Universidad Tecnica de Loja

CREACION DEL CSIRT - UTPL

1

UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA

ESCUELA DE CIENCIAS DE LA COMPUTACIÓN

“CREACION DE UN EQUIPO DE RESPUESTA

A INCIDENTES DE SEGURIDAD PARA LA

UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA

CSIRT-UTPL”

Tesis previa a la obtención del

Título de Ingeniero en Sistemas

Informáticos y Computación

Msc. María Paula Espinoza v.

DIRECTORA

REBECA ELIZABETH PILCO VIVANCO

AUTORA

Loja - Ecuador 2008


2

Loja, Agosto de 2008

Msc. María Paula. Espinoza V.

DIRECTORA DE TESIS

CERTIFICA:

Que la Señorita Rebeca Elizabeth Pilco Vivanco, autora de la tesis CREACIÓN DEL

EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORMÁTICA PARA

LA UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA – CSIRT-UTPL, ha cumplido

con los requisitos estipulados en el Reglamento General de la Universidad Técnica

Particular de Loja, la misma que ha sido coordinada y revisada durante todo el

proceso de desarrollo desde su inicio hasta la culminación, por lo cual autorizo su

presentación.

_________________________

Msc. María P. Espinoza V.

DIRECTORA DE TESIS


3

AUTORÍA

El presente proyecto de Tesis con cada una de sus observaciones, análisis, opiniones,

evaluaciones, recomendaciones y conclusiones emitidas; es de exclusiva

responsabilidad de la Autora. Además, es necesario mencionar que la información de

otros autores empleada en el presente trabajo, está debidamente especificada en

fuentes de referencia y apartados bibliográficos.

_________________________

Rebeca Elizabeth Pilco Vivanco

TESISTA


4

CESIÓN DE DERECHOS

Yo, Rebeca Elizabeth Pilco Vivanco, declaro conocer y estar en acuerdo con la

disposición del Estatuto Orgánico de la Universidad en su Art. 67, donde se enuncia

que: “Forman parte del patrimonio de la Universidad la propiedad intelectual de

investigaciones, trabajos científicos o técnicos y tesis de grado que se realicen a

través, o con el apoyo financiero académico o institucional (operativo) de la

Universidad”.

_________________________

Rebeca Elizabeth Pilco Vivanco

TESISTA


5

DEDICATORIA

Cuando trabajamos en algo que contribuye a nuestro desarrollo

personal y profesional siempre contamos con la ayuda de varias

personas que con sus consejos nos ayudan a cumplir nuestros

objetivos y metas, hoy quiero dedicar este trabajo a muchas

personas que me han brindado su apoyo…..

A mis padres Henry y Teresa, gracias por su esfuerzo, su

paciencia y por el apoyo que me han brindado en todas las

actividades que he realizado a lo largo de mi vida.

Mis hermanos Daniel y Caty, gracias por ser parte de mi vida y

sobre todo por su apoyo incondicional.

Mis amig@s que junto con mis hermanos me han demostrado el

valor de la amistad, gracias por los momentos bonitos que

hemos compartido.

Rebeca


6

AGRADECIMIENTO

Quiero primeramente dar gracias a Dios por ser

mi guía y mi fortaleza, gracias por haberme

concedido la vida y por la compañía y la amistad

de las personas que me rodean.

Gracias a mis padres y mis hermanos por su

esfuerzo, paciencia, apoyo constante y sobre

todo por brindarme grandes momentos que me

han enseñado el valor de la familia.

Gracias a la Universidad Técnica Particular de

Loja, a la Escuela de Ciencias de la

Computación y a sus docentes, por permitirme

formar parte de la universidad y prepararme en

el ámbito profesional y personal.

Finalmente a mi Directora de Tesis Ing. María

Paula, gracias por el tiempo dedicado para la

culminación de la presente tesis.

Rebeca


7

INDICE GENERAL

CERTIFICACIÓN.……………………………………………..………………………….....I

AUTORÍA…………………………………………...……………..………………………...II

CESIÓN DE DERECHOS…………………………… …………………………………...III

DEDICATORIA………….……………………………………………...………………….IV

AGRADECIMIENTO…………………………………………… ……………..………….V

INTRODUCCION…………………………………………………………… … …..……..…1

OBJETIVOS………………………………………………………………… ……...………..2

DESCRIPCION DELPROBLEMA…………………………………………………………..3

1. EQUIPOS DE RESPUESTA A EMERGENCIAS INFORMÁTICAS ………………..6

1.1. Antecedentes…………………………………………………………………….6

1.2. Definición…………………………………………………………….……..……7

1.3. SERVICIOS DE UN CSIRT…………………………….……..….……….…..8

1.3.1. Servicios Reactivos………………………………………………….…9

1.3.1.1. Alertas y Advertencias………………………………………...10

1.3.1.2. Manejo de Incidentes………………………………………….10

1.3.1.2.1. Análisis de Incidentes………………………………….10

1.3.1.2.2. Respuesta a Incidentes en el Lugar………………....11

1.3.1.2.3. Soporte a la Respuesta a Incidentes………………...11

1.3.1.2.4. Coordinación de la Respuesta a Incidentes……....11

1.3.1.3. Manejo de Vulnerabilidades………………………………...12

1.3.1.3.1. Análisis de las Vulnerabilidades……………………..12

1.3.1.3.2. Respuesta a las Vulnerabilidades…………………...12

1.3.1.3.3. Coordinación de Respuesta a

Vulnerabilidades………………………………………….12

1.3.1.4. Manejo de Artifact………………………………………...……13


8

1.3.1.4.1. Análisis de Artifact……………………………..……….13

1.3.1.4.2. Respuesta a Artifact…………………………..………..13

1.3.1.4.3. Coordinación de Respuesta a Artifact………………13

1.3.2. Servicios Proactivos………………………………..………………….13

1.3.2.1. Anuncios………………………………………………………...13

1.3.2.2. Observatorio de Tecnología……………………..…………..14

1.3.2.3. Evaluaciones o Auditorias de la Seguridad……………….14

1.3.2.4. Configuración y Mantenimiento de las

Herramientas, Aplicaciones, Infraestructuras

y Servicios de Seguridad…………………………………...14

1.3.2.5. Desarrollo de Herramientas de Seguridad………………...14

1.3.2.6. Servicios de Detección de Intrusiones…………………….14

1.3.2.7. Difusión de la Información Relacionada con la

Seguridad……………………………………………………….15

1.3.3. Servicios de Administración de Calidad de la

Seguridad………………………………………………………………..15

1.3.3.1. Análisis de Riesgos…………………………………………..15

1.3.3.2. Planificación de la Continuidad del Negocio y

Recuperación del Desastre…………………………………..15

1.3.3.3. Consultoría de Seguridad……………………………………16

1.3.3.4. Concientización……………………………………………….16

1.3.3.5. Educación /Capacitación…………………………………….16

1.3.3.6. Evaluación o Certificación de Productos…………………..16

1.4. Tipos de Equipos de Respuesta a Incidentes……………………………16

1.4.1. CSIRT del Sector Académico……………………………………...17

1.4.2. CSIRT del Sector Comercial……………………………………….17

1.4.3. CSIRT del Sector Publico…………………………………………….17


9

1.4.4. CSIRT del Sector Interno……………………………………………..17

1.4.5. CSIRT del Sector Militar………………………………………………18

1.4.6. CSIRT del Sector Nacional………………………………………...18

1.4.7. CSIRT del Sector de la Pequeña y Mediana Empresa………....18

1.4.8. CSIRT de Coordinación………………………………….…………18

1.5. Personal que conforma un CSIRT……--…………………………….………19

2. EQUIPOS CSIRT A NIVEL MUNDIAL …………………………………….………….28

2.1. FIRST………………………………………………………………….…………28

2.2. Equipos de Respuesta a Incidentes en América.……...……….………..29

2.3. Equipos de Respuesta a Incidentes en Europa…………………………..31

2.4. Equipos de Respuesta a Incidentes en Asia y Pacífico.………………...32

3. INCIDENTES ………………………………………………………………………...…..39

3.1.Definición………………………………………….…………………..…….….39

3.2. Manejo de Incidentes…………………………………………….….…...…..40

3.2.1. Modelo propuesto por NIST/SANS…………………………………..40

3.2.1.1. Preparación………………………………………………………41

3.2.1.2. Detección y Análisis…..………………………………..…….41

3.2.1.3. Contención, Resolución y Recuperación…………………..44

3.2.1.4. Actividades Posteriores…………….………………………..45

3.2.2. Modelo Propuesto por el CERT/CC………………………………….45

3.2.2.1. Función Triage…………………….……………………………46

3.2.2.2. Función Manejo..………………….……………………………47

3.2.2.3. Función de Anuncio…………………….……………………47

3.2.2.3. Función de Retroalimentación……………...……………….48

3.2.3. Metodología a usar en el CSIRT-UTPL………………………………49


10

3.3. Políticas y Procedimientos para la Respuesta a Incidente....................49

3.4. Norma ISO 17799…………………………………………..…………………..52

4. MODELO ORGANIZACIONAL DE UN CSIRT ……………………………………....56

4.1. Equipo de Seguridad…………………………………………...…..…..…….56

4.2. CSIRT Interno Distribuido…………………………………………………...58

4.3. CSIRT Interno Centralizado……………… ………………………………...60

4.4. CSIRT Interno Combinado…………………………………………………..62

4.5. CSIRT de Coordinación……… ………………………………….………….64

5. PASOS PARA LA CREACION DE UN CSIRT………………………………….…….70

5.1. Creating a Computer Security Incident Response Team…….…...........72

5.1.1.Oobtener Apoyo de la Organización…………………………….…….72

5.1.2. Determinar el Plan Estratégico del CSIRT……………………… .….72

5.1.3. Obtener Información Relevante………………………………..……..73

5.1.4. Diseñar la Visión del CSIRT…………………………………..……….74

5.1.4.1. Misión del Equipo…………………………………..….……..74

5.1.4.2. Contituency………………………………………..……….….75

5.1.4.3. Lugar en la Organización………………………..………......76

5.1.4.4. Relación con otros Equipos……………………..…………..76

5.1.5. Comunicar la Visión y Plan Operativo del CSIRT………..…………76

5.1.6. Comenzar la Implementación del CSIRT……………..………….....76

5.1.7. Anunciar que el CSIRT está en Funcionamiento….…………….....77

5.1.8. Evaluar la Efectividad del CSIRT…………………..…………..........78

5.2. Estructura del Documento RFC 2350……………………………..…….79

6. CREACION DEL CSIRT -UTPL …………………………………….………………....85


11

6.1.Propuesta………………………...………………………………………............85

6.2. Plan Estratégico…………………………………….………..……………….85

6.3. Información de la UTPL……………………………..…..…..……………....87

6.4. Situación Actual de la UTPL……………….……………....……………….88

6.5. Vision del CSIRT-UTPL………………………………….…………………..93

6.5.1. Misión CSIRT – UTPL………………………………….…….…………..93

6.5.2. Comunidad a la que el CSIRT va a Brindar Servicio……………....94

6.5.3. Lugar que ocupar el CSIRT en la UTPL…………….………………...94

6.5.4. Relación del CSIRT-UTPL con otros equipos...…….……………..94

6.6. Comunicar la Vision y Plan Operativo del CSIRT……………………….99

6.7. Implementacion del Equipo CSIRT – UTPL………..……...……………..99

6.7.1. Personal Requerido para el CSIRT – UTPL………...…………...…99

6.7.2. Equipos e Infraestructura…………………………………………….100

6.7.3. Servicios a Brindar…………………………………………………….101

6.7.3.1. Servicios Reactivos………………………………………….101

6.7.3.2. Servicios Proactivos…………………………………………102

6.7.3.3. Servicios de Gestión y Calidad de la Seguridad………102

6.7.4. Políticas y Procedimientos……………………………………………103

6.7.5. Formularios……………………………………………………………..104

6.7.6. Financiamiento y Presupuesto……………………………………….104

CONCLUSIONES………………………………………………………………………….110

RECOMENDACIONEs……………………………………………………………………113

ANEXOs…………………..………………………………………………….…...………..115

BIBLIOGRAFÍA…………….……………………………………………….….................167

REFERENCIAS…………….…………………………………………………….……....169

Plan Piloto para la Implementación del CSIRT-UTPL


12

Políticas del CSIRT-UTPL

INTRODUCCION


13

Constantemente a nivel mundial se presentan importantes avances científicos y

tecnológicos en las diferentes áreas de conocimiento, una de ellas son los continuos

avances en el tema de la Internet que si bien es cierto facilita la comunicación y envío

de recursos a través de grandes distancias, también algunas personas hacen uso de

esta para realizar otras actividades como ataques de spam, fraudes, etc., que ponen

en peligro la información que se maneja en diferentes organizaciones a nivel mundial.

Para algunas organizaciones el tema de seguridad de la información es indiferente, ya

que nunca han sido víctimas de ataques no consideran necesario realizar gastos

innecesarios en lo que concierna a seguridad de la información, sin embargo para

una gran mayoría de organizaciones a nivel mundial, la información que manejan es

considerada como parte de sus activos, y para esto han implementado algunas

estrategias de seguridad propuestas por organizaciones que trabajan constantemente

en la búsqueda de soluciones y estrategias que permitan mejorar la seguridad de la

información crítica que manejan, una de las estrategias que actualmente está siendo

muy utilizada es la creación de Equipos de Respuesta a Incidentes de Seguridad

(CSIRT), equipos que han sido implementados a nivel mundial y que han dado

grandes resultados, en lo que se refiere a la detección y respuesta de incidentes,

estos equipos se han convertido en una parte muy importante de las organizaciones

ya que se encargan de buscar las mejores estrategias para garantizar la protección de

la información y sobre todo de realizar actividades proactivas y reactivas para el

manejo de incidentes.

En la presente investigación se dan a conocer diferentes aspectos de un CSIRT, tales

como la definición, servicios que brinda, los modelos organizacionales que se aplican

y los pasos que se deben seguir para la implementación de un CSIRT.

De acuerdo a las características de la Universidad se elegirá el modelo organizacional

y los diferentes servicios que el CSIRT-UTPL brindará a la comunidad, la

implementación de un equipo de esta naturaleza permitirá realizar actividades

conjuntas con el equipo NOC/SOC que funciona actualmente en la Universidad y de

esta manera realizar exitosamente actividades de investigación y resolución de

incidentes.

OBJETIVOS


14

GENERAL

Definir el esquema y funcionamiento de un CSIRT, que permita operar un

Equipo de Respuesta de Incidentes Formales en la Universidad Técnica

Particular de Loja.

ESPECÍFICOS

Estudiar los diferentes tipos, funciones, estructura y la forma en la que están

constituidos los Equipos de Respuesta a Incidentes de Seguridad.

Estudiar los Equipos CSIRT a nivel mundial.

Definir los requerimientos de la UTPL para la creación de un CSIRT.

Elaborar políticas y procesos para el funcionamiento del CSIRT-UTPL


15

DESCRIPCIÓN DEL PROBLEMA

La Universidad Técnica Particular de Loja actualmente brinda una gran cantidad de

servicios tanto a estudiantes como público en general, la mayor parte de estos

servicios se realizan haciendo uso de diferentes medios, uno de ellos la Internet, a

través del cual autoridades, personal administrativo, profesores y alumnos realizan

varios trámites y operaciones muchos de los cuáles son de gran importancia para el

continuo funcionamiento y crecimiento de la Universidad, el constante avance de la

Internet a su vez que permite la facilidad de comunicación también abre puertas que

permiten que la información que se genera en la UTPL sea puesta en peligro debido al

mal manejo de recursos tanto por personal interno como externo y también por

actividades externas como ataques de hackers.

De acuerdo a la problemática actual de la universidad existen grupos que se encargan

de atender los diferentes incidentes los mismos que son atendidos cuando alguien los

reporta, pero no se llevan registros estadísticos de los incidentes atendidos, existen

políticas que deben ser conocidas y aplicadas en cada grupo, pero estas no son

aplicadas por los usuarios, no se tiene un área formal en la que se pueda realizar el

reporte de incidentes ni que se encarguen de realizar el seguimiento de los mismos.

Es importante que exista un grupo que se encargue de realizar actividades no

solamente de atención a incidentes cuando estos ocurren sino que realicen

actividades proactivas y de investigación, es decir un grupo que siempre esté atento a

los diferentes reportes de incidentes que son emitidos por otros Equipos CSIRTs a

nivel mundial para no solamente esperar cuando suceda un incidente de grandes

consecuencias, sino estar preparados para mitigar los posibles daños que un incidente

pueda causar y sobre todo trabajar en proyectos que contribuyan a mejorar la

seguridad de los sistemas e información que se maneja en la UTPL .

Ante esta situación se sugiere la creación de un Equipo de Respuesta a Incidentes de

Seguridad para la Universidad Técnica Particular de Loja (CSIRT-UTPL) que esté en

capacidad de:

Brindar servicios reactivos y proactivos en la atención de Incidentes de

Seguridad.

Trabajar en temas de investigación que contribuyan a mejorar la seguridad de

los sistemas de la UTPL.


16

Concientizar al personal de la UTPL sobre la importancia de conocer y utilizar

las políticas establecidas en la Universidad.

Brindar asesoría para la creación de Equipos CSIRT a nivel nacional


17


18

1. EQUIPO DE RESPUESTA A EMERGENCIAS INFORMÁTICAS CERT –

(Computer Emergency Response Team)

OBJETIVO

Conocer el inicio de los Equipos de Respuesta a incidentes, servicios que

brindan, personal que forma parte del equipo y beneficio que brinda el

implementar un CERT en una organización.

1.1. ANTECEDENTES

El 22 de noviembre de 1988, fue lanzado el primer virus informático [1] conocido como

“Gusano de Internet” (WORM) fue creado por Robert Morris, el programa en mención

fue lanzado desde un ordenador, su funcionamiento consistía en generar copias de sí

mismo y auto enviarse a otros ordenadores, este incidente afectó a muchos

computadores incluidos equipos de la Nasa, el Gobierno y Fuerza Aérea, destruyendo

importante información y ocasionando millonarias pérdidas.

A raíz de este acontecimiento la Agencia DARPA (Defense Advanced Research

Projects Agency) anunció la creación de un Equipo de Respuesta a Emergencias

Informáticas (CERT), conformado por un grupo de expertos encargados de enfrentar

emergencias de seguridad y trabajar en la prevención de futuros incidentes, además

de convertirse en un grupo que también brindaría asesoramiento en la formación de

equipos similares a nivel mundial.

En la actualidad el Centro de Coordinación CERT (CERT/CC) [2], se encuentra

ubicado en el Instituto de Ingeniería de Software (SEI-Software Engineering Institute)

de la Universidad de Carnegie Mellon en Pittsburg, Pensilvania. Las investigaciones

que se realizan en el CC/CERT son financiadas por el Gobierno Federal y el Centro de

Desarrollo (FFRDE) operado por la universidad.

CC/CERT es una marca que está registrada en los EEUU en la oficina de patentes y

marcas de la Universidad de Carnegie Mellon, es por eso que en algunos países y

para el desarrollo del presente proyecto utilizaremos el término CSIRT para referirnos

a los Equipos de Respuesta a Incidentes de Seguridad Informática.


19

1.2. DEFINICIÓN

Un CERT (Computer Emergency Response Team) es un Equipo de Respuesta a

Emergencias Informáticas. Está conformado por un grupo de personas que son

responsables de identificar y brindar soluciones a las diferentes amenazas1 y

vulnerabilidades2 que se presentan en los sistemas de información de una

organización, se encargan de reforzar y proteger la seguridad, brindan respuestas y

elaboran planes y estrategias para responder ante cualquier incidente3, vulnerabilidad

o ataque de terceros.

Los objetivos principales de un CSIRT son:

Minimizar los daños ante cualquier ataque o amenaza.

Proveer asistencia rápida y efectiva.

Ayudar a la prevención de futuros incidentes.

En un CSIRT se realizan varias funciones, entre ellas:

Supervisar los sistemas para evitar infracciones de seguridad.

Documentar los incidentes de seguridad.

Ofrecer servicios de consultoría de seguridad.

Sensibilizar a la organización en temas de seguridad a través de cursos y

manuales con las mejores prácticas.

Los servicios que brinda un CSIRT se clasifican en: reactivos, proactivos y servicios

de calidad. Los servicios agrupados dentro de cada una de las categorías son varios y

serán analizados más adelante, se debe recalcar que no importa si son pocos los

servicios que se ofrecen lo importante es brindarlos de la mejor manera.

A nivel mundial los CERT son conocidos con diferentes acrónimos tales como:

CSIRT : Equipo de Respuesta a Incidentes de Seguridad informática

1 Amenazas: Causa potencial de un incidente no-deseado, el cual puede resultar en daño a un

sistema u organización.

2 Vulnerabilidad: Es una debilidad en los procedimientos de seguridad, que puede ser

explotada accidental o intencionalmente, esto conlleva a la violación de las políticas de

seguridad, puede ser falta de mantenimiento, desactualización de los sistemas críticos.

3 Incidentes: Eventos que atentan contra la confidencialidad, disponibilidad y la integridad de la

información.


20

CIRC : Capacidad de Respuesta a Incidentes Informáticos

CIRT : Equipo de Respuesta a Incidentes Informáticos

IRC : Centro de Respuesta a Incidentes o Capacidad de Respuesta a

Incidentes

IRT : Equipo de Respuesta a Incidentes

SIRT : Equipo de Respuesta a Incidentes de Seguridad

1.3. SERVICIOS DE UN CSIRT

Los servicios que ofrece un CSIRT son establecidos de acuerdo a la misión y tipo de

organización que lo va a implementar, para que un equipo sea considerado como un

CSIRT debe brindar principalmente servicios de manejo de incidentes.

De acuerdo a [3] los servicios que brinda un CSIRT están agrupados en tres

categorías:

Servicios Reactivos

Servicios Proactivos

Servicios de Gestión de Calidad de la Seguridad

El detalle de cada categoría se detalla en la siguiente tabla:

Tabla 1: Servicios que Brinda un CSIRT

Servicios Reactivos Servicios Proactivos Servicios de Gestión de

Calidad de la Seguridad

Alertas y Advertencias

Manejo de Incidentes

o Análisis de

incidentes

o Respuesta al

incidente en el

lugar.

o Soporte de

Respuesta a

Anuncios

Observación de la

tecnología

Auditorías y

evaluaciones de

Seguridad.

Configuración y

Mantenimiento de

las Herramientas,

Aplicaciones,

Análisis de riesgo

Planificación de

continuidad del negocio y

recuperación de desastres.

Consultoría de Seguridad.

Concientización.

Educación / Capacitación.

Evaluación y/o certificación

de productos.


21

1.3.1. SERVICIOS REACTIVOS

Los servicios reactivos consisten en brindar respuesta, a cualquier solicitud de

asistencia y cualquier amenaza o ataque que hayan ocurrido en los sistemas, los

mismos pueden ser ocasionados por terceras personas o de manera accidental por el

personal de la organización, los servicios reactivos son las estrategias posteriores al

ataque.

4 Artifact: Código Malicioso encontrado en un sistema, pueden incluir virus a computadoras,

troyanos, gusanos, y herramientas de software o hardware.

incidentes.

o Coordinación de

Respuesta a

incidentes.

Manejo de

Vulnerabilidades

o Análisis de

vulnerabilidades

o Respuesta a

vulnerabilidades

o Coordinación de

Respuestas a

Vulnerabilidades.

Manejo de Artifacts

o Análisis de Artifacts

o Respuesta a

Artifacts

o Coordinación de la

respuesta a

Artifacts4

Infraestructuras y

Servicios de

Seguridad.

Desarrollo de

Herramientas de

Seguridad.

Servicios de

Detección de

Intrusión

Divulgación de

Información


22

Los servicios reactivos comprenden:

1.3.1.1. Alertas y Advertencias

Comprende el recibir y entregar información que describe reportes de nuevas

vulnerabilidades, alertas de intrusión, código malicioso y ataques de intrusos, estos

ataques pueden ser virus, gusanos, troyanos, robo de contraseñas por citar algunos.

Estos reportes también incluyen las acciones que se recomiendan para la resolución

de problemas en el menor tiempo posible.

Esta información puede ser generada por el propio CSIRT o puede ser recibida por

parte de organizaciones, o personas particulares. Existen algunas fuentes en donde

se puede encontrar información sobre vulnerabilidades, puede ser en internet, a través

de sitios públicos que brindan información sobre vulnerabilidades como el CERT/CC, y

otros equipos a nivel mundial.

1.3.1.2. Manejo de Incidentes

Comprende el análisis, clasificación y respuesta a todos los informes recibidos sobre

incidentes y vulnerabilidades.

Las actividades que incluyen al manejo de incidentes son:

Proteger los sistemas y redes afectados por acciones de intrusos.

Brindar soluciones y estrategias de mitigación a partir de alertas o

advertencias.

Filtrar el tráfico de la red.

Desarrollar estrategias de respuesta o workaround5.

El manejo de incidentes se clasifica en:

1.3.1.2.1. Análisis de Incidentes.

Consiste en la evaluación de toda la información que se ha recolectado acerca de un

incidente, con esta información se realiza una evaluación de los daños que el

incidente ha causado para comenzar a restaurarlos y determinar estrategias de

respuesta para mitigar en el menor tiempo posible los efectos de este ataque.

5 workaround: solución temporal a un problema en un sistema.


23

Dependiendo de los objetivos y la misión de un CSIRT existen otros procesos que se

pueden utilizar como complemento del análisis de incidentes:

Recolección de Evidencia Forense.

Consiste en la recolección de la documentación existente y realizar un análisis

de todas las pruebas de un sistema informático, esto se realiza con la finalidad

de determinar cambios en el sistema para reconstruir los eventos que han

ocurrido.

Estas pruebas incluyen, realizar una copia bit a bit del disco duro de los

sistemas afectados, la búsqueda de cambios en el sistema, como la instalación

de nuevos programas, archivos, etc.

Seguimiento o Rastreo

Consiste en realizar una revisión minuciosa de los sistemas afectados, realizar

un seguimiento para saber la hora en que el intruso tuvo acceso al sistema,

cómo ingreso al sistema, que redes utilizó para lograr el acceso, etc.

1.3.1.2.2. Respuesta a Incidentes en el Lugar

Consiste en proveer asistencia directa, no sólo a través de contacto telefónico, sino

que se traslada al lugar en donde se encuentran los destinatarios para brindarles

ayuda necesaria para que se recuperen de un incidente, algunas actividades que se

realizan son: revisar y analizar físicamente los sistemas afectados para llegar a la

reparación y recuperación de los sistemas.

1.3.1.2.3. Soporte a la Respuesta a Incidentes

Proporcionan ayuda a los equipos que han sufrido algún ataque ya sea enviando

documentación, realizando contactos telefónicos etc., a diferencia de la respuesta a

incidentes en el lugar estos no se trasladan hacia los clientes, sino recogen los datos y

realizan la interpretación de los mismos y orientan en cuanto a que estrategias tomar

para mitigar los riesgos.

1.3.1.2.4. Coordinación de la Respuesta a Incidentes

El CSIRT coordina las tareas de respuesta entre las partes involucradas en el

incidente, estas incluyen a la víctima del ataque, los sitios relacionados con el ataque,

incluye también a las partes que proporcionan apoyo de tecnologías de la víctima,


24

estos pueden ser proveedores de servicios de internet, otros CSIRTs, administradores

de sistemas y de redes.

El trabajo de coordinación consiste en reunir información del contacto, reunir

estadísticas acerca de la cantidad de sitios involucrados, y coordinar con otros CSIRT

con la finalidad de intercambiar información.

Dada la importancia de entender la gestión de incidentes, más adelante se dedicará

un capítulo a su estudio más detallado.

1.3.1.3. Manejo de Vulnerabilidades.

Involucra la recepción de información y reportes acerca de las vulnerabilidades de

software y hardware, se realiza un análisis de las causas y efectos de las

vulnerabilidades en los sistemas y se desarrolla estrategias para reparar las mismas.

El manejo de Vulnerabilidades comprende las siguientes etapas:

1.3.1.3.1. Análisis de las Vulnerabilidades

Consiste en buscar en donde se encuentran las vulnerabilidades y como pueden ser

explotadas, para esto se realizan exámenes técnicos tanto al hardware como al

software para determinar en donde están ubicadas las vulnerabilidades y cómo

pueden ser explotadas para disminuir las probabilidades de un nuevo ataque y el

funcionamiento de este.

El análisis puede incluir la revisión del código fuente, pueden usarse sistemas de

prueba para realizar simulaciones y evaluar los puntos en donde hay vulnerabilidades

para ajustar la seguridad en esos puntos.

1.3.1.3.2. Respuesta a las Vulnerabilidades

Consiste en determinar una respuesta apropiada para mitigar o reparar una

vulnerabilidad, esto implica que los miembros del equipo deben estar en constante

investigación y desarrollo de correcciones y soluciones provisionales como parches,

etc., también debe informar a los demás equipos las estrategias de mitigación

encontradas mediante avisos o alertas.

1.3.1.3.3. Coordinación de Respuesta a Vulnerabilidades.

El CSIRT notifica a la organización la vulnerabilidad encontrada y comparte toda la

información posible acerca de cómo reparar o mitigar la vulnerabilidad, la coordinación


25

de respuestas a vulnerabilidades incluye también comunicación con otros CSIRTs y

compartir información de estrategias de respuesta para solucionar vulnerabilidades.

1.3.1.4. Manejo de Artifact

El manejo de código malicioso incluye el recibir información y copias acerca de los

artifacts que se usan en los ataques de intrusos.

Una vez recibido el Artifact se procede a revisar y analizar su naturaleza y su

funcionamiento, posteriormente se desarrollan estrategias de respuesta para detectar,

remover y tomar medidas contra estos.

El manejo de Artifact se clasifican en:

1.3.1.4.1. Análisis de Artifact

Se realiza un examen técnico para identificar cualquier tipo de código malicioso, si se

encuentra alguno se compara con otros artefactos ya conocidos con la finalidad de

determinar las funciones que realiza.

1.3.1.4.2. Respuesta a Artifact

Implica el determinar acciones apropiadas para remover todo tipo de código malicioso

en un sistema, tomar acciones de prevención, esto puede implicar la creación de

firmas que pueden ser agregadas a un software antivirus.

1.3.1.4.3. Coordinación de Respuesta a Artifact

Este servicio comparte los resultados del análisis y las estrategias de respuesta que

pertenecen a una instancia, con otros CSIRTs, y expertos en seguridad.

1.3.2. SERVICIOS PROACTIVOS

Los servicios proactivos están diseñados para mejorar los procedimientos de

seguridad en la organización, los principales objetivos son evitar incidentes y reducir

su impacto cuando se produzcan.

Los servicios proactivos comprenden:

1.3.2.1. Anuncios

Incluyen alertas de intrusión, advertencia de vulnerabilidades, recomendaciones de

seguridad, entre otros. Permiten informar a otros grupos sobre las nuevas


26

vulnerabilidades, ataques y herramientas de intrusión que se han detectado,

facilitando que la comunidad esté alerta y tome medidas para proteger sus sistemas

de los problemas encontrados.

1.3.2.2. Observatorio de Tecnología

El CSIRT está siempre investigando los últimos avances en lo que se refiere a nuevas

formas de ataque, el cómo prevenirlas y evitarlas en un futuro, se mantienen en

contacto con otros CSIRTs que tienen experiencia para resolver incidentes, utilizan

también otro tipo de información como listas de correo, sitios web de seguridad y

artículos actuales en el campo de la tecnología.

1.3.2.3. Evaluaciones o Auditorías de la Seguridad

Esta tarea consiste en el conjunto de acciones que realiza el personal en áreas que

corresponden a la auditoría, con la finalidad de asegurar que todos los recursos

operen en un ambiente de seguridad y control eficiente, para evitar ataques y

vulnerabilidades a los sistemas de seguridad de la organización. Todas las

evaluaciones que se realizan son a nivel de seguridad lógica y física, deben establecer

políticas de seguridad, estrategias de continuidad, realizar pruebas a los sistemas

para ver que sistemas pueden ser más vulnerables.

1.3.2.4. Configuración y Mantenimiento de las Herramientas,

Aplicaciones, Infraestructuras y Servicios de Seguridad.

Consiste en realizar una guía de cómo configurar y mantener en forma segura las

herramientas, y aplicaciones que se usan en el CSIRT.

El CSIRT puede realizar configuraciones y mantenimiento de todos los equipos y

herramientas de seguridad, tanto de clientes externos como de la organización

tomando en cuenta todas las normas de seguridad.

1.3.2.5. Desarrollo de Herramientas de Seguridad

Esta actividad comprende el desarrollo de herramientas software. Estas pueden ser el

desarrollo de parches o de distribuciones seguras que puedan ser utilizados para

soluciones a problemas, estas herramientas son desarrolladas a medida que el CSIRT

las requiera.

1.3.2.6. Servicios de Detección de Intrusiones


27

Consiste en revisar los archivos de log de los sistemas de detección de intrusos, para

detectar alarmas o intentos de ataques a la red, y proceder a aplicar estrategias para

eliminarlos y minimizarlos, en algunos casos se requiere de herramientas o

conocimientos especializados para analizar e interpretar la información y así identificar

alarmas y posibles ataques a la red, luego del análisis se posteriormente se procede a

aplicar estrategias de respuesta adecuadas para minimizar posibles riesgos.

1.3.2.7. Difusión de Información Relacionada con la Seguridad.

La difusión de la información proporciona toda la información útil para mejorar la

seguridad, esta información es publicada por el CSIRT y puede incluir:

o Comunicados de alertas y vulnerabilidades

o Reportes de las mejores prácticas

o Asesoramiento sobre seguridad informática

o Desarrollo de actualizaciones correctivas

o Estadísticas actuales de los reportes de incidentes

La información a publicar puede incluir además reportes provenientes de fuentes

externas como otros CSIRTs o expertos en seguridad.

1.3.3. SERVICIOS DE ADMINISTRACION DE CALIDAD DE LA SEGURIDAD

Son servicios diseñados para mejorar la seguridad de la organización, realizando

evaluaciones de las experiencias obtenidas de la puesta en marcha de servicios

reactivos y proactivos.

1.3.3.1. Análisis de Riesgo

Comprende la capacidad de la organización de evaluar y analizar todas las amenazas

y riesgos que se presentan, la habilidad de la organización para asegurarse contra

amenazas reales.

Los equipos que prestan estos servicios ayudan a desarrollar actividades de análisis

de riesgo de la seguridad de la información de nuevos sistemas o evaluar amenazas

contra los sistemas de la comunidad atendida.

1.3.3.2. Planificación de la Continuidad del Negocio y Recuperación de

Desastres.


28

Se deben desarrollar planes de contingencia para determinar cómo conviene

responder a una emergencia, y así asegurar la continuidad de las operaciones, los

CSIRTs planifican como responder a incidentes y amenazas a la seguridad

informática.

1.3.3.3. Consultoría de Seguridad

Los miembros del equipo CSIRT se encargan de brindar asesoramiento a los

miembros de la organización o comunidad a la que van dirigidos los servicios de un

CSIRT en el campo de la seguridad de la información, la elaboración de políticas y

mejores prácticas de seguridad, asesoramiento en la instalación de aplicaciones, etc.

1.3.3.4. Concientización

Consiste en prestar servicios de orientación en cuanto al manejo de las políticas que

se deben seguir en una organización, esto es muy importante porque al lograr que el

personal que entienda la importancia del uso de políticas se va a lograr que todas los

procedimientos que ellos realicen sean seguros, se minimicen pérdidas y puedan

reportar de algún ataque, otra manera de concientizar es mediante la publicación de

artículos, boletines u otros recursos informativos que aconsejen sobre las

precauciones que conviene seguir, y así mantenerse informados sobre las nuevas

amenazas.

1.3.3.5. Educación / Capacitación

Realización de talleres, cursos y seminarios para proveer información acerca de las

actividades principales en el campo de la seguridad de la información, y todas las

herramientas que se pueden usar para responder ante un incidente.

1.3.3.6. Evaluación o Certificación de Productos.

Se pueden realizar evaluaciones de herramientas y otros servicios destinados a

garantizar la seguridad, el cumplimiento de las políticas y de los requerimientos del

CSIRT.

1.4. TIPOS DE EQUIPOS DE RESPUESTA A INCIDENTES (CSIRTs)

Los CSIRTs que existen en las diferentes organizaciones no están estructurados de la

misma manera, cada CSIRT es diferente de otro en aspectos como:

Misión y objetivos del equipo


29

Comunidad a la que brinda servicios

Los servicios que brinda a la organización

Los diferentes sectores en los que se ha implementado equipos CSIRT son:

1.4.1. CSIRT del Sector Académico

Prestan servicios a centros educativos, el grupo de clientes atendidos está

conformado por estudiantes y personal de universidades, colegios, etc., un ejemplo

de este tipo de CSIRT es el equipo de respuesta a incidentes de la Universidad de

México (UNAM-CERT), el Centro de Atención de Incidentes de Brasil (CAIS/RPN),

entre otros.

1.4.2. CSIRT del Sector Comercial

Como su nombre lo indica prestan servicios comerciales, a clientes profesionales que

pagan por este tipo de servicios, un ejemplo de este tipo de CSIRT es IBM-ERS que

es un equipo contratista comercial de servicios, provee servicios de respuesta de

incidentes, detección de intrusos, probando mensual y semanalmente

vulnerabilidades.

1.4.3. CSIRT del Sector Público

Brindan servicios a instituciones públicas en cualquier ciudad y país, se consideran

también puntos de apoyo de CSIRT nacionales, un ejemplo es el equipo de respuesta

a incidentes de Argentina (ArCERT) que brinda sus servicios al sector de la

administración pública, CCN-CERT que brinda servicios a la administración pública

de España, entre otros.

1.4.4. CSIRT del Sector Interno

Este tipo de CSIRT brinda servicios a organizaciones a las que pertenecen, por

ejemplo bancos, organizaciones de telecomunicaciones, generalmente no mantienen

sitios web públicos, solamente se puede mantener contacto con ellos por correo

electrónico, algunos ejemplos de organizaciones que poseen este tipo de CSIRT son:

ORACERT (Oracle global Secutiry Team): Este equipo brinda servicios

solamente a los clientes de ORACLE que se encuentran incluidos en sus

bases de datos.


30

MCERT (Motorola Cyber Emergency Response Team): Equipo que trabaja

solamente con el personal interno de Motorola y los equipos que desarrollan

sus productos, las actividades principales de este equipo son el brindad apoyo

a la infraestructura tecnológica de Motorola.

NABITSAR (National Australian Bank – IT Security Assessments and

Response): Grupo que pertenece al Banco Nacional de Australia, brinda

soporte y respuesta a todos sus stakeholders6.

NOKIA-NIRT (Nokia Incident Response Team): Brinda servicios al sector

industrial de NOKIA en países como Australia, China, Dinamarca.

1.4.5. CSIRT del sector Militar

Prestan servicios a instituciones militares, con fines de defensa, algunos de estos

equipos son el ACERT/CC (Army Computer Emergency Response Team Coordination

Center), NAVCISRT (Navy Computer incident Response Team).

1.4.6. CSIRT del sector Nacional

Los CSIRT nacionales, son los equipos que se convierten en puntos de contacto para

todo un país, entre sus actividades están el reducir el número de incidentes de

seguridad dirigidos a los sistemas de un país, proporcionan apoyo técnico para

detectar y prevenir vulnerabilidades, un ejemplo de este tipo de CSIRT son el SING-

CERT (Equipo de respuesta a incidentes de Singapur), el Centro de Coordinación del

CERT de Japón (JPCERT/CC), CCIRC (Canadian Cyber Incident Response Centre),

1.4.7. CSIRT del sector de la pequeña y mediana empresa.

Este tipo de equipos brindan servicios a pequeñas organizaciones, a grupos de

usuarios que poseen características similares como lo es el sector de la pequeña

empresa, un ejemplo de este tipo de CSIRT es el Centro Nacional de Respuesta a

Incidentes de Seguridad en Tecnologías de la Información para PYMES de INTECO

1.4.8. CSIRT de Coordinación

El trabajo de los CSIRTs de coordinación es el conocer las amenazas a la seguridad,

de la información a través de la coordinación con otros CSIRTs, proporcionan apoyo

6 Stakeholders: Es el público interesado, es decir cualquier persona o entidad que es afectada

por las actividades de una organización, estas personas pueden ser: accionistas, clientes, etc.


31

técnico a otros CSIRTs a través de actividades de manejo de incidentes, envían

información detallada sobre cómo prevenir y recuperarse de ataques. Un ejemplo de

este tipo de CSIRT es el CERT /CC.

1.5. PERSONAL QUE CONFORMA UN CSIRT

Dependiendo del tipo de CSIRT, estructura organizacional, misión, servicios y

comunidad a la que brinda servicios, el personal que formará parte del equipo debe

poseer algunas características, tanto personales como técnicas que permitan

responder adecuadamente a los incidentes.

Habilidades Personales

Técnicas de comunicación

Relaciones humanas.

Espíritu de Equipo.

Innovadores, analíticos e íntegros, son un equipo que trabaja dando

soluciones a problemas.

Capaces de tomar decisiones rápidas ante ataques y situaciones de

emergencias de manera que nada quede sin dar respuesta.

Capacidad de seguir políticas y procedimientos.

Habilidades técnicas.

Conocimientos de seguridad de la información.

Conocimiento de los sistemas operativos que utilizan en la organización.

Realizar la supervisión constante de los sistemas para evitar y localizar

infracciones en las seguridades.

Las labores que se realizan deberán servir para enviar informes de los

incidentes encontrados, con la finalidad de informar acerca de ese

incidente a los demás CSIRTs.

Conocimiento de aplicaciones y protocolos de internet.

Realizar auditorías a los sistemas tanto a nivel de software y hardware.

Brindar servicios de capacitación.

Adicionalmente de las características mencionadas, un equipo CSIRT está

conformado por diferentes áreas que deben ser cubiertas ya sea por personal de la

organización o personal nuevo. Si se trabaja con personal de la organización se deben


32

establecer horarios para que pueda realizar tanto las actividades del CSIRT y las

actividades del departamento en el que trabajan.

Algunos documentos [4] en cuanto a la elección del personal sugieren pero no se

limitan a:

Líder de equipo

Personal de hotline, HelpDesk, o clasificación de incidentes.

Equipo de Respuesta a incidentes y vulnerabilidades

Administradores de Redes

Desarrollador Web

Especialista en plataformas

Miembros Asociados al CSIRT.

Líder de Equipo.- Se encarga de coordinar las actividades y tareas del CSIRT, es

responsable de revisar todos los avances que realice el equipo, encargado de

representar al equipo ante otros CSIRTs o directivos de la organización, se

encarga de la asignación de tareas y de entrevistar a los nuevos miembros del

equipo.

Personal de hotline, HelpDesk o clasificación de incidentes.- Personal

encargado de atender las llamadas telefónicas que lleguen al CSIRT en las que se

reporten incidentes de seguridad, brindan asistencia inicial de acuerdo al tipo de

incidente que se reporte. La clasificación debe ser realizada de acuerdo a las

prioridades que se han establecido en el equipo.

Equipos de Repuesta a Incidentes y Vulnerabilidades.- El equipo de respuesta

tiene la responsabilidad del control y la respuesta de incidentes, vulnerabilidades

encontradas, de manera que al momento de ocurrir alguna amenaza o incidente el

equipo está preparado para controlarlos.

Otras funciones que cumple el personal encargado de la respuesta a incidentes

son:

Coordinar actividades que sean necesarias para llegar a la comunidad

objetivo, ya sea mediante la emisión de boletines, desarrollando manuales

que contengan buenas prácticas de seguridad, etc.

Difunden información sobre vulnerabilidades, amenazas y todo lo que se

relacione con incidentes.


33

Desarrolla manuales de capacitación para los miembros del equipo CSIRT.

Supervisar los sistemas de detección de intrusos

Realizar pruebas de penetración.

Analizar y realizar seguimientos de las vulnerabilidades y códigos

maliciosos encontrados.

Mantenerse en constante investigación en cuanto a temas de desarrollo de

soluciones o parches que ayuden a la solución de vulnerabilidades.

Difundir información sobre las vulnerabilidades encontradas, informar sobre

las soluciones, parches y demás recursos utilizados para su solución.

Administradores de Redes.- Profesionales que se encargan de todos los

aspectos que se relacionan con el área de redes, son encargados de mantener

la infraestructura de red del CSIRT, a través de servidores seguros, correo

electrónico seguro y cualquier requerimiento exigido por el CSIRT.

Desarrolladores Web.- Personas encargadas del mantener y crear el sitio

web del CSIRT, actualizar la aplicación con contenidos referentes al CSIRT.

Especialistas de Plataformas.- Son encargados de aportar conocimientos

específicos y apoyo en las diferentes plataformas, ayudan en el análisis,

respuestas y aporte de nuevos conocimientos en sistemas operativos como

Linux, Windows, Solaris, etc.,

Miembros Asociados al CSIRT.- A más de los profesionales que son parte

del equipo de respuesta a incidentes, los miembros asociados son

profesionales que se encargan de brindar soporte en áreas diferentes, los

miembros asociados pertenecen a otras áreas de la organización algunos

miembros asociados son:

Departamento Legal.- Equipo encargado de brindar el soporte legal al

momento de establecer políticas y planes de seguridad, brindar el

asesoramiento de que pasos seguir si se alguien viola estas políticas, se

encargan también de la revisión y elaboración de los acuerdos de no

revelación de la información.

Relaciones Públicas.- Este departamento se encarga de promocionar al

equipo, de realizar comunicaciones, solicitudes de información.


34

Representantes de Recursos Humanos.- Son encargados de desarrollar

la descripción de los perfiles para contratar el personal del CSIRT, de

desarrollar las políticas y procedimientos en el caso de remover a los

empleados internos que se encuentren comprometidos en una actividad

informática no autorizada o ilegal.

Una vez que se ha definido el personal que va a formar parte del CSIRT, se debe

definir la estructura organizativa del equipo. De acuerdo al manual publicado por

Enisa7 [5], algunos de los modelos son:

Modelo de Estructura Independiente.

Modelo Incrustado

Modelo Universitario

Modelo Voluntario

Modelo de Estructura Independiente

Figura.1: Modelo de Empresa Independiente

Este modelo es utilizado cuando el equipo es independiente de la organización,

está conformado por su propio personal.

De acuerdo al organigrama, este equipo está conformado por:

General Manager: Director General del Equipo

Technical Manager: Jefe de Equipo Técnico, técnicos del CSIRT e

investigadores.

Office Manager: director de la Oficina

Accountant: personal Contable

Legal Consultant: Asesor Jurídico

Communication Consultant: Consultores Externos

7 Agencia Europea de Seguridad de las Redes y de la Información


35

Modelo Incrustado

Figura 2: Modelo Organizativo Incrustado

Este modelo se utiliza si se va a implementar un CSIRT en una organización que

ya tiene un departamento de seguridad.

En este tipo de estructura el CSIRT está dirigido por un Jefe de Equipo que es

responsable de todas las actividades. Cuando se presentan incidentes el Jefe de

Equipo reúne a todos los técnicos necesarios para dar solución a los incidentes, de

ser necesario puede solicitar asistencia a los demás equipos de la organización.

Modelo universitario:

Este modelo es adoptado por los CSIRTs académicos y de investigación, la mayor

parte de las organizaciones académicas están formadas por diversas

universidades y campus con diferentes ubicaciones y que se extienden a lo largo

de todo un país, la mayoría de organizaciones son independientes entre sí y

poseen su propio CSIRT.

Estos CSIRTs se organizan en torno a un CSIRT central que los coordina y es el

único punto de contacto con otros equipos. El CSIRT central se encarga de

distribuir información sobre incidentes con otros CSIRTs.

A continuación se presenta un modelo de CSIRT Universitario.


36

Figura 3: Modelo Universitario

Modelo Voluntario:

Consiste en un grupo de personas que se reúnen para compartir información y

ayudarse mutuamente, actúan de forma espontánea y depende de la motivación

de los participantes.

DISCUSIÓN

Los equipos de respuesta a incidentes de seguridad informática (CSIRT) surgen a

finales de los años 80 con la finalidad de mitigar y brindar soluciones oportunas a los

diferentes tipos de incidentes y vulnerabilidades que se presentan en los sistemas de

información, actualmente la implementación de este tipo de equipos ha sido

considerada como una nueva estrategia de seguridad que ha sido tomada en cuenta

en diferentes organizaciones, la implementación de este tipo de equipos ha permitido

tomar medidas de prevención a posibles ataques, brindar soluciones oportunas a

incidentes ocurridos para mitigar un posible riesgo, llevar un registro de los principales

incidentes que se presentan en los sistemas críticos lo que ha permitido la generación

de reportes estadísticos y sobre todo la sensibilización a los usuarios sobre la

importancia de conocer y manejar las diferentes políticas de seguridad implementadas

en cada organización, lo que contribuye a mantener la confidencialidad, disponibilidad

e integridad de la información que se maneja.


37

Para crear un CSIRT es importante tomar en cuenta el sector en el cual va a ser

implementado, actualmente este tipo de equipos funcionan en sectores comerciales,

organismos públicos, privados, militares, gubernamentales, académicos y sectores de

la pequeña y mediana empresa, cada uno enfocando sus servicios a la comunidad

objetivo que representan, así mismo existen los CSIRTs de Coordinación, que son

equipos que se encargan de facilitar y coordinar la respuesta a incidentes entre varios

CSIRTs a nivel mundial.

El modelo a implementar en la UTPL es el modelo de CSIRT académico, modelo que

define como comunidad objetivo a estudiantes y personal que forma parte de la

universidad, los servicios que presta van enfocados de acuerdo a las actividades que

se realizan en el centro de estudios, existen varios equipos CSIRT implementados en

sectores académicos, como el CAIS/RPN de Brasil y el UNAM CERT de México los

servicios que brindan están orientados al tratamiento de incidentes, auditoría de

sistemas, capacitación, reportes estadísticos y sobre todo investigación, área que

actualmente en la UTPL es considerada como eje transversal en el desarrollo de las

actividades de cada CITTE.

Los servicios que brinda un CSIRT son varios, para escoger los servicios a brindar se

debe tomar en cuenta el tipo de organización en la cual van a ser implementados,

otros factores que se deben tomar en cuenta son: la situación actual de la

organización en el tema de seguridad y la comunidad objetivo a la cual se va a brindar

los servicios iniciales, de acuerdo a la experiencia de otros equipos CSIRT se sugiere

varios servicios iniciales como la emisión de alertas, comunicados y tratamiento de

incidentes.

El personal que forma parte de un CSIRT posee variedad de conocimientos y

habilidades tanto personales como técnicas, es importante recalcar que el personal

que trabaje en el CSIRT debe estar capacitado en temas referentes a los sistemas

que se manejan en la organización, políticas, procedimientos de seguridad, etc., se

debe establecer el horario de trabajo de los miembros del equipo, es decir definir si

van a brindar atención las 24 horas del día los siete días a la semana o solamente en

horario de oficina, se han descrito algunas estructuras organizacionales que deben ser

tomadas en cuenta al momento de definir el personal que trabajará en el CSIRT–

UTPL.


38

Tomando en cuenta los informes estadísticos publicados por el CSI/FBI8 durante el

año 2007 [6] el 59 % de los ataques que se reportaron en las organizaciones a nivel

mundial, fueron ocasionados por el personal interno que hace mal uso de los recursos

de la misma, otros indicadores se detallan a continuación:

Ataques de Virus 52 % - (65% en el año 2006)

25 % Denegación de Servicios

25% Acceso no Autorizado a la Información

61% de las organizaciones identifican al atacante y mejoran sus políticas.

Sabotaje 4%, entre otros.

Información más detallada de los Informes Anuales del CSI/ FBI.

Disponible en: <http://i.cmpnet.com/v2.gocsi.com/pdf/CSISurvey2007.pdf >

De acuerdo a las estadísticas la mayoría de organizaciones encuestadas están en la

capacidad de identificar al atacante, lo que nos señala que se están tomando medidas

para mejorar la seguridad. Si bien es cierto ninguna organización está libre de ser

víctima de las diversas formas de ataques que existen actualmente, pero si está en la

capacidad de tomar medidas de prevención que contribuyan a mitigar los posibles

daños causados, la implementación de un CSIRT no asegura que una organización

sea inmune a las diferentes formas de ataque, pero si garantiza que los integrantes

del equipo tomen medidas de prevención para la detección y resolución de incidentes,

un CSIRT se convierte en un punto de contacto para atender emergencias

informáticas y sobre todo para realizar actividades de investigación en los temas que

ayuden a mejorar la seguridad de los sistemas en las organizaciones y de manera

particular en la Universidad.

8 CSI/FBI: Computer Crime and Security Survey / http://www.gocsi.com

http://i.cmpnet.com/v2.gocsi.com/pdf/CSISurvey2007.pdf


39

2. EQUIPOS CSIRT A NIVEL MUNDIAL


40

OBJETIVO

Estudiar los diferentes Equipos de Respuesta a Incidentes a nivel mundial,

organizaciones que los agrupan, servicios que brindan y la comunidad a la que

están enfocados.

2.1. FIRST

FIRST- Foro de Respuesta a Incidentes y Equipos de Seguridad [7] es la organización

que agrupa a todos los Equipos de Respuesta a Incidentes del mundo, su sede se

encuentra en los Estados Unidos, fue fundado en 1990.

Información más detallada disponible en < http://www.first.org>

El FIRST cuenta en la actualidad con más de 180 miembros distribuidos en países de

Europa, América, Asia y Oceanía, cada uno de los CSIRTs que conforman este foro

son de tipo gubernamental, educativo, empresarial y financiero.

Figura 4: CERTs afiliados al FIRST

El objetivo de esta organización: fomentar la cooperación y la coordinación en la

prevención de incidentes, promoviendo el intercambio de información y la colaboración

entre todos los equipos a nivel mundial.

Algunos de los beneficios de pertenecer al FIRST son:

Disponibilidad de comunicación a través de foros entre los miembros de los

diferentes CSIRTs a nivel mundial, lo que facilita la respuesta ante diferentes

http://www.first.org/


41

incidentes, proporciona también diferentes mecanismos de asistencia y

comunicación de manera segura.

Anualmente se organiza la conferencia sobre Manejo de Incidentes de

Seguridad, conferencias que tienen como punto central el análisis de las

últimas estrategias utilizadas en la prevención y respuesta de incidentes,

análisis de vulnerabilidades y todo lo relacionado al tema de seguridad

informática, todas las conferencias son dirigidas al público en general.

Para los equipos que pertenecen al FIRST se establecen reuniones cada dos

años, las mismas que tienen como objetivo compartir información sobre el uso

de herramientas y aspectos que afectan las operaciones de respuestas a

incidentes.

Todos los equipos que pertenecen al FIRST reciben información de primera

mano, ante determinado incidentes obtienen todo el apoyo del FIRST para

resolverlo, brindan colaboración e intercambio de ideas.

Para ser parte del FIRST uno de los requisitos que se debe cumplir es el proceso de

auditoría, la misma que es realizada por un equipo que sea parte del FIRST, los

aspectos que se evalúan son: estructura del equipo, procedimientos de respuestas a

incidentes, conocimientos del personal que conforma el equipo en cuanto a

metodología y procesos utilizados, entre otros aspectos.

2.2. EQUIPOS DE RESPUESTA A INCIDENTES EN AMÉRICA

La Organización de Estados Americanos (OEA), en el año 2003 aprobó la resolución

AG/Res. 1939 (XXXIII-O/03), que consiste en el Desarrollo de una estrategia

interamericana para combatir las amenazas a la seguridad cibernética, la elaboración

de esta estrategia estuvo a cargo del CICTE (Comité Interamericano contra el

Terrorismo). [8]

La iniciativa surge ante la necesidad de incrementar la seguridad de las redes y

sistemas de información con la finalidad de dar solución a las vulnerabilidades y

proteger a los usuarios, y a la seguridad nacional de las constantes amenazas que se

pueden ocasionar.

El objetivo del proyecto es agrupar a los países que pertenecen a OEA para crear una

red de Equipos de Respuesta a Incidentes que funcione constantemente y que estén


42

en la capacidad de responder de la mejor manera a incidentes y amenazas a la

seguridad informática, para esto la secretaria del CICTE se encarga de brindar la

capacitación necesaria para su implementación, a través de entrenamiento al personal

encargado de las diferentes áreas que afectan la seguridad crítica de la

infraestructura.

Hasta junio de 1997 [9], 12 estados miembros de la OEA entre ellos Argentina,

Bahamas, Bolivia, Brasil, Canadá, Chile, Costa Rica, Estados Unidos, Guatemala,

México, Surinam y Uruguay han establecido un CSIRT Nacional, para combatir las

amenazas a la seguridad de sus sistemas computacionales, en la siguiente gráfica se

indican algunos de los países que poseen un CSIRT.

Figura 5: Países que perteneces a la OEA que poseen CSIRTs

Las primeras medidas que se tomaron en cuenta para la creación de la red

hemisférica fueron:

Identificación de organizaciones CSIRT existentes.

Establecer un modelo de servicio, los CSIRTs nacionales deberán ser

designados por sus gobiernos respectivos. Se deben establecer un conjunto de

normas para la cooperación y el intercambio de información entre los CSIRTs.

Es importante tomar en cuenta la confianza que debe existir entre los equipos,

ya que cada uno maneja información importante y exclusiva, para lograr la

confianza entre los equipos es necesario contar con una infraestructura segura

para el manejo de información delicada y con procedimientos de protección

contra la fuga de información.

Creación de Conciencia Pública: Los CSIRTs nacionales deben tener en

cuenta que el público sabe cómo notificar un incidente y a quién notificarlo.


43

2.3. EQUIPOS DE RESPUESTA A INCIDENTES EN EUROPA

TF-CSIRT [10] (Task Force – Collaboration of incident Response Teams), es una

organización europea cuyas actividades se centran en Europa y en países vecinos, en

cumplimiento con los términos aprobados por el comité técnico de TERENA

(Organización de las Redes Académicas Europeas) el 6 de junio de 2006.

Tiene como objetivo promocionar la colaboración entre equipos de respuesta a

incidentes europeos.

En el siguiente gráfico se puede observar geográficamente la distribución de los

CSIRTs Europeos:

TF-CSIRT proporciona un foro en donde los miembros de la comunidad puedan

intercambiar experiencias y conocimientos, promueve el uso de estándares y

procedimientos para responder a incidentes de seguridad informática, además

participa activamente brindando ayuda en la creación de nuevos equipos y

capacitación de los miembros de los equipos existentes en cuanto a técnicas y

herramientas para el manejo de incidentes.

Los primeros CERTs tuvieron su origen en el ámbito universitario en 1992, cada uno

de los equipos existentes cumple con tres objetivos básicos que son:

Informar sobre la importancia de la Seguridad.

Prevención de Incidentes

Figura 6: Equipos de Respuesta a incidentes en Europa


44

Respuesta a incidentes que ocurran en la comunidad.

2.4. EQUIPOS DE RESPUESTA A INCIDENTES EN ASIA Y PACÍFICO

APCERT [11] (Asia Pacific Computer Emergency Response Team), es un comité que

agrupa a todos los CERTs de Asia y el Pacífico, algunos de los países que forman

parte de APCERT son Japón, Corea, Hong-Kong, Taiwán, Tailandia, Malasia,

Singapur, Australia, Bruselas, China, Indonesia, Filipinas, Taipéi, India y Vietnam, son

aproximadamente 17 equipos que forman parte de APCERT.

En la gráfica se puede visualizar la distribución de los equipos que pertenecen al

APCERT:

Figura 7: Equipos que pertenecen al APCERT

Este comité tiene a su cargo:

Mantener una red de contactos con expertos en seguridad informática

Informar a los equipos de la región en todo lo que se refiere a incidentes de

seguridad informática a través del desarrollo de medidas para hacer frente a

los incidentes.

Facilitar el intercambio de información y de tecnologías entre los miembros.

Ayudar a los demás equipos a llevar a cabo de manera eficaz y eficiente la

respuesta a un incidente.


45

El APCERT está organizado bajo una directiva, la misma está compuesta por

Presidentes, Vicepresidentes, Comités de Gestión, Secretaría, Equipos Miembros y

los diferentes grupos de trabajo, cada una de estas dignidades está representada por

un CERT perteneciente a la región dependiendo de la dignidad que ocupe debe

cumplir con las responsabilidades inherentes al cargo.

En la Sección de Anexos, (Ver Anexo1: Equipos CSIRT a Nivel Mundial) se puede

encontrar información más detallada de cada Equipo de respuesta a incidentes en el

mundo.

Las tablas que se presentan a continuación contienen un breve resumen de los

principales servicios que brindan, se hace referencia a los Equipos CSIRT

Académicos, de Gobiernos y los equipos que brindan servicios a la Administración

Pública.

CSIRTs Públicos

Equipo CSIRT SERVICIOS

ArCERT

(Argentina)

Coordinación, análisis y respuesta a incidentes

Difusión de Información a través de listas de seguridad

Cursos de Capacitación

Concientización a través de jornadas de seguridad

Asistencia para el tratamiento de incidentes

Políticas de Seguridad de Información

Desarrollo de Productos y Servicios.

CCN-CERT

(España)

Capacitaciones

Inspecciones de Seguridad

Crear herramientas para Auditoría y guías de seguridad de

Equipos

Análisis de código malicioso

Investigación

Boletines sobre información técnica

Herramientas para valoración de riesgos

CNCERT/CC

CHINA

Manejo de Incidentes de Seguridad en Redes Públicas

Detección, prevención y respuesta a incidentes


46

CSIRTs Académicos


CAIS /RPN

(Brasil)

Tratamiento de Incidentes

Divulgación de Información

Monitoreo y detección de intrusos

Auditoría de Sistemas

Educación y Entrenamiento

UNAM-CERT

(México)

Servicio de Respuesta a incidentes de seguridad

Realiza investigaciones para mejorar la seguridad de otros

sitios

Emitir boletines con reportes de vulnerabilidades

Coordinar con otros grupos de seguridad para lograr la

interconexión de las comunidades académicas de red clara

Portal del usuario casero, que proporciona herramientas para

proteger los sistemas, brindar información sobre riesgos y

amenazas existentes y cómo protegerse de estos.

Iris- CERT

(España)

Servicios de Respuesta a incidentes, que incluye el Triage de

los incidentes y la coordinación de los incidentes.

Servicios proactivos como : Servicios de información,

capacitación, auditorías y estadísticas.

CSIRTs Nacionales


CL-CERT (Chile) Difusión de Alertas

Capacitación Tecnológica

Análisis de Mercado, focalizado en la generación de índices

Intercambio de información y coordinación de medidas con

organizaciones internacionales.

Recolectar información de eventos de seguridad

Capacitación en temas de seguridad

Consultoría


47

y monitoreo de aspectos de seguridad.

Asesoría a instituciones públicas en la toma de decisiones,

formulación de políticas y buenas prácticas.

CanCERT

Canadá

Recopilación, Análisis y difusión de información

Reporte de amenazas y vulnerabilidades.

Brindar respuesta a incidentes al gobierno de Canadá,

empresas y organismos académicos.

AusCERT

(Australia)

Emisión de Boletines

Capacitaciones

Reportes de incidentes

Gestión de incidentes

Coordinación y Manejo de incidentes

CTIR.GOV

(Brasil)

Recibir notificaciones de incidentes, seguidos por el análisis

de los casos concretos.

Elaboración de respuesta a los incidentes.

Análisis de los activos de información y de la estructura

tecnológica de la información de la administración pública

federal.

CERT.br (Brasil) Sirve de punto Central para coordinar la respuesta a

incidentes para los usuarios de internet.

Coordinas respuestas a los incidentes relacionados con las

redes brasileñas.

Establecer relaciones de colaboración con otras entidades

USCERT (EEUU) Analizar y reducir vulnerabilidades cibernéticas

Difusión de Información de Alertas

Coordinación de actividades de respuesta a incidentes

Reportes de incidentes y vulnerabilidades

Boletines

esCERT - UPC

(España)

Brinda servicios reactivos y preventivos a la UPC

Respuesta a incidentes

Servicio de Aviso de Vulnerabilidades

Capacitación

JPCERT/CC

(Japón)

Análisis y respuesta de incidentes

Alertas de Seguridad


48

Coordinación con otros CSIRTs

Educación

KrCERT/CC

(Korea)

Análisis de incidentes

Monitoreo de Red

Investigación de Técnicas de Hacking

Coordinación de Respuestas a incidentes

SingCERT –

Singapur

Servicios de Seguridad

Reporte de incidentes

Respuesta a incidentes

Discusión

A partir de los años 90 surge la iniciativa de crear un organismo que agrupe a todos

los equipos de respuesta a incidentes del mundo, surge el FIRST que como se ha

indicado anteriormente es un Foro que fomenta la cooperación entre CSIRTs,

iniciativas similares surgieron en Europa, en el año 1992 SURFnet9 crea el primer

CSIRT europeo, actualmente existen más de 100 equipos conformados que brindan

servicios a diferentes organizaciones europeas.

A nivel mundial existen varias organizaciones entre ellas empresas proveedoras de

servicios de internet, universidades, gobiernos y organizaciones privadas que han

implementado un Equipo de Respuesta a Incidentes de Seguridad (CSIRT), muchas

de las cuáles buscan un objetivo común, la atención y respuesta a incidentes,

independientemente del sector al que brinden servicios, de acuerdo a [12] existen

alrededor de 195 equipos distribuidos en 43 países, en Europa y Asia existen

alrededor de 118 equipos, Estados Unidos 61, Canadá 11 y América Latina 8 equipos,

todos pertenecen al FIRST, la mayoría de estos equipos brindan servicios al sector

privado, a proveedores de servicios de Internet, sector académico, de Gobierno,

financiero, militar y sectores industriales y comerciales, los servicios son varios

dependiendo de la organización.

En América latina algunos países que pertenecen a la OEA han implementado

equipos CSIRT la mayor parte de equipos pertenecen al FIRST, lo mismo ocurre en

otros sectores que no pertenecen al gobierno, tal es el caso de Perú que posee dos

9 http://cert.surfnet.nl/.


49

equipos de Respuesta a Incidentes para al sector privado, situación similar ocurre en

Paraguay, ambos países actualmente trabajan en la implementación de un CSIRT de

Gobierno.

Una iniciativa muy importante en la que es protagonista el Equipo de Respuesta a

Incidentes de la Universidad de México (UNAM-CERT) es el de promover varias

estrategias de seguridad para detectar y dar seguimiento a las diferentes actividades

en internet, desde hace algunos años colabora directamente en una propuesta

realizada por RedCLARA (Corporación Latinoamericana de Redes Avanzadas10) en la

que se propone crear un Grupo de Trabajo de Seguridad (GT - CSIRT) que cuente

con la participación de los diferentes equipos CSIRTs, con la finalidad de “ fomentar la

colaboración entre las redes académicas y promover una cultura de seguridad

informática en la región de América latina y el Caribe”, está propuesta incluye la

cooperación con otras iniciativas como TF-CSIRT (Equipos Europeos) y APCERT

(Equipos de Asia y Pacífico).

En Ecuador no hay propuestas de Equipos CSIRT, existen algunas empresas que

brindan servicios de manejo de incidentes y capacitación en temas de seguridad, las

mismas trabajan con empresas que contratan sus servicios pero en su mayoría

cuando son víctimas de ataques.

A nivel de gobierno no hay un sector que se encargue de la seguridad de los sistemas

críticos que se manejan, a nivel de país tampoco existen organizaciones que

publiquen registros estadísticos que indiquen los diferentes tipos de incidentes que

ocurren.

Uno de los objetivos que se pretende alcanzar con el presente proyecto es el que el

CSIRT-UTPL se convierta en un punto de apoyo para la creación de equipos similares

en Ecuador y de esta manera formar parte de las diferentes iniciativas que funcionan

actualmente en América Latina, pero sobre todo ser el punto de apoyo para la

creación de CSIRTs académicos en las diferentes universidades que existen en

nuestro país y así crear un CSIRT de gobierno lo que dará como resultado mejorar los

niveles de seguridad en los sistemas informáticos de nuestro país.

10

www.redclara.net


50

3. INCIDENTES


51

OBJETIVO

Realizar una descripción acerca de conceptos fundamentales, el manejo y los

diferentes tipos de incidentes.

Detallar las principales políticas que se utilizan para el manejo de incidentes.

3.1. DEFINICION

Se define como incidente [13] cualquier evento que comprometa la confidencialidad,

integridad y disponibilidad de la información de la organización, esto incluye la

violación a políticas de seguridad de la organización y mejores prácticas de seguridad.

Los eventos son sucesos observables en un sistema, existen eventos que no causan

daños tales como: acceso a una página web, envíos de correo electrónico, etc., pero

existen también otro tipo de eventos que son adversos a lo indicado y que causan

daño tales como: accesos no autorizados a un sistema, ataques a páginas web,

ejecución de código malicioso, etc.

Para que una organización pueda brindar respuestas ágiles ante un incidente es

importante mantener un plan o metodología para el manejo de los mismos, esta

metodología detalla un conjunto de pasos debidamente aprobados que se deben

seguir para reducir las pérdidas y los daños que un incidente puede causar.

Los incidentes pueden ser:

Uso inapropiado de los recursos de la red.

Intentos no autorizados al sistema (Robo, borrado y alteración de información).

Ataques de virus, gusanos, troyanos.

Mal uso de los recursos informáticos

Mal funcionamiento de software o hardware

Acceso a páginas de contenido restringido

Servicios internos inaccesibles

Violación de normas de acceso a internet

Mal uso de correo electrónico de la organización

Violación de políticas y procedimientos de seguridad, entre otros.

De acuerdo al tipo de incidentes, estos se clasifican por prioridades [14]:


52

Emergencia.- Se consideran como emergencia los incidentes que no admiten

demoras, todos los reportes de emergencia deben ser atendidos de manera

inmediata haciendo uso de todos los recursos disponibles, se pueden

considerar emergencias ataques a sistemas críticos, incidentes producidos en

equipos manejados por los directivos de la organización, ataques a las

infraestructuras de red, etc.

Prioridad Alta.- Son aquellos incidentes que requieren ser atendidos antes

que otros, así sean detectados posteriormente, son procesados antes que los

incidentes de prioridad inferior, por ejemplo accesos a cuentas privilegiadas,

ataques de denegación de servicios, sistemas críticos, etc.

Prioridad Normal.- Este tipo de incidentes son atendidos en orden de llegada,

si es que no existen incidentes de emergencia y alta prioridad, sino son

atendidos luego de un tiempo, por ejemplo acceso a un sistema ajeno,

sistemas de usuarios, etc.

Prioridad Baja.- Son atendidos en orden de llegada, afectan a recursos no tan

indispensables pueden ser atendidos luego de 4 días.

3.2. MANEJO DE INCIDENTES

De acuerdo a [15] se presentan dos criterios en cuanto al manejo de incidentes:

3.2.1. Modelo propuesto por NIST11 / SANS12

De acuerdo a [15], [16] y [17], este modelo presenta seis procesos importantes que

son:

Figura 8: Fases del Manejo de Incidentes

3.2.1.1. Preparación

Contempla las siguientes actividades:

11

NITS: Instituto Nacional de Estándares y Tecnología - http://www.nist.gov/

12 SANS: Organización líder en capacitación de seguridad informática. - http://www.sans.org/

Preparación

Detección y Análisis

Contención,

Resolución

Recuperación

Acciones

Posteriores al

cierre


53

Prepararse para el Manejo de Incidentes.- Consiste en tener presente todos los

recursos disponibles que sean de utilidad en el proceso del manejo de incidentes,

desarrollar políticas y procedimientos para gestionar todos los incidentes y

determinar los de mayor ocurrencia.

Prevención de Incidentes.- Consiste en realizar evaluaciones periódicas de los

sistemas y aplicaciones de la organización. Las evaluaciones que se realicen

permitirán minimizar los riesgos e identificar los recursos críticos de la

organización.

Algunas prácticas que se pueden realizar y que son recomendadas son:

o Seguridad en los Host.- Todos los host deben ser protegidos

adecuadamente, deben estar configurados con los servicios mínimos de

acuerdo a cada usuario.

o Seguridad de Red.- El perímetro de la red debe estar configurado para no

permitir el acceso a actividades no permitidas, solamente deben permitirse

las actividades que permitan el buen funcionamiento de la organización,

algunas actividades incluyen redes privadas virtuales (VPN), etc.

o Prevención de Código Malicioso.- Uso de software para detectar virus,

gusanos y caballos de troya en servidores, estaciones de trabajos,

sistemas operativos, aplicaciones a nivel de servidor y de clientes.

o Sensibilización a los usuarios.- Consiste en sensibilizar a todos los

usuarios sobre la importancia de entender y aplicar las políticas y

procedimientos en relación con el uso adecuado de redes, sistemas y

aplicaciones, el aplicar las políticas de la organización ayudará a reducir la

frecuencia de incidentes, especialmente los relacionados con código

malicioso.

3.2.1.2. Detección y Análisis

Esta etapa incluye las siguientes categorías:

Categorías de incidentes.- Consiste en detallar los posibles incidentes que

pueden suceder, algunas de las categorías de incidentes son:

Denegación de Servicios.- Ataques que impidan el uso autorizado de

redes, sistemas y aplicaciones.

Código Malicioso.- Virus, gusanos y troyanos.


54

Accesos no autorizados.- Accesos a sistemas, redes, aplicaciones, datos

u otros recursos sin contar con la debida autorización.

Señales de un incidente.- Para la mayoría de organizaciones es un poco

complicado el identificar un incidente y determinar que daños puede causar, las

señales de que un incidentes puede ocurrir se basan en dos categorías:

Indicadores.- Señales de que un incidente ha ocurrido o puede estar

ocurriendo ahora, por ejemplo.

o El software antivirus alerta cuando se detecta que un host está

siendo infectado por algún virus o gusano.

o Cuando el servidor web se bloquea

o Cuando los usuarios se quejan de la lentitud de los host para el

acceso a internet.

o Aviso de un usuario de robo de datos.

Precursores (Advertencias).- Son los signos de que un incidente puede

ocurrir en el futuro, algunos ejemplos de advertencias son:

o Los logs del servidor web muestran entradas de un escaneo de

vulnerabilidades.

o Anuncios de que una vulnerabilidad puede ser explotada en los

servidores de correo.

o Anuncio de exploit

o Alerta de IDS sobre escaneos de red.

Recursos para identificar Indicadores y Precursores.- La mayoría de

indicadores y precursores que se debe considerar son:

Sistemas de Detección de Intrusiones (IDS)

Software Antivirus

Sistemas de monitoreo de Red

Análisis de Registros de Auditoría (logs)

Información de vulnerabilidades

Información de Incidentes de otras organizaciones.

Análisis de Incidentes.- Cuando el equipo considera que ha ocurrido un

incidente lo primero que se debe realizar es un análisis para determinar el alcance

y lo que originó el incidente mediante el uso de las herramientas software que se

requieran, esto servirá para determinar las herramientas y métodos que se


55

utilizaron, vulnerabilidades explotadas y el impacto de las mismas en las

actividades de la organización.

El primer análisis servirá para llevar a cabo actividades de contención y de

posteriores análisis de los efectos causados por el incidente.

Documentación del Incidente.- Una vez que se ha descubierto un incidente es

importante realizar la documentación del mismo, en la documentación se incluyen

todos los antes y después del incidente, es decir, empezar documentando todos

los eventos del sistema y los cambios observados desde que se descubrió el

incidente hasta la resolución final.

Todos los documentos en los que se realice la documentación del mismo deben

ser firmados por el encargado de manejar los incidentes.

En estas tareas es recomendable que trabajen dos personas una para que se

encargue de realizar el registro de todos los eventos y otra para que se encargue

de realizar las tareas técnicas.

Se debe mantener los registros de cada uno de los incidentes en una base de

datos, de esta manera si el mismo incidente vuelve a ocurrir se sabe qué hacer, la

información que se debe incluir en la base de datos es la siguiente:

Resumen del incidente

Medidas adoptadas por los encargados de manejar los incidentes

Información de contacto para los interesados (administradores del sistema,

etc.)

Lista de pruebas realizadas durante la investigación.

Priorización del Incidente.- Es uno de los procesos más importante en el manejo

de incidente, los incidentes deben ser atendidos de acuerdo a prioridades, la

prioridad de un incidente se establece de acuerdo a dos factores:

Efectos técnicos y potenciales del Incidente.- Es decir no sólo

considerar los efectos técnicos del incidente en ese momento, sino

también los efectos futuros que este pueda causar.

Criticidad de los Recursos Afectados.- La criticidad de un recurso se

basa en sus datos o servicios y las relaciones de interdependencia con

otros recursos, por ejemplo si existe un problema con un servidor y al

mismo tiempo se reporta un incidente en la Dirección General, la

prioridad la tendrá el incidente que está ocurriendo en la Dirección

General.


56

Notificación del Incidente.- Cuando un incidente es analizado y priorizado se

debe notificar a la organización, en base a las políticas del equipo de respuesta a

incidentes en cuanto a la información que debe ser notificada y a quién debe ser

notificada.

Algunas de las personas que suelen ser notificadas incluyen:

Líder del Equipo.

Otros equipos de respuesta a incidentes.

Departamento legal (en el caso de incidentes con consecuencias

jurídicas).

3.2.1.3. Contención, Resolución y Recuperación

Contención.- Consiste en evitar la propagación del incidente, en esta fase es

importante la toma de decisiones, cuando previamente se han establecido

estrategias y procedimientos.

Debe determinarse distintas estrategias de contención para cada unos de los

incidentes, cada criterio debe ser claramente documentado para facilitar la

adecuada y rápida toma de decisiones.

Debe recoger evidencias de los incidentes con fines de análisis, las evidencias

pueden ser sistemas de información, etc.

Algunos criterios para determinar las estrategias adecuadas incluyen:

Daño potencial de recursos a causa de incidentes

Necesidad de preservar evidencia

Criticidad de los sistemas afectados

Por ejemplo:

Si ocurre un Acceso no Autorizado debido a varios intentos fallidos de login, la

estrategia de contención sería el bloqueo de la cuenta.

Resolución.- Eliminar las causas y componentes asociados al incidente, y otras

actividades que se consideren para resolver el incidente y prevenir futuras

ocurrencias.

Recuperación.- Los administradores del sistema restablecen el funcionamiento

normal para prevenir incidentes similares, algunas de las medidas pueden incluir

el restablecimiento del sistema desde cero, instalación de parches, cambio de

contraseñas, implementación de firewalls, listas de control de acceso, etc.


57

3.2.1.4. Actividades Posteriores

Aprender de los incidentes, a través de reuniones que se realizan luego de que ha

sucedido un incidente, ayuda a mejorar las medidas de seguridad y el proceso de

manejo de incidentes.

Otras de las actividades propuestas son:

Recolección de evidencia

Listas de comprobación de Manejo de incidentes

3.2.2. Modelo propuesto por el CERT/CC13

El modelo propuesto por el CERT/CC y descrito en [3] y [15] describe las siguientes

funciones clasificadas en las siguientes categorías:

Figura 10: Funciones del Manejo de Incidentes

Función de Triage.

Función de Manejo.

Función de anuncio.

Función de Retroalimentación.

3.2.2.1. Función Triage14

13

http://www.cert.org/


58

El objetivo de esta función es asegurar que toda la información destinada para el

manejo de incidentes sea canalizada a través de un único centro de coordinación

independientemente del medio (correo electrónico, fax, teléfono, etc.) que se utiliza

para enviar la información, para su apropiado manejo y distribución.

El Triage consiste en recibir la información, clasificarla y ordenarla con la finalidad de

determinar si el reporte que se recibe está relacionado con eventos pasados o son

nuevos eventos, luego se asigna una prioridad inicial que esté de acuerdo al esquema

de prioridades que se esté manejando.

Algunas alternativas que se pueden usar para mejorar la calidad de la información que

se envía son:

Uso del Número Secuencial.- Se debe utilizar un esquema de numeración

secuencial que pueda ser entendido por todos y al que se tiene acceso de

manera pública, este número se debe manejar en todas las comunicaciones

que tengan relación con algún evento. Los números de seguimiento son las

etiquetas que el sistema utiliza para ordenar y almacenar automáticamente la

información. Es aconsejable utilizar un prefijo para cada función así por

ejemplo e CERT/CC sugiere los siguientes prefijos:

CERT #: para el seguimiento de incidentes.

VU#: es el prefijo utilizado para el seguimiento de

vulnerabilidades.

INFO#: prefijo usado para la identificación de otro tipo de

información.

Utilización de formatos de Reporte Estándar.- Con el uso de reportes se

asegura de que la información sea completa, los formatos que se manejan

deben ser claros, concisos y de fácil acceso, para estos reportes se incluye el

siguiente tipo de información:

o Información de contacto de las personas que reportan el incidente.

o Nombre de los equipos y direcciones de red de los host involucrados en

el incidente.

o Información Relevante como logs, información de zonas horarias, etc.

14

Triage: La palabra triage proviene del término francés trier que significa “seleccionar o

escoger”, ”elegir o clasificar”.


59

o Números de secuencia que hayan sido asignados por otro CSIRT o por

el equipo de seguridad.

Pre-Registro de la Información de Contacto.- Este mecanismo consiste en

solicitar información acerca de:

o Puntos de contacto confiables

o Restricciones en la difusión de la información

o Claves para encriptar la información.

3.2.2.2. Función de Manejo

El objetivo de esta función es proporcionar respuesta y soporte a los informes

recibidos de la comunidad a la que brinda servicios.

Esta función proporciona algunos de los siguientes atributos:

Presentación de Informes.- Un lugar para la recepción de informes de

incidentes relacionados con la comunidad.

Análisis.- Examinar los sitios afectados, revisar los documentos y avisos

técnicos para proveer soporte técnico, y asistencia en el lugar del incidente.

Notificación.- Consiste en la adecuada respuesta y recuperación de la

información a la comunidad a la que el CSIRT brinda servicios., mediante la

notificación se mantiene comunicaciones con las personas afectadas por el

incidente.

3.2.2.3. Función de Anuncio

El propósito de la función de anuncio es generar información para la comunidad, el

objetivo de la función anuncio es la de revelar detalles de las amenazas actuales y de

las medidas que pueden ser adoptadas para mitigar estas amenazas.

Algunos tipos de anuncios son:

Titulares.- Usualmente toma la forma de un mensaje corto, el objetivo es

informar a la comunidad o a personas externas eventos que puedan ser

importantes en un futuro próximo.

Alertas.- Son avisos a corto plazo acerca de los acontecimientos críticos,

contienen información acerca de ataques recientes, nuevas vulnerabilidades,

etc.


60

Avisos.- Proporcionan a mediano o largo plazo información sobre los

problemas y las soluciones adecuadas para ayudar a evitar incidentes. Estos

contienen información acerca de las nuevas vulnerabilidades y pueden también

brindar información sobre las actividades de los intrusos.

Para su Información.- Son documentos parecidos a los avisos pero más

cortos y menos técnicos dirigidos a un público más general. Estos documentos

contienen información a manera de instructivos con temas relacionados a la

seguridad, pueden ser usados por personal no técnico.

Guías.- Son una secuencia de pasos que ayudan a ampliar los conocimientos

de la personas en temas de seguridad.

Procedimientos Técnico.- Son guías más completas, estas contienen más

detalles técnicos y son dirigidos a grupos de expertos.

3.2.2.4. Función de Retroalimentación

El manejo de incidentes es el objetivo de todo CSIRT pero también es necesario

atender otro tipo de requerimientos, esto es importante porque así no se afecta la

imagen del equipo en el sentido de que no brinda respuesta a otro tipo de solicitudes o

requerimientos que son distintos del manejo de incidentes, estos requerimientos

forman parte de las siguientes categorías:

Seguridad General de Computadores.- Búsqueda de información para

mejorar la seguridad y evitar incidentes a través de medidas de seguridad o la

manera de contactarse con el CSIRT en caso de ocurrir un incidente. De esta

manera el CSIRT ayuda a concientizar a la comunidad sobre la importancia de

tomar medidas de seguridad en los sistemas y evitar incidentes.

Requerimientos de los Medios.- Solicitudes de parte de los medios de

comunicación para los artículos relacionados con la seguridad de los sistemas,

el equipo debe estar preparado para manejar adecuadamente este tipo de

solicitudes por parte de los medios, garantizando así mismo que las políticas

del equipo en cuanto a la publicación de la información no sean violadas.

Otros Requerimientos.- Estos incluyen solicitudes enviadas al equipo para

dar conferencias, solicitudes para hacer uso de derechos de autor, etc.

Requerimientos fuera del Alcance.- No tienen que ver con los servicios

prestados por el CSIRT. Se puede hacer referencia a un enlace de preguntas

frecuentes (FAQ) que tengas respuesta a preguntas como: ¿Cómo conectarse

a internet?, ¿Qué herramientas de software puedo utilizar?, etc.


61

Para todos estos requerimientos se debe direccionar un archivo de preguntar

frecuentes (FAQ), interno sólo para los miembros del equipo en el que se describen

los procedimientos relacionados con la manipulación de los diferentes tipos de

solicitudes y el tipo de respuesta que se puede dar a cada una de ellas, y con

indicaciones sobre cómo establecer prioridades, por ejemplo si las solicitudes son los

gerentes de la organización deben ser asignados con mayor prioridad y luego deben

ser seguidas por los demás miembros de la comunidad.

Otro de los beneficios de de tener un FAQ interno es que este puede ser utilizado

como una herramienta de aprendizaje para nuevo personal que forme parte del

CSIRT.

3.2.3. Metodología a utilizar en el CSIRT-UTPL

Para el manejo de incidentes en la UTPL se utilizará la metodología diseñada para el

manejo de incidentes y vulnerabilidades [18], la misma se basa en el análisis de las

diferentes metodologías existentes para el manejo de incidentes y vulnerabilidades.

La metodología propuesta está estructurada de la siguiente manera:

Análisis de Vulnerabilidades.- La misma que está divida en tres fases:

Prevención, Identificación y Corrección.

Atención a Incidentes de Seguridad.- Basada también en tres fases:

Prevención, Identificación y Corrección.

La metodología citada propone formatos para el registro de incidentes y

vulnerabilidades, los mismos que serán adaptados a las necesidades del CSIRT-

UTPL.

3.3. POLÍTICAS Y PROCEDIMIENTOS PARA LA RESPUESTA A INCIDENTES

Las políticas consisten en un conjunto detallado de pasos que se deben seguir para

proteger todos los recursos importantes de una organización, cabe resaltar que entre

esos recursos se encuentra la información que se genera en cada una de las

organizaciones. Las políticas que se desarrollan deben garantizar la integridad,

confidencialidad y la disponibilidad de los datos, las políticas se desarrollan en base a

estándares15, procedimientos16 y los diferentes conjuntos de mejores prácticas17.

15

Estándares: Guías que especifican la implementación de las políticas.

16 Procedimientos: Pasos que especifican requerimientos para las políticas y estándares sean


62

Las políticas y procedimientos se definen de acuerdo a la organización en la que se

van a implementar, pero existen algunos elementos fundamentales como:

Declaración de compromiso de Gestión

Fines y objetivos de las políticas

Ámbito de aplicación de las políticas (A quién, para quién y en qué

circunstancias se aplican).

Definición de incidentes de seguridad

Estructura de la organización y delimitación de funciones

Medidas de ejecución

Presentación de informes y formularios.

Algunas políticas que se sugieren en [3] y [19] pero no son limitadas a las que se

presentan a continuación:

Política de Clasificación de la Información.

Política de Diseminación de Información.

Política de Medios de Comunicación.

Política de Seguridad.

Políticas de Errores Humanos

Política de Clasificación de la Información: En el equipo CSIRT se debe

mantener una política de clasificación de la información, el no mantener una

política de clasificación puede ocasionar que los miembros del equipo

clasifiquen la información de acuerdo a su percepción, en el mejor de los casos

la clasificarán correctamente, sino no la clasificarán, un ejemplo de esta

política en el caso más sencillo puede ser:

o Dividir la información en dos categorías: “información Sensible” y

“Todos los demás”, lo que se encuentre en Información Sensible debe

ser manejado con mucho cuidado, lo que se encuentre en Todos los

Demás debe considerarse como información pública.

aplicados.

17 Mejores Prácticas: Conjunto de reglas que sirven para dar cumplimiento a los estándares.


63

Política de Diseminación de la Información: Política que ayuda a determinar

la información que se debe dar, a quién y cuándo, a que llamadas y e-mails

debemos responder, etc.

La mayoría de los equipos trata la información que recibe de manera

confidencial, y no comparten la información sino solamente entre sus

miembros, la información es compartida únicamente en el caso en el que los

dueños de la información den su autorización, algunas excepciones de esta

políticas incluye el uso de la información solamente para generar reportes

estadísticos.

Se deben tomar en cuenta aspectos sobre el envío de información por parte

del CSIRT cuando se genera información sobre ataques o vulnerabilidades

encontradas, se debe determinar a quién se reporta, por ejemplo miembros del

CSIRT, comunidad, medios de comunicación, etc.

La información que se va a enviar se determina de acuerdo a la política de

categorización de la información.

Política de Medios de Comunicación: Los medios de comunicación son una

poderosa herramienta para dar a conocer la información del CSIRT, es

aconsejable disponer de personal que se encargue de ser el portavoz del

equipo, de esta manera terceras personas no tienen acceso a datos delicados.

La información que se da a los medios incluye reportes de alertas, boletines e

invitaciones a eventos, cursos, etc., que desarrolle el CSIRT.

Política de Seguridad: Toda organización cuenta con un manual de

seguridad en que se toman en cuenta todos los aspectos para la seguridad de

la misma, la política debe abarcar varios aspectos tales como:

o Seguridad Física

o Seguridad de la Red Local

o Manejo de Incidentes de Seguridad Local

o Seguridad de la información local

o Manejo de desastres y continuidad del negocio.

Política de Errores Humanos: Todos somos humanos y todos cometemos

errores, la política de errores humanos ayuda a minimizar los daños causados

por el personal, si algún funcionario comete un error se lo corrige de manera

constructiva. Las políticas de errores humanos no deben decir: “Cometa los


64

errores que quiera, nosotros siempre seremos amables con usted”, la política

debe indicar claramente :

o Si un funcionario comete un error que puede tener malos resultados,

debe informar lo antes posible al personal apropiado.

o Después de resuelto el problema el funcionario que cometió el error

debe reunirse con el líder del grupo y analizar las causas del error.

o Establecer métodos para que el error no vuelva a ocurrir, puede ser a

través de capacitaciones, etc.

o Si los errores persisten se debe tomar otras medidas

3.4. Norma ISO 17799

En el año 2005 esta norma es revisada y renombrada como ISO 17799:2005, en julio

de 2005 la Organización Internacional para la Estandarización (ISO) cambió la

denominación de la ISO 17799:2005 por 27002:2005, la norma no cambia el

contenido, está compuesta por 11 Dominios , 39 objetivos de control 18y 133

controles19 [20].

Esta norma hace referencia a las recomendaciones de las mejores prácticas en la

gestión de la seguridad de la información, el objetivo principal de esta norma es el de

proporcionar una base para desarrollar normas de seguridad que permitan establecer

transacciones y relaciones de confianza entre las organizaciones, a nivel general los

dominios por los que está compuesta esta norma son:

Tabla 3: Dominios y Controles Norma ISO 17799:2005

Dominios

N°

Controles

1. Política de Seguridad:

Proporciona directrices y recomendaciones para dar

soporte a la Gestión de la Seguridad de la

información

1

2. Organización de la Seguridad de la Información:

Gestión de varios aspectos, entre ellos: recursos,

tercerización etc., dentro de la organización.

2

18

Objetivos de Control: Resultados que se espera alcanzar, mediante la implementación de

controles.

19 Controles: Procedimientos que reducen el nivel de riesgo.


65

3. Gestión de Activos

Inventarios y nivel de protección de activos

2

4. Seguridad de Recursos Humanos

Reducir riesgos de errores humanos.

3

5. Seguridad Física y Ambiental

Evitar entre otras cosas accesos no autorizados a la

empresa y a datos.

2

6. Gestión de Comunicaciones y Operaciones:

Garantizar la operación y actividades del grupo a la

organización.

10

7. Control de Acceso.

Evitar el ingreso de personal no autorizado a los

sistemas críticos de la empresa,

7

8. Adquisición, Desarrollo y Mantenimiento de Sistemas

de Información:

Evitar pérdidas, asegurar que la seguridad está

incorporada a los sistemas de información.

6

9. Gestión de Incidentes de Seguridad de la

Información:

Gestionar los incidentes que afectan a la

organización.

2

10. Gestión de la Continuidad Comercial:

Saber qué hacer ante interrupciones de las

actividades de la organización, proteger los recursos

críticos frente a fallas, ataques o desastres.

1

11. Conformidad:

Evitar el incumplimiento de las leyes y

requerimientos de seguridad.

3

Todos los dominios son importantes, pero cada organización identifica los dominios

aplicables de acuerdo a su situación actual.

Para definir las políticas del Equipo CSIRT – UTPL tomaremos como base el dominio

9: Gestión de Incidentes de Seguridad de la Información (Ver: Anexo 2: Dominio

9), más adelante detallaremos los aspectos principales a tomar en cuenta para la

Elaboración de las Políticas para el CSIRT-UTPL.

Discusión

El personal que forma parte de un equipo CSIRT deben poseer un claro conocimiento

de lo que representa un incidente de seguridad y los diferentes mecanismos de

respuesta y manejo de los mismos, algunos puntos que se deben tomar en cuenta en

el manejo de incidentes son los procesos de triage (clasificación) de la información


66

recibida, estos procesos son definidos de acuerdo a las prioridades establecidas por

el equipo, es importante destacar el uso de metodologías de respuesta a incidentes

ya que garantiza una respuesta basada en un conjunto de pasos no solamente

empíricos sino pasos secuenciales y probados que ayuden a dar una adecuada

respuesta.

El llevar un adecuado registro de incidentes a través de formatos establecidos ayuda a

clasificar los reportes en información critica e información no crítica, la información que

sea concerniente a incidentes y su solución será guardada en repositorios de

información que será utilizada en futuros incidentes, la información obtenida debe ser

clasificada y publicada por el equipo de acuerdo a los medios que se utilicen, ya sea

por internet o boletines impresos.

Implementar la Norma ISO en las organizaciones ayuda a incrementar los niveles de

seguridad en los sistemas de información, se adopta una correcta planificación de la

seguridad y sobretodo una mejora de la imagen de la organización.

El adecuado uso y aplicación de políticas basadas en estándares proporciona guías

para una adecuada repuesta y contribuye al equipo en el cumplimiento de uno de los

requisitos de ingreso al FIRST el mismo que señala que las políticas deben ser

realizadas de acuerdo a la norma ISO, en el caso de la Universidad las políticas del

CSIRT-UTPL serán añadidas al Manual de Políticas de Seguridad existente en la

Universidad, que actualmente se encuentra en proceso de aprobación.


67

4. MODELO ORGANIZACIÓNAL DE UN CSIRT

OBJETIVO


68

Estudiar los diferentes modelos organizacionales de un Equipo de Respuesta a

Incidentes de Seguridad (CSIRT).

El documento [21] publicado por el CERT/CC, hacen referencia a los diferentes tipos

de modelos organizacionales que se deben revisar durante la implementación del

CSIRT, en cada uno de los modelos presentados se realiza primeramente una

descripción del modelo, que comprende la definición, comunidad a la que va dirigido,

servicios que presta y la infraestructura requerida.

Existen cinco modelos organizativos:

Equipo de Seguridad

CSIRT interno Distribuido

CSIRT interno Centralizado

CSIRT Interno Combinado (Centralizado y Distribuido)

CSIRT de Coordinación

En algunos de los modelos se utiliza el término interno porque el CSIRT se ubica en la

organización, centralizado que se encuentra cerca de la organización y distribuido

porque se encuentra ubicado en edificios, ciudades y regiones geográficas lejanas.

4.2. EQUIPO DE SEGURIDAD

Se encarga de la seguridad interna y externa de la organización, manejan problemas

de seguridad y tecnologías como firewalls, antivirus, detección de intrusiones, etc.

Su objetivo principal es configurar, proteger redes y sistemas, detectar anomalías y

de ser necesario dar respuesta a las anomalías identificadas, se realizan actividades

reactivas, la misión principal es que si hay fallas en un sistema buscar inmediatamente

todas las soluciones posibles para que el sistema funcione nuevamente.

Un equipo de Seguridad no se considera como un CSIRT porque no hay personal

establecido que se encargue de manera formal del manejo de incidentes ni de las

acciones que esto conlleva, es decir ser proactivos, estar preparados antes de que un

incidente ocurra y si este ocurre saber qué hacer.

Un equipo de seguridad puede ser implementado en organizaciones como

instituciones de gobierno, instituciones educativas y comercios que tengan una

necesidad de seguridad y esta por lo general comienza con equipos dedicados a la


69

seguridad central con componentes como firewalls, Redes privadas virtuales (VPN),

sistemas de detección de intrusos (IDS) y antivirus.

En este modelo no hay una infraestructura organizacional para el manejo de

incidentes, no se mantienen repositorios de datos sobre incidentes que pueden ser

utilizados por la organización.

Los servicios que brinda un equipo de Seguridad son:

Análisis de incidentes

Respuesta de incidentes en el Lugar

Coordinación de la Respuesta a incidentes

Respuesta a Artifacts y Vulnerabilidades

Configuración y mantenimiento de Herramientas de Seguridad, Aplicaciones e

Infraestructura.

Servicios de Detección de Intrusos

Los servicios adicionales que puede brindar son:

Alertas y peligros

Análisis de Vulnerabilidades y Artifacts

Coordinación de Respuesta de Vulnerabilidades y Artifacts

Desarrollo de Herramientas de Seguridad

Otros Servicios (Servicios Reactivos y Proactivos, anuncios, auditorias de

seguridad, etc.).

El lado negativo de implementar un equipo de seguridad en una empresa en lugar de

un CSIRT es que no se poseen patrones de las diferentes amenazas y por lo tanto no

se puede mitigar esas amenazas, esto se produce por la falta de un manejo

coordinado de los incidentes. Otro aspecto negativo es la presentación de informes

pues no hay una manera ordenada para la presentación, análisis y respuesta de los

mismos debido a que no hay un formato establecido para el registro de esa

información.

4.3. CSIRT INTERNO DISTRIBUIDO

Es interno porque está conformado por personal de la empresa, y distribuido porque el

personal del equipo se encuentra distribuido en todos los sectores geográficamente

separados de la organización.


70

La diferencia fundamental con el de seguridad es que en el equipo interno Distribuido

se encarga del manejo y respuesta de incidentes- de manera más formal, se basa en

el uso de políticas, procesos, procedimientos y establece métodos de comunicación

con otras organizaciones en temas de seguridad.

Este equipo cuenta con una oficina central en la organización a la que llegan todos los

reportes de las diferentes secciones de la misma, está dirigida por el líder del CSRIT

que se encarga también de la asignación y revisión de tareas.

Los miembros del equipo son escogidos de acuerdo a sus habilidades técnicas

relacionadas con el manejo de diferentes plataformas, tecnologías, aplicaciones y

prácticas de seguridad.

El líder o gerente del grupo tiene toda la autoridad para dar respuesta a los incidentes

que se producen, las medidas que se tomen deben contar con la aprobación del líder

del CSIRT y de la gerencia.

Este modelo se implementa en grandes organizaciones que se encuentran distribuidas

a lo largo de una región, en organizaciones gubernamentales e instituciones

educativas que se encuentren dispersas geográficamente.

Para proceder a la estructura e implementación se debe tomar en cuenta el tamaño de

la organización, el número de ubicaciones geográficas en donde funciona la empresa,

número de plataformas y sistemas de apoyo, la experiencia del personal y los

servicios que el CSIRT va a ofrecer.

Algunas de las funciones del un CSIRT Distribuido Interno son:

Ayudar al análisis de incidentes y vulnerabilidades

Fomentar la conciencia entre los miembros de la organización en temas de

seguridad.

Proporcionar una base de conocimientos de todos los sistemas de la empresa

Promover las mejores prácticas de seguridad.

Se puede asignar a cada departamento diferentes tareas, por ejemplo un grupo se

encarga de realizar la manipulación de incidentes en su departamento, otra puede ser

responsable del análisis de vulnerabilidades de un sistema operativo, los miembros

del equipo deben mantenerse en contacto constante a través de comunicaciones


71

seguras, como correo electrónico, reuniones a través de medios virtuales, y también

reuniones en las que todos estén presentes.

Para que este modelo tenga éxito en su implementación debe existir cooperación

entre todos los miembros de los diferentes equipos responsables, el gerente del

CSIRT debe tener un conocimiento claro de todas las actividades que se realizan en

los diferentes grupos, debe existir una comunicación constante, deben existir políticas

y procedimientos claros sobre el manejo de incidentes y vulnerabilidades, y

procedimientos de cómo responder ante los mismos.

Para que la implementación de este modelo sea exitosa se recomiendan algunos

pasos:

Debe existir el compromiso de la Gerencia para apoyar a las actividades del

CSIRT en cada una de las áreas en las que funciona.

El líder del equipo CSIRT debe conocer muy bien cada área del CSIRT para

poder asignar las tareas y acciones que permitan maximizar el éxito del

equipo.

Los miembros del equipo deben tener conocimientos y entender las diferentes

tecnologías.

Establecer políticas y procedimientos claros para el reporte de incidentes y

vulnerabilidades, como manejarlos, notificarlos y procedimientos de resolución

de los mismos.

Garantizar la infraestructura del equipo.

El personal que se sugiere para este modelo es:

Líder del equipo o Administrador del CSIRT

Personal de apoyo Administrativo

Analistas (depende de los servicios ofrecidos, ayudan a levantar estadísticas

de incidentes, datos de IDS, alertas de seguridad y documentos técnicos).

Miembros Distribuidos (Dependiendo del tamaño de la organización).

Personal del Departamento Jurídico, relaciones públicas, comunicaciones.

Expertos Técnicos (Administradores, conocedores de las diferentes

plataformas (Windows, Solaris, etc.)).


72

Los servicios a brindar se definen de acuerdo a la organización, se realiza un análisis

actual del sistema, red y administradores de seguridad de la organización y así poder

definir la situación real de la misma.

Las limitaciones de implementar este grupo es que si es implementado en diferentes

áreas de la organización es un inconveniente para que el CSIRT funcione como un

todo, el estar distribuido puede ocasionar algunos problemas logísticos tales como:

Conflictos al momento de estableces prioridades para los incidentes.

Personal con distintos niveles de experiencia que se reflejen negativamente al

momento de coordinar la información y aplicar los planes de respuesta a

incidentes.

4.4. CSIRT INTERNO CENTRALIZADO

En este tipo de modelo el CSIRT se ubica en la zona céntrica de la organización, se

encarga de las actividades de manipulación de incidentes, son el único punto de

contacto al que se reportan incidentes, vulnerabilidades y código malicioso; se

encargan del reporte análisis y respuesta de todos los incidentes que son reportados

en la organización, realizan el análisis de vulnerabilidades y desempeñan un papel

activo en la difusión de información sobre temas de seguridad, en algunos casos el

personal que trabaja en el grupo es al 100%, es decir solo trabaja para el CSIRT.

Este modelo es utilizado en organizaciones pequeñas, en las que el número de

edificios y sistemas pueden ser manipulados por un grupo CSIRT o por un

departamento de tecnologías de información.

Puede ser aplicado también en organizaciones grandes, pero la desventaja de aplicar

este tipo de equipo en una empresa es cuando se debe definir la autoridad del CSIRT,

y al existir varios grupos en diferentes sitios no se puede definir una sola autoridad.

El personal que forma parte del equipo debe estar compuesto por personal de

experiencia en las diferentes plataformas, si esto no es posible se puede trabajar en

estrecha colaboración con el equipo encargado de estas actividades.

Las actividades del CSIRT son controladas por un líder del equipo, quien también es

el encargado de representar al equipo en las juntas con los Directivos de la

organización.


73

Algunos de los servicios de este tipo de CSIRT es el de mantener un portal Web en el

que se proporciona información a la organización, puede estar compuesto de varias

secciones tales como: Preguntas frecuentes (FAQ), información de seguridad,

boletines, políticas, etc.

El modelo Centralizado proporciona a la organización:

Llevar una gestión proactiva, que permita proporcionar una visión más amplia

de las amenazas a las que puede estar expuesta la organización.

Una estructura estable para la construcción de un CSIRT y así lograr que los

incidentes sean manejables y previsibles.

En este modelo es muy importante la orientación al personal en temas de seguridad,

que cada miembro del equipo tenga bien entendido cuáles son las funciones que debe

realizar.

Debe tomar en cuenta métodos de clasificación de incidentes (triage), es importante

que todos lo que conforman la organización entiendan la importancia de reportar

ataques, virus y actividades anormales en los sistemas que manejan, todos deben

comprender y aplicar también todas las políticas y procedimientos de seguridad.

El personal del equipo debe dedicar el 100% de tiempo al trabajo del CSIRT y puede

estar conformado por:

Director o líder del equipo

Personal de apoyo administrativo

Personal Técnico (que depende del tamaño de la organización, recursos

disponibles, servicios que ofrece, se debe tomar en cuenta la cobertura que se

va a realizar es de 24*7*36520, pueden ser de 2 a 4 técnicos dependiendo de la

anteriormente indicado.

Administrador de Sistemas: provee apoyo en la infraestructura del equipo

CSIRT, esta puede ser una posición compartida con otro departamento.

Personal para el triage y hotline.

Desarrolladores Web

Recursos Humanos

20

24*7*365 : La cobertura que va a dar el CSIRT, las 24 horas del día, los siete días a la

semana, los 365 días del año.


74

Asistencia Legal

Investigadores

Expertos Técnicos (expertos en diferentes plataformas )

Los servicios se definen de acuerdo a la estructura y situación de la organización de

acuerdo a la clasificación indicada en la fase I.

Las limitaciones de este modelo es que si la organización es demasiado grande, con

diferentes sucursales, manejo de diversas plataformas, puede existir dificultades para

el manejo de los incidentes.

4.5. CSIRT INTERNO COMBINADO (CENTRALIZADO Y DISTRIBUIDO)

Este modelo corresponde a la unión de los equipos centralizado (proporciona alto nivel

de análisis y estrategias de mitigación, brinda apoyo a los miembros del equipo en la

respuesta a incidentes, vulnerabilidades y artifact) y distribuido (proporciona

conocimientos técnicos a cada una de las áreas de las que el grupo es responsable).

Este modelo funciona para las grandes organizaciones distribuidas físicamente, el

implementarlo en una organización pequeña no es necesario, en este caso se

recomienda implementar un modelo centralizado.

Este modelo maximiza la utilización del personal existente en lugares estratégicos de

la organización, junto a un centro de coordinación el equipo se dedica a brindar

respuestas a informes de todas las actividades anormales, participan en la respuesta

de incidentes, vulnerabilidades y artifacts, realizan evaluaciones de seguridad y

difunden información acerca de las mejores prácticas de seguridad que se deben

seguir en la organización, apoya a la organización en la gestión y asignación de

recursos en etapas de crisis.

El modelo ofrece un servicio centralizado que puede recopilar información de varias

organizaciones diferentes y la difunde a través de la empresa.

En lo referente a la estructura organizacional existen muchas alternativas que se

pueden tomar en cuenta:

Poseer un equipo centralizado que se encargue de las funciones de triage y

del análisis, y trabajar en equipo para aplicar las medidas de respuesta o

procedimientos en sus áreas específicas.


75

El equipo centralizado solamente recibe informes de incidentes y

posteriormente asigna el análisis y la respuesta a los miembros del equipo

distribuido basados en la ubicación geográfica.

Para la comunicación entre grupos se deben establecer mecanismos de comunicación

segura, como correo electrónico, intranet segura, etc.

En el modelo Centralizado – Distribuido el triage se realiza a través de dos estructuras

diferentes:

1. Todos los informes y solicitudes que ingresan a la oficina del CSIRT central,

se clasifican, ordenan y se establece una prioridad en la oficina central.

2. Los informes que se reciben en los equipos distribuidos, se realiza el triage en

cada oficina y los reportes o solicitudes que no pueden ser manipulados se

envían a la oficina central.

En ambos casos el equipo centralizado realiza un seguimiento de todos los informes,

tanto de las áreas distribuidas y centralizadas.

El personal que conforma este tipo de equipos es el siguiente:

Equipo Centralizado

Un administrador

Personal de apoyo administrativo y técnico

Personal de HelpDesk que se puede encargar también de actividades de

triage.

Equipo Distribuido

Personal distribuido en las áreas de la empresa

Redactores Técnicos

Instructores

Expertos Técnicos

El número de personal se determina de acuerdo al tamaño de la organización.

El modelo Centralizado - Distribuido proporciona a la organización un mecanismo

claro para la gestión proactiva, proporciona una visión más amplia de las diferentes

amenazas de seguridad que pueden ocurrir.


76

Las principales dificultades de este modelo es la implementación del equipo a través

de un área geográfica separada, que el personal trabaje de manera eficaz, la

aplicación de un mecanismo de retroalimentación, como se trabaja en áreas dispersas

pueden existir dificultades en cuanto a las políticas, leyes y zonas horarias.

4.6. CSIRT DE COORDINACIÓN

El modelo CSIRT de Coordinación se encarga de coordinar y facilitar el manejo de

incidentes en organizaciones tanto a nivel interno y externo, las diferentes actividades

también incluyen otros equipos CSIRT.

El objetivo principal de este tipo de CSIRT es la coordinación de las actividades

relacionadas con el manejo de incidentes y vulnerabilidades de diferentes

comunidades (Contituency), este tipo de equipos facilitan el intercambio de

información, técnica, herramientas y todo lo que proporcione ayuda estratégica para

una oportuna y adecuada respuesta a incidentes.

Un equipo de coordinación tiene alcances muy amplios, presta un conjunto muy

variado de servicios que ayudan a organizaciones que se dedican al manejo de

incidentes, por lo general este modelo no tiene autoridad sobre los miembros de la

comunidad a la que prestan servicios.

Un ejemplo de CSIRT de coordinación son: CERT/CC que es un equipo que dan

soporte a toda la comunidad de internet, no ejercen ninguna autoridad pero brindan

reportes y diversa información acerca de la atención a incidentes, otro grupo similar en

el JPCERT/CC que da soporte en la atención y respuesta a incidentes a todo un País,

esto incluye todos los CSIRTs de ese país.

La estructura organizacional de este modelo se resume en un Líder y una ubicación

central, comprende personal de experiencia en diferentes plataformas, personal para

triage y personal administrativo.

Las funciones principales de un CSIRT de coordinación es actuar de manera eficiente

y suministrar alertas, capacitación, políticas y procedimientos documentados para una

adecuada respuesta de incidentes a todas las organizaciones que componen la

comunidad.

Las principales limitaciones de este tipo de equipos son trabajar en una zona

geográfica con múltiples zonas horarias, a veces puede incluir diferencias en el

idioma, cultura, leyes, etc., esto puede dificultar la prestación adecuada de servicios.


77

Otro tipo de dificultad es que a veces las recomendaciones que brinda el CERT/CC a

determinada comunidad pueden no ser aplicadas en su totalidad porque el CERT/CC

no tiene autoridad sobre dicha comunidad.

Es importante cuidar mucho la trayectoria de servicios del CSIRT, deben ser un

equipo muy confiable.

Las fortalezas y debilidades de cada modelo organizacional presentado, se indican a

continuación:


78

FORTALEZAS Y DEBILIDADES DE LOS MODELOS ORGANIZACIONALES DE UN CSIRT

Modelo organizacional Fortalezas Debilidades

Equipo de Seguridad

Funciona en organizaciones en las que lo

más importante es proteger las redes y

sistemas de la organización.

No se llevan registros de las

vulnerabilidades encontradas ni de las

soluciones que se han dado para las

mismas.

Al momento de dar solución a alguna

amenaza en los sistemas solamente se

da solución al equipo que fallo y no se

toma en cuenta que existen otros equipos

o áreas que pueden estar expuestos al

mismo error.

No hay procesos formales para el manejo

de incidentes, no se toman medidas

preventivas.

Equipo Distribuido Interno

Existe una oficina central en la que se

lleva a cabo los servicios del CSIRT.

Existe personal capacitado que se

encarga de coordinar la notificación de

incidentes a la organización.

El personal que conforma el equipo

puede no ser parte del equipo a tiempo

completo.

Mantener comunicaciones oportunas a

través de grandes zonas geográficas


79

Se mantiene repositorios de los datos de

incidentes.

Con una buena organización del equipo

se pueden desarrollar políticas, prácticas

y procedimientos para el manejo de

incidentes.

puede resultar difícil.

Equipo Centralizado Interno

Este modelo permite mantener una

infraestructura que se dedica al manejo

de incidentes.

Proporciona personal capacitado para la

respuesta a incidentes.

Mantiene un repositorio de

vulnerabilidades e incidentes atendidos.

Si este modelo es implementado en

zonas separadas geográficamente,

pueden existir dificultades para la

coordinación de actividades.

Un equipo CSIRT se encarga de la

seguridad de la organización, pero

existirán algunas unidades operativas que

presumirán que el CSIRT se encargará

de todos los eventos de seguridad, y ellos

no se preocuparán de estos temas.

Dificultades para obtener financiamiento.

El equipo podrá no contar con el personal

necesario para las diferentes actividades.

Equipo Combinado

(Centralizado - Distribuido)

Proporciona un CSIRT compuesto de

profesionales y una red de unidades

operativas.

Dificultar para coordinar todas las

divisiones geográficas de la empresa.

Equipo centralizado puede parecer


80

Los miembros del equipo distribuido

proporcionan apoyo al equipo

centralizado en lo relacionado con los

sistemas locales.

El equipo que conforma el área

centralizada sintetiza la información para

poder realizar un análisis y brindar

respuestas a la organización.

Se mantienen repositorios de incidentes,

vulnerabilidades y artifacts.

aislado de la organización.

Dificultad para obtener presupuesto para

implementar cada área de la empresa

que forma parte del CSIRT.

Puede existir retraso en el envío de

información y de respuestas puesto que

existen áreas que son geográficamente

distantes.

Centro de Coordinación

Proporciona un equipo de profesionales

que se encargan de la coordinación y de

proporcionar estabilidad y experiencia en

el manejo de incidentes.

Proporciona un punto estable para la

coordinación de tareas.

Existe un punto central para el análisis de

información y determinar pautas para

toda la comunidad.

Es difícil coordinar actividades con todas

las comunidades que se encuentran

dispersas.

Es difícil asegurar que todas las

entidades dentro de la organización a la

que se presta servicios respondan a

informes de incidentes y

recomendaciones.

No se puede asegurar que las alertas de

seguridad y anuncios se distribuyan a las

organizaciones.


81

Discusión

El esquema organizacional es un punto importante que debe tomarse en cuenta

durante la fase de creación de un Equipo de Respuesta a Incidentes, todos los

modelos excepto el modelo de Equipo de Seguridad, son alternativas para ser

tomadas en cuenta en el proceso de creación de un CSIRT, cada modelo presenta

alternativas para la elección de servicios y personal que se deben tomar en cuenta.

EL modelo de Seguridad es el modelo que actualmente se encuentra implementado

en la UTPL, a través del Grupo de Seguridad (www.utpl.edu.ec/seguridad), se maneja

un portal web en el que constantemente se realiza la publicación de varios boletines

sobre notas de seguridad, e información de los diferentes proyectos que están siendo

realizados por docentes investigadores, tesistas y estudiantes de gestión productiva,

parte de las tareas del grupo de Seguridad –UTPL incluyen el analizar las diferentes

iniciativas de seguridad, planificación de eventos académicos, proyectos de

investigación, etc.

A pesar de que se cuenta con un Equipo de Seguridad no se ha implementado

actividades de atención y respuesta a incidentes de manera formal, como se ha dicho

anteriormente se realizan actividades de atención de incidentes de manera reactiva.

El modelo organizacional que se sugiere implementar en el Equipo CSIRT - UTPL, es

el modelo Centralizado Interno, inicialmente los servicios que brinde estarán dirigidos

principalmente a los funcionarios que laboran en el campus de la UTPL,

posteriormente el modelo a implementar será el Interno Distribuido por cuanto se

incluirá a los centros regionales a nivel de todo el país incluyendo también los centros

asociados.

http://www.utpl.edu.ec/seguridad


82


83

5. PASOS PARA LA CREACIÓN DE UN CSIRT

OBJETIVO

Estudiar los diferentes documentos publicados sobre la creación de CSIRTs

que nos permitirá avanzar con la creación del CSIRT-UTPL.

Antes de detallar los pasos que se han propuesto en algunos documentos para la

creación de CSIRT primero se definirán los elementos que se debe tomar en cuenta

para implementar un CSIRT.

Para implementar un CSIRT, se deben responder a algunas interrogantes como:

¿Qué tipo de Estructura Organizativa se va a implementar para el CSIRT?

¿Qué tipo de CSIRT se va a implementar y los servicios va a ofrecer?

¿En qué lugar va a estar ubicado el CSIRT dentro de la organización?

No existe una manera definida que indique cómo crear un CSIRT, pero de acuerdo a

la experiencia de otros equipos la implementación depende del tipo de organización,

existen algunos documentos que presentan varias pautas que se deben tomar en

cuenta para lograr implementar de manera exitosa un CSIRT.

Algunos de los documentos publicados son:

Creating a Computer Security Incident Response Team: A process for

Getting Started [21] . - Documento publicado por el CERT/CC y el Instituto de

Software de la Universidad de Carnegie Mellon, hace referencia a ocho pasos

básicos de alto nivel que se deben tomar en cuenta al momento de diseñar un

CISRT.

Los pasos que se citan en este documento tienen como objetivo obtener

apoyo financiero de la organización, determinar el plan estratégico para definir

cómo va a funcionar el CSIRT, obtener toda la información relevante de la

organización y buscar la manera de hacer conocer la visión, servicios y

objetivos del CSIRT a otros equipos.

RFC 2350 Expectations for Computer Security Incident Response [22]. -

Documento que describe un conjunto de temas que se deben tomar en cuenta


84

para formar un CSIRT. Este documento detalla algunos de los servicios que

brinda un CSIRT uno relacionado con la respuesta y el soporte a incidentes,

con toda la información que se obtiene de la organización se levanta un

documento que proporciona toda la información del equipo como el nombre,

comunidad a la que está dirigido, el tipo de servicios que brinda, como reportar

incidentes al equipo, etc., este documento es enviado a los demás equipos

para dar a conocer el CSIRT que se ha creado en la organización.

Para la Creación del Equipo CSIRT – UTPL se estudiará el documento Creating a

Computer Security Incident Response Team: A process for Getting Started,

El RFC 2350 será utilizado para realizar la publicación del documento de presentación

del equipo CSIRT-UTPL.

5.1. CREATING A COMPUTER SECURITY INCIDENT RESPONSE TEAM:

A PROCESS FOR GETTING STARTED – CERT/CC

Los pasos que este documento describe y propone son:

Obtener el Apoyo de la Organización para la planificación e implantación del

CSIRT.

Determinar el plan estratégico del CSIRT.

Obtener Información Relevante.

Diseñar la Visión del CSIRT.

Comunicar la Visión y el Plan Operativo del CSIRT.

Comenzar la implementación del CSIRT

Anunciar que el CSIRT está en Funcionamiento.

Evaluar la Efectividad del CSIRT.

5.1.1. Obtener Apoyo de la Organización para la planificación e Implantación

del CSIRT.

Es importante contar con el apoyo de la gerencia tanto para la planificación y puesta

en marcha del CSIRT, el mismo que viene dado en la previsión de recursos y soporte

económico,.

5.1.2. Determinar el Plan Estratégico del CSIRT


85

Consiste en detallar todas las acciones que se llevaran a cabo para el cumplimiento

de las actividades de implementación del CSIRT, se toman en cuenta cuestiones

administrativas y de gestión del proyecto. Algunas de las actividades que consideran

son:

Definir un plazo de tiempo para el funcionamiento del CSIRT.

Que personas formarán parte del Equipo, (Administradores de sistemas,

responsables de redes y sistemas, recursos humanos, representantes del

departamento legal, etc.)

Que hacer para que la organización y otros equipos tengan conocimiento del

CSIRT, que servicios brinda, esto se puede a través de comunicados, etc.

5.1.3. Obtener Información Relevante

Consiste en identificar qué información se necesita para saber cómo implementar un

CSIRT, realizar entrevistas y reunirse con los interesados para discutir sobre las

expectativas sobre qué es y que hace un CSIRT. Las personas con las que se puede

mantener entrevistas pueden ser los gerentes de la organización, los representantes

del grupo de tecnologías de Información, departamento legal, y todas las personas

involucradas en la implementación del CSIRT.

Algunos recursos para la recolección de información son.

Organigramas y funciones específicas que se realizan en la organización.

Planes existentes de recuperación de desastres y continuidad del negocio.

Instrucciones existentes para notificar a la organización sobre el

incumplimiento de alguna política para la seguridad física.

Planes de respuesta a incidentes.

Políticas internas en la organización, y procedimientos de seguridad

existentes.

Recabar toda esta información proporciona una visión general de las políticas

existentes a las cuáles se puede incrementar las políticas del CSIRT, conocer los

aspectos críticos que se debe proteger, conocer también los problemas de seguridad

existentes, adicionalmente se puede investigar sobre otros equipos CSIRT a nivel

mundial. Si es posible se puede mantener contacto con ellos y conversar sobre cómo

se formó el equipo, es recomendable revisar los sitios web de otros equipos y así

revisar su estructura, su misión, objetivos, etc.


86

5.1.4. Diseñar la visión del CSIRT

Para diseñar la visión del CSIRT es importante que se haya revisado toda la

información de la organización, mientras se estudia toda la información se puede ir

estableciendo las metas, funciones y objetivos que se quiere alcanzar. En esta fase se

pueden también presentar nuevos requerimientos de información adicional, etc.

Para diseñar la visión del CSIRT se debe responder a algunas interrogantes como:

Qué Hacer, Para Quién, En qué entorno y en cooperación con Qué, todas estas

interrogantes resumen lo que constituye el plantearse la visión del CSIRT, que está

definida por los siguientes aspectos:

Misión del Equipo

Contituency21

Lugar en la organización

Relación con otros equipos

5.1.4.1. Misión del Equipo

En toda organización es importante definir una misión, sin esta sería imposible saber a

dónde quiere llegar. La misión consiste en proponerse metas altas, objetivos bien

definidos y conocer cuáles son los propósitos del equipo.

Figura 12: Estructura de la Misión de un CSIRT

21

Contituency: Comunidad a la que van dirigidos los servicios de un CSIRT


87

Como se aprecia en la figura de la Misión de un Equipo se derivan tres aspectos

esenciales: servicios, políticas y calidad, cada uno de estos puntos ayudan a cumplir el

propósito de la misión.

Servicios.- Son todos los métodos que se utilizan para llevar a cabo la misión

del equipo y de acuerdo a la clasificación de los mismos (Reactivos, Proactivos

y Servicios de Gestión de Calidad de la seguridad), son los que se brindan a la

organización de acuerdo a su situación actual.

Políticas.- Son los principios que rigen el funcionamiento del equipo y que son

aprobados por el equipo y por la organización. Las políticas deben ser

aplicables, claramente establecidas y comprendidas por todos los miembros de

la organización.

Procedimientos.- Son el detalle de cómo un equipo difunde las actividades que

realiza, los mismos que son basados en las políticas establecidas.

Calidad.- La calidad está basada en estándares, estos deben ser aplicados en

todas las actividades que realiza el CSIRT, comenzando por la misión, políticas,

servicios y procedimientos.

La misión del equipo no debe ser ambigua debe estar compuesta máxima de tres o

cuatro frases, puede servir de ayuda el revisar la misión de otros equipos CSIRT, por

ejemplo la misión del CLCERT (CERT de Chile) es:

“El CLCERT tiene como misión monitorear y analizar los problemas de seguridad de

los sistemas computacionales en Chile, y reducir la cantidad de incidentes de

seguridad perpetrados desde y hacia éstos.

Para ello, CLCERT se constituye como un punto nacional de encuentro, contacto y

coordinación entre instituciones y personas relacionadas del medio local.” [24]

5.1.4.2. Contituency

La Contituency comprende la comunidad a la que el CSIRT va a brindar sus servicios,

puede definirse de cualquier manera, puede orientarse solamente a los empleados de

la empresa, a usuarios de un determinado sistema operativo, etc., adicionalmente a

más de establecer los servicios que se va brindar se debe establecer cómo el CSIRT

se va a relacionar con la comunidad, esto se define de acuerdo a los siguientes

aspectos


88

Autoridad Completa.- Brinda servicios completos a la comunidad, si existe

alguna emergencia el CSIRT tiene toda la autoridad de tomar decisiones y

emprender las acciones que sean necesarias para resolverlo.

Autoridad Compartida.- Asesora a la comunidad y participa en la toma de

decisiones, ayuda a la coordinación y respuesta de incidentes. No

necesariamente se hace todo lo que sugiere el CSIRT.

Ninguna.- No tiene autoridad sobre la comunidad, sólo actúan como asesores.

Luego de definir estos aspectos se procede a dar a conocer a la comunidad el CSIRT

mediante comunicados, listas de correo, etc.

5.1.4.3. Lugar en la Organización

Luego de que se ha definido la misión del equipo y la comunidad a la que va a brindar

servicios, se procede a definir la estructura y modelo organizacional del CSIRT, la

estructura organizacional comprende el lugar que ocupará el CSIRT en el organigrama

de la organización, el modelo organizacional comprende la selección del modelo que

se adapta mejor a la organización, los mismos que se analizaron en el capítulo

anterior.

5.1.4.4. Relación con otros Equipos.

Brindar cooperación y establecer contactos con otros equipos, los CSIRT no pueden

trabajar solos, es importante la comunicación con otros equipos, independientemente

de los servicios que brindan y la comunidad a la que van dirigidos es importante que

se mantenga un contacto para compartir información, ya que el éxito de un CSIRT

está en hacerse conocer con otros equipos.

5.1.5. Comunicar la Visión y el Plan Operativo del CSIRT

Consiste en comunicar a toda la organización y a personas externas la visión y los

planes del CSIRT. Esto ayuda a que la información sea revisada, y en base a las

sugerencias recibidas realizar cambios en la forma de implementación, de recabar

información que se pasó por alto y así realizar ajustes en la estructura de un CSIRT.

5.1.6. Comenzar la Implementación del CSIRT

En esta etapa se debe comenzar con:


89

Contratación y capacitación del Personal, en este apartado se debe tomar en

cuenta si el personal que va a trabajar se ajusta a los servicios que brindará el

CSIRT o los servicios del CSIRT deben adaptarse al personal.

Comprar equipo y ver la infraestructura de red, es importante porque el equipo

CSIRT debe tener acceso a equipo básico de computo para desarrolla sus

funciones, la infraestructura para el funcionamiento del CSIRT debe ser un

lugar seguro físicamente en donde se puedan realizar reuniones con el equipo,

que posea un área de oficina y sobre todo que sea un área restringida por el

tipo de información que se maneja, aparte de tomar en cuenta las normas de

seguridad para el espacio físico se debe tomar en cuenta también normas para

el uso de los equipos, usar herramientas de seguridad como antivirus, firewalls,

programas anti espías, etc.

Establecer el tipo de servicios que va a brindar el CSIRT, que son servicios

reactivos, proactivos, de valor añadido, siempre tomando en cuenta que un

CSIRT brinda servicios relacionados con el manejo de incidentes.

Desarrollar políticas y procedimientos iniciales del CSIRT para respaldar sus

servicios. En la elaboración de las políticas se debe explicar el tipo de

incidentes, el soporte y el apoyo que se va a brindar a la comunidad, se debe

incluir la forma en cómo se va a comunicar la información y la cooperación que

se va a tener con otros equipos, la interacción que tiene un equipo con otros es

importante, por ejemplo si en una universidad existe un CSIRT este puede

relacionarse con el CISRT nacional de su país para mantener comunicación

con respecto a incidentes y este a su vez con un CSIRT de otra organización,

para compartir informes de incidentes a gran escala.

Desarrollar formularios para la información de incidentes, estos incluyen

información que describe el mecanismo de enviar los informes, este puede ser

por teléfono, correo electrónico, enviando un formulario web u otro

mecanismos. El procedo para informar un incidente incluye una descripción

detallada de los mecanismos para presentar los informes, indicando además la

existencia de llaves PGP cuando se realiza el envío de información mediante

correo electrónico.

5.1.7. Anunciar que el CSIRT está en funcionamiento.


90

En los anuncios de información debe incluir información de contacto; horarios de

funcionamiento del CSIRT, formularios para reportar incidentes, misión y objetivos del

equipo.

Para anunciar que el CSIRT está en funcionamiento se realizará la publicación de toda

la información referente al CSIRT basados en la norma RFC 2350, y que debe ser

recibida por la comunidad a la que se va a brindar servicios.

5.1.8. Evaluar la Efectividad del CSIRT

Es necesario evaluar si el equipo está cumpliendo con los objetivos por los cuáles fue

creado, algunas maneras de realizar la evaluación son:

Puntos de referencia para comparación con otros CSIRTs

A través de encuestas para los miembros de la organización, etc.

Aprender de la experiencia de otros CSIRTs

Antes de implementar el CSIRT es bueno tener documentación sobre los incidentes

que se reportan para luego con la implementación del CSIRT realizar una

comparación y demostrar el buen funcionamiento del CSIRT a través de la:

Información de la cantidad de Incidentes Reportados

El tiempo de respuesta o la vigencia de un incidente

Número de incidentes resueltos exitosamente.

Técnicas de prevención y prácticas de seguridad establecidas.

Aplicados todos estos pasos para la creación de un CSIRT es necesario tomar en

cuenta un punto importante que es el del financiamiento del equipo, el costo para

implementar un CSIRT varía dependiendo de los recursos, servicios, el tipo de

estructura del CSIRT, etc., inicialmente los CSIRTs cuentan con el apoyo de la

gerencia de la organización en la que va a ser implementado, pero luego de acuerdo a

como va pasando el tiempo es necesario ver otras formas de financiamiento, algunas

estrategias que se pueden aplicar son:

Ofrecer servicios con el pago de honorarios base.

Buscar patrocinio gubernamental, académico o de investigación.

Brindar capacitaciones, cursos de entrenamiento en seguridad de información,

etc.


91

5.2. ESTRUCTURA DEL DOCUMENTO RFC 2350

En esta apartado vamos a hacer referencia al documento RFC 2350, de acuerdo a

este documento se debe realizar la publicación de toda la información referente al

CSIRT y que debe ser recibida por la comunidad a la que se va a brindar servicios, el

documento presenta la siguiente estructura:

1. Información del Documento

1.1 Fecha de la última actualización

1.2 Listas de Distribución

1.3 Ubicación del documento

2. Información de contacto

2.1 Nombre del Equipo

2.2 Dirección

2.3 Zona horaria

2.4 Número de teléfono

2.5 Número de Fax

2.6 Otras Comunicaciones

2.7 Dirección de Correo Electrónico

2.8 Llaves públicas y encriptación de la información.

2.9 Miembros del Equipo

2.10 Horario Local

2.11 Puntos de Contacto para los clientes

3. Constitución

3.1 misión

3.2 Comunidad a la que va dirigido

3.3 Patrocinio / Afiliación

3.4 Autoridad

4. Políticas

4.1 Tipo de incidentes nivel de soporte

4.2 Cooperación, interacción y divulgación de la Información.

4.3 Comunicación y Autenticación

5. Servicios

5.1 Respuesta a Incidentes


92

5.1.1. Función Triage

5.1.2. Coordinación del incidente

5.1.3. Resolución del Incidente

5.2 Actividades Proactivas

6. Formulario para reportar incidentes

7. Disclaimer22

De manera general la información que se publica consiste en lo siguiente.


Cuando se va a presentar el documento este debe incluir la fecha de las

últimas actualizaciones que se realizan al documento, incluye listas de

notificación de cualquier cambio que se realiza y de envío de información

actualizada a todas las personas que se encuentran en una lista de correo

específica del CSIRT finalmente se indica la dirección electrónica en donde se

puede encontrar el documento, para que este puede ser accesible en línea.

2. Información de Contacto

Hace referencia a los principales datos de la organización, tales como nombre

del equipo, dirección, número de teléfono, fax, dirección de correo electrónico,

la lista de nombres de los miembros que conforman el equipo, horarios de

atención, puntos de contacto, zona horaria y llaves públicas para encriptar la

información.

3. Constitución

Información acerca de la misión, la comunidad a la que van dirigidos los

servicios que presta, quien patrocina y auspicia al equipo y bajo que autoridad

se encuentran.

4. Políticas

22 Disclaimer: descargo de responsabilidad; nota; aclaración; advertencia; cláusula de

protección; cláusula de renuncia.


93

La definición de políticas en un CSIRT es muy importante, de estas depende el

buen funcionamiento del equipo, estas deben ser comunicadas a toda la

comunidad a la que el CSIRT brinda servicios.

Es importante tomar en cuenta en las políticas los métodos de comunicación

segura que se implementará, debe incluir claves públicas PGP u otros

mecanismos existentes.

5. Servicios

Los servicios que ofrece un CSIRT van de acuerdo a cómo se va a responder

a incidentes y las actividades proactivas que se van a implementar.

La respuesta a incidentes incluye algunas funciones como la evaluación de los

informes de incidentes y el seguimiento de los mismos, la coordinación de

incidentes y la notificación de incidentes y políticas a otros involucrados,

finalmente se considera la resolución de incidentes que consiste en brindar

asistencia total sobre cómo eliminar un incidente, la explotación de estas

vulnerabilidades y el estudio de los efectos que estas pueden causar, brinda

ayuda en la recuperación de los sistemas afectados.

Las actividades proactivas estudiadas anteriormente incluyen herramientas de

seguridad, la capacitación en la resolución de incidentes, etc.

6. Formulario para Reportar Incidentes

Es importante mantener un formulario para el reporte de incidentes, este

formulario contiene toda la información importante sobre los incidentes que se

han encontrado para poder hacer frente a los mismos de manera oportuna, y

prevenirlos en otros equipos.

El CERT/CC en uno de sus artículos publica una guía para Reportar Incidentes

[25], el objetivo de este documento es sugerir algunos pasos que se pueden

seguir para reportar incidentes.

Varios puntos que se deben tomar en cuenta son:

El tipo de actividad que puede reportar: en el informe se debe incluir

que tipo de incidentes los usuarios pueden reportar algunos incidentes

pueden ser: Acceso no autorizado a los sistemas, el uso no autorizado

de sistemas, cambios en el hardware o software, entre otros.

La Prioridad que se da a los incidentes: Existen ocasiones en las que

se incrementa el número de reportes de incidentes, para estos casos se


94

debe dar prioridad a los más urgentes, los reportes que pueden ser

considerados emergencias pueden ser: Ataque a la red de internet

entre estos Servidores de nombre de dominio, Puntos de acceso de

red, ataques a sitios de internet, etc., todo esto de acuerdo a los

servicios que brinda el equipo.

Es importante realizar reportes de vulnerabilidades porque de esa

manera se recibe ayudas técnicas por parte de otros CSIRTs, a través

de esta información se puede establecer contacto con otros equipos, es

importante tomar en cuenta que la relación con otros CSIRTs puede ser

de dos formas, ya sea trabajando de manera conjunta y así compartir

información, o simplemente mantener un contacto para que brinden

asesoramiento o información

Si se envía la información por correo electrónico la información se envía

utilizando métodos para asegurar la seguridad de la información

utilizando algoritmos de encriptación, tales como:

o Una llave pública PGP (Pretty Good Privacy), es una llave que

provee privacidad de la información que es enviada por la

organización y verifica la autenticación de los mensajes que son

enviados por el CSIRT.

o Otro método que se utiliza es el DES (Data encryption Standard)

permite establecer un canal de comunicación segura para el

intercambio de mensajes, esto se realiza mediante una llamada

telefónica.

7. Disclaimer

Es importante incluir cláusulas de renuncia de responsabilidades, existen

casos en los que realiza la traducción de documentos de otro idioma, esta

traducción debe llevar una cláusula de extensión de responsabilidad y un

enlace a la versión original del documento.


95

Discusión

Existen varios documentos que describen los pasos sugeridos para la creación de

CSIRTs, el número de pasos en otros documentos en menor, pero el resultado es el

mismo, con la ejecución de estos pasos se logra definir la misión, servicios, estructura

organizacional, comunidad a la que brinda servicios y el nivel de autoridad que va a

ejercer, la ejecución de cada uno de los pasos no cambia, lo que cambia es el tipo de

organización en el que es aplicado y por ende la información que maneja cada una.

En el transcurso del proceso de creación del CSIRT puede darse el caso que sea

necesario volver a revisar los pasos anteriores e incluir información que se pasó por

alto y que debe ser tomada en cuenta, una vez redactada la visión del equipo es

recomendable que se la presente a los miembros de la organización para su revisión y

aprobación, inicialmente se redactará una misión limitada, pero de acuerdo al avance

del equipo esta irá cambiando al igual que los servicios que brinde el Equipo.

Para algunas organizaciones el concepto de los Equipos CSIRT es nuevo, en la

mayoría de sectores se posee grupos de seguridad que se encargan de brindar

atención a incidentes, y otras actividades relacionadas a la seguridad de los sistemas,

pero como se había indicado anteriormente en un CSIRT se realizan actividades más

formales de atención a incidentes, es decir actividades proactivas y no solamente de

respuesta, sino que se preparan y están alertas para dar soluciones.


96


97

6. CREACIÓN DEL CSIRT – UTPL

Estudiada toda la información necesaria sobre los Equipos de Respuesta a Incidentes

la fase de creación del CSIRT-UTPL tomará como base los ocho pasos explicados

anteriormente, el primer paso a realizar consiste en realizar la propuesta de creación

del Equipo CSRIT-UTPL, luego se seguirá con los pasos que se indican a

continuación:

Plan estratégico de actividades.

Recolección de información Relevante de la UTPL.

Diseño de la Visión del CSIRT – UTPL

Comunicar la Visión y el Plan Operativo del CSIRT

Implementación del CSIRT – UTPL

Anunciar y Comenzar la operación del CSIRT - UTPL

Evaluar la efectividad del CSIRT – UTPL

6.1. PROPUESTA DE CREACIÓN DEL CSIRT-UTPL

Propuesta presentada como proyecto de Tesis, el mismo que fue aprobado por el Ing.

Nelson Piedra, Director de la Escuela de Ciencias de la Computación de la UTPL. (Ver

Anexo 2: Proyecto de Tesis)

6.2. PLAN ESTRATEGICO

Se ha realizado el plan estratégico con la finalidad de establecer las actividades que

se tomarán en cuenta para la creación de equipo, con cada una de las actividades que

se han planificado se pretende alcanzar varios objetivos, cada uno los cuáles será un

paso para alcanzar el objetivo final, definir los pasos de creación del CSIRT – UTPL.

Las primeras actividades tomadas en cuenta son relacionadas con el estudio teórico

de los conceptos fundamentales de los Equipos de Respuesta a Incidentes, se toma

en cuenta el análisis de los diferentes equipos CSIRT a nivel mundial, una vez

manejados los conceptos fundamentales se realizarán las siguientes actividades:

PLAN DE ACTIVIDADES


98

Aplicar encuestas a los Administradores de Servidores para conocer la

situación actual de los sistemas de la universidad.

Tarea que tiene como objetivo conocer el tipo de incidentes que se reportan con

mayor frecuencia en la UTPL y saber a quién se reportan.

La aplicación de encuestas servirá para poder definir los diferentes servicios que el

CSIRT-UTPL brindará al personal de la Universidad.

El formato de las encuestas aplicadas se encuentra en el Anexo 3: Formato de

Encuestas.

Redactar la visión del CSIRT

El objetivo de esta fase es la de formular la visión del CSIRT en este documento

se redactará la misión del equipo, la comunidad a la que va a brindar servicios, el

modelo organizacional, el financiamiento y la forma de comunicar la existencia del

equipo a otros grupos.

Definir los Servicios del CSIRT

El objetivo de esta actividad es establecer los servicios que se van a brindar en el

Equipo CISRT – UTPL.

Personas que formarán parte del Equipo.

Definir de acuerdo a las necesidades del CSIRT, el equipo de personas que

formarán parte del equipo de trabajo, a más de las características que se

mencionan en la Fase I, los miembros del equipo deben formar parte de diferentes

áreas que serán definidas dentro del equipo.

Definición de Políticas.

El objetivo de esta actividad será la definición de las políticas que se tomarán en

cuenta para el adecuado funcionamiento del CSIRT-UTPL.

Implementación

Todas las actividades señalas anteriormente contribuirán a la implementación del

Equipo CSIRT-UTPL, para cumplirla se deberá realizar una propuesta que será

entregada al Gerente de Proyectos de la UTPL para su revisión y posterior

aprobación, en esta fase de debe elaborar un proyecto piloto para la

implementación del CSIRT-UTPL.


99

CRONOGRAMA DE ACTIVIDADES

6.3. INFORMACION DE LA UTPL

La información que se presenta a continuación acerca de la UTPL fue tomada de la

revista Institucional [26] en la que se describe detalladamente la Historia, Estructura y

los diferentes CITTES por los que está conformada la UTPL.

La Universidad Técnica Particular de Loja (UTPL) fue fundada el 3 de mayo de 1973,

es administrada actualmente por la Comunidad de Misioneros y Misioneras Identes.

Mediante decreto publicado en el Registro oficial se constituye como persona jurídica

autónoma con finalidad social y pública, pudiendo impartir enseñanza, desarrollar

investigaciones científico – administrativas, participar en los planes de desarrollo del

país, otorgar, reconocer y validar grados académicos y títulos profesionales y, en

general realizar las actividades propias para la consecución de sus fines.

Desde el año 2002 la UTPL se aprueba su nuevo estatuto que rige hasta la actualidad,

este establece que la UTPL brinda educación superior de pre y postgrado a través de

las modalidades de estudio Presencial, Abierta y a Distancia, con sus variantes: a

distancia tradicional, Semipresencial y Virtual.

Visión

Meses

Actividades

Feb. Mar. Abr. May. Jul. Ago.

Recopilación de Información relativa a los CSIRTs

X X X

Estudio de los diferentes Equipos CSIRTs a nivel mundial

X X

Realizar Encuestas a Administradores de Servidores

X

Estructura de la Visión del CSIRT-UTPL

X

Definición de los Servicios y personal que formará parte del CSIRT-UTPL

X

Definición de Políticas CSIRT-UTPL

X

X


100

Se basa en el Humanismo Cristiano que propugna una universidad potenciadora,

conforme a la dignidad que el ser humano tiene como “Hijo de Dios”, que hace que

la universidad acoja, defienda y promueva en la sociedad, el producto y la reflexión

de toda experiencia humana.

Misión

“Buscar la verdad y formar al hombre, a través de la ciencia para que sirva a la

sociedad”

Valores institucionales de la UTPL:

Asumir con fidelidad la misión y la visión

Espíritu de Equipo

Actitud de Gestión y Liderazgo

Flexibilidad Operativa

Humildad Socrática

La UTPL ha puesto en marcha los Centros de Transferencia de Tecnología, Extensión

y Servicio CITTES, su función es el servicio a la sociedad y se encuentran agrupados

de la siguiente manera:

Figura 13: Estructura de los CITTES-UTPL

6.4. SITUACION ACTUAL - UTPL

Físicamente la UTPL cuenta con un campus universitario, en el que se encuentran

distribuidos todos los CITTES y dependencias de la universidad.


101

El personal de la UTPL está clasificado de acuerdo a diferentes roles y funciones, en

Autoridades, Administradores, Departamento Financiero, Secretarias, Directores,

Docentes y Estudiantes.

La diversidad de usuarios y servicios constituye un riesgo, por un lado están los

usuarios como clientes de los sistemas y por otro lado los estudiantes y docentes

como investigadores o generadores de información, lo que limita las políticas y

controles a implementar ocasionando que una gran parte de la información pueda

estar en riesgo.

De acuerdo a las encuestas realizadas a los administradores de servidores de:

Sistema Financiero

Redes

Servidor Web

Antivirus

Base de Datos

Sistema Académico

NOC/SOC

Se pudo conocer los siguientes aspectos que se han clasificado de la siguiente

manera, a nivel general:

La mayoría de incidentes son de origen interno, en el caso de los

administradores del Servidor WEB también son de origen externos mediante la

ejecución de código malicioso.

En lo relativo a:

Análisis de Seguridad

En todos los servidores se realizan análisis de seguridad de la siguiente manera:

Verificación de respaldos, procesamiento de transacciones del sistema

académico y monitoreo de claves.

En el NOC/SOC se realiza escaneo de vulnerabilidades cuando se detecta

alguna anomalía.

Uso de las Herramientas OSIM y OSIRIS.


102

Se realizan tareas de protección como actualización de IDS en equipos que

soporten encriptación y configuraciones como: cierre de puertos, permisos

a diferentes redes, y uso de ACL. (administrador de Red).

En los servidores de bases de datos se realizan análisis a nivel de cuentas

de base de datos y de sistema operativo.

Reporte de Incidentes de Usuarios

Los incidentes que se reportan a nivel de administradores de servidores en

su mayoría son relacionados a problemas red, modificación de páginas

web, denegación de servicios, ataques de virus y errores en entrada de

datos, de acuerdo al cuadro que se indica a continuación:

Figura 14: Incidentes Reportados en la UTPL

Los incidentes que ocurren en el Sistema financiero son reportados al

Administrador de BAAN y Proveedores del Software Novatech.

Los incidentes que se dan en el servidor de base de datos se reportan a los

encargados del sistema de gestión académica.

A nivel de usuario final la mayoría de incidentes que se reportan especialmente

a los grupos de Soporte Técnico y Telecomunicaciones son: Ataques de Virus,

problemas de red y correo electrónico.

Incidentes de Seguridad

32,26

1,075

35,48

26,88

4,3

Problemas de Red

Modificación de páginas web

Denegación de Servicios

Ataques de Virus Errores en entrada de datos

o de programación

(base de datos)

Incidentes Reportados


103

En el año 2007 el servidor WEB de la universidad fue hackeado cuatro veces,

las causas fueron errores a nivel de programación y fallas en la red en cuanto a

permisos y algunos puertos habilitados.

Uso de Políticas

De acuerdo a las encuestas aplicadas a los administradores de servidores de

la UTPL, se pudo conocer que se aplican políticas de contraseñas, respaldos,

planes de contingencia, entre otras, de acuerdo al cuadro que se indica a

continuación.

Figura 15: Políticas aplicadas actualmente en la UTPL

De manera detallada en cada grupo se aplican las siguientes políticas:

En el grupo de Telecomunicaciones se han definido políticas de uso de

recursos y de seguridad para los usuarios, las mismas que están en proceso

de aprobación, se han definido también políticas para los administradores pero

estas carecen de mecanismos de control.

En el grupo de Soporte Técnico manejan políticas para:

Manejo de contraseñas tanto de red como del equipo.

Políticas de respaldo de información.

Políticas de antivirus.

86%

29%

43%

14%

29% 29% 29%


104

El servidor del Sistema Financiero (BAAN) no tiene en la actualidad problemas

de virus por cuanto es un servidor con sistemas UNIX AIX.

Existen políticas que han sido realizadas en base a la norma ISO 17799 para

que sean aplicadas en toda la universidad pero actualmente se encuentran en

proceso de aprobación.

La mayoría de políticas que se manejan internamente en los grupos son

conocidas pero lamentablemente no son aplicadas por falta de auspicio o por

descuido de los usuarios.

Herramientas para el reporte de incidentes

El grupo de Soporte Técnico maneja un HELPDESK para llevar el registro

de incidencias diarias pero actualmente no está en funcionamiento.

El grupo de Telecomunicaciones utiliza la herramienta OSSIM, la misma

que está compuesta por un grupo de herramientas de tráfico y monitoreo

de seguridad.

Administrador del Sistema Financiero, si los incidentes que ocurren son de

la aplicación se reportan al proveedor a través del portal web de los

mismos.

Administrador de Base de Datos, mantienen una bitácora para obtener

respaldos y si sucede algún incidente se registra en esta bitácora.

A nivel de Administradores las herramientas que se utilizan son:

o Firewalls

o Sistema de detección de intrusiones

o Herramientas de Monitoreo

o Herramienta OSIRIS

Planes de Contingencia

Administrador de Servidor de base de Datos: no mantienen un plan

documentado pero se conoce las acciones que deben tomar en caso de

suceder un incidente.

Los administradores del Sistema financiero cuentan con un servidor para el

respaldo de datos.

Actualmente se están implementado planes de contingencia y detección de

vulnerabilidades (Adm. de Sistema BAAN).

Estadísticas


105

A nivel general no se llevan estadísticas de los incidentes que ocurren en la

universidad en ningún nivel.

No hay un departamento que se encargue de recolectar todas los

incidentes de los demás grupos y de llevar un registro general de los

sucesos de la universidad.

Cabe indicar que al no tener registros tampoco se puede hacer un

seguimiento total de lo que ocurre, además no hay un área formal para

reportarlos.

6.5. VISION DEL CSIRT – UTPL

Para definir la visión del CSIRT tomaremos en cuenta principalmente la situación

actual de la universidad, en este apartado definiremos:

Misión, objetivos y metas del Equipo

Comunidad a la que el CSIRT – UTPL va a brindar servicios

El lugar que va a ocupar el CSIRT – UTPL en la organización

La relación del CSIRT – UTPL con otros equipos.

6.5.1. Misión CSIRT – UTPL

“Promover la investigación en temas de seguridad, para de esta manera tomar

medidas preventivas, establecer procesos de respuesta que sean eficientes para

mitigar los posibles daños que cualquier incidente ocasione en los sistemas de

información de la UTPL.”

Funciones

Realizar actividades preventivas tales como: Capacitación, difusión de alertas

recibidas por informes de otros CSIRT, implementación de políticas de

seguridad de la información.

Recibir reportes de los diferentes incidentes que ocurran en los departamentos

de la universidad.

Facilitar respuestas inmediatas para solucionar el problema.

Llevar un grupo formal de investigación que aporte al equipo en la

identificación y solución de problemas.

Atención de incidentes.


106

Objetivos

Formar parte del Forum of Incident Response and Security Teams (FIRST)

Incrementar los niveles de seguridad en la UTPL, mediante el uso de políticas

que sean conocidas y aplicadas por todos los usuarios.

Convertirnos en un punto de apoyo para la creación de nuevos CSIRTs en

nuestro país.

Conformar un grupo de investigación en temas de seguridad de la información.

6.5.2. Comunidad a la que el CSIRT va a brindar Servicios

Principalmente el CSIRT – UTPL brindará servicios al personal docente y

administrativo de la Universidad, posteriormente extenderá sus servicios a los alumnos

y a las diferentes extensiones y centros asociados de nuestro país.

6.5.3. Lugar que ocupará el CSIRT – UTPL en la Estructura Organizacional

Para definir la estructura organizacional definiremos también los siguientes aspectos:

Modelo organizacional

El modelo organizacional será el Interno Centralizado, lo que significa que el

equipo tendrá plena responsabilidad del manejo de los incidentes y

vulnerabilidades que se presentan en la organización, tiene la responsabilidad de

buscar soluciones y emitir informes de los incidentes y vulnerabilidades

encontradas, realizando trabajos conjuntos con e equipo NOC/SOC.

El personal del CSIRT se encarga de evaluar la seguridad de la organización, y de

brindar asesoría en temas de seguridad a todas las personas que son parte de la

misma.

Autoridad del CSIRT

La autoridad será compartida con la dirección de la UPSI, es decir la toma de

decisiones se realizará mediante un trabajo conjunto entre el Equipo CSIRT y la

Dirección. El CSIRT-UTPL coordinará las respuestas y brindará la asesoría

adecuada para la toma de decisiones.

Lugar que ocupará el CSIRT – UTPL en la Estructura Organizacional



107

De acuerdo al diagrama estructural el Equipo CSIRT-UTPL será considerado

como un nuevo departamento que se ubicará muy cerca de la Dirección de la

UPSI, el CSIRT-UTPL realizará trabajos conjuntos con el grupo NOC/SOC.

Cada CITTE y los diferentes grupos por los que está conformado deben trabajar de

acuerdo a los siguientes ejes:

Gestión de IT: Área que cubre los diferentes servicios que brinda cada

grupo.

Oficina de Proyectos: Área que comprende los proyectos que se

desarrollan en cada una de las unidades por las que está conformado cada

CITTE.

Investigación: Conformada por todos los proyectos de tesis, doctorados,

etc.

Figura 16: Diagrama Organizacional CSIRT-UTPL

De acuerdo a lo citado el esquema del Equipo CSIRT-UTPL está compuesto por

dos grupos:

Laboratorio.- Las actividades que se realizarán en el laboratorio CSIRT

serán en temas de investigación y proyectos.

Equipo NOC/SOC.- Se encarga servicios reactivos, proactivos y del

envío de información acerca de incidentes y vulnerabilidades al

NOC/SOC

DIRECCIÓN

UPSI

ATENCION AL

CLIENTE SECRETARIA

GRUPO

Telecomunic.

SIG GESE GDS SOPORTE

TECNICO

EQUIPO

CSIRT


108

Laboratorio CSIRT-UTPL, de acuerdo a lo que se indica en la siguiente

figura:

ESQUEMA DE FUNCIONAMIENTO CSIRT-UTPL

Figura 17: Esquema de Funcionamiento CSIRT-UTPL

6.5.4. Relación del CSIRT – UTPL con otros equipos

A nivel de la mundial existen varios Equipos de Respuesta a Incidentes, la relación

con los equipos existentes es importante porque mediante la misma se puede solicitar

que un equipo CSIRT ya establecido formalmente sea Sponsor para que el CSIRT de

la Universidad pueda ingresar al FIRST, por el momento se ha establecido

comunicaciones con CSIRT-ANTEL (Equipo de Respuesta a Incidentes - ANTEL) de

Uruguay.

Otra forma de mantener comunicaciones con el resto de equipos será mediante la

emisión de reportes de alertas e incidentes, así como también el envío de

comunicados en el que se indique información sobre el CSIRT-UTPL, finalmente otra

de las actividades será la de mantener un portal Web en donde se publique toda la

información relacionada con el manejo de incidentes, alertas, vulnerabilidades, etc.

Dentro de la visión del equipo adicionalmente se han definido algunos aspectos que

permitirán comprobar el avance del equipo:

Alcance Del Proyecto

o Difusión de Alertas


109

o Análisis y Manejo de Incidentes y vulnerabilidades haciendo uso de las

diferentes herramientas diseñadas para estos fines.

o Conformar un grupo de investigación que aporte al equipo en la


o Definir políticas y procedimientos para el funcionamiento interno del

CSIRT-UTPL.

Metas

o Formar parte del Forum of Incidente Response and Security Teams

(FIRST)

o Conformar un grupo de Respuesta a Incidentes formal que se encargue

de analizar, identificar y brindar soluciones a los incidentes que se

presenten en la UTPL, haciendo uso de políticas y metodologías de

resolución de incidentes permitiendo así brindar de una mejor manera

diferentes tipos de servicios a la UTPL.

o Convertirnos en un grupo proactivo, que siempre esté preparado para

dar soluciones en el momento oportuno y con las soluciones adecuada.

o Crear conciencia en los diferentes usuarios acerca de la importancia de

implementar un CSIRT en la organización.

Resultados

o Equipo de personas capacitado para responder a incidentes, realizando

trabajos conjuntos con el grupo NOC/SOC, haciendo uso de

metodologías para el manejo de incidentes y políticas internas para el

grupo.

o Mantener un portal WEB en el que conste un formulario para realizar un

correcto reporte de incidentes y en el que se realice la publicación de

las mejores prácticas de seguridad.

o Conseguir un sponsor que nos auspicie en ingreso al FIRST.

Una vez implementado el proyecto se obtendrá algunos beneficios como:

Coordinación de respuesta a incidentes de manera efectiva.

Establecer canales de comunicación entre el CSIRT y todas las dependencias

de la universidad para un adecuado reporte y respuesta a incidentes.



110

Compartir información entre diferentes equipos de Respuesta a incidentes a

nivel mundial.

Índices de Medición

Metas Resultados Índices de Medición

Creación formal del Equipo CSIRT

Equipo de personas capacitado para responder a incidentes realizando trabajos conjuntos con el grupo NOC/SOC, haciendo uso de metodologías para el manejo de incidentes y políticas internas para el grupo.

Servicios brindados: Servicios Reactivos NOC/SOC: Servicios Proactivos Laboratorio CSIRT Servicios de Gestión de Calidad de la Seguridad. NOC/SOC: Laboratorio CSIRT Indicador: Servicios brindados en el transcurso de los primeros seis meses de implementación, número de servicios proactivos frente a los servicios reactivos.

Establecer comunicación directa con todas las áreas de la universidad para el reporte de incidentes.

Portal WEB en el que conste un formulario para realizar los reporte de incidentes.

Cantidad de reportes manejados en el grupo CSIRT. Indicador: Reportes coordinados de manera efectiva, porcentaje de servicios prestados frente a los reportes recibidos.

Alianzas estratégicas con otros CSIRTs.

Encontrar un sponsor que nos auspicie el ingreso al FIRST

Auditorías y visitas realizadas por otros equipos a nivel de Latinoamérica. Indicador: Al menos una auditoría en el año.

Crear recursos de investigación en temas de seguridad del a información

Contar con herramientas adecuadas de estudio de tráfico, análisis de vulnerabilidades y estudio de patrones

Reportes del malware en el campus, clasificado por tipo, vulnerabilidad, método de propagación, etc., porcentaje de mitigación de malware. Patrones de comportamiento de tráfico UTPL y anomalías


111

6.6. COMUNICAR LA VISION Y PLAN OPERATIVO DEL CSIRT

Para comunicar los servicios y estructura del CSIRT-UTPL a la universidad y terceras

personas se realizará la emisión de un documento informativo de acuerdo a los

lineamientos que establece la norma RFC 2350.

El documento que servirá para comunicar los servicios del CSIRT-UTPL se encuentra

en la sección de Anexos (Ver Anexo 5: Descripción de Servicios Equipo CSIRT-

UTPL).

Además de este documento en la página Web del Portal del CSIRT se va a disponer

de una Sección de Preguntas Frecuentes en la que se describa la Visión y los

servicios del CSIRT-UTPL.

6.7. IMPLEMENTACION DEL EQUIPO CSIRT-UTPL

Una vez que se ha completado los puntos anteriores para la organización del CSIRT-

UTPL definiremos los aspectos requeridos para proceder con la implementación del

Equipo, los aspectos que tomaremos en cuenta son:

Personal que trabajará en el grupo CSIRT-UTPL

El equipo e Infraestructura requerida

Establecer el tipo de servicios que va a brindar el CSIRT.

Desarrollo de políticas y procedimientos del CSIRT-UTPL.

Formularios para el reporte de incidentes

Presupuesto.

6.7.1. Personal requerido para el CSIRT-UTPL

Tomando en cuenta las características mencionadas anteriormente (habilidades

técnicas y personales), el personal requerido para el CSIRT-UTPL es el siguiente:

Personal requerido para el CSIRT – UTPL

Personal de hotline, HelpDesk o clasificación de incidentes: NOC/SOC

y Soporte Técnico

Desarrollador WEB, encargado de administrar el portal del CSIRT y las

estadísticas de los eventos generados. (Gestión Productiva)

Equipo para el desarrollo de proyectos de investigación


112

Coordinador

Proyecto IDS

Proyecto Malware

Gestión de Información de seguridad

Las actividades que se realicen en el equipo CSIRT-UTPL estarán coordinadas por el

Líder de Equipo CSIRT.

Adicionalmente se contará con la colaboración de personal de otras áreas como:

Departamento Legal (Gestión Legal - UTPL)

Relaciones Públicas (Vía Comunicaciones)

Recursos Humanos.

Por lo tanto el Equipo CSIRT-UTPL trabajará de acuerdo al organigrama que se indica

a continuación:

Estará conformado por:

Líder de Grupo

Equipo NOC/SOC y Soporte Técnico (HelpDesk)

Desarrollador Web

Equipo de Investigación.

Figura 18: Organigrama CSIRT-UTPL

6.7.2. Equipos e Infraestructura

CSIRT-UTPL

LIDER DE

GRUPO

NOC/SOC

HelpDesk

DESARROLLADOR

WEB

INVESTIGACIÓN


113

Para su funcionamiento el CSIRT requiere de un espacio físico propio, además del

equipo de oficina, material de escritorio, teléfonos, respectivamente.

Para la infraestructura física se tomarán en cuenta normas referentes a seguridad

física, planes de recuperación ante desastres, de acuerdo con las normas

establecidas en la UTPL.

En cuanto a infraestructura se requiere:

Espacio físico propio para el funcionamiento del CSIRT.

Material de escritorio y oficina

Repositorio23 para el manejo de la información relacionada con incidentes.

Bibliografía

En cuanto a equipos se requiere:

Equipo de Cómputo (4 computadores)

Firewalls24

Protección contra ataques de virus.

6.7.3. Servicios a Brindar

El grupo NOC/SOC se encargará de brindar servicios reactivos, es decir de brindar

respuestas a los incidentes que se reporten, los servicios proactivos serán realizados

por el área de Laboratorio en la que se desarrollarán temas de investigación.

6.7.3.1. Servicios Reactivos

Alertas y Advertencias que serán emitidas a partir de la información de los

reportes recibidos, la información recibida será enviada al área de Laboratorio

para su respectiva investigación.

Manejo de Incidentes que incluye el análisis (primer nivel), repuesta, soporte y

la coordinación de los incidentes a través del uso de metodologías para tratar

los mismos.

23

Repositorio: Depósito o Archivo en un sitio centralizado donde se almacena y mantiene

información digital.[27]

24 Firewalls: Elemento de Hardware o Software utilizado en una red de computadores que sirve

para controlar las comunicaciones permitiéndolas o denegándolas según las políticas de red

que se hayan definido en la organización [28].


114

Manejo de Vulnerabilidades que incluye el análisis, respuesta, soporte y

coordinación de vulnerabilidades, igualmente basados en los reportes que

generan en el NOC/SOC.

Manejo de artifacts: Es decir manejo de código malicioso con el uso de

herramientas como antivirus, firewall, escaneo de puertos, etc.

Reportes estadísticos.

6.7.3.2. Servicios Proactivos

Servicios de Detección de intrusiones.

Implementación y Configuración de las Herramientas, Aplicaciones,

Infraestructuras y Servicios de Seguridad.

Estudio de tráfico malicioso

Estudio de vulnerabilidades, patrones de ataque

Investigación sobre las nuevas formas de ataques, como prevenirlas y como

evitarlas en un futuro.

Definición de nuevas políticas de seguridad.

Observatorio de Tecnología de la que se encargará el área de investigación, la

misma que se encargará del desarrollo de proyectos que serán realizados por

Tesistas y estudiantes de gestión productiva.

Algunas alternativas de proyectos pueden incluir:

1. Sistemas de detección de intrusos:

Honeypots y Honeynets.

2. Estudio de Malware

Código malicioso, virus, gusanos.

Botnets25.

3. Seguridad de Protocolos

Seguridad de protocolos existentes: vulnerabilidades y

ataques

Identificación y autenticación, Confidencialidad y Privacidad,

e Integridad

4. Seguridad en Sistemas Distribuidos

Grids

25

Botnets: Colección de software robots, que se ejecutan de manera autónoma (ejemplo: Un

gusano que corre en un servidor infectado con la capacidad de infectar a otros servidores).

http://es.wikipedia.org/wiki/Software

http://es.wikipedia.org/wiki/Gusano

http://es.wikipedia.org/wiki/Servidor


115

P2P

“PKI”

5. Modelos de confianza

Control de Acceso y autenticación

Administración de identificad y autenticación

Web Semántica aplicada a seguridad

PKI

6. Seguridad en computación móvil

Sistemas wireless

7. Análisis forense

Diagnóstico de seguridad

Técnicas utilizadas para la investigación forense

6.7.3.3. Servicios de Gestión y Calidad de la Seguridad

Concientización

Educación y Capacitación

6.7.4. Políticas y Procedimientos

Las políticas y procedimientos desarrollados para el Equipo de Respuesta a Incidentes

de la Universidad (CSIRT-UTPL) fueron realizados de acuerdo a lo que propone el

Dominio 9 de la Norma ISO 17799:2005 y se listan a continuación:

Políticas

Clasificación de la Información

Diseminación de la Información

Política de Seguridad

Manejo de Incidentes de Seguridad Local

Para la definición de las políticas del CSIRT-UTPL en lo concerniente a políticas de

Seguridad Física, de Red, y de Manejo de Desastres y Continuidad del Negocio

hemos tomado las políticas descritas en el Manual de Seguridad de la UTPL [29],

hemos definido una nueva norma que es referente al Reporte, Clasificación y

respuesta de incidentes y Vulnerabilidades (Ver: Políticas para el CSIRT-UTPL).

Los procedimientos que se han desarrollado son:


116


Reporte de Vulnerabilidades


6.7.5. Formularios

Se trabajará con los siguientes formularios:

Formulario de Reporte de Incidentes y Vulnerabilidades – Para usuarios

Finales y terceros, que se encuentran detallados en las políticas del CSIRT-

UTPL.

Se utilizará formatos de reporte de incidentes y vulnerabilidades que serán

utilizados por el personal del Equipo CSIRT-UTPL, los mismos se encuentran

detallados en las políticas que implementará el CSIRT-UTPL.

6.7.6. Financiamiento y Presupuesto

Durante la fase inicial se requiere el apoyo financiero total por parte de la Universidad

hasta que el CSIRT-UTPL se implemente de manera completa.

Una vez implementado el CSIRT realizará algunas actividades para su

autofinanciamiento.

Las actividades propuestas son:

Brindar servicios al público en general, mediante la contratación de servicios.

Capacitación en temas de seguridad

Organización de Eventos

El presupuesto para la implementación del CSIRT-UTPL se presenta a continuación:

Costos Iniciales: ________$ 9760,00_______________________

Costos Incrementales: ____$8500,00_______________________


117

PRESUPUESTO CSIRT – UTPL

Los pasos indicados constituyen la creación del Equipo de Respuesta a Incidentes

para la Universidad Técnica Particular de Loja, se ha realizado una propuesta (Ver

Anexo 6: Propuesta para la Creación del CSIRT-UTPL) que será presentada al Líder

de Proyectos de la UPSI (Ing. Daniel Plascencia) y al Director General de CITTES

(Blgo. Juan Pablo Suárez) para su revisión, aprobado el proyecto de creación del

CSIRT-UTPL se procede con la implementación tomando en cuenta los pasos

faltantes que se indican a continuación:

Anunciar y Comenzar la operación del CSIRT-UTPL.- Fase que consiste en

ejecutar cada uno de los pasos propuestos, comenzar a brindar los servicios

definidos y difundir las actividades del CSIRT a equipos similares a través de

boletines, a través del portal del Equipo, etc.

Evaluar la Efectividad del CSIRT-UTPL.- Último de los pasos a ejecutar, es el

indicativo de que las funciones para las que el CSIRT fue creado se están

cumpliendo de manera exitosa, esta fase es un inicio importante para

prepararse para el ingreso al FIRST, que de acuerdo a [29] incluye varios

aspectos que el CSIRT-UTPL debe cumplir en cuanto a su organización,

servicios que brinda y principalmente la visita que debe realizar el CSIRT

sponsor con el objetivo de verificar que el equipo aspirante cumpla con los

requisitos mínimos, pero sobre todo los mecanismos utilizados para la

Costos Iniciales Proyecto

Personal Interno 700$

Servicios Profesionales (personal externo)

- asesorias 2.000$

Licenciamiento de Software 500$

Hardware & Equipamiento 6.560$

Total Costos Iniciales 9.760$

Costos de Capital (Activos Fijos)

Hardware & Equipamiento 6.560$

Total de Costos de Capital 6.560$

Costos Incrementales

Mantenimiento de Proveedores 500$

Licenciamiento de Software 2.000$

Costos de Infraestructura Tecnológica 2.000$

Costos de Recursos Humanos 1.000$

Otros 3.000$

Total Costos Incrementales 8.500$


118

manipulación y protección de la información generada y la que posteriormente

será enviada por el FIRST, de acuerdo a los índices de medición propuestos se

realizará también la evaluación del equipo de acuerdo a las metas propuestas.

VALIDACIÓN

Los pasos a revisar por el Equipo sponsor se detallan en la siguiente tabla.

Aspectos a Considerar

Definidos en UTPL

En Proceso

Definición de Contituency X

Estructura de la Misión del Equipo X

Documento de Creación X

Definición y comunicación de los servicios

prestados por el CSIRT

X

X

Financiamiento X

POLÏTICAS:


Protección de la Información

Destrucción de la Información

Difusión de la Información

Reporte y manipulación de incidentes

Cooperación con otros equipos

Uso apropiado de los Recursos del CSIRT

Otras políticas

X

X

X

X

X

X

X

X

Lugar de Trabajo

Equipo (PC, teléfonos)

Uso de PGP

Seguridad Física

Rastreo de incidentes

X

X

X

X

Manejo de Incidentes X

Difusión de la Información X

Desarrollo Profesional X

Conferencias x


119

El proceso de implementación y el adecuado funcionamiento del CSIRT-UTPL

requiere tiempo, de acuerdo a la tabla indicada algunos literales se encuentran

definidos en el presente trabajo, los demás que se encuentran señalados en la

columna “En Proceso” se irán implementando de acuerdo a las necesidades y

crecimiento del grupo lo que en un futuro permitirá que el CSIRT-UTPL se convierta

en candidato a ser miembro del FIRST.

Para iniciar con la implementación del equipo se ha diseñado un proyecto piloto (Ver

Anexo 7: Proyecto Piloto de Implementación del Equipo CSIRT) de Implementación

del CSIRT-UTPL, el mismo que se implementará para una comunidad objetivo inicial

durante un período de tiempo, el mismo que permitirá comprobar la efectividad de

implementar un CSIRT en la universidad.

DISCUSIÓN

De acuerdo a [31] el IrisCERT durante el año 2007 atendió 2949 incidentes, un

66.32% más que el año 2006, lo propio ocurre en América latina de acuerdo a [32] el

CERT de Brasil (CERT.br) publica que hasta septiembre de 2008 se han reportado

108.293 incidentes, predominando en su mayoría los worm (5284), ataques a

servidores web (1024), escaneo de puertos (1140), fraudes (15561) entre otros, con

estos resultados podemos darnos cuenta que un equipos de respuesta a incidentes es

tomado como un único punto de apoyo en el sector que sea implementado

permitiendo de esta manera levantar estadísticas de los principales incidentes

ocurridos, lo que conlleva al desarrollo de herramientas, y sobre todo la capacitación y

sensibilización a los funcionarios de la organización.

A nivel general en nuestro país y particularmente en la UTPL el concepto de los

equipos CSIRT es bastante nuevo, y para la mayoría de organizaciones que no han

implementado este tipo de equipos el invertir en herramientas y alternativas de

seguridad es considerado como un gasto innecesario, es decir algunas manejan el

concepto de que “si mi empresa no ha sufrido ningún ataque, no es necesario realizar

gastos en temas de seguridad”, pero se ha comprobado que la implementación de

equipos CSIRT en países tanto de América Latina y Europa ha servido para reducir en

gran cantidad los ataques a sistemas críticos, ha elevado los niveles de investigación

al punto de que gran parte de equipos desarrollan sus propias herramientas para la


120

detección de incidentes, un claro ejemplo es el CSIRT de Argentina26 que ha

desarrollado herramientas para detectar vulnerabilidades en servidores, herramientas

para el análisis de servidores y dominios, etc.

En el caso de la UPTL no se realiza un trabajo investigativo real que signifique un

aporte para el desarrollo a nivel de la región, aún no generamos soluciones, sino las

adquirimos o adoptamos de terceros.

Tomando en cuenta todos los aspectos indicados se propone la implementación del

CSIRT-UTPL, lo que permitirá convertirnos en el punto de partida para la creación de

iniciativas similares en nuestro país, el tiempo que toma la implementación de estos

equipos es de seis meses a un año, la mayoría de equipos tiene problemas de

financiamiento que son superados realizando actividades de capacitación, etc.

26

ArCERT: http://www.arcert.gov.ar


121


122

Conclusiones

Los equipos CSIRT son considerados como la nueva estrategia de seguridad,

y han sido implementados para incrementar los niveles de seguridad, tomar

medidas proactivas, concientizar a los usuarios en tema de políticas de

seguridad y sobre todo ser el único punto de contacto para el reporte y

atención de incidentes en la organización en la que son implementados.

El trabajo de un CSIRT es de gran importancia ya que brindan información de

primera mano sobre los incidentes ocurridos y la solución de los mismos,

contribuyen a la difusión de mejores prácticas de seguridad, realizan el

desarrollo de varias herramientas, etc., además son de gran ayuda cuando

determinados incidentes conllevan a repercusiones legales dentro de una

organización en el sentido de contribuir con diferentes pruebas y evidencias del

ataque realizado, los CSIRTs han permitido generar nuevas soluciones esto

mediante el trabajo conjunto con otros equipos.

Iniciativas a nivel de Ecuador y como parte de un proyecto de la Organización

de estados Americanos (OEA) se está planteando la creación de un CSIRT

nacionales que velen por la seguridad de la información crítica de nuestro país

y de países que pertenecen a este organismo, a nivel académico la propuesta

de la UTPL puede decirse que es una de las primeras realizadas en este

campo, y tomando como base que los CSIRTs europeos surgieron en base a

equipos universitarios, puede decirse que la implementación del CSIRT-UTPL

servirá como punto de referencia para la creación de un CSIRT Nacional y

también permitirá colaborar con las diversas iniciativas encabezadas por el

UNAM-CERT que en conjunto con RedClara impulsan la creación de equipos

CSIRT con el objetivo de crear conciencia sobre la importancia de la seguridad.

La UTPL está en el camino de la implementación de un CSIRT, como paso

inicial se registra el trabajo realizado por el Equipo de Seguridad de la

Universidad, como se indico antes se realizan varias actividades pero no de

manera formal, el grupo de Seguridad es el inicio de lo que puede ser

considerado en un futuro cercano el CSIRT-UTPL, el mismo que concentre en

un solo departamento el recurso humano y técnico que trabaje en la atención

de incidentes, investigación y temas concernientes a la seguridad de la

información.


123

Actualmente en la universidad no se realiza un trabajo formal de registro de

incidentes lo que impide generar estadísticas de los sucesos que ocurren en

los sistemas críticos de la universidad, no se han implementado aún las

políticas desarrolladas para la universidad y en general hasta el momento no

se aplica ninguna metodología para el manejo de los incidentes, tomando en

cuenta estos y otros aspectos se ha visto la necesidad de proponer la creación

de un Equipo de Respuesta a Incidentes que se convierta en el punto de

contacto para la atención a incidentes, el mismo que trabaje en temas de

investigación y sensibilización a los usuarios en el que se implementen las

políticas propuestas para el CSIRT-UTPL y del Manual de políticas para la

UTPL, se utilice metodologías para el manejo de incidentes y vulnerabilidades,

y se utilice los diferentes modelos de reporte de incidentes.

Parte de los servicios definidos para el CSIRIT-UTPL está el de Investigación

(Observatorio de Tecnología), eje importante dentro de la universidad,

mediante este servicio se logrará la ejecución y propuesta de varios proyectos

investigativos que contribuirán al desarrollo de la universidad y sobre todo a ir

afianzando los niveles de seguridad de los sistemas de información.

Con el desarrollo del presente trabajo se estableció comunicación con Equipos

similares a nivel de América latina específicamente con el CSIRT-ANTEL de

Uruguay, el implementar el equipo CSIRT-UTPL nos permitirá colaborar con los

diferentes equipos a nivel de la región en las diferentes iniciativas

implementadas y sentar las bases para la implementación de equipos similares

en nuestro país.

Se ha realizado una propuesta para la implementación de un proyecto piloto, el

mismo que está orientado a un sector de la comunidad objetivo que es el de

los administradores de servidores, el plan a implementar debe ser aplicado por

un período de tiempo y luego ser evaluado en base a los parámetros sugeridos

en el documento.

La implementación de un proyecto piloto es una medida favorable, por cuanto

durante un lapso de tiempo determinado se aplican todos los aspectos

definidos para la creación del CSIRT-UTPL, lo que permite realizar una

evaluación al personal involucrado en cuanto a la forma de funcionamiento del

equipo, esta retroalimentación permite definir de manera más precisa los


124

servicios a prestar y de ser necesario realizar cambios a nivel de estructura

organizacional del equipo.


125

RECOMENDACIONES

Implementar el plan piloto del CSIRT-UTPL, el mismo que permitirá dar

atención a los principales incidentes que se reporten los sectores de la

universidad, en el transcurso de la implementación se recomienda revisar

constantemente el proceso de ejecución de cada uno de los servicios

propuestos y realizar los cambios que se requieran de acuerdo a la situación

actual de la universidad.

Realizar jornadas de capacitación a los futuros integrantes del CSIRT-UTPL en

cuanto a las diferentes herramientas y sistemas que se utilizan en la

universidad y que serán utilizados en el equipo, el conocimiento y la

capacitación acerca de las políticas y metodologías realizadas para el manejo

de incidentes y vulnerabilidades también debe ser tomado en cuenta para el

correcto funcionamiento del CSIRT-UTPL.

El personal que forma parte del CSIRT-UTPL debe tomar en cuenta las fechas

dedicadas al día de la Seguridad, se recomienda realizar eventos que

incentiven a los usuarios a hacer uso de políticas, mecanismos de seguridad,

etc., que permitirán ir preparando el camino para incrementar la comunidad

objetivo del CSIRT que abarca a toda la comunidad universitaria.

Fortalecer la comunicación con Equipos de Respuesta a Incidentes a nivel

mundial, para contribuir con las diferentes propuestas realizadas por

organizaciones como RedClara.

Difundir la iniciativa de creación de equipos CSIRT en universidades y

organismos públicos tanto nivel local y nacional, algunas de las actividades que

se pueden realizar para la difusión del equipo es la publicación de los

principales incidentes que se reportan en los equipos, vulnerabilidades

encontradas y consejos de seguridad.

Fortalecer la comunicación con Equipos de Respuesta a Incidentes a nivel

mundial, para contribuir con las diferentes propuestas realizadas por

organizaciones como RedClara.


126

Mantener la comunicación establecida con el CSIRT-ANTEL lo que permitirá

conseguir un sponsor para el ingreso al FIRST, de esta manera se crearán

vínculos de comunicación con equipos similares a nivel mundial y la obtención

de información de primera mano en las nuevas técnicas y herramientas para la

respuesta a incidentes.

Proponer el modelo de creación de un CSIRT en un entorno universitario a las

universidades del país y así crear una estructura de CSIRTs académicos, lo

que será un paso para la creación de un CSIRT Nacional, además enviar el

proyecto de creación de CSIRTs académicos a CEDIA (Consorcio Ecuatoriano

para el Desarrollo de Internet Avanzado).

Impulsar nuevos proyectos que contribuyan a mejorar los niveles de seguridad

de la universidad y continuar con la implementacion de los proyectos en

desarrollo como la Infraestructura de clave pública PKI, Honeynet, etc., lo que

permitirá mejorar los servicios que brinde el CSIRT-UTPL.

Implementar el equipo CSIRT para la UTPL extendiendo los servicios a todos

las áreas de la universidad, el trabajo constante permitirá consolidad el CSIRT-

UTPL para cumplir con uno de los objetivos del CSIRT-UTPL que es el de

ingresar al FIRST.


127


128

Anexo 1: EQUIPOS CSIRTs a Nivel Mundial

Equipos de Respuesta a incidentes informáticos en América

NORTE AMÉRICA

CERT-CC

Fundado en 1988 a raíz del incidente del gusano Morris, por el instituto de ingeniería

de Software, fue conformado por un grupo de expertos en seguridad que se

encargarían de coordinar las actividades que permitan brindar respuestas, realizar

acciones durante situaciones de emergencia y ayudar a prevenir futuros incidentes,

este centro fue nombrado Centro de Coordinación CERT (CERT/CC).

Junto al rápido crecimiento de internet se han incrementado también las formas de

intrusión, se ha dificultado la forma de detectar ataques y sobre todo lo captura de

estos atacantes, para mejorar y hacer frente a estos nuevos cambios el CERT/CC

forma parte del programa más grande del CERT, que desarrolla y promueve el uso de

tecnologías apropiadas y de mejores prácticas para resistir los ataques a los sistemas,

para limitar los daños y garantizar la continuidad de los servicios.

CERT/CC es miembro de las siguientes organizaciones:

FIRST, miembro fundador.

Internet Engineering Task Force (IETF) - La IETF es una organización

internacional que trabaja en el desarrollo de estándares de Internet.

Comité Consultivo de seguridad de Telecomunicaciones – intercambio de

Información de Seguridad de Red (NSTAC – NSIE) que trabaja para reducir

Las vulnerabilidades en las infraestructuras críticas.

En el portal web del CC/CERT (http://www.cert.org/ ) puede encontrar todo tipo de

información como estadísticas, manuales, reporte de incidentes, etc.

US-CERT

US-CERT - United States Computer Emergency Readiness Team, es un grupo que

surgió gracias a la colaboración del Departamento de Seguridad y de los sectores

públicos y privados, fue establecido en el año 2003 para proteger la infraestructura de

http://www.cert.org/


129

internet de la nación, realiza la coordinación de respuestas ante cualquier ataque a

través de la red, se encuentra ubicado en el área metropolitana de Washington D.C. y

actualmente pertenece al FIRST.

Este equipo es responsable de:

Realizar análisis y reducción de amenazas y vulnerabilidades.

Difundir la información de amenazas y alertas.

Coordinar actividades para dar respuestas a incidentes.

US-CERT realiza un trabajo conjunto con agencias federales, comunidades científicas,

gobiernos locales, y otros para poder realizar la difusión de la información sobre

amenazas e incidentes al público en general.

Para realizar el reporte de incidentes se debe llenar un formulario que se encuentra en

el portal web de US-CERT.

Pare reportar algún incidente el usuario debe llenar un formulario en el que se incluye

toda la información sobre la empresa y los incidentes o vulnerabilidades que se

descubrieron.

La información que se envía en este formulario es confidencial y es publicada sólo con

la autorización de las organizaciones que envían la información.

El portal web de US-CERT ( http://www.us-cert.gov/ ) a más de brindar el servicio de

reporte de incidentes proporciona también información sobre alertas de nuevas

amenazas, reportes de vulnerabilidades, capacitaciones a través de cursos,

conferencias, etc.

CanCERT

El CanCERT ( http://www.ewa-canada.com/cancert/index.php ) es un equipo de

respuesta a incidentes nacional, operado por EWA-Canadá desde 1998 Ltd.

Es un centro dedicado a la recopilación, análisis y difusión de información, reporte de

amenazas, vulnerabilidades y brindar respuesta a incidentes al gobierno de Canadá,

empresas y organizaciones académicas.

Los objetivos de este equipo son:

Proporcionar información oportuna, confiable sobre la seguridad para

CanCERT.

http://www.us-cert.gov/

http://www.ewa-canada.com/cancert/index.php


130

Proporcionar estadísticas sobre los ataques ocurridos en Canadá.

Brindar ayuda para la respuesta a incidentes.

Aplicar mejores prácticas en materia de seguridad de la información.

MEXICO

En el año 2001 se creó el primer Equipo de Respuesta a incidentes de Seguridad en

Cómputo en América Latina para el sector académico27, está localizado en el

Departamento de Seguridad en Cómputo de la UNAM, el UNAM-CERT.

UNAM-CERT es el equipo encargado de analizar los problemas de mayor impacto en

los sistemas de cómputo, emitir boletines reportando vulnerabilidades, brindando

capacitación en seguridad informática, auditoría, análisis forense, etc.

En UNAM-CERT colabora con algunas organizaciones mexicanas, entre ellas el

Gobierno, sectores públicos, privados, financieros y sectores educativos.

Otro de los servicios que brinda a través del Departamento de Seguridad en Computo

y la UNAM-CERT es el portal del usuario casero que está dirigido a todo tipo de

usuarios y tiene como finalidad proporcionar de manera dinámica las herramientas

básicas para proteger sus sistemas de información, brindar una enseñanza sobre los

términos y conceptos complejos para los especialistas en seguridad informática, a

través de este servicio todas las personas conocerán los principales riesgos y

amenazas que existen en la red y sobre todo la forma de protegerse.

Se encarga también de proveer el servicio de respuesta a incidentes de seguridad en

cómputo a sitios que han sido víctimas de algún ataque, realizar investigaciones y

ayudar a mejorar la seguridad de los sitios.

El equipo de la UNAM-CERT a través de su director es el coordinador del GT

Seguridad o GT-CSIRT de la Red CLARA (Cooperación Latinoamericana de Redes

Avanzadas), la labor que realiza la Red CLARA es la de interconectar a las

comunidades académicas y de investigación de los países de América Latina.

Su misión es la de “Promover la cultura de la seguridad informática en la región de

América Latina y el Caribe”.

El GT Seguridad tiene como objetivos:

27

Fuente de Referencia: http://www.bsecure.com.mx / Febrero de 2008

http://www.bsecure.com.mx/


131

Formar un marco de seguridad para los países Asociados

Promover la creación de nuevos CSIRTS en la región.

A través de foros promover el intercambio de experiencias, conocimientos e

información sobre cómo hacer frente a nuevos incidentes.

Promover el intercambio de información sobre el manejo de incidentes.

Promover la pronta y coordinada respuesta a los incidentes de seguridad que

ocurran en cualquier infraestructura de los países asociados.

Realizar guías de mejores prácticas para le seguridad de la información.

Colaborar con organizaciones de CSIRTs en otros países como el TF-CSIRT

en Europa y el AP-CERT en Asia.

PERU

En Perú existen dos Equipos de respuesta a incidentes, ambos equipos son miembros

del FIRST, estos son:

TERIS

TESIRT

TERIS (Telefónica Equipo de Respuesta a Incidentes de Seguridad)

El TERIS ( http://tonapa.cgrc.telefonica.com.pe/blog) es un equipo de

profesionales que se encarga de la detección y prevención de incidentes

que generen un riesgo para las redes y plataformas de Telefónica, así

mismo debe brindar soluciones a los incidentes que se presenten y de

elaborar, promover y difundir prácticas de seguridad en redes.

Telefónica permanentemente aumenta el número de soluciones de

seguridad, tiene desarrollados servicios de Seguridad Gestionada que es

un servicio de seguridad perimetral, incluye la gestión y monitoreo

centralizado y remoto desde el Security Operation Center de Telefónica, el

hardware y software necesario para el control de acceso a la red interna de

los clientes, otro de los servicios que brinda es el Antiphishing que es una

solución que Telefónica pone a disposición de sus clientes, para afrontar

los problemas de fraudes electrónicos.

TESIRT (TELMEX Equipo de Respuesta a Incidentes de Seguridad)

http://tonapa.cgrc.telefonica.com.pe/blog


132

Pertenece a la empresa Telmex (www.telmex.com/pe/home_peru.html ),

los objetivos principales son los de proteger la privacidad y seguridad, los

sistemas de redes de sus clientes así como fomentar el uso responsable de

los recursos de Telmex y proveedores de servicios de internet.

TELMEX maneja políticas que los clientes de servicios IP y usuarios de la

red IP de TELMEX deben seguir, estas políticas contemplan aspectos en

cuanto a actividades ilegales, violaciones de seguridad, amenazas, material

ofensivo, spam, acceso indirecto, en caso de que se realice un

procedimiento que vaya en contra de estas políticas TELMEX de acuerdo a

procedimientos tomará decisiones.

Para realizar el reporte de algún incidente se divide en dos categorías la

primera es de uso exclusivo para clientes de acceso dedicado a internet,

para reportar incidentes se debe incluir evidencia que ayude a investigar y

resolver el incidente, esta evidencia puede ser registros de sistemas, etc.

La segunda categoría es para las personas que no son clientes deben

reportar el abuso enviando un correo electrónico a [email protected].

CLCERT - CHILE

CLCERT (http://www.clcert.cl/ ), su nombre es la unión de dos siglas CL en referencia

a Chile y CERT en referencia al “Grupo de respuesta a incidentes de seguridad

computacional.”

El CLCERT surge ante la iniciativa de la Universidad de Chile en octubre de año 2001,

la misión de este equipo es monitorear y analizar los problemas de seguridad de los

sistemas informáticos chilenos, y reducir la cantidad de incidentes de seguridad que

pueden suceder a estos sistemas. Se encuentra en funcionamiento desde el año

2001.

Los principales objetivos del CLCERT son:

Entregar de forma oportuna información sobre vulnerabilidades de seguridad y

amenazas.

Poner a disposición de la comunidad información que permita prevenir y dar

solución a los incidentes de seguridad.

Educar a la comunidad sobre temas de seguridad promoviendo el uso de

políticas que permitan su implementación.

http://www.telmex.com/pe/home_peru.html

mailto:[email protected]

http://www.clcert.cl/


133

Los servicios que brinda el CLCERT son:

Difusión de alertas, estudios, incidentes y editoriales.

Capacitación

Análisis de mercado, focalizado en la generación de índices y monitoreo de

aspectos de seguridad pertinentes a las TIC.

Asesoría y apoyo a instituciones públicas en la toma de decisiones,

formulación de políticas.

El CLCERT se maneja con políticas para el adecuado uso de la información, está

política consiste en mantener la confidencialidad de la información recibida, a menos

que se tenga el permiso de parte de la persona o empresa para dar a conocer la

información que se ha recibido.

Para el reporte de los incidentes se manejan con el uso de formularios en los que se

incluyen los datos principales de la organización y las características de los equipos

afectados y una breve descripción del incidente, incluyendo herramientas utilizadas,

detalles de las vulnerabilidades y cualquier información relevante.

Entre los principales logros del CLCERT está:

Brindar capacitación a nivel académico

Realizar asesorías sobre la elaboración de políticas de seguridad

Son miembros del FIRST desde Abril del 2003.

Durante sus inicios el CLCERT fue financiado por el Departamento de Ciencias de

Computación y el Centro de Modelamiento Matemático de la universidad de Chile,

actualmente se autofinancia con actividades de capacitación, asesorías al sector

público y empresas privadas.

ArCERT - ARGENTINA

El ArCERT (Coordinación de Emergencias en Redes Teleinformáticas de la

Administración Pública Argentina - http://www.arcert.gov.ar ) fue creado en Julio de

1999 mediante disposición de la Subsecretaria de la Gestión Pública de la Jefatura de

Gabinete de Ministros, ArCERT es una unidad de respuesta a incidentes de seguridad

que afecten los recursos informáticos de la Administración Pública Nacional.

Los principales objetivos que tiene el ArCERT son:

Actividades Preventivas que incluyen:

http://www.arcert.gov.ar/


134

Capacitación

Difusión de Alertas de información con la finalidad de neutralizar incidentes

Promover la coordinación entre organismos para prevenir, detectar y

manejar incidentes de seguridad.

Políticas de Seguridad: Estas políticas son planteadas con el objetivo de

proteger la información que está en poder del Estado, de establecer un

marco normativo para gestionar la seguridad de la información.

Productos y Servicios: Entre estos se encuentran algunas herramientas

como:

Firewall: que son basados es software de libre distribución

SiMos: Sistema de monitoreo Remoto de Seguridad, que es usado

para detectar vulnerabilidades en servidores que brindan servicios

en internet.

DNSar: Sistema de Análisis de Servidores y Dominios DNS, es

usado para detectar y alertar sobre las falencias en los servidores

DNS.

En la actualidad se encuentran en desarrollo dos herramientas mas

que son el CAL que es un sistema de Sensores y el RAM que sevirá

para la recolección y Análisis de Malware.

ArCERT está conformado por un grupo de especialistas con conocimientos sólidos y

gran experiencia en tecnologías informáticas, seguridad de internet, detección de

intrusos, elaboración de políticas y procedimientos de seguridad, este grupo está

dedicado a la investigación de incidentes, herramientas de protección, detección, etc.

Una de las características principales del ArCERT es la de mantener la

confidencialidad de la información sobre los organismos implicados en los incidentes

de seguridad.

Algunas casos que ha tratado ArCERT son la sustitución de páginas web, phishing,

código malicioso, ataques de DDOS, los resultados que ha alcanzado son más de 870

incidentes de seguridad atendidos, se han brindado cursos de capacitación y existen

más de 1800 suscriptores a las listas de seguridad.

El ArCERT es miembro del FIRST desde abril de 2004.

URUGUAY – CSIRT ANTEL


135

La comunidad objetivo definida es: ANTEL (corporación, subsidiarias y unidades de

negocio) y los clientes más importantes de ANTEL, ANTELDATA y ANCEL

(http://www.csirt-antel.com.uy/main/what-csirt-does.php ).

Los servicios que brinda son:

Alertas y manejo de incidentes.

Anuncios, detección de incidentes, desarrollo de técnicas y herramientas,

elaboración de políticas y buenas prácticas.

Capacitación y entrenamiento, análisis de riesgo, consultoría, concientización

de la comunidad en seguridad informática y telecomunicaciones.

Para el reporte de incidentes se los debe hacer mediante el envío de un correo

electrónico utilizando texto plano, la información debe estar cifrada, oportunamente el

CSIRT de ANTEL pondrá a su disposición un servidor FTP anónimo, este servidor se

utilizará en coordinación con el técnico asignado respetando todas las normas

establecidas, los archivos deben ser enviados utilizando el siguiente formato:

incidente-XX.ext.[gpg], en donde “XX” corresponde la número del incidente, “ext”

corresponde a la extensión del programa de compresión utilizado y “gpg” sufijo

opcional utilizado en el caso de que el archivo sea cifrado.

Toda la información que es recibida es confidencial.

El CSIRT de ANTEL es miembro del FIRST desde Abril de 2007.

BRASIL

El primer CERT que existió en Brasil fue creado en Junio de 1997 para ofrecer

servicios de coordinación de respuesta a incidentes para los usuarios de internet de

Brasil en sus inicios se llamó NBSO/Brazilian CERT, luego pasó a llamarse CERT.br

(http://www.cert.br/index-en.html ),este equipo es una organización de servicios que se

encarga de recibir, revisar y dar respuesta a informes de incidentes de seguridad y de

actividades relacionadas con las redes conectadas a la Internet de Brasil.

CERT.br trabaja en la concientización de la importancia de la seguridad de la

información en la comunidad, y brinda ayuda en la formación de nuevos CSIRTs,

algunos de los servicios que presta son:

Proporcionar un punto focal para informar sobre incidentes relacionados

con la red Brasileña.

Proporcionar apoyo en el campo de la respuesta a incidentes.

http://www.csirt-antel.com.uy/main/what-csirt-does.php

http://www.cert.br/index-en.html


136

Establecer relaciones de colaboración con otras entidades, como

proveedores de servicios y compañías telefónicas.

Apoyo a la localización de actividades de intrusos.

Para realizar el reporte de incidentes se envía la información por correo electrónico,

para enviar la información de manera segura se envía la información cifrada utilizando

una clave que se encuentra disponible en el portal del CERT.br, la información que se

envía al igual que los otros CSIRTs incluye los datos principales de la empresa, la

descripción de los equipos afectados y una descripción detallada de los incidentes

reportados.

Desde el año 1997 existen dos equipos más el CAIS/RPN que pertenece a la red de

investigación de Brasil y el CERT-RS creado para las redes académicas del estado de

Río Grande do Sul.

En el año 2004 se crea el CTIR-GOV que trabaja con las redes del Gobierno Federal

de Brasil.

Actualmente existen alrededor de 20 equipos CSIRT en Brasil, pero son muy pocos

los equipos que pertenecen al FIRST, solamente pertenecen a este organismo el

CERT.br y el CAIS-RPN

CAIS/RPN

El CAIS - Centro de Atención a Incidentes de Seguridad (http://www.rnp.br/cais/),

actúa en la detección, resolución y prevención de incidentes de seguridad en la red

académica brasileña, así como de desarrollar, promover y difundir prácticas de

seguridad en redes.

La comunidad a la que van dirigidos sus servicios es principalmente la académica y de

investigación, son cerca de 300 instituciones entre universidades, laboratorios,

museos, etc.

Los servicios que brida el CASI /RPN son:

Tratamiento de incidentes

Divulgación de Información

Monitoreo y Detección de intrusos

Auditoría de sistemas

Educación y entrenamiento.

El CAIS es miembro del FIRST desde septiembre del 2001, ha sido patrocinador del

ArCERT y del CLCERT para que ingresen al FIRST.

http://www.rnp.br/cais/


137

Para realizar el envío de información debe utilizarse la clave pública PGP del CAIS.

Equipos de Respuesta a incidentes informáticos en Europa

esCERT

El esCERT-UPC (Equipo de Seguridad para la Coordinación de Emergencias en

Redes Telemáticas - http://escert.upc.edu/) fue creado a finales de 1994, como un

centro dedicado a asesorar en temas de seguridad informática y la gestión de

incidentes en redes telemáticas28.

esCERT tiene como objetivos el de informar sobre vulnerabilidades y amenazas de

seguridad, así como también la de brindar información a la comunidad que permita

prevenir y resolver incidentes de seguridad.

El esCERT funciona en la Universidad Politécnica de Catalunya en España. Entre las

organizaciones a las que pertenece el esCERT están el TF-CSIRT y FIRST.

Los servicios que brinda esCERT a Universidad Politécnica de Catalunya (UPC) son:

Soporte Preventivo: Tiene como objetivo ayudar a los administradores de la UPC a

mejorar la seguridad de sus sistemas, las medidas preventivas tienen como

objetivo informar de las vulnerabilidades potenciales o reales a sus sistemas y las

soluciones para su prevención.

Algunas de las actividades preventivas son:

o Avisos de vulnerabilidades por e-mail, que consiste en la monitorización,

filtrado, organización y traducción de información de avisos de seguridad.

o Consultas de Vulnerabilidades vía Web: Los administradores tienen a su

disposición una interfaz web para consultar los diferentes avisos de

seguridad emitidos hasta la fecha, obteniendo así informes actualizados.

o Soporte telefónico y por correo electrónico

o Auditorías Web: Los webmasters pueden solicitar la realización de

auditorías de sus páginas web.

28

Red Telemática: es un conjunto de ordenadores conectados entre sí, estableciendo un

instrumento integrado de medios y de aspectos lógicos soportados en los nuevos canales con

los cuales podemos establecer una comunicación bidireccional entre cada uno de los

elementos integrados. Los sistemas que forman parte de una red telemática son nodos de red,

sistemas operativos, software básico, metodologías y lenguajes para el desarrollo de software.


138

Los servicios reactivos que prestan son:

Soporte Reactivo: Consiste en la gestión de incidencias los servicios son:

o Comunicación y Gestión de incidencias: esCERT recoge todos los

avisos de actividades sospechosas, comunica las incidencias a los

administradores de los sistemas afectados.

o Detección y comunicación de incidencias a organizaciones externas: Si

los incidentes provienen del exterior de UPC, el esCERT se encarga de

comunicar el incidente a los organismos adecuados.

o Informes y estadísticas

o Soporte Telefónico

o Coordinación de Emergencias: En las incidencias graves, esCERT

actúa como Centro de Coordinación de Emergencias, dando un

tratamiento global al problema.

o Análisis Forense de sistemas Comprometidos: El esCERT realizará

análisis forense al encontrarse sistemas comprometidos, a fin de

conocer la vía de entrada del intruso, su procedencia y las acciones

llevadas a cabo.

esCERT ofrece a la comunidad servicios de respuesta a incidentes, definición de

políticas de seguridad y formación, más detalladamente estos servicios son los

siguientes:

Respuesta a incidentes: Para dar soluciones a incidentes debe enviar un

formulario detallando toda la información relevante del incidente al correo del

esCERT, el formulario contiene información de contacto de la organización que

envía la información, la información que se recibe es confidencial.

Servicio de Avisos de Vulnerabilidades (Altair): El objetivo es mantener

informados a los administradores de sistemas sobre nuevas vulnerabilidades

con la finalidad de ayudar a prevenir las intrusiones en sus sistemas

informáticos.

Formación: Incluye cursos de capacitación relacionados con la seguridad de la

información.

El ámbito de actuación es todo el territorio del Estado Español. El esCERT-UPC basa

su actuación en el análisis, recomendación, formación y asistencia a emergencias.

Estos servicios están personalizados y sujetos al secreto profesional.


139

IRIS-CERT

Organización creada en el año de 1994, está orientado a la comunidad científica y

depende del Ministerio de Ciencia y tecnología. (http://www.rediris.es/cert )

Brinda servicios a la comunidad de la red Iris y también brinda servicios limitados a

todos los que conformen el dominio *.es.

Tiene como finalidad la detección de problemas que afecten a la seguridad de las

redes de centros de RedIris, así como la actuación coordinada con dichos centros

para dar solución a estos problemas.

De acuerdo al RFC 2350, los servicios que brinda el IRIS-CERT son:

Respuesta a Incidentes: que consiste en brindar asistencia en la investigación

del cómo ocurrieron los incidentes y determinar los daños que este puede

causar, incluye también la coordinación de los incidentes para hacer reportes

para otros CSIRTs, mantener un contacto con la comunidad afectada y de ser

necesario elaborar políticas.

Servicios Proactivos: tales como Servicios de información que consiste en el

enviar información disponible mediante listas de correo, el servicio de

entrenamiento que consiste en la capacitación que brindan los miembros del

equipo al público sobre temas de seguridad de la información, los servicios de

auditoría que son solamente para las instituciones afiliadas, y finalmente

reportes estadísticos.

IRIS-CERT es miembro del FIRST desde el 11 de Febrero de 1997, y participa

activamente en el Task Force auspiciado por Terena, TF-CSIRT , con el objetivo de

promover la colaboración entre los CSIRTs de Europa.

CCN-CERT

Equipo de Respuesta a incidentes de seguridad del Centro Criptológico Nacional

(www.ccn-cert.cni.es), depende del Centro Nacional de inteligencia, este equipo vela

por la seguridad de la Administración Pública, es un grupo que comenzó a trabajar

desde el año 2004 formado por profesionales en el campo de la seguridad informática,

entre los servicios que realiza está el de brindar capacitaciones, realizar inspecciones

de seguridad, crear herramientas para auditorías y guías de seguridad de equipos.

http://www.rediris.es/cert

http://www.ccn-cert.cni.es/


140

Su misión es “Ser el Centro de Alerta y Respuesta de incidentes de Seguridad,

ayudando a las Administraciones públicas, ayudando a responder de formas más

rápida y eficiente ante las amenazas de seguridad que afecten a sus sistemas de

información.”

Las funciones que cumple CCN-CERT son:

Ser el centro de alerta y respuesta de incidentes de seguridad, ofreciendo

información sobre vulnerabilidades, alertas y avisos de nuevas amenazas.

Ayudar a responder de forma más rápida y eficiente ante las amenazas de

seguridad que afecta a los sistemas de información, a través del soporte ante

incidentes mediante servicios de apoyo técnico.

Labores de investigación, formación y divulgación de seguridad de la

información a través de cursos de capacitación, desarrollo de normas técnicas,

guías y recomendaciones de configuración segura para diferentes tecnologías,

desarrollo de herramientas de seguridad, detección de instrucciones, etc.

Entre los logros alcanzados por el CCN-CERT de acuerdo a sus líneas de trabajo se

encuentran:

Diseño de plataformas de servicios en internet.

Mantenimiento del portal web en el que se ofrece información actualizada

sobre todas las vulnerabilidades, herramientas de seguridad, cursos de

formación, mejores prácticas de seguridad o formularios de comunicación de

incidentes.

Puesta en marcha del laboratorio de investigación y respuesta a incidentes.

Integración en organismos internaciones, tanto a nivel europeo como

internacional

Publicación y envío de estadísticas, noticias, boletines de vulnerabilidades.

Desarrollo de políticas y procedimientos operativos

Auditoría y revisión periódica de las políticas y procedimientos.

Desarrollo del Plan de Respuesta a incidentes

CNN-CERT es miembro del FIRST, esto le permite mantener un contacto directo con

otros equipos para compartir información fiable en caso de ataques, este grupo

mantiene un portal web que le permite ofrecer información actualizada sobre

amenazas, vulnerabilidades, cursos de formación, formularios para reportar incidentes


141

de seguridad y estadísticas actualizadas sobre las vulnerabilidades semanales,

mensuales y anuales que han sido reportadas.

INTECO – CERT

Centro de Respuesta a incidentes para PYMES y ciudadanos

(http://www.inteco.es/Seguridad/INTECOCERT/Acerca_de/Servicios_1), creado en el

año 2006 fue promovido por el Ministerio de Industria, Turismo y Comercio. Es un

equipo que sirve de apoyo para el desarrollo industrial de España, brinda soluciones

reactivas a incidentes informáticos, servicios de prevención frente a amenazas

realizando catálogos gratuitos y actualizaciones de software y servicios de información

tales como boletines, alertas, avisos de seguridad, noticias y eventos de relevancia,

formación y concientización en materia de seguridad para pequeñas empresas y todos

los ciudadanos españoles.

De acuerdo a estadísticas 94% de las empresas españolas pertenecen al sector de

las pequeñas y medianas empresas, en términos económicos los gastos que ocasiona

el combatir ataques informáticos en las PYMES cada año es de 22000 millones de

euros.

Entre los objetivos de este grupo están:

Proporcionar información referente a temas tecnológicos

Concienciar a las PYMES y ciudadanos sobre la importancia de la seguridad

informática.

Proporcionar guías de buenas prácticas para mejorar la seguridad.

El CERT de INTECO presta servicios sin fines de lucro a todas la comunidad que

forma parte de las pequeñas y medianas empresas.

INTECO realiza algunas recomendaciones a la comunidad a la que brinda servicios,

algunas son:

Instalar Software legal y de fuentes fiables.

Mantener actualizado el Software del equipo con los parches de seguridad.

Desconfiar de correos sospechosos.

Hacer “auditorías” periódicas del equipo: puertos, registro, actividad del

sistema, etc.

http://www.inteco.es/Seguridad/INTECOCERT/Acerca_de/Servicios_1


142

Utilizar herramientas de seguridad como: antivirus, cortafuegos, escaneadores

de puertos y test de velocidad.

Equipos de Respuesta a incidentes informáticos en Oceanía y

el Lejano oriente

MYCERT – MALASIA

MyCERT( Malaysian Computer Emergency Response Team -

http://www.mycert.org.my ), comenzó a funcionar en marzo de 1997, en el parque

tecnológico de Malasia, este equipo proporciona un punto de referencia para la

comunidad de internet de Malasia, las funciones principales de MyCERT son:

Centralizar la presentación de informes de incidentes de seguridad y facilitar la

comunicación para la resolución de los mismos.

Difundir toda la información referente a todas las vulnerabilidades, estrategias y

mecanismos de defensa.

Proporcionar estadísticas sobre todos los abusos y vulnerabilidades

reportadas.

Desempeña un papel educativo con respecto a la seguridad informática de

Malasia.

MyCERT brinda dos servicios principales:

El entrenamiento de seguridad en donde los oficiales de seguridad y

administradores de sistemas, aprenden los pasos básicos a tener en cuenta en

la seguridad de los sistemas.

MyCERT's Free Security Scannings, es otro de los servicios brindados que

tiene como objetivo asistir a organizaciones y brindar ayuda después de que

hayan sido víctimas de algún ataque a sus sistemas de seguridad.

Para realizar el reporte de incidentes MYCERT se lo puede hacer mediante fax, correo

electrónico, informes en línea, sms y por teléfono, para informar sobre algún incidente

debe proporcionarse toda la información referente al incidente, y la información

principal de la organización.

AusCERT - AUSTRALIA

http://www.mycert.org.my/

http://www.mycert.org.my/services/scanning.html


143

AusCERT (Australian Computer Emergency Response Team -

http://www.auscert.org.au/index.html ), es un equipo que brinda todo tipo de

información en cuanto a la seguridad de la información, al público australiano

incluyendo también al sector educativo, este equipo es un punto de contacto para

todos los incidentes que involucran a las redes australianas.

AusCERT realiza la emisión de boletines que contienen información acerca de cómo

mitigar las vulnerabilidades y estrategias de prevención.

AusCERT provee un mecanismo para reportar incidentes que afecte a las redes

australianas, los datos obtenidos son analizados y en algunos casos con el

consentimiento de las organizaciones que los reportan estos incidentes son

publicados con la finalidad de informar al público acerca de los nuevos ataques a la

red computacional.

Las organizaciones que forman parte de AusCERT pueden accedes a los siguientes

servicios, si se reciben reportes de personas u organizaciones que no pertenecen al

AusCERT también les proporcionan ayuda pero siempre la prioridad la tiene las

organizaciones del AusCERT.

Acceso al contenido de su portal web

Envió de boletines electrónicos de seguridad.

Acceso al foro del AusCERT

Servicio de gestión de incidentes que incluye el Manejo y la coordinación de los

mismos.

Evaluación y asesoramiento ante amenazas de seguridad.

La gestión de incidentes consiste en:

Brindar asistencia y conocimientos para ayudar a detectar, interpretar y

responder a ataques en sitios en todo el mundo. Se reciben reportes de otras

organizaciones, esta información es manejada con absoluta confidencialidad.

Coordinación de incidentes: El objetivo principal es compartir información

pertinente acerca de un incidente a las partes afectadas con la finalidad de que

ellos mismos puedan resolver o manejar el incidente, para recibir este servicio

http://www.auscert.org.au/

http://www.auscert.org.au/index.html


144

se debe llenar un formulario con la información de los incidentes encontrados y

ser enviado al AusCERT de acuerdo a los reglas que maneja este equipo.

Manejo de incidentes: AusCERT proporciona el este servicio las 24 horas al

día los 7 días a la semana, este servicio consiste en brindar ayuda con los

reportes recibidos, identificar la naturaleza del incidente, mitigar los daños que

este puede causar. AusCERT asiste a los sitios involucrados realizando

análisis de código malicioso, ataques de virus, etc., para determinar las causas

y desarrollar estrategias para solucionarlo.

Para reportar incidentes se debe llenar un formulario que se encuentra en el portal de

AusCERT (https://www.auscert.org.au ) en el que envía información referente a la

empresa y al incidente, antes se debe escoger una opción en la que se indica si se

desea publicar la información o no.

AusCERT es miembro del FIRST y forma parte activa del APCERT, mantiene también

una red de contacto con equipos de América del norte, reino unido, europa y asia.

JPCERT / CC - JAPON

Japan Computer Emergency Response Team / Coordination Center

(http://www.jpcert.or.jp/english/about )

Es el primer CSIRT establecido en Japón, esta organización coordina con proveedores

de servicios de internet, agencias del gobierno e industrias.

JPCERT/CC es miembro del APCERT y del FIRST.

Los objetivos de JPCERT/CC son :

Proveer respuestas ante los incidentes de seguridad

Coordinar actividades con CSIRTs de otras organizaciones

Proveer información técnica de cómo actuar ante incidentes, las nuevas

vulnerabilidades encontradas, realizar reportes sobre alertas y peligros

encontrados.

Investigar sobre nuevas herramientas y tecnologías

Las actividades que realiza este equipo son:

https://www.auscert.org.au/

http://www.jpcert.or.jp/english/

http://www.jpcert.or.jp/english/about


145

Análisis y Respuesta a incidentes: JPCERT/CC provee soporte técnico para

responder a los problemas de seguridad basados en la información que es

facilitada por los sitos afectados, JPCERT/CC en base a esta información evalúa el

daño, identifica las vulnerabilidades y provee información técnica relevante, la

información relevante es enviada por correo electrónico y diferentes informes de

vulnerabilidades son publicadas en su portal de internet.

Alertas de Seguridad: JPCERT/CC recoge toda la información referente a la

seguridad informática, provee alertas de seguridad, publica reportes semanales

que contienes todas las amenazas potenciales, mensajes de alertas y la forma de

cómo minimizar los daños causados por incidentes y vulnerabilidades.

Coordinación con otros CSIRTs: Establecer relaciones no solamente con los

CSIRTs que son miembros del APCERT sino también con equipos alrededor del

mundo.

Educación: JPCERT/CC brinda entrenamiento y educación en el campo de la

seguridad de las redes, vulnerabilidades y en cuanto a temas sobre como

incrementar los servicios de seguridad, todo esto a través de seminarios,

workshops, etc.

Investigación y Análisis: Cada vez es más difícil identificar incidentes,

JPCERT/CC se ocupa de la investigación y el análisis en la prevención de ataques

y en la manera de evitar daños que ese ataque pueda causar.

SINGAPUR

SingCERT - Singapore Computer Emergency Response Team

Creado en 1997 como programa del IDA (Infocomm Development Authority of

Singapore), en colaboración con la Universidad Nacional de Singapur, para facilitar la

detección, resolución y prevención de incidentes de seguridad relacionados con

internet de Singapur

SingCERT proporciona asistencia técnica y coordina las respuestas de seguridad,

identifica las tendencias de actividades de hacking, trabaja con organismos de

seguridad para resolver los incidentes de seguridad informática, difunde información

oportuna al público en general sobre alertar y los últimos ataques a los sistemas de

seguridad.

http://www.singcert.org.sg/


146

La misión del SingCERT es muy clara y se basa en puntos principales como:

Convertirse en un punto de contacto que ayude a la prevención, detección y

resolución de incidentes de seguridad en sectores públicos, privados, y redes

de internet como Singapur ONE.

Proporcionar valor agregado a los servicios de seguridad a través de

programas de consultoría.

Los servicios que brinda SingCERT son:

Servicios de Seguridad

Resolución de incidentes, consultas sobre seguridad ya sea mediante vía

telefónica, correo electrónico, fax, mediante su página web puede estar

informado sobre nuevas alertas y acceder a archivos anteriores de las alertas

que se han encontrado.


Para reportar incidentes debe llenar un formulario que incluya información

acerca de la organización o usuario que envía el reporte, enviar informes del

Sistema, Red y el administrador de seguridad, información sobre la plataforma

en la que trabaja y como descubrió la intrusión, incluir además los logs del

sistema.

Respuesta a Incidentes

La respuesta ante algún incidente puede ser inmediata si se trata de incidentes

ya conocidos, si las alertas o incidentes son nuevas se da soluciones

provisionales. Toda la información que se ha reportado es manejada con

absoluta confidencialidad.

SingCERT es miembro del FIRST desde 1998, es miembro del APCERT y mantiene

contactos con los CSIRTs a nivel del mundo.

En el portal web del SingCERT ( http://www.singcert.org.sg) se pueden encontrar

reportes de nuevas alertas, información de contactos y capacitaciones.

Lista de Equipos CSIRTs a nivel Mundial, de acuerdo al registro del

FIRST.

http://www.singcert.org.sg/


147

Team Official Team name

ARCcert The American Red Cross Computer Emergency Response Team

ASEC AhnLab Security E-response Center

AT&T AT&T

AboveSecCERT Above Security Computer Emergency Response Team

Apple Apple Computer

ArCERT Computer Emergency Response Team of the Argentine Public

Administration

AusCERT Australian Computer Emergency Response Team

Avaya-GCERT Avaya Global Computer Emergency Response Team

BCERT Boeing CERT

BELNET CERT BELNET CERT

BMO ISIRT BMO InfoSec Incident Response Team

BP DSAC BP Digital Security Alert Centre

BTCERTCC British Telecommunications CERT Co-ordination Centre

BadgIRT University of Wisconsin-Madison

Bell IPCR Bell Canada Information Protection Centre (IPC) Response

Bunker The Bunker Security Team

CAIS/RNP Brazilian Academic and Research Network CSIRT

CARNet CERT CARNet CERT

CC-SEC Cablecom Security Team

CCIRC Canadian Cyber Incident Response Centre

CCN-CERT CCN-CERT (Spanish Governmental National Cryptology Center -

Computer Security Incident Response Team)

CERT POLSKA Computer Emergency Response Team Polska

CERT-Bund CERT-Bund

CERT-FI CERT-FI

CERT-Hungary Hungarian governmental Computer Emergency Response Team

CERT-IT CERT Italiano

CERT-In Indian Computer Emergency Response Team

CERT-Renater CERT-Renater

CERT-TCC Computer Emergency Response Team Tunisian Coordination

Center

CERT-VW CERT-VW

CERT.br Computer Emergency Response Team Brazil

CERT/CC CERT Coordination Center

CERTA CERT-Administration

CERTBw Computer Emergency Response Team Bundeswehr

http://www.first.org/members/teams/arccert/

http://www.first.org/members/teams/asec/

http://www.first.org/members/teams/at_t/

http://www.first.org/members/teams/aboveseccert/

http://www.first.org/members/teams/apple/

http://www.first.org/members/teams/arcert/

http://www.first.org/members/teams/auscert/

http://www.first.org/members/teams/avaya-gcert/

http://www.first.org/members/teams/bcert/

http://www.first.org/members/teams/belnet_cert/

http://www.first.org/members/teams/bmo_isirt/

http://www.first.org/members/teams/bp_dsac/

http://www.first.org/members/teams/btcertcc/

http://www.first.org/members/teams/badgirt/

http://www.first.org/members/teams/bell_ipcr/

http://www.first.org/members/teams/bunker/

http://www.first.org/members/teams/cais_rnp/

http://www.first.org/members/teams/carnet_cert/

http://www.first.org/members/teams/cc-sec/

http://www.first.org/members/teams/ccirc/

http://www.first.org/members/teams/ccn-cert/

http://www.first.org/members/teams/cert_polska/

http://www.first.org/members/teams/cert-bund/

http://www.first.org/members/teams/cert-fi/

http://www.first.org/members/teams/cert-hungary/

http://www.first.org/members/teams/cert-it/

http://www.first.org/members/teams/cert-in/

http://www.first.org/members/teams/cert-renater/

http://www.first.org/members/teams/cert-tcc/

http://www.first.org/members/teams/cert-vw/

http://www.first.org/members/teams/cert_br/

http://www.first.org/members/teams/cert_cc/

http://www.first.org/members/teams/certa/

http://www.first.org/members/teams/certbw/


148

CFC Cyber Force Center

CGI CIRT CGI Computer Incident Response Team

CIAC US Department of Energy's Computer Incident Advisory Capability

CLCERT Chilean Computer Emergency Response Team

CMCERT/CC China Mobile Computer Network Emergency Response Technical

Team /Coordination Center

CNCERT/CC National Computer Network Emergency Response Technical

Team / Coordination Center of China

CSIRT ANTEL ANTEL's Computer and Telecommunications Security Incident

Response Centre

CSIRT.DK Danish Computer Security Incident Repsonse Team

CSIRTUK CSIRTUK

Cert-IST CERT France Industries, Services & Tertiaire

Cisco PSIRT Cisco Systems Product Security Incident Response Team

Cisco Systems Cisco Systems CSIRT

Citi CIRT Citigroup CIRT

ComCERT Commerzbank CERT

CyberCIRT Cyberklix Computer Incident Response Team

DANTE Delivery of Advanced Network Technology to Europe Limited

DCSIRT Diageo CSIRT

DFN-CERT DFN-CERT

DIRT DePaul Incident Response Team

DK-CERT Danish Computer Emergency Repsonse Team

E-CERT Energis Computer Emergency Response Team

EDS EDS

ESACERT ESA Computer and Communications Emergency Response Team

ETISALAT-CERT ETISALAT Computer Emergency Response

EWA-

Canada/CanCERT

EWA-Canada / Canadian Computer Emergency Response Team

EYCIRT Ernst & Young Computer Incident Response Team

EnCIRT EnCase Computer Incident Response Team

Ericsson PSIRT Ericsson Product Security Incident Response Team

FSC-CERT CERT of Fujitsu-Siemens Computers

FSLabs F-Secure Security Labs

Funet CERT Funet CERT

GD-AIS General Dynamics - AIS

GIST Google Information Security Team

GNS-Cert GNS-Cert

http://www.first.org/members/teams/cfc/

http://www.first.org/members/teams/cgi_cirt/

http://www.first.org/members/teams/ciac/

http://www.first.org/members/teams/clcert/

http://www.first.org/members/teams/cmcert_cc/

http://www.first.org/members/teams/cncert_cc/

http://www.first.org/members/teams/csirt_antel/

http://www.first.org/members/teams/csirt_dk/

http://www.first.org/members/teams/csirtuk/

http://www.first.org/members/teams/cert-ist/

http://www.first.org/members/teams/cisco_psirt/

http://www.first.org/members/teams/cisco_systems/

http://www.first.org/members/teams/citi_cirt/

http://www.first.org/members/teams/comcert/

http://www.first.org/members/teams/cybercirt/

http://www.first.org/members/teams/dante/

http://www.first.org/members/teams/dcsirt/

http://www.first.org/members/teams/dfn-cert/

http://www.first.org/members/teams/dirt/

http://www.first.org/members/teams/dk-cert/

http://www.first.org/members/teams/e-cert/

http://www.first.org/members/teams/eds/

http://www.first.org/members/teams/esacert/

http://www.first.org/members/teams/etisalat-cert/

http://www.first.org/members/teams/ewa-canada_cancert/

http://www.first.org/members/teams/ewa-canada_cancert/

http://www.first.org/members/teams/eycirt/

http://www.first.org/members/teams/encirt/

http://www.first.org/members/teams/ericsson_psirt/

http://www.first.org/members/teams/fsc-cert/

http://www.first.org/members/teams/fslabs/

http://www.first.org/members/teams/funet_cert/

http://www.first.org/members/teams/gd-ais/

http://www.first.org/members/teams/gist/

http://www.first.org/members/teams/gns-cert/


149

GOVCERT.NL GOVCERT.NL

GTCERT Georgia Institute of Technology CERT

Goldman Sachs Goldman, Sachs and Company

GovCertUK CESGs Government Computer Emergency Response Team

HIRT Hitachi Incident Response Team

HKCERT Hong Kong Computer Emergency Response Team Coordination

Centre

HP SSRT HP Software Security Response Team

IIJ-SECT IIJ Group Security Coordination Team

ILAN-CERT Israeli Academic CERT

ILGOV-CERT Israel governmental computer emergency response team

ING Global CIRT ING Global CIRT

IP+ CERT IP-Plus CERT

IRIS-CERT IRIS-CERT

IRS CSIRC IRS (Internal Revenue Service) Computer Security Incident

Response Team

ISS IBM ISS

IU-CERT Indiana University CERT

Infosec-CERT Infosec Computer Emergency Response Team

Intel FIRST Team Intel FIRST Team

JANET CSIRT JANET CSIRT

JPCERT/CC JPCERT Coordination Center

JPMC CIRT JPMorgan Chase Computer Incident Response Team

JSOC Japan Security Operation Center

Juniper SIRT Juniper Networks Security Incident Response team

KMD IAC KMD Internet Alarm Center

KN-CERT Korea National Computer Emergency Response Team

KPN-CERT Computer Emergency Response Team of KPN

KrCERT/CC KrCERT/CC

LITNET CERT LITNET CERT

MCERT Motorola Cyber Emergency Response Team

MCI MCI, Inc.

MCIRT Metavante Computer Incident Response Team

MFCIRT McAfee Computer Incident Response Team

MIT Network

Security

Massachusetts Institute of Technology Network Security Team

MLCIRT Merrill Lynch Computer Security Incident Response Team

MODCERT MOD Computer Emergency Response Team

http://www.first.org/members/teams/govcert_nl/

http://www.first.org/members/teams/gtcert/

http://www.first.org/members/teams/goldman_sachs/

http://www.first.org/members/teams/govcertuk/

http://www.first.org/members/teams/hirt/

http://www.first.org/members/teams/hkcert/

http://www.first.org/members/teams/hp_ssrt/

http://www.first.org/members/teams/iij-sect/

http://www.first.org/members/teams/ilan-cert/

http://www.first.org/members/teams/ilgov-cert/

http://www.first.org/members/teams/ing_global_cirt/

http://www.first.org/members/teams/ip__cert/

http://www.first.org/members/teams/iris-cert/

http://www.first.org/members/teams/irs_csirc/

http://www.first.org/members/teams/iss/

http://www.first.org/members/teams/iu-cert/

http://www.first.org/members/teams/infosec-cert/

http://www.first.org/members/teams/intel_first_team/

http://www.first.org/members/teams/janet_csirt/

http://www.first.org/members/teams/jpcert_cc/

http://www.first.org/members/teams/jpmc_cirt/

http://www.first.org/members/teams/jsoc/

http://www.first.org/members/teams/juniper_sirt/

http://www.first.org/members/teams/kmd_iac/

http://www.first.org/members/teams/kn-cert/

http://www.first.org/members/teams/kpn-cert/

http://www.first.org/members/teams/krcert_cc/

http://www.first.org/members/teams/litnet_cert/

http://www.first.org/members/teams/mcert/

http://www.first.org/members/teams/mci/

http://www.first.org/members/teams/mcirt/

http://www.first.org/members/teams/mfcirt/

http://www.first.org/members/teams/mit_network_security/

http://www.first.org/members/teams/mit_network_security/

http://www.first.org/members/teams/mlcirt/

http://www.first.org/members/teams/modcert/


150

MSCERT Microsoft Product Support Services Security Team

Micro-BIT Micro-BIT Virus Center

MyCERT Malaysian Computer Emergency Response Team

NAB ITSAR National Australia Bank - IT Security Assessments and Response

NASIRC NASA Incident Response Center

NCIRC CC NATO Computer Incident Response Capability - Coordination

Center

NCSA-IRST National Center for Supercomputing Applications IRST

NCSIRT NRI SecureTechnologies Computer Security Incident Response

Team

NGFIRST Northrop Grumman Corporation FIRST

NIHIRT NIH Incident Response Team

NISC National Information Security Center

NIST NIST IT Security

NN FIRST Team Nortel FIRST Team

NORDUnet NORDUnet

NTT-CERT NTT Computer Security Incident Response and Readiness

Coordination Team

NU-CERT Northwestern University

NUSCERT NUS Computer Emergency Response Team

Nokia-NIRT Nokia Incident Response Team

NorCERT Norwegian Computer Emergency Response Team

ORACERT Oracle Global Security Team

OS-CIRT Open Systems AG Computer Incident Response Team

OSU-IRT The Ohio State University Incident Response Team

OxCERT Oxford University IT Security Team

PRE-CERT PRE-CERT

PSU Pennsylvania State University

Pentest Pentest Security Team

Q-CERT Qatar CERT

Q-CIRT QinetiQ Computer Incident Response Team

RBC FG CSIRT RBC Financial Group CSIRT

RBSG Royal Bank of Scotland, Investigation and Threat Management

RM CSIRT ROYAL MAIL CSIRT CC

RU-CERT Computer Security Incident Response Team RU-CERT

RUS-CERT Stabsstelle DV-Sicherheit der Universitaet Stuttgart

Ricoh PSIRT Ricoh Product Security Incident Response Team

S-CERT CERT of the German Savings Banks Organization

http://www.first.org/members/teams/mscert/

http://www.first.org/members/teams/micro-bit/

http://www.first.org/members/teams/mycert/

http://www.first.org/members/teams/nab_itsar/

http://www.first.org/members/teams/nasirc/

http://www.first.org/members/teams/ncirc_cc/

http://www.first.org/members/teams/ncsa-irst/

http://www.first.org/members/teams/ncsirt/

http://www.first.org/members/teams/ngfirst/

http://www.first.org/members/teams/nihirt/

http://www.first.org/members/teams/nisc/

http://www.first.org/members/teams/nist/

http://www.first.org/members/teams/nn_first_team/

http://www.first.org/members/teams/nordunet/

http://www.first.org/members/teams/ntt-cert/

http://www.first.org/members/teams/nu-cert/

http://www.first.org/members/teams/nuscert/

http://www.first.org/members/teams/nokia-nirt/

http://www.first.org/members/teams/norcert/

http://www.first.org/members/teams/oracert/

http://www.first.org/members/teams/os-cirt/

http://www.first.org/members/teams/osu-irt/

http://www.first.org/members/teams/oxcert/

http://www.first.org/members/teams/pre-cert/

http://www.first.org/members/teams/psu/

http://www.first.org/members/teams/pentest/

http://www.first.org/members/teams/q-cert/

http://www.first.org/members/teams/q-cirt/

http://www.first.org/members/teams/rbc_fg_csirt/

http://www.first.org/members/teams/rbsg/

http://www.first.org/members/teams/rm_csirt/

http://www.first.org/members/teams/ru-cert/

http://www.first.org/members/teams/rus-cert/

http://www.first.org/members/teams/ricoh_psirt/

http://www.first.org/members/teams/s-cert/


151

SAFCERT Singapore Armed Forces Computer Emergency Response Team

SAIC-IRT Science Applications International Corporation - Incident Response

Team

SAP CERT SAP AG CERT

SBB-SIRT Softbank BB Security Incident Response Team

SBS BT Global Services

SGI Silicon Graphics, Inc.

SI-CERT Slovenian CERT

SIRCC Security Incident Response Control Center

SITIC Swedish IT Incident Centre

SKY-CERT Skype Computer Emergency Response Team

SUNet-CERT SUNet-CERT

SURFcert SURFcert

SWAT A.P.Moller-Maersk Group IT-Security SWAT

SWITCH-CERT Swiss Education and Research Network CERT

SWRX CERT SecureWorks Computer Emergency Response Team

Secunia Research Secunia Research

Siemens-CERT Siemens-CERT

SingCERT Singapore CERT

Sprint Sprint

Stanford Stanford University Information Security Services

Sun Sun Microsystems, Inc.

SymCERT Symantec Computer Emergency Response Team

TDBFG CSIRT TDBFG Computer Security Incident Response Team

TERIS Telefonica del Peru Computer Security Incidents Response Team

TESIRT TELMEX Security Incident Response Team

TS-CERT TeliaSoneraCERT CC

TS/ICSA FIRST TruSecure Corporation

TWCERT/CC Taiwan Computer Emergency Response Team/Coordination

Center

TWNCERT Taiwan National Computer Emergency Response Team

Team Cymru Team Cymru

Telekom-CERT Telekom-CERT

ThaiCERT Thai Computer Emergency Response Team

UB-First UB-First

UCERT Unisys CERT

UGaCIRT The University of Georgia Computer Incident Response Team

UM-CERT University of Michigan CERT

http://www.first.org/members/teams/safcert/

http://www.first.org/members/teams/saic-irt/

http://www.first.org/members/teams/sap_cert/

http://www.first.org/members/teams/sbb-sirt/

http://www.first.org/members/teams/sbs/

http://www.first.org/members/teams/sgi/

http://www.first.org/members/teams/si-cert/

http://www.first.org/members/teams/sircc/

http://www.first.org/members/teams/sitic/

http://www.first.org/members/teams/sky-cert/

http://www.first.org/members/teams/sunet-cert/

http://www.first.org/members/teams/surfcert/

http://www.first.org/members/teams/swat/

http://www.first.org/members/teams/switch-cert/

http://www.first.org/members/teams/swrx_cert/

http://www.first.org/members/teams/secunia_research/

http://www.first.org/members/teams/siemens-cert/

http://www.first.org/members/teams/singcert/

http://www.first.org/members/teams/sprint/

http://www.first.org/members/teams/stanford/

http://www.first.org/members/teams/sun/

http://www.first.org/members/teams/symcert/

http://www.first.org/members/teams/tdbfg_csirt/

http://www.first.org/members/teams/teris/

http://www.first.org/members/teams/tesirt/

http://www.first.org/members/teams/ts-cert/

http://www.first.org/members/teams/ts_icsa_first/

http://www.first.org/members/teams/twcert_cc/

http://www.first.org/members/teams/twncert/

http://www.first.org/members/teams/team_cymru/

http://www.first.org/members/teams/telekom-cert/

http://www.first.org/members/teams/thaicert/

http://www.first.org/members/teams/ub-first/

http://www.first.org/members/teams/ucert/

http://www.first.org/members/teams/ugacirt/

http://www.first.org/members/teams/um-cert/


152

UNAM-CERT UNAM-CERT

UNINETT CERT UNINETT CERT

US-CERT United States Computer Emergency Readiness Center

Uchicago Network

Security

The University of Chicago Network Security Center

VISA-CIRT VISA-CIRT

VeriSign VeriSign

YIRD Yahoo Incident Response Division

dCERT debis Computer Emergency Response Team

dbCERT Deutsche Bank Computer Emergency Response Team

e-Cop e-Cop Pte Ltd

e-LC CSIRT e-LaCaixa CSIRT

esCERT-UPC CERT for the Technical University of Catalunya

secu-CERT SECUNET CERT

http://www.first.org/members/teams/unam-cert/

http://www.first.org/members/teams/uninett_cert/

http://www.first.org/members/teams/us-cert/

http://www.first.org/members/teams/uchicago_network_security/

http://www.first.org/members/teams/uchicago_network_security/

http://www.first.org/members/teams/visa-cirt/

http://www.first.org/members/teams/verisign/

http://www.first.org/members/teams/yird/

http://www.first.org/members/teams/dcert/

http://www.first.org/members/teams/dbcert/

http://www.first.org/members/teams/e-cop/

http://www.first.org/members/teams/e-lc_csirt/

http://www.first.org/members/teams/escert-upc/

http://www.first.org/members/teams/secu-cert/


153

Anexo 2: Proyecto de Tesis

Universidad Técnica Particular de Loja

ESCUELA DE CIENCIAS DE LA COMPUTACIÓN

Información General del Proyecto

Título del Proyecto : Creación del CERT UTPL

Duración : 6 meses

Propuesto por : Grupo de Telecomunicaciones

Docente Investigador: Ing. María Paula Espinosa

Ing. Carlos Córdova

Línea de Investigación: Seguridad de la Información

Perfil de Tesista : Conocimientos Básicos de Seguridad de la Información.

Capacidad de Gestión

Propósito / Descripción

El proyecto busca definir el esquema y funcionamiento de un CERT, que permita operar un Equipo de Respuesta de Incidentes Formal en la UTPL

Componentes:

- Estudiar cómo está constituido un CERT, los tipos y funciones.

- Estudiar los CERT a nivel del mundo.

- Definir los requerimientos de la UTPL -Diseñar el CERT para la UTPL.

- Elaborar las políticas, procesos y funciones del CERT – UTPL.

- Implementar el Equipo de Respuesta de Incidentes de la UTPL.

Estrategia o Metodología de desarrollo (Opcional)

Resultados esperados

- CERT UTPL con políticas, procesos y funciones definidas reconocidas a nivel mundial

Cronograma


154

Componente Tiempo

-Estudiar cómo está constituido un CERT, los tipos y funciones 3 semanas

-Estudiar los CERT a nivel del mundo 2 semanas

-Definir los requerimientos de la UTPL 3 semanas

-Diseñar el CERT para la UTPL 8 semanas

-Elaborar la políticas, procesos y funciones del CERT – UTPL 4 semanas

-Implementar el Equipo de Respuesta de Incidentes de la UTPL 4 semanas

Presupuesto (Opcional)

Bibliografía / Recursos

www.cert.org www. seguridad.unam.mx


155

Anexo 3: DOMINIO 9: GESTIÓN DE INCIDENTES EN LA

SEGURIDAD DE LA INFORMACIÓN

Este dominio está conformado de la siguiente manera:

Dominio 13: Gestión de incidentes en la Seguridad de la Información

13.1. Notificación de Eventos y Puntos Débiles de la seguridad de la

Información

13.1.1. Notificación de los Eventos de la Seguridad de la

Información

13.1.2. Notificación de Puntos Débiles de la Seguridad

13.2. Gestión de Incidentes de la Seguridad de la Información y Mejoras

13.2.1. Responsabilidades y Procedimientos

13.2.2. Aprendizaje de los incidentes de Seguridad de la

Información

13.2.3. Recopilación de Evidencias

13.1. Notificación de Eventos y Puntos Débiles de la Seguridad de la Información

Objetivo:

Asegurar que los eventos y debilidades de la seguridad de la información asociados

con los sistemas de información sean comunicados de una manera que permita que

se realice una acción correctiva oportuna.

Se debieran establecer procedimientos formales de reporte y de la intensificación de

un evento. Todos los usuarios empleados contratistas y terceros debieran estar al

tanto de los procedimientos para el reporte de los diferentes tipos de eventos y

debilidades que podrían tener un impacto en la seguridad de los activos

organizacionales. Se les debiera requerir que reporten cualquier evento y debilidad de

la seguridad de la información lo más rápidamente posible en el punto de contacto

designado.

13.1.1. Notificación de los Eventos de Seguridad de la Información

Control


156

Los eventos de seguridad de la información debieran ser reportados a través de los

canales gerenciales apropiados lo más rápidamente posible.

Lineamiento de implementación

Se debiera establecer un procedimiento formal para el reporte de eventos en la

seguridad de la información, junto con un procedimiento de respuesta y de

intensificación de incidentes, estableciendo la acción a tomarse al recibir un reporte de

un evento en la seguridad de la información.

Se debiera establecer un punto de contacto para el reporte de eventos en la seguridad

de la información.

Se debiera asegurar que este punto de contacto sea conocido a través de toda la

organización, que siempre esté disponible y sea capaz de proporcionar una respuesta

adecuada y oportuna.

Todos los usuarios empleados, contratistas y terceros debieran estar al tanto de la

responsabilidad de reportar cualquier evento en la seguridad de la información lo más

rápidamente posible.

También debieran estar al tanto del procedimiento para reportar eventos en la

seguridad de la información y el punto de contacto.

Los procedimientos de reporte deben incluir:

a) Procesos de retroalimentación adecuados para asegurar que aquellos que

reportan eventos en la seguridad de la información sean notificados de los

resultados después de haber tratado y terminado con el problema;

b) Formatos de reporte los eventos en la seguridad de la información para

respaldar la acción de reporte, y ayudar a la persona que reporta a recordar

todas las acciones necesarias en caso de un evento en la seguridad de la

información;

c) Se debe tomar la conducta correcta en el caso de un evento en la seguridad de

la información; es decir

1) anotar todos los detalles importantes inmediatamente (por ejemplo,

el tipo de no-cumplimiento o violación, mal funcionamiento actual,

mensajes en la pantalla, conducta extraña);

2) no llevar a cabo ninguna acción por cuenta propia, sino reportar

inmediatamente al punto de contacto;

d) Referencia a un proceso disciplinario formal establecido para tratar con los

usuarios empleados, contratistas o terceros que cometen violaciones de

seguridad.


157

En los ambientes de alto riesgo, se puede proporcionar una alarma de coacción29

mediante la cual una persona que actúa bajo coacción puede indicar dichos

problemas. Los procedimientos para responder ante las alarmas de coacción debieran

reflejar la situación de alto riesgo que estas alarmas indican.

Otra información

Los ejemplos de eventos e incidentes de seguridad de la información incluyen:

pérdida del servicio, equipo o medios;

mal funcionamiento o sobre-carga del sistema;

errores humanos;

incumplimientos de las políticas o lineamientos;

violaciones de los acuerdos de seguridad física;

cambios del sistema no controlados;

mal funcionamiento del software o hardware;

violaciones de acceso.

Con el debido cuidado a los aspectos de confidencialidad, los incidentes en la

seguridad de la información pueden ser utilizados en la capacitación de los usuarios

como ejemplos de lo que podría suceder, cómo responder ante tales incidentes y

cómo evitarlos en el futuro.

Para poder tratar apropiadamente los eventos e incidentes en la seguridad de la

información podría ser necesario recolectar evidencia lo más pronto posible después

de la ocurrencia (ver sección 13.2.3).

El mal funcionamiento o cualquier otra conducta anómala del sistema pueden ser un

indicador de un ataque a la seguridad o una verdadera violación de la seguridad y, por

lo tanto, siempre debiera reportarse como un evento en la seguridad de la información.

13.1.2. Notificación de Puntos Débiles de la Seguridad

Control

Se debiera requerir que todos los usuarios empleados, contratistas y terceros de los

sistemas y servicios de información tomen nota de y reporten cualquier debilidad de

seguridad observada o sospechada en el sistema o los servicios.


29

Una alarma de coacción es un método para indicar secretamente que una acción se está

realizando “bajo coacción”.


158

Todos los usuarios empleados, contratistas y terceros debieran reportar estos temas

ya sea a su gerencia o directamente al proveedor de su servicio lo más rápidamente

posible para evitar incidentes en la seguridad de la información. El mecanismo de

reporte debiera ser fácil, accesible y estar disponible lo más posible. Ellos debieran ser

informados que no debieran, en ninguna circunstancia, tratar de probar una debilidad

sospechada.

Otra información

Los usuarios empleados, contratistas y terceros debieran ser advertidos de no tratar

de probar las debilidades de seguridad sospechadas. La prueba de las debilidades

podría ser interpretada como un mal uso potencial del sistema y también podría

causar daños al sistema o servicio de información y resultar en la responsabilidad

legal para la persona que realiza la prueba.

13.2. Gestión de incidentes de la Seguridad de la información y Mejoras

Objetivo:

Asegurar que se aplique un enfoque consistente y efectivo a la gestión de los

incidentes en la seguridad de la información.

Se debieran establecer las responsabilidades y procedimientos para manejar de

manera efectivo los eventos y debilidades en la seguridad de la información una vez

que han sido reportados. Se debiera aplicar un proceso de mejoramiento continuo

para la respuesta a, monitoreo, evaluación y la gestión general de los incidentes en la

seguridad de la información.

Cuando se requiera evidencia, esta se debiera recolectar cumpliendo con los

requerimientos legales

13.2.1. Responsabilidades y Procedimientos

Control

Se debieran establecer las responsabilidades y los procedimientos de la gerencia para

asegurar una respuesta rápida, efectiva y metódica ante los incidentes de la seguridad

de la información.

Lineamiento de la implementación

Además de reportar los eventos y debilidades en la seguridad de la información (ver

también 13.1), se debiera utilizar el monitoreo del sistema, alertas y vulnerabilidades

para detectar los incidentes en la seguridad de la información. Se debieran considerar


159

los siguientes lineamientos para los procedimientos de gestión de incidentes en la

seguridad de la información:

a) se debieran establecer procedimientos para manejar los diferentes tipos de

incidentes en la seguridad de la información, incluyendo:

fallas del sistema de información y pérdida del servicio

código malicioso

negación del servicio

errores resultantes de data comercial incompleta o inexacta

violaciones de la confidencialidad e integridad

mal uso de los sistemas de información

b) además de los planes de contingencia normales, los procedimientos también

debieran cubrir:

análisis e identificación de la causa del incidente;

contención;

planeación e implementación de la acción correctiva para evitar la

recurrencia, si fuese necesario;

comunicaciones con aquellos afectados por o involucrados con la

recuperación de un incidente;

reportar la acción a la autoridad apropiada;

c) se debiera recolectar y asegurar rastros de auditoría y evidencia similar,

conforme sea apropiado para:

análisis interno del problema;

uso como evidencia forense en relación a una violación potencial del

contrato o el requerimiento regulador o en el caso de una acción legal

civil o

criminal; por ejemplo, bajo la legislación sobre el mal uso de

computadoras o

protección de data;

negociación para la compensación de los proveedores del software y

servicio;

d) se debieran controlar formal y cuidadosamente las acciones para la

recuperación de las violaciones de la seguridad y para corregir las fallas en el

sistema; los procedimientos debieran asegurar que:


160

sólo el personal claramente identificado y autorizado tengan acceso a

los

sistemas vivos y la data para el acceso externo

se documenten en detalle todas las acciones de emergencia realizadas;

la acción de emergencia sea reportada a la gerencia y revisada de una

manera adecuada;

la integridad de los sistemas y controles comerciales sea confirmada

con una demora mínima.

Se debieran acordar con la gerencia los objetivos para la gestión de incidentes en la

seguridad de la información, y se debieran asegurar que aquellos responsables de la

gestión de incidentes en la seguridad de la información entiendan las prioridades de la

organización para el manejo de los incidentes en la seguridad de la información.

Otra información

Los incidentes en la seguridad de la información podrían trascender fuera de las

fronteras organizacionales y nacionales. Para responder a estos incidentes se

necesita cada vez más coordinar la respuesta y compartir información sobre estos

incidentes con organizaciones externas, conforme sea apropiado.

13.2.2. Aprendizaje de los incidentes de Seguridad de la Información

Control

Se debieran establecer mecanismos para permitir cuantificar y monitorear los tipos,

volúmenes y costos de los incidentes en la seguridad de la información.


Se debiera utilizar la información obtenida de la evaluación de los incidentes en la

seguridad de la información para identificar los incidentes recurrentes o de alto

impacto.

Otra información

La evaluación de los incidentes en la seguridad de la información pueden indicar la

necesidad de incrementar o establecer controles adicionales para limitar la frecuencia,

daño y costo de ocurrencias futuras, o tomarlos en cuenta en el proceso de revisión de

la política de seguridad .

13.2.3. Recopilación de Evidencias

Control


161

Cuando una acción de seguimiento contra una persona u organización después de un

incidente en la seguridad de la información involucra una acción legal (ya sea civil o

criminal); se debiera recolectar, mantener y presentar evidencia para cumplir con las

reglas de evidencia establecidas en la(s) jurisdicción(es) relevante(s).


Se debieran desarrollar y seguir los procedimientos internos cuando se recolecta y

presenta evidencia para propósitos de una acción disciplinaria manejada dentro de

una organización.

En general, las reglas de evidencia debieran abarcar:

a) admisibilidad de la evidencia: si la evidencia se puede o no se puede utilizar

en la corte;

b) peso de la evidencia: la calidad e integridad de la evidencia.

Para lograr la admisibilidad de la evidencia, la organización debiera asegurar que sus

sistemas de información cumplan con todos los estándares o códigos de práctica

publicados para la producción de evidencia admisible.

El peso de la evidencia provisto debiera cumplir con cualquier requerimiento aplicable.

Para lograr el peso de la evidencia, se debiera demostrar mediante un rastro de

auditoría sólido la calidad y la integridad de los controles utilizados para proteger

correcta y consistentemente la evidencia (es decir, evidencia del control del proceso)

durante todo el período en que la evidencia a ser recuperada fue almacenada y

procesada. Este rastro de auditoría sólido se puede establecer bajo las siguientes

condiciones:

a) para los documentos en papel: el original se debiera mantener de manera

segura con un registro de la persona quien encontró el documento, el lugar

donde se encontró el documento, cuándo se encontró el documento y quién

presenció el descubrimiento; cualquier investigación debiera asegurar que no

se alteren o manipulen los originales;

b) para la información en medios de cómputo: se debieran realizar imágenes

dobles o copias (dependiendo de los requerimientos aplicables) de cualquier

medio e información en discos duros o en memoria para asegurar su

disponibilidad; se debiera mantener un registro de todas las acciones

realizadas durante el proceso de copiado y el proceso debiera ser atestiguado;

el medio original y el registro (si esto no es posible, por lo menos una imagen

doble o una copia) se debieran mantener de manera segura y sin ser tocados.

Cualquier trabajo forense sólo se debiera realizar en las copias del material de

evidencia. Se debiera proteger la integridad de todo el material de evidencia. El


162

copiado del material de evidencia debiera ser supervisado por personal confiable y se

debiera registrar la información sobre cuándo y dónde se realiza el proceso de

copiado, quién realiza las actividades de copiado y cuáles herramientas y programas

se han utilizado.

Otra información

Cuando recién se detecta un evento en la seguridad de la información, puede no ser

obvio si el evento resultará, o no, en una acción legal. Por lo tanto, existe el peligro

que la evidencia necesaria sea destruida involuntaria o accidentalmente antes de

percatarse de la seriedad del incidente. Es aconsejable involucrar a un abogado o la

policía desde el inicio de una acción legal contemplada y tomar asesoría sobre la

evidencia requerida.

La evidencia puede trascender las fronteras organizacionales y/o jurisdiccionales. En

tales casos, se debiera asegurar que la organización tenga el derecho de recolectar la

información requerida como evidencia. Se debieran considerar los requerimientos de

las diferentes jurisdicciones para maximizar las posibilidades de admisión a través de

las jurisdicciones relevantes.


163

Anexo 4: FORMATO DE ENCUESTAS

ENCUESTA ADMINISTRADORES DE SERVIDORES

Fecha:______________________________________________________________

Nombres: ___________________________________________________________

Area:_______________________________________________________________

Cargo:______________________________________________________________

e-mail:______________________________________________________________

Objetivo

Obtener información acerca de los incidentes de seguridad que se han presentado en

los diferentes sistemas o servicios de la Universidad, así como los mecanismos que

utilizan los administradores para prevenirlos y minimizarlos.

1. El origen de los incidentes ha sido:

Internos

Externos

A quien los a reportado?

……………………………………………………………………………………………………

…………………………………………………………………………………………………

2. ¿Realiza constantemente análisis de Seguridad a los sistemas que usted

administra?.

Si la respuesta es si por favor indique el tipo de análisis que realiza.

……………………………………………………………………………………………………..

……………………………………………………………………………………………………..

……………………………………………………………………………………………………..

Si la respuesta es No mencione las personas encargadas de realizar el

análisis.

……………………………………………………………………………………………………..

……………………………………………………………………………………………………


164

3. ¿De las siguientes tecnologías, cuáles utiliza actualmente?

Control de Acceso (Password)

Encriptación de Archivos

Software Antivirus

Firewalls

Sistemas de Detección de Intrusiones

Certificados Digitales

Redes Privadas Virtuales

Test de Penetración

Si hay alguno que no esté en la lista por favor lístelos a continuación:

…………………………………………………………………………………………………

…………………………………………………………………………………………………

…………………………………………………………………………………………………

4. ¿Del análisis realizado qué tipo de incidentes a encontrado?

Problema Frecuencia de

Ocurrencia

(1-100 %)

Gravedad de los

daños

Critico, No

Crítico, Normal,

Problemas de Red

Internet

Correo electrónico

Modificación de páginas web

Robo de información confidencial

Denegación de Servicios

Spamming de correo electrónico

Acceso no autorizado a los sistemas

Ataques de Virus

Pérdida de Información

Errores en entrada de datos o de

programación (base de datos)

Fallos durante el Procesamiento de

Transacciones (base de datos)

Fallas a nivel de Software

Fallas a nivel de Hardware

Errores en la configuración de equipos

Crítico: Representan situaciones de alto riesgo, afectan a los sistemas críticos,

requieren de respuesta inmediata.

No crítico: Fallas en sistemas utilizados por usuarios.


165

Normal: problemas que afecten a sistemas de menos importancia.

5. ¿En cuanto a políticas de seguridad, de las siguientes cuáles tiene

implementadas?

Políticas de seguridad Si No

No conoce

Contraseñas

- De Equipo

- De red

Respaldos de Bases de Datos,

Sistemas, información

importante para la

organización.

Planes de Contingencia

Detección de virus

Detección de vulnerabilidades

Protección de cuentas de

Riesgo

Seguridad Física

6. ¿Guarda algún registro de la detección de virus, pérdida de

información, daño en los equipos ó de algún otro tipo de incidente en

repositorios como: bitácoras, base de datos, estadísticas, etc.?

……………………………………………………………………………………………………

……………………………………………………………………………………………………

……………………………………………………………………………………………………

7. ¿Maneja algún formato para el reporte de incidentes?

……………………………………………………………………………………………………

……………………………………………………………………………………………………

……………………………………………………………………………………………………


166

Anexo 5:

DESCRIPCIÓN DE SERVICIOS EQUIPO CSIRT - UTPL

(De acuerdo a la norma RFC 2350)


1.1. Fecha de la última actualización:

10 de Agosto de 2008

1.2. Listas de Distribución:

Las notificaciones con las últimas actualizaciones se enviarán a una lista de

correo, en la que constarán los nombres de todos los contactos que mantiene

el CSIRT-UTPL.

Cualquier persona que requiera se le envíen información del CSIRT-UTPL

debe registrarse a la dirección asignada para el Equipo.

1.3. Ubicación del Documento:

La versión actual del documento se la puede descargar de la página web del

CSIRT-UTPL.

2. Información de Contacto

2.1. Nombre del Equipo:

“CSIRT-UTPL”: Equipo de Respuesta a Incidentes de Seguridad Informática

de la Universidad Técnica Particular de Loja.

2.2. Dirección:

CSIRT-UTPL

Universidad Técnica Particular de Loja

San Cayetano Alto

Loja-Ecuador

2.3. Zona Horaria:

UTC-GMT -5

2.4. Número de Teléfono:

PBX: (593)(07)2 570275

2.5. Número de Fax:


167

Fax: (593)(07)2 584893

2.6. Otras Comunicaciones:

No disponible

2.7. Dirección de Correo Electrónico:

[email protected]

2.8. Llaves Publicas y encriptación de información:

No disponible

2.9. Miembros del Equipo:

Ing. María Paula Espinosa

Equipo NOC/SOC

Gestión Productiva

Tesistas

2.10. Horario Local:

Atención en horas de oficina (08H00-13h00 / 15H00: 19H00).

2.11. Puntos de contacto para clientes:

La comunicación entre el Equipo CSIRT-UTPL y los miembros de la

universidad puede ser a través de los siguientes medios: Correo Electrónico,

Teléfono, Fax, para enviar informes utilice los formatos establecidos por el

Equipo CSIRT-UTPL.

3. Constitución

3.1. Misión:

“Promover la investigación en temas de seguridad, para de esta manera tomar

medidas preventivas, establecer procesos de respuesta que sean eficientes

para mitigar los posibles daños que cualquier incidente ocasione en los

sistemas de información de la UTPL.”

3.2. Comunidad a la que brinda Servicios:

El Equipo CSIRT-UTPL ofrece servicios de manejo y prevención de Incidentes

al Personal docente y administrativo de la Universidad Técnica Particular de

Loja, el modelo implementado es el CSIRT Académico.

3.3. Patrocinio / Afiliación:

El Equipo CSIRT – UTPL es patrocinado por la Universidad Técnica Particular

de Loja.

3.4. Autoridad:


168

La autoridad del Equipo CSIRT-UTPL en lo referente al manejo y respuesta a

incidentes será compartida con el director de la UPSI y director de CITTE, es

decir que el equipo brindará asesoría en cuanto a las soluciones más

adecuadas que se debe aplicar.

4. Políticas

4.1. Tipo de Incidentes y nivel de Soporte:

El Equipo CSIRT-UTPL se encarga de manejar y dar solución a todos los

incidentes que sucedan o no en los diferentes equipos de la UTPL. El tipo de

respuesta que brinde el Equipo dependerá de la gravedad del incidente

reportado, la gravedad de los mismos se determinará haciendo uso de

metodología para el manejo de incidentes existente en la universidad.

4.2. Cooperación, Interacción y divulgación de la Información:

La información será manejada con absoluta confidencialidad de acuerdo a las

políticas y procedimientos establecidos dentro de la UTPL, en el caso de que

se proceda a publicar la información esta será previa autorización de los

dueños de la misma, en el caso que esto se incumpla el caso será manejado

de acuerdo a las políticas establecidas por la universidad para estos casos.

4.3. Comunicación y Autenticación:

No disponible

5. Servicios

5.1. Respuesta a Incidentes

El equipo CSIRT-UTPL ayudará en las tareas relacionadas con el manejo y

repuesta a incidentes de acuerdo las metodologías realizadas para el manejo

de los mismos, trabajará conjuntamente con el Equipo NOC/SOC en la

generación de alertas, reportes, estadísticas y capacitación a usuarios.

Algunas de las actividades a realizarse de acuerdo al manejo de incidentes

son:

5.1.1. Función Triage:

Realizar tareas de clasificación de los reportes de incidentes recibidos,

para determinar la gravedad y prioridad de los mismos.

5.1.2. Coordinación del Incidente:

Realizar tareas de coordinación de respuesta a incidentes y

vulnerabilidades, para determinar el origen de los incidentes, redactar


169

anuncios que informen de los incidentes atendidos y vulnerabilidades

encontradas, levantar estadísticas

5.1.3. Resolución del Incidente

La respuesta que se brinde será realizando análisis a primer nivel, de

acuerdo a la experiencia de los integrantes del equipo.

5.2. Actividades Proactivas

Para los servicios proactivos se ha tomado en cuenta dos aspectos los

servicios proactivos como tal, y un Laboratorio CSIRT que se encargará de

realizar investigación y formulación de proyectos.

Los servicios proactivos que se brindarán en el Equipo CSIRT-UTPL son:

Servicios de Detección de Intrusiones

Implementación y configuración de Herramientas, Aplicaciones,

Infraestructuras y servicios de seguridad.

Estudio de Tráfico Malicioso

Estudio de vulnerabilidades y patrones de ataque

Investigación sobre las nuevas formas de ataques,

Definición de políticas de seguridad.

El área de Laboratorio se encargará de Formular proyectos de investigación.

6. Formularios para el reporte de Incidentes

Para realizar el reporte de incidentes debe utilizar los formatos elaborados por el

Equipo CSIRT-UTPL, los mismos que se pueden obtener en el Equipo CSIRT-

UTPL.

7. Disclaimer

El Equipo CSIRT-UTPL no se responsabiliza por el mal uso que se dé a la

información aquí contenida.


170

Anexo 6: Propuesta para la Creación del CSIRT-UTPL

Definición de Proyecto UTPL

Nombre del Proyecto:

Implementación de un Equipo de Respuesta a Incidentes para la Universidad Técnica Particular de Loja (CSIRT – UTPL)

Preparado por: Rebeca Pilco Vivanco. (Estudiante Escuela Ciencias de la Computación)

Departamento / Escuela / CITTES / Empresa:

Grupo de Telecomunicaciones / Esc. de Ciencias de la Computación / UPSI / UTPL

Fecha: 16 de Julio de 2008

Antecedentes y Objetivos

Antecedentes

Los diferentes tipos de servicios y actividades que se realizan en cada uno de los

CITTES de la Universidad hace que toda la información que manejan se convierta

en un punto vulnerable por cuanto la mayor parte de las transacciones y actividades

se realizan en su mayoría sobre una plataforma de comunicaciones en la red interna

e internet, por otro lado los sistemas se ven afectados por diferentes tipos de

incidentes entre los que se registran problemas de red, denegación de servicios y

ataques de virus, por citar los más importantes, no hay un departamento al que se

pueda reportar algún incidente ni que se encargue de recolectar y llevar algún tipo

de registro de los mismos.

El presente proyecto propone la creación de un Equipo de Respuesta a Incidentes

para la Universidad Técnica Particular de Loja (CSIRT-UTPL) que inicialmente será

implementado como un Laboratorio de Seguridad y conjuntamente con el NOC/SOC

serán los encargados de brindar respuestas y soluciones a los incidentes y

vulnerabilidades que se encuentren en los sistemas informáticos de la Universidad,

fortaleciendo de ésta manera la línea de investigación de Seguridad de la

Información, que hoy en día se considera como un componente transversal a todos

los procesos de las organizaciones.

Objetivos


171

Brindar respuestas ágiles y minimizar el daño que pueden causar los

diferentes incidentes que se reportan en los sistemas de la UTPL.

Incrementar los niveles de seguridad en la UTPL haciendo uso de

metodologías y políticas para la respuesta a incidentes.

Realizar constante capacitación a los miembros del equipo CSIRT-UTPL .

Convertirnos en un grupo de investigación en temas de seguridad de la

información.

Establecer contactos con otros equipos CSIRT en la región

Equipo Del Proyecto

Rol Nombre

Sponsor Carlos Correa A. – UPSI

Gerente de Proyecto Ing. María Paula Espinosa

Gerente de Producto Ing. María Paula Espinosa

Línea de Investigación / Proceso de Negocio

Equipo de Seguridad de la Información

Otros Stakeholders (ej. Clientes) Equipo NOC/SOC

Alcance Del Proyecto

Dentro del Alcance del Proyecto

1. Difusión de Alertas y Advertencias


172

2. Análisis y Manejo de Incidentes y Vulnerabilidades haciendo uso de las diferentes herramientas diseñadas para estos fines.

3. Llevar un grupo formal de investigación que aporte al equipo en la identificación y solución de problemas, entre otros.

4. Definir políticas y procedimientos para el funcionamiento interno del CSIRT-UTPL

Fuera del Alcance del Proyecto

1. Configuración y Mantenimiento de Herramientas, Infraestructura y servicios de seguridad.

2. Desarrollo de herramientas de Seguridad

3. Realizar Auditorías de Seguridad

Suposiciones

Suposiciones

1. NOC/SOC en capacidad de brindar servicios de nivel 1

2. Contratación de personal para temas de investigación

3. Aprobación de presupuesto

4.


173

Metas

Formar parte del Forum of Incidente Response and Security Teams (FIRST)

Conformar un grupo de Respuesta a Incidentes Formal que se encargue de analizar, identificar y brindar soluciones a los incidentes que se presenten en la UTPL, haciendo uso de políticas y metodologías de resolución de incidentes permitiendo así brindar de una mejor manera diferentes tipos de servicios a la UTPL.

Convertirnos en un grupo proactivo, que siempre esté preparado para dar soluciones en el momento oportuno y con las soluciones adecuada.

Crear conciencia en los diferentes usuarios acerca de la importancia de implementar un CSIRT en la organización.

Una vez implementado el proyecto se obtendrá algunos beneficios como:

o Coordinación de respuesta a incidentes de manera efectiva

o Establecer canales de comunicación entre el CSIRT y todas las dependencias de la universidad para un adecuado reporte y respuesta a incidentes.

o Compartir información entre diferentes equipos de Respuesta a incidentes a nivel mundial.

o Realizar un constante monitoreo a los sistemas críticos de la universidad, para de esta manera estar prevenidos ante cualquier incidencia y saber que hacer el momento que ocurra.

Resultados

Equipo de personas capacitado para responder a incidentes realizando

trabajos conjuntos con el grupo NOC/SOC, haciendo uso de metodologías para

el manejo de incidentes y políticas internas para el grupo.

Mantener un portal WEB en el que conste un formulario para realizar un

correcto reporte de incidentes y en que se realce la publicación de las mejores

prácticas de seguridad.

Conseguir un sponsor que nos auspicie en ingreso al FIRST.



174

Reducir el número de posibles ataques y tomar medidas para disminuir el

número de vulnerabilidades encontradas.


Metas Resultados Indices de Medición

Creación formal del Equipo CSIRT (Laboratorio y NOC/SOC)

Equipo de personas

capacitado para responder

a incidentes realizando

trabajos conjuntos con el

grupo NOC/SOC, haciendo

uso de metodologías para

el manejo de incidentes y

políticas internas para el

grupo.

Servicios brindados:

Laboratorio CSIRT: Servicios Reactivos.

NOC/SOC: Servicios Proactivos

Establecer comunicación directa con todas las áreas de la universidad para el reporte de incidentes.

Portal WEB en el que conste un formulario para realizar los reporte de incidentes.

Cantidad de reportes manejados en el grupo CSIRT.

Alianzas estratégicas con otros CSIRTs.

Encontrar un sponsor que nos auspicie el ingreso al FIRST

Auditorías y visitas realizadas por otros equipos a nivel de Latinoamérica.

Crear recursos de investigación en temas de seguridad del a información

Contar con herramientas adecuadas de estudio de tráfico, análisis de vulnerabilidades y estudio de patrones

Reportes del malware en el campus, clasificado por tipo, vulnerabilidad, método de propagación ,etc

Patrones de comportamiento de tráfico UTPL y anomalías

Definición de Tiempos Fecha Inicial: _____14 de Julio de 2008_________

Fecha Final: _______________________________


175

Fase de Proyecto

Tarea Fecha Estimada de

Termino / Estado Actual

Definición Aprobación de Definición Inicial 04/12/07

Planificación Reunión Inicial 14/07/08

Aprobación Inicial En proceso

Cronograma de Tareas En proceso

Plan de Comunicación En proceso

Aceptación Inicial En proceso

Revisión Adicional (si es requerida) En proceso

Ejecución Orden de Equipos / Materiales En proceso

Cierre Reunión de Cierre de Proyecto En proceso

Issues, Riesgos y Factores Mitigantes del Proyecto

Issue/Riesgo

Posible impacto (AMB)

Mitigación

1. No aprobación de proyecto

A Replantearlo

2. No contar con personal requerido

M Trabajar siempre con estudiantes y personal de backup


176

3. Aprobación parcial del proyecto

M Definir fases prioritarias

4. NOC/SOC no pase adecuadamente a Gestión de Servicios

M Crear un área para el manejo de incidentes con personal nuevo.

Riesgos si no se realiza el Proyecto

Riesgo

1. No avanzar los temas de investigación en la línea de seguridad

2. No hay conocimiento real del tráfico de la red

3. Falta de definición de riesgos

Personal Involucrado

Dependecia / Escuela # de personas % de tiempo Rol / Habilidades

Ciencias de la Computación

1 Completo

Coordinador

Proyectos de Investigación


3 Completo NOC/SOC


2 Completo Proyectos de Investigación


177

Presupuesto Preliminar

Costos Iniciales: ________$ 9760,00_______________________

Costos Incrementales: ____$8500,00_______________________

Aceptación:

SPONSOR: [Carlos Correa L.]

Gerente de Proyecto: [Ing. María Paula Espinosa]


178


179

Bibliografía

Equipos de Respuesta a Incidentes

Segu-info.com.ar

Equipos de respuesta a incidentes

http://www.segu-info.com.ar/politicas/incidentes.htm

ArCERT

CSIRT - Preguntas más frecuentes

http://www.arcert.gov.ar/webs/csirt_faq.html#7

COL-CSIRT

Preguntas más frecuentes

http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=node/4#3

Martínez Carlos Marcelo, Título: “Experiencia de implantación de un CSIRT en

ANTEL-Uruguay”

http://www.asiap.org/interjiap/Conferencias/Conferencias%202007/ANTEL .ppt

VELASQUEZ Solha Liliana: Título “CAIS/RPN El CSIRT de la Red

Académica Brasileña”

http://www.arcert.gov.ar/tc/presentaciones/lunes/PanelI-CAIS.pdf

Estructura, Visión y Modelo Organizacional de un CSIRT

CERT/CC, Título: “Staffing tour Computer Security Incident Response Team –

What Basic Skills Are Needed?

http://www.cert.org/work/software_assurance.html

Killcrece Georgia, Kossakowski Klaus, Ruefle Robin, Zajicek Mark, Título:

“State of the Practice of Computer Security Incident Response Teams

(CSIRTs)”

www.cert.org/archive/pdf/03hb001.pdf

Evitando errores en el manejo de Incidentes de Seguridad

http://www.segu-info.com.ar/politicas/incidentes.htm

http://www.arcert.gov.ar/webs/csirt_faq.html#7

http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=node/4#3

http://www.asiap.org/interjiap/Conferencias/Conferencias%202007/ANTEL%20.ppt

http://www.arcert.gov.ar/tc/presentaciones/lunes/PanelI-CAIS.pdf

http://www.cert.org/work/software_assurance.html

http://www.cert.org/archive/pdf/03hb001.pdf


180

http://www.seguridad.unam.mx/descarga.dsc?arch=319

Morales Ricardo, Título: Proceso de Concientización

http://www.bsecure.com.mx/articulo-59-6626-381.html

Definición y Manejo de Incidentes

Respuesta a Incidentes de Seguridad de TI

http://www.microsoft.com/spain/technet/security/guidance/disasterrecovery/resp

onding_sec_incidents.mspx

Grance Tim, Karen Ken, Brian Kin, Título ” Computer Security incident Handling

Guide, Recommendations of the national institute of Standards an Technology”

, January 2004.

http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf

Políticas

Diseño de Políticas de Seguridad

http://www.cert.gov.ve/docs/DISENO_DE_POLITICA_DE_SEGURIDAD.pdf

Políticas y Modelos de Seguridad

http://www.sc.ehu.es/jiwibmaj/ApuntesCastellano/TEMA_12-politicas-.pdf

http://www.seguridad.unam.mx/descarga.dsc?arch=319

http://www.bsecure.com.mx/articulo-59-6626-381.html

http://www.microsoft.com/spain/technet/security/guidance/disasterrecovery/responding_sec_incidents.mspx

http://www.microsoft.com/spain/technet/security/guidance/disasterrecovery/responding_sec_incidents.mspx

http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf

http://www.cert.gov.ve/docs/DISENO_DE_POLITICA_DE_SEGURIDAD.pdf

http://www.sc.ehu.es/jiwibmaj/ApuntesCastellano/TEMA_12-politicas-.pdf


181

REFERENCIAS

[1] Zator Systems: ”Notas sobre Internet”

www.zator.com/Internet/A2_1a.htm

Fecha de Consulta: Febrero de 2008

[2] CERT, “Darpa Establishes Computer Emergency Response”

www.cert.org/about/1988press-rel.html


[3] Moira J. West-Brown, Don Stikvoort, Klaus-Peter Kossakowski, Georgia

Killcrece, Robin Ruefle, Mark Zajicek, Handbook for Computer Security

Incident Response Teams (CSIRTs), First release: December 1998, 2nd

Edition: April 2003.

http://www.cert.org/archive/pdf/csirt-handbook.pdf


[4] Killcrece Georgia, Título: “Steps for Creating National CSIRTs”

http://www.cert.org/archive/pdf/NationalCSIRTs.pdf

Fecha de Consulta: Mayo de 2008

[5] Enisa: “Cómo Crear un CSRIT paso a paso”

http://enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_EN

ISA-ES.pdf /

Fecha de Consulta: marzo de 2008

[6] CSI SURVEY 2007

The 12th Annual Computer Securiry Survey



[7] FIRST



[8] Comité Interamericano contra el Terrorismo (CICTE)

http://www.cert.org/archive/pdf/csirt-handbook.pdf




182

Recomendaciones del Segundo Encuentro de Especialistas en Seguridad

Cibernética sobre la estrategia integral de seguridad cibernética de la OEA:

Fomento de la Red interamericana de Respuesta a incidentes de seguridad

Cibernética.

http://www.oas.org/juridico/spanish/cybGE_IVcicte_sp.doc

Fecha de Consulta: Marzo de 2008

[9] CICTE Informe 46

Actividades de contraterrorismo, La OEA avanza en el ámbito de los equipos

de respuesta a incidentes de seguridad cibernética.

http://www.cicte.oas.org/Rev/Es/About/Newsletters/Informe_46_spa.pdf

Fecha de Consulta: Marzo de 2008

[10] TERENA

http://www.terena.org/activities/tf-csirt/


[11] APCERT

http://www.apcert.org/index.html /

Fecha de Consulta: Marzo del 2008

[12] FIRST: teams around the world

http://www.first.org/members/map/

Fecha de Consulta: Agosto de 2008

[13] Política y Procedimiento para Manejar, Documentar y Resolver Incidentes

Técnicos

http://www.uprb.edu/politicas/Politica-Procedimiento-Manejo-

Incidentes.pdf

Fecha de Consulta: Junio de 2008

[14] Priority Categories / RedIris

http://www.rediris.es/cert/servicios/iris-cert/prio.es.html

Fecha de Consulta: Junio/2008

[15] Kumar Ajoy, título: CIRT – Framework and Models

http://www.securitydocs.com/pdf/2964.PDF

http://www.cicte.oas.org/Rev/Es/About/Newsletters/Informe_46_spa.pdf

http://www.terena.org/activities/tf-csirt/

http://www.apcert.org/index.html%20/

http://www.first.org/members/map/

http://www.uprb.edu/politicas/Politica-Procedimiento-Manejo-Incidentes.pdf

http://www.uprb.edu/politicas/Politica-Procedimiento-Manejo-Incidentes.pdf


183

Fecha de Consulta: junio de 2008

[16] Gómez Bermejo Alejandro, Título: Ponencia: “Gestión de incidentes de

Seguridad y planes de continuidad de negocio. Metodología y aspectos

prácticos para implantación”

http://www.1enise.inteco.es./ponencias/ENISET14_Alejandro_Gomez_Ber

mejo.pdf


[17] ArCERT: “Gestión de Incidentes”

http://www.arcert.gov.ar/ncursos/material/Gestion_de_Incidentes_parte1_

vf.pdf


[18] Pinzón Olmedo Freddy Bolívar, Título: “Desarrollo de una metodología para la

Identificación de Vulnerabilidades, Análisis Forense y Atención a Incidentes de

Seguridad en los Servidores de la UTPL”. Loja, 2008, paginación. Ingeniero en

sistemas Informáticos y Computación,

[19] Guel López Juan Carlos, Título: Creación de Equipos de Respuesta a

Incidentes de Seguridad en Cómputo

http://lacnic.net/documentos/lacnicix/Creacion-CSIRT-LACNIC.pdf.private


[20] La ISO 17799:2005 ya es la ISO 27002:2005.

http://sociedaddelainformacion.wordpress.com/xmlrpc.php


[21] Killcrece Georgia, Kossakowski Klaus-Peter, Ruefle Robin, Zajicek Mark,

Título: Organizational Models for Computer Security Incident Response Teams

(CSIRTs),

www.cert.org/archive/pdf/03hb001.pdf


[22] CERT

http://www.arcert.gov.ar/ncursos/material/Gestion_de_Incidentes_parte1_%20%20vf.pdf

http://www.arcert.gov.ar/ncursos/material/Gestion_de_Incidentes_parte1_%20%20vf.pdf

http://lacnic.net/documentos/lacnicix/Creacion-CSIRT-LACNIC.pdf.private

http://sociedaddelainformacion.wordpress.com/2007/07/23/la-iso-177992005-ya-es-la-iso-270022007/

http://sociedaddelainformacion.wordpress.com/xmlrpc.php

http://www.cert.org/archive/pdf/03hb001.pdf%20/


184

Creating a Computer Security Incident Response Team: A Process for Getting

Started

http://www.cert.org/csirts/Creating-A-CSIRT.html


[23] N. Brownlee RFC 2350

http://rfc.net/rfc2350.html#s3.3.1


[24] CLCERT: Mision



[25] CERT: “Incident Reporting Guidelines”

http://www.cert.org/tech_tips/incident_reporting.html


[26] Revista Institucional de la UTPL

http://www.utpl.edu.ec/images/stories/revista_institucional/revista_1.pdf


[27] wikipedia - Repositorio

http://es.wikipedia.org/wiki/Repositorio


[28] wikipedia – Firewalls (Cortafuegos)

http://es.wikipedia.org/wiki/Cortafuegos_%28inform%C3%A1tica%29


[29] Cabrera Cabrera Andrea Soledad, Cueva Jaramillo Henri Apolo, Título

“Estandarización, Publicación y Mantenimiento de las Políticas de Seguridad

de la Información para la Universidad Técnica Particular de Loja”. Loja, 2006,

paginación. Ingeniero en Sistemas informáticos y Computación. UTPL.

Biblioteca de la UTPL. Área de Programación de Computadores.

http://www.cert.org/csirts/Creating-A-CSIRT.html

http://rfc.net/rfc2350.html#s3.3.1


http://www.cert.org/tech_tips/incident_reporting.html

http://www.utpl.edu.ec/images/stories/revista_institucional/revista_1.pdf

http://es.wikipedia.org/wiki/Repositorio

http://es.wikipedia.org/wiki/Cortafuegos_%28inform%C3%A1tica%29


185

[30] Ruefle Robin, Título: “ FIRST Site Visit Requirements and Assessment”

http://first.org/membership/site-visit-V1.0.pdf

Fecha de Consulta: agosto de 2008

[31] Informes 2007 - IrisCERT

http://www.rediris.es/cert/doc/informes/2007/node4.html


[32] Estadísticas Reportadas al CERT.br

http://www.cert.br/stats/incidentes/#2008


http://www.cert.br/stats/incidentes/#2008


186

PLAN PILOTO PARA LA IMPLEMENTACION DEL EQUIPO DE

RESPUESTA A INCIDENTES DE LA UNIVERSIDAD TECNICA

PARTICULAR DE LOJA

CSIRT-UTPL


187

PLAN PILOTO PARA LA IMPLEMENTACION DEL EQUIPO DE RESPUESTA A

INCIDENTES DE LA UNIVERSIDAD TECNICA PARTICULAR DE LOJA

CSIRT-UTPL

Propuesta

El plan piloto está compuesto de tres fases, la primera fase corresponde a los

aspectos generales que corresponden a la estructura organizativa del CSIRT-UTPL

como tal, la segunda fase consiste en la Implementación de la propuestas piloto del

Equipo y finalmente la tercera fase consiste en la Evaluación del Equipo.

Fase I: Estructura Organizativa del CSIRT-UTPL

La estructura organizativa del equipo está definida por los siguientes aspectos:

Visión del CSIRT-UTPL

- Misión

(Ver apartado 6.5.1.)

Funciones

o Realizar actividades preventivas tales como: capacitación, difusión de

alertas recibidas por informes de otros CSIRTs, implementación de políticas

de seguridad de la información.

o Llevar un grupo formal de investigación que aporte al equipo en la


o Atención de incidentes. (Ver: Políticas del CSIRT-UTPL)

Objetivos

o Incrementar los niveles de seguridad en la UTPL, mediante el uso de

políticas que sean conocidas y aplicadas por todos los usuarios.

o Convertirnos en un grupo de investigación en temas de seguridad de la

información.

o Conformar un grupo que sea el punto de contacto para el reporte de

incidentes y vulnerabilidades, que brinde servicios a la comunidad objetivo

del CSIRT-UTPL.


188

- Comunidad a la que el CSIRT va a brindar Servicios.

(Ver apartado 6.5.2.)

Para la implementación de la propuesta piloto se ha delimitado la comunidad

objetivo solamente a los Administradores de Servidores y servidores de Mail,

Web y Proxy de la UTPL.

- Lugar que ocupará el CSIRT – UTPL en la estructura organizacional

Ver apartado (6.5.3.)

Fase I I: Implementación de la Propuesta Piloto

- Personal a formar parte del CSIRT-UTPL

o Líder del equipo

o HelpDesk

o NOC/SOC

o Laboratorio de Seguridad

Estructura Organizativa del CSIRT

Figura 1: Organigrama inicial del CSIRT-UTPL

Actividades Iniciales:

CSIRT-UTPL

LIDER DE

GRUPO

NOC/SOC

HelpDesk

INVESTIGACIÓN


189

Una de las actividades iniciales es la capacitación, en la UTPL se utiliza la

herramienta OSIMM la misma que permite obtener reportes de las actividades

que se realizan en cada equipo, los administradores de servidores deben tener

conocimiento de esta herramienta, por lo tanto parte de las actividades iniciales

será la capacitación a los administradores de

servidores en el uso de la herramienta antes mencionada y también del uso de

la metodología para el manejo de incidentes y de las políticas del CSIRT-

UTPL.

Los administradores de servidores son los encargados de realizar el monitoreo

de los equipos de los que son responsables, los reportes de incidentes

obtenidos deben ser enviados al equipo NOC/SOC que es el encargado de

recibir toda la información relativa a incidentes y vulnerabilidades.

En el caso de encontrar algún tipo de vulnerabilidad debe enviar esta

información al grupo NOC/SOC haciendo uso de los formatos de reporte

establecidos en las políticas del CSIRT-UTPL.

Todos los incidentes de seguridad que se detecten deben ser enviados al

equipo NOC/SOC de acuerdo a los formatos que serán facilitados por el equipo

NOC/SOC.

NOC/SOC

El equipo NOC/SOC debe clasificar la información recibida de acuerdo a las

políticas del CSIRT-UTPL (Ver Políticas para el CSIRT-UTPL) esto se realiza

con el objetivo de levantar datos estadísticos de los eventos que ocurren en los

equipo.

HELPDESK

El Equipo de Soporte Técnico será en encargado de emitir los reportes de

HELPDESK, además siendo un equipo que brinda varios servicios a la

comunidad universitaria entre ellos la atención a incidentes como ataques de

virus, etc., debe realizar el registro de los virus atendidos (Ver: Reporte de

Código Malicioso) y enviarlos el grupo NOC/SOC para su difusión.


190

INVESTIGACIÓN

El área de investigación está conformada por el grupo de tesistas y gestión

productiva encargados de diferentes proyectos.

- Forma de Comunicación entre el CSIRT y los administradores:

o Formularios para reportar incidentes y vulnerabilidades encontradas.

- Servicios a brindar:

o Servicios Reactivos

o Alertas y Advertencias

o Manejo de Incidentes haciendo uso de la metodología para

incidentes y vulnerabilidades existente en la universidad.

o Reportes Estadísticos

o Servicios Proactivos

o Investigación (Observatorio de Tecnología)

o Servicios de Gestión y Calidad de la Seguridad

o Concientización

- Políticas

Las políticas y procedimientos se encuentran detallados en el folleto de Políticas

para el CSIRT-UTPL.

Dado que es un proyecto pilo de implementación, la infraestructura física no ha sido

tomada en cuenta, el CSIRT-UTPL funcionará inicialmente en el Grupo de

Telecomunicaciones formando parte del grupo de Seguridad, y el equipo NOC/SOC

forma parte del grupo de Soporte técnico.

El proyecto piloto presentado tiene como finalidad ser puesto en marcha y de esa

manera brindar servicios durante un plazo de tiempo y determinar la efectividad del


191

equipo, así mismo realizar una evaluación de la estructura y determinar si la misma

requiere de cambios.

Fase III: Evaluación de la Propuesta Piloto

Alcance de la Propuesta

Difusión de Alertas.

Conformar un grupo de investigación que aporte al equipo en la


Metas

Conformar un grupo de Respuesta a Incidentes Formal que se encargue de

analizar, identificar y brindar soluciones proactivas a los incidentes que se

presenten en la UTPL, haciendo uso de políticas y metodologías de

resolución de incidentes.

Crear conciencia en los diferentes usuarios acerca de la importancia de

implementar un CSIRT en la organización.

Resultados

Equipo de personas capacitado para responder a incidentes, realizando

trabajos conjuntos con el grupo NOC/SOC, haciendo uso de metodologías

para el manejo de incidentes y políticas internas para el grupo.

Reducir el número de posibles ataques y tomar medidas para disminuir el

número de vulnerabilidades encontradas.


Porcentaje de servicios brindados a la comunidad objetivo en el primer

semestre de implementación.

Estadísticas de los reportes recibidos y respuestas brindadas durante el

primer semestre de implementación.

Porcentaje de reportes atendidos frente a los reportes recibidos.


192

REPORTE DE CÓDIGO MALICIOSO

Nombre del Virus:

_____________________________________________________________________________

_____

Categoría (Virus, Spyware, etc.)

_____________________________________________________________________________

__

_____________________________________________________________________________

_

Tipo (Troyano, etc.)

_____________________________________________________________________________

_

Peligrosidad (Alta, Media, Baja)

_____________________________________________________________________________

Sistemas Operativos a los que afecta:


193

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

Método de Infección

_____________________________________________________________________________

____________________________________________________________________________

_____________________________________________________________________________

____

Método de Propagación

_____________________________________________________________________________

____________________________________________________________________________

_____________________________________________________________________________

____

Solución

_____________________________________________________________________________

____________________________________________________________________________

_____________________________________________________________________________

____

Si existe otra información no descrita en este formulario por favor detalle a continuación:

_____________________________________________________________________________

____________________________________________________________________________


194

_____________________________________________________________________________

____

_____________________________________________________________________________

____________________________________________________________________________

_____________________________________________________________________________

____

ET1N01 FORMATO PARA EL REPORTE DE INCIDENTES

CSIRT-UTPL

Equipo de Respuesta a Incidentes de Seguridad - UTPL

El formulario que se indica a continuación ha sido elaborado por el CISRT-UTPL para

ser utilizado en el reporte de información de cualquier incidente.


195

Toda la información que usted reporte será manejada de manera confidencial, la

información recibida solamente será publicada bajo su consentimiento.

El formulario debe ser enviado al Equipo CSIRT-UTPL por e-mail

([email protected]) .

Formulario de Notificación de Incidentes

Información de Contacto

Nombre:___________________________________________________________

Dependencia: _____________________________________________________

Correo Electrónico:_________________________________________________

Extensión: __________________________Fecha:________________________

Equipos Afectados

Nombre o Dirección IP de la Máquina:_________________________________

Explique brevemente el Trabajo que desarrolla en el Equipo que usted maneja,

(indique : Sistema Operativo, Programas Instalados, etc.):

_________________________________________________________________________

____________________________________________________________

Origen del Ataque

Realice una breve descripción de la forma en la que descubrió el incidente:

(cómo lo descubrió, si utilizó alguna herramienta, si conoce las fuentes del

ataque o cualquier información pertinente).



196

__________________________________________________________________

___________________________________________________________________

___________________________________________________________________

Firma Responsable

NOTA:

Recibido el informe en el Equipo CSIRT-UTPL se enviará un mensaje a su dirección de

correo electrónico, indicando que su reporte ha sido recibido y que pronto será

atendido.

Información de Contacto CSIRT-UTPL

Email: [email protected]

Teléfono: 2570275 ext_____

ET2N01 FORMATO PARA EL REPORTE DE VULNERABILIDADES

CSIRT-UTPL




197

El formulario que se indica a continuación ha sido elaborado por el CISRT-UTPL.

Si usted ha descubierto alguna vulnerabilidad en cualquier producto de software por

favor llene el formulario indicado a continuación y envíelo al CSIRT-UTPL

([email protected]).

Formulario de Reporte de Vulnerabilidades


Nombre: ____________________________________________________________

Dependencia: _______________________________________________________

Correo Electrónico:___________________________________________________

Extensión:_____________________________Fecha:________________

La vulnerabilidad que usted ha descubierto ha sido reportada a los proveedores

de software de su organización:

Si ______

No ______

Si la respuesta es Sí, por favor indíquenos la siguiente información:

Fecha de su informe: _____________________________

Nombre de contacto del proveedor del software: _______________________

___________________________________________________________________

Teléfono del Proveedor: ______________________ ext:_______________

Dirección de e-mail del proveedor: __________________________________

INFORMACIÓN TÉCNICA

Describa la Vulnerabilidad encontrada:



198

___________________________________________________________________

___________________________________________________________________

Indique si conoce el impacto de la vulnerabilidad Encontrada:

(Por Ejemplo: Ataques de Denegación de Servicios, Intrusos pueden accedes a

servicios privilegiados, etc.)

___________________________________________________________________

___________________________________________________________________

Conoce acerca de parches o soluciones para esta vulnerabilidad

Si ____

No____

Si la respuesta es afirmativa indique toda la información que conozca.

___________________________________________________________________

___________________________________________________________________

___________________________________________________________________




ET2N01 FORMATO PARA EL REPORTE DE VULNERABILIDADES

CSIRT-UTPL



199


El formulario que se indica a continuación ha sido elaborado por el CISRT-UTPL.

Si usted ha descubierto alguna vulnerabilidad en cualquier producto de software por

favor llene el formulario indicado a continuación y envíelo al CSIRT-UTPL

([email protected]).

Formulario de Reporte de Vulnerabilidades


Nombre: ____________________________________________________________

Dependencia: _______________________________________________________

Correo Electrónico:___________________________________________________

Extensión:_____________________________Fecha:________________

La vulnerabilidad que usted ha descubierto ha sido reportada a los proveedores

de software de su organización:

Si ______

No ______

Si la respuesta es Sí, por favor indíquenos la siguiente información:

Fecha de su informe: _____________________________

Nombre de contacto del proveedor del software: _______________________

___________________________________________________________________

Teléfono del Proveedor: ______________________ ext:_______________

Dirección de e-mail del proveedor: __________________________________



200

INFORMACIÓN TÉCNICA

Describa la Vulnerabilidad encontrada:

___________________________________________________________________

___________________________________________________________________

Indique si conoce el impacto de la vulnerabilidad Encontrada:

(Por Ejemplo: Ataques de Denegación de Servicios, Intrusos pueden accedes a

servicios privilegiados, etc.)

___________________________________________________________________

___________________________________________________________________

Conoce acerca de parches o soluciones para esta vulnerabilidad

Si ____

No____

Si la respuesta es afirmativa indique toda la información que conozca.

___________________________________________________________________

___________________________________________________________________

___________________________________________________________________




ET4N01 FORMATO PARA EL REGISTRO DE VULNERABILIDADES DE



201

LOS SERVIDORES

PLANTILLA DE REGISTRO DE VULNERABILIDADES

Número Vulnerabilidad : VU #______

“Tabla de registro de Vulnerabilidades”

Servidor

Dirección IP Nombre de dominio

Sistema O. Fecha

Puerto Protocolo Servicio Detalles del

servicio

Id Vulnerabilidad Correctivo Estado


202


203

NO10: Reporte, Clasificación y

Respuesta

de Incidentes y

Vulnerabilidades en la

Seguridad


204

Información del Documento

TÍTULO: Reporte, clasificación y Respuesta de Incidentes y Vulnerabilidades en

la Seguridad

VERSIÓN: 1.0

AUTOR: Rebeca Pilco Vivanco

ESTADO: Propuesto

Lista de Cambios

VERSIÓN FECHA AUTOR DESCRIPCIÓN

1.0 26-07-2008 Emisión Inicial


205

Contenido


206

1. Objetivo ........................................................................................................... 207

2. Responsables del cumplimiento ..................................................................... 207

3. Definiciones ..................................................................................................... 207

Consideraciones especiales ............................................................................. 207

PARA USUARIOS FINALES: ............................................................................. 208

Reporte de Incidentes de Seguridad ................................................................ 208

PARA ADMINISTRADORES DE SERVIDORES: ............................................... 209

Reporte de Vulnerabilidades ............................................................................. 209

Reporte y Respuesta a Incidentes y Vulnerabilