglés: Qualitative risk analysis). Análisis de riesgos en el que se usa una
escala de puntuaciones para situar la gravedad del impacto.
GOBIERNO EN LÍNEA
Análisis de riesgos cuantitativo: (Inglés: Quantitative risk analysis). Análisis de riesgos en función de las
pérdidas financieras que causaría el impacto.
Asset: Véase: Activo.
Assets inventory: Véase: Inventario de activos.
Audit: Véase: Auditoría.
Auditor: (Inglés: Auditor). Persona encargada de verificar, de manera independiente, la calidad e

integridad del trabajo que se ha realizado en un área particular.
Auditor de primera parte: (Inglés: First party auditor). Auditor interno que audita la organización en
nombre de ella misma. En general, se hace como mantenimiento del sistema de gestión y como
preparación a la auditoría de certificación.
Auditor de segunda parte: (Inglés: Second party auditor). Auditor de cliente, es decir, que audita una
organización en nombre de un cliente de la misma. Por ejemplo, una empresa que audita a su proveedor
de outsourcing.
Auditor de tercera parte: (Inglés: Third party auditor). Auditor independiente, es decir, que audita una
organización como tercera parte independiente. Normalmente, porque la organización tiene la intención de
lograr la certificación.
Auditor jefe: (Inglés: Lead auditor). Auditor responsable de asegurar la conducción y realización eficiente y
efectiva de la auditoría, dentro del alcance y del plan de auditoría aprobado por el cliente.
Auditoría: (Inglés: Audit). Proceso planificado y sistemático en el cual un auditor obtiene evidencias
objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una
organización.
Autenticación: (Inglés: Authentication). Proceso que tiene por objetivo asegurar la identificación de una
persona o sistema.
Authentication: Véase: Autenticación.
Availability: Véase: Disponibilidad.
BS7799: Estándar británico de seguridad de la información, publicado por primera vez en 1995. En 1998,
fue publicada la segunda parte. La parte primera es un conjunto de buenas prácticas para la gestión de la
seguridad de la información -no es certificable- y la parte segunda especifica el sistema de gestión de
Página 175 de 188

GOBIERNO EN LÍNEA
seguridad de la información -es certificable-. La parte primera es el origen de ISO 17799 e ISO 27002 y la
parte segunda de ISO 27001. Como tal estándar, ha sido derogado ya, por la aparición de estos últimos.
BSI: British Standards Institution. Comparable al AENOR español, es la Organización que ha publicado la
serie de normas BS 7799, además de otros varios miles de normas de muy diferentes ámbitos.
Business Continuity Plan: Véase: Plan de continuidad del negocio.
CERT (Computer Emergency Response Team): Equipo de Respuesta a Emergencias Computacionales

(Marca registrada por la Universidad Carnegie - Melon).
Certification body: Véase: Entidad de certificación.
CIA: Acrónimo inglés de confidencialidad, integridad y disponibilidad, los parámetros básicos de la

CID: Acrónimo español de confidencialidad, integridad y disponibilidad, los parámetros básicos de la

CCEB: Criterio Común para la Seguridad de Tecnología de Información.
Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los
objetivos de la auditoría, sirve de evidencia del plan de auditoría, asegura su continuidad y profundidad y
reduce los prejuicios del auditor y su carga de trabajo. Este tipo de listas también se pueden utilizar
durante la implantación del SGSI para facilitar su desarrollo.
Clear desk policy: Véase: Política de escritorio despejado.
CobiT: Control Objectives for Information and related Technology. Publicados y mantenidos por ISACA. Su
misión es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnología de
Información rectores, actualizados, internacional y generalmente aceptados para ser empleados por
gerentes de empresas y auditores.
Código malicioso (Malicious Code, Malware): Cubre virus, gusanos, y Troyanos electrónicos. Se pueden
distribuir a través de varios métodos incluyendo el email, Web site, shareware / freeware y de otros
medios tales como material promocional.
Compromiso de la Dirección: (Inglés: Management commitment). Alineamiento firme de la Dirección de la

organización con el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y
mejora del SGSI.
Página 176 de 188

GOBIERNO EN LÍNEA
Confidencialidad: (Inglés: Confidenciality). Acceso a la información por parte únicamente de quienes estén
autorizados. Según [ISO/IEC 13335-1:2004]:" característica/propiedad por la que la información no está
disponible o revelada a individuos, entidades, o procesos no autorizados.
Confidenciality: Véase: Confidencialidad.
Contramedida: (Inglés: Countermeasure). Véase: Control.
Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para
mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. (Nota: Control
es también utilizado como sinónimo de salvaguarda o contramedida.
Control correctivo: (Inglés: Corrective control). Control que corrige un riesgo, error, omisión o acto
deliberado antes de que produzca pérdidas. Supone que la amenaza ya se ha materializado pero que se
corrige.
Control detectivo: (Inglés: Detective control). Control que detecta la aparición de un riesgo, error, omisión
o acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige.
Control disuasorio: (Inglés: Deterrent control). Control que reduce la posibilidad de materialización de una
amenaza, p.ej., por medio de avisos disuasorios.
Control preventivo: (Inglés: Preventive control). Control que evita que se produzca un riesgo, error,
omisión o acto deliberado. Impide que una amenaza llegue siquiera a materializarse.
Control selection: Véase: Selección de controles.
Corrective action: Véase: Acción correctiva.
Corrective control: Véase: Control correctivo.
COSO: Committee of Sponsoring Organizations of the Treadway Commission. Comité de Organizaciones

Patrocinadoras de la Comisión Treadway. Se centra en el control interno, especialmente el financiero. En
Colombia este estándar fue utilizado para realizar el estándar de control interno MECI.
Countermeasure: Contramedida. Véase: Control.
CSIRT (Computer Security Incident Response Team): Equipo de Respuesta a Incidentes de Seguridad
Computacional
Declaración de aplicabilidad: (Inglés: Statement of Applicability, SOA). Documento que enumera los
controles aplicados por el SGSI de la organización -tras el resultado de los procesos de evaluación y
Página 177 de 188

GOBIERNO EN LÍNEA
tratamiento de riesgos- además de la justificación tanto de su selección como de la exclusión de controles

incluidos en el anexo A de la norma.
Denial of service: Véase: Negación de Servicios.
Desastre: (Inglés: Disaster). Cualquier evento accidental, natural o malintencionado que interrumpe las
operaciones o servicios habituales de una organización durante el tiempo suficiente como para verse la
misma afectada de manera significativa.
Detective control: Véase: Control detectivo.
Deterrent control: Véase: Control disuasorio.
Directiva: (Inglés: Guideline). Según [ISO/IEC 13335-1:2004]: una descripción que clarifica qué debería ser
hecho y cómo, con el propósito de alcanzar los objetivos establecidos en las políticas.
Disaster: Véase: Desastre.
Disponibilidad: (Inglés: Availability). Acceso a la información y los sistemas de tratamiento de la misma por
parte de los usuarios autorizados cuando lo requieran. Según [ISO/IEC 13335-1:2004]: característica o
propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada.
Entidad de acreditación: (Inglés: Accreditation body). Un organismo oficial que acredita a las entidades
certificadoras como aptas para certificar según diversas normas. Suele haber una por país. Son ejemplos
de entidades de acreditación: ENAC (España), UKAS (Reino Unido), EMA (México), OAA (Argentina)...
Entidad de certificación: (Inglés: Certification body). Una empresa u organismo acreditado por una entidad
de acreditación para auditar y certificar según diversas normas (ISO 27000, ISO 9000, ISO 14000, etc.) a
empresas usuarias de sistemas de gestión.
ESF: Foro europeo de seguridad, en el que cooperan más de 70 multinacionales fundamentalmente

europeas con el objeto de llevar a cabo investigaciones relativas a los problema comunes de seguridad y
control en TI.
Evaluación de riesgos: (Inglés: Risk evaluation). Según [ISO/IEC Guía 73:2002]: proceso de comparar el
riesgo estimado contra un criterio de riesgo dado con el objeto de determinar la importancia del riesgo.
Evento: (Inglés: information security event). Según [ISO/IEC TR 18044:2004]: Suceso identificado en un
sistema, servicio o estado de la red que indica una posible brecha en la política de seguridad de la
información o fallo de las salvaguardias, o una situación anterior desconocida que podría ser relevante para
la seguridad.
Página 178 de 188

GOBIERNO EN LÍNEA
Evidencia objetiva: (Inglés: Objective evidence). Información, registro o declaración de hechos, cualitativa
o cuantitativa, verificable y basada en observación, medida o test, sobre aspectos relacionados con la
confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e implementación
de un elemento del sistema de seguridad de la información.
Fase 1 de la auditoría: Fase en la que, fundamentalmente a través de la revisión de documentación, se

analiza en SGSI en el contexto de la política de seguridad de la organización, sus objetivos, el alcance, la
evaluación de riesgos, la declaración de aplicabilidad y los documentos principales, estableciendo un marco
para planificar la fase 2.
Fase 2 de la auditoría: Fase en la que se comprueba que la organización se ajusta a sus propias políticas,
objetivos y procedimientos, que el SGSI cumple con los requisitos de ISO 27001 y que está siendo efectivo.
FIRST (Forum of Incident Response and Security Teams): Foro global de Equipos de Respuesta a
Incidentes y Seguridad.
First party auditor: Véase: Auditor de primera parte.
Gestión de claves: (Inglés: Key management). Controles referidos a la gestión de claves criptográficas.
Gestión de riesgos: (Inglés: Risk management). Proceso de identificación, control y minimización o

eliminación, a un coste aceptable, de los riesgos que afecten a la información de la organización. Incluye la
valoración de riesgos y el tratamiento de riesgos. Según [ISO/IEC Guía 73:2002]: actividades coordinadas
para dirigir y controlar una organización con respecto al riesgo.
Guideline: Véase: Directiva.
Hacking: Es el término que cubre cualquier tentativa de tener acceso desautorizado a un sistema
informático.
Humphreys, Ted: Experto en seguridad de la información y gestión del riesgo, considerado "padre" de las
normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002.
I4: Instituto Internacional para la Integridad de la Información, asociación similar a la ESF, con metas
análogas y con sede principal en los EE.UU. Es manejado por el Instituto de Investigación de Standford.
Página 179 de 188

GOBIERNO EN LÍNEA
IBAG: Grupo asesor de empresas de Infosec, representantes de la industria que asesoran al Comité de
Infosec. Este comité está integrado por funcionarios de los gobiernos de la Comunidad Europea y brinda su
asesoramiento a la Comisión Europea en asuntos relativos a la seguridad de TI.
IEC: International Electrotechnical Commission. Organización internacional que publica estándares

relacionados con todo tipo de tecnologías eléctricas y electrónicas.
IIA: Instituto de Auditores Internos.
Impacto: (Inglés: Impact). El coste para la empresa de un incidente -de la escala que sea-, que puede o
no ser medido en términos estrictamente financieros -p.ej., pérdida de reputación, implicaciones legales,
etc.
Impact: Véase: Impacto.
 Incidente: Según [ISO/IEC TR 18044:2004]: Evento único o serie de eventos de seguridad de la

información inesperados o no deseados que poseen una probabilidad significativa de comprometer las
operaciones del negocio y amenazar la seguridad de la información. Algunos ejemplos comunes son:
 Spam: Envío de correo masivo no solicitado.
 Tomar el control de la computadora del alguien diferente usando un virus informático, un error del
software, un Troyano, etc.
 Negación del servicio de la computadora o de la red.
 Infracción de copyright: música, películas, programas de computadora, etc.
 Phishing: Generalmente enviando correos electrónicos que intentan inducir a brindar datos
importantes.
 Pharming: Redirigir tráfico de la red de un servidor a otra red controlada para descubrir códigos de
acceso o información confidencial.
Information processing facilities: Véase: Servicios de tratamiento de información.
Information Systems Management System: Véase: SGSI.
Information security: Véase: Seguridad de la información.
INFOSEC: Comité asesor en asuntos relativos a la seguridad de TI de la Comisión Europea.
Página 180 de 188

GOBIERNO EN LÍNEA
Integridad: (Inglés: Integrity). Mantenimiento de la exactitud y completitud de la información y sus

métodos de proceso. Según [ISO/IEC 13335-1:2004]: propiedad/característica de salvaguardar la exactitud
y completitud de los activos.
Integrity: Véase: Integridad.
Inventario de activos: (Inglés: Assets inventory). Lista de todos aquellos recursos (físicos, de información,
software, documentos, servicios, personas, reputación de la organización, etc.) dentro del alcance del
SGSI, que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos.
IRCA: International Register of Certified Auditors. Acredita a los auditores de diversas normas, entre ellas
ISO 27001.
ISACA: Information Systems Audit and Control Association. Publica CobiT y emite diversas acreditaciones
en el ámbito de la seguridad de la información.
ISACF: Fundación de Auditoría y Control de Sistemas de Información.
ISC2: Information Systems Security Certification Consortium, Inc. Organización sin ánimo de lucro que
emite diversas acreditaciones en el ámbito de la seguridad de la información.
ISMS: Information Systems Management System. Véase: SGSI.
ISO: Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una agrupación de
organizaciones nacionales de normalización cuyo objetivo es establecer, promocionar y gestionar
estándares.
ISO 17799: Código de buenas prácticas en gestión de la seguridad de la información adoptado por ISO
transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio de nomenclatura el
1 de Julio de 2007.
ISO 19011: “Guidelines for quality and/or environmental management systems auditing”. Guía de utilidad
para el desarrollo de las funciones de auditor interno para un SGSI.
ISO 27001: Estándar para sistemas de gestión de la seguridad de la información adoptado por ISO
transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicación en 2005.
ISO 27002: Código de buenas prácticas en gestión de la seguridad de la información (transcripción de ISO
17799). No es certificable. Cambio de oficial de nomenclatura de ISO 17799:2005 a ISO 27002:2005 el 1
de Julio de 2007.
ISO 9000: Normas de gestión y garantía de calidad definidas por la ISO.
Página 181 de 188

GOBIERNO EN LÍNEA
ISO/IEC TR 13335-3: “Information technology. Guidelines for the management of IT Security.Techniques

for the management of IT Security.” Guía de utilidad en la aplicación de metodologías de evaluación del
riesgo.
ISO/IEC TR 18044: „Information technology. Security techniques. Information security incident

management“ Guía de utilidad para la gestión de incidentes de seguridad de la información.
ISSA: Information Systems Security Association.
ISSAP: Information Systems Security Architecture Professional. Una acreditación de ISC2.
ISSEP: Information Systems Security Engineering Professional. Una acreditación de ISC2.
ISSMP: Information Systems Security Management Professional. Una acreditación de ISC2.
ITIL: IT Infrastructure Library. Un marco de gestión de los servicios de tecnologías de la información.
ITSEC: Criterios de evaluación de la seguridad de la tecnología de información. Se trata de criterios

unificados adoptados por Francia, Alemania, Holanda y el Reino Unido. También cuentan con el respaldo
de la Comisión Europea (véase también TCSEC, el equivalente de EEUU).
JTC1: Joint Technical Committee. Comité técnico conjunto de ISO e IEC específico para las TI.
Key management: Véase: Gestión de claves.
Lead auditor: Véase: Auditor jefe.
Major nonconformity: Véase: No conformidad grave.
Malware: Véase: Código malicioso.
Management commitment: Véase: Compromiso de la Dirección.
Página 182 de 188

GOBIERNO EN LÍNEA
NBS: Oficina Nacional de Normas de los EE.UU.
Negación del Servicio (Denial of Service – DoS): Los ataques de negación del servicio se diseñan
generalmente para obstruir sistemas informáticos de red con una inundación de tráfico en la red. Esta
inundación del tráfico tiene a menudo el efecto de negar el acceso al sistema informático para los usuarios
legítimos. El tráfico indeseado se genera a menudo usando los sistemas informáticos inocentes conocidos
como zombis, que se ha infectado previamente con código malévolo.
NIST: (ex NBS) Instituto Nacional de Normas y Tecnología, con sede en Washington, D.C.
No conformidad: (Inglés: Nonconformity). Situación aislada que, basada en evidencias objetivas,

demuestra el incumplimiento de algún aspecto de un requerimiento de control que permita dudar de la
adecuación de las medidas para preservar la confidencialidad, integridad o disponibilidad de información
sensible, o representa un riesgo menor.
No conformidad grave: (Inglés: Major nonconformity). Ausencia o fallo de uno o varios requerimientos de
la ISO 27001 que, basada en evidencias objetivas, permita dudar seriamente de la adecuación de las
medidas para preservar la confidencialidad, integridad o disponibilidad de información sensible, o
representa un riesgo inaceptable.
Nonconformity: Véase: No conformidad.
Objective evidence: Véase: Evidencia objetiva.
Objetivo: (Inglés: Objetive). Declaración del resultado o fin que se desea lograr mediante la
implementación de procedimientos de control en una actividad de TI determinada.
OCDE: Organización de Cooperación y Desarrollo Económico. Tiene publicadas unas guías para la
PDCA: Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las actividades de planificar
(establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y
actuar (mantener y mejorar el SGSI).
Plan de continuidad del negocio: (Inglés: Bussines Continuity Plan). Plan orientado a permitir la
continuación de las principales funciones del negocio en el caso de un evento imprevisto que las ponga en
peligro.
Página 183 de 188

GOBIERNO EN LÍNEA
Plan de tratamiento de riesgos: (Inglés: Risk treatment plan). Documento de gestión que define las
acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la información inaceptables
e implantar los controles necesarios para proteger la misma.
Política de seguridad: (Inglés: Security policy). Documento que establece el compromiso de la Dirección y
el enfoque de la organización en la gestión de la seguridad de la información. Según [ISO/IEC
27002:2005]: intención y dirección general expresada formalmente por la Dirección.
Política de escritorio despejado: (Inglés: Clear desk policy). La política de la empresa que indica a los
empleados que deben dejar su escritorio libre de cualquier tipo de informaciones susceptibles de mal uso
al finalizar el día.
Preventive action: Véase: Acción preventiva.
Preventive control: Véase: Control preventivo.
Qualitative risk analysis: Véase: Análisis de riesgos cualitativo.
Quantitative risk analysis: Véase: Análisis de riesgos cuantitativo.
Residual Risk: Véase: Riesgo Residual.
Riesgo: (Inglés: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para
causar una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la
probabilidad de un evento y sus consecuencias.
Riesgo Residual: (Inglés: Residual Risk). Según [ISO/IEC Guía 73:2002] El riesgo que permanece tras el
tratamiento del riesgo.
Risk: Véase: Riesgo.
Risk acceptance: Véase: Aceptación del riesgo.
Risk analysis: Véase: Análisis de riesgos.
Risk assessment: Véase: Valoración de riesgos.
Risk evaluation: Véase: Evaluación de riesgos.
Página 184 de 188

GOBIERNO EN LÍNEA
Risk management: Véase: Gestión de riesgos.
Risk treatment: Véase: Tratamiento de riesgos.
Risk treatment plan: Véase: Plan de tratamiento de riesgos.
Safeguard: Salvaguardia. Véase: Control.
Salvaguardia: (Inglés: Safeguard). Véase: Control.
Sarbanes-Oxley: Ley de Reforma de la Contabilidad de Compañías Públicas y Protección de los Inversores

aplicada en EEUU desde 2002. Crea un consejo de supervisión independiente para supervisar a los
auditores de compañías públicas y le permite a este consejo establecer normas de contabilidad así como
investigar y disciplinar a los contables. También obliga a los responsables de las empresas a garantizar la
seguridad de la información financiera.
Scope: Véase: Alcance.
Second party auditor: Véase: Auditor de segunda parte.
Security Policy: Véase: Política de seguridad.
Segregación de tareas: (Inglés: Segregation of duties). Reparto de tareas sensibles entre distintos
empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por
negligencia.
Segregation of duties: Véase: Segregación de tareas.
Seguridad de la información: Según [ISO/IEC 27002:2005]: Preservación de la confidencialidad, integridad

y disponibilidad de la información, además otras propiedades como autenticidad, responsabilidad, no
repudio y fiabilidad pueden ser también consideradas.
Selección de controles: Proceso de elección de los controles que aseguren la reducción de los riesgos a un
nivel aceptable.
SGSI: (Inglés: ISMS). Sistema de Gestión de la Seguridad de la Información. Según [ISO/IEC 27001:2005]:
la parte de un sistema global de gestión que, basado en el análisis de riesgos, establece, implementa,
opera, monitoriza, revisa, mantiene y mejora la seguridad de la información. (Nota: el sistema de gestión
incluye una estructura de organización, políticas, planificación de actividades, responsabilidades,
procedimientos, procesos y recursos.)
Página 185 de 188

GOBIERNO EN LÍNEA
Servicios de tratamiento de información: (Inglés: Information processing facilities). Según [ISO/IEC

27002:2005]: cualquier sistema, servicio o infraestructura de tratamiento de información o ubicaciones
físicas utilizados para su alojamiento.
Sistema de Gestión de la Seguridad de la Información: (Inglés: Information Systems Management System).

Ver SGSI.
SOA: Statement of Applicability. Véase: Declaración de aplicabilidad.
SSCP: Systems Security Certified Practitioner. Una acreditación de ISC2.
Statement of Applicability: Véase: Declaración de aplicabilidad.
TCSEC: Criterios de evaluación de la seguridad de los sistemas de computación, conocidos también con el
nombre de Orange Book (Libro naranja), definidos originalmente por el Ministerio de Defensa de los
EE.UU. Véase también ITSEC, el equivalente europeo.
TERENA (Trans-European Research and Education Networking Association): Una organización europea que
soporta la Internet y las actividades y servicios sobre la infraestructura con la comunidad académica.
TF-CSIRT: Foro internacional para la cooperación en CSIRT a nivel Europeo. Consiste en 2 grupos, uno
cerrado accessible solo para equipos acreditados y uno abierto acesible a cualquier persona interesada en
CSIRT. TF-CSIRT es una de las actividades de la organización internacional TERENA.
Third party auditor: Véase: Auditor de tercera parte.
Threat: Véase: Amenaza.
TickIT: Guía para la Construcción y Certificación del Sistema de Administración de Calidad del Software.
Tratamiento de riesgos: (Inglés: Risk treatment). Según [ISO/IEC Guía 73:2002]: Proceso de selección e
implementación de medidas para modificar el riesgo.
Valoración de riesgos: (Inglés: Risk assessment). Según [ISO/IEC Guía 73:2002]: Proceso completo de
análisis y evaluación de riesgos.
Vulnerabilidad: (Inglés: Vulnerability). Debilidad en la seguridad de la información de una organización que

potencialmente permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de
un activo o conjunto de activos que puede ser explotado por una amenaza.
Página 186 de 188

GOBIERNO EN LÍNEA
Vulnerability: Véase: Vulnerabilidad.
WG1, WG2, WG3, WG4, WG5: WorkGroup 1, 2, 3, 4, 5. Grupos de trabajo del subcomité SC27 de JTC1
(Joint Technical Committee) de ISO e IEC. Estos grupos de trabajo se encargan del desarrollo de los
estándares relacionados con técnicas de seguridad de la información.
Página 187 de 188

GOBIERNO EN LÍNEA
12. ANEXOS
Página 188 de 188

Diseno de Un CSIRT Colombiano

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Diseno de Un CSIRT Colombiano

Uploaded by

Copyright:

Available Formats

DISEÑO DE UN CSIRT DE COLOMBIA PARA LA ESTRATEGIA GOBIERNO EN LÍNEA

ÁREA DE INVESTIGACIÓN Y PLANEACIÓN

Bogotá, D.C., Diciembre de 2008

FORMATO PRELIMINAR AL DOCUMENTO

MANUAL PARA LA CONSTITUCIÓN DE UN CSIRT COLOMBIANO

Formato: Lenguaje: Castellano

Dependencia: Dirección de planificación e investigación

Código: Versión: 2 Estado: En elaboración

VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN

2. INICIATIVAS Y EXPERIENCIAS NACIONALES E INTERNACIONALES EN CSIRTS .....................................................25

2.1. ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL MUNDO...............................................................25

2.1.20. ESPAÑA – IRIS-CERT (SERVICIO DE SEGURIDAD DE REDIRIS)..........................................................................69

3. DEFINICIÓN DE LA ORGANIZACIÓN CSIRT PARA COLOMBIA............................................................................112

3.1. TIPO DE ENTIDAD......................................................................................................................................112

4.1. SERVICIOS PREVENTIVOS...........................................................................................................................119

5.1. DELIMITACIÓN SISTÉMICA.........................................................................................................................128

6. ANÁLISIS DEL MERCADO.................................................................................................................................134

6.1. MACRO ENTORNO.....................................................................................................................................135

7.1. PERSPECTIVA SEGURIDAD DE LA INFORMACIÓN NACIONAL.......................................................................143

9. ETAPAS PARA LA CONFORMACIÓN DEL CSIRT – COLOMBIA............................................................................162

10. PRESUPUESTO PRELIMINAR DE INVERSIÓN Y FUNCIONAMIENTO................................................................163

10.1. PRESUPUESTO DE INVERSIÓN.....................................................................................................................165

Ilustración 1: Países con CSIRTs Miembros de FIRST.............................................................................34

Ilustración 2: Estructura de ENISA........................................................................................................42

Ilustración 3: Modelo Detallado del Sistema Administrativo Nacional de Seguridad de la

Ilustración 4: Delimitación Sistemática de la Entidad............................................................................128

Ilustración 5: Modelo Tecnológico del CSIRT.......................................................................................129

Ilustración 6: Modelo de Segmentación del CSIRT...............................................................................130

Ilustración 7: Despliegue de Procesos.................................................................................................131

Ilustración 8: Catálogo de Procesos....................................................................................................132

Ilustración 9: Catálogo de Procedimientos...........................................................................................132

Ilustración 10: de Análisis del Mercado................................................................................................134

Ilustración 11: Marco Político, Económico, Social y Tecnológico del CSIRT.............................................135

Ilustración 12: Análisis de Competitividad de Porter.............................................................................136

Ilustración 13: Matriz DOFA................................................................................................................138

Ilustración 14: Modelo de Gestión.......................................................................................................140

Ilustración 15: Alineación de la Visión y la Estrategia...........................................................................141

Ilustración 16: Mapa Estratégico.........................................................................................................142

Ilustración 17: Perspectivas y Orientadores Estratégicos......................................................................143

Ilustración 18: Estructura Organizacional Propuesta.............................................................................151

 SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx:

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se

Copyright © 1995 - 2006 by FIRST.org, Inc.

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se

Copyright(C) 2008 APCERT. All rights reserved

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se

 Alemania - CERT-Bund. http://www.bsi.bund.de/certbund/

© Federal Office for Information Security (BSI). All rights reserved

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se

 Arabia Saudita - CERT-SA. http://www.cert.gov.sa/

Copyright © 2006 - 2007 | Disclaimer. All Rights Reserved

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se

 Argentina – ArCERT. http://www.arcert.gov.ar/

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se

 Australia – AusCERT. http://www.auscert.org.au/

Se solicita autorización. Respuesta:

Date: Wed, 1 Oct 2008 03:43:58 +0000

-----BEGIN PGP SIGNED MESSAGE-----

Computer Security Analyst | Hotline: +61 7 3365 4417

AusCERT, Australia's National CERT | Fax: +61 7 3365 7031

The University of Queensland | WWW: www.auscert.org.au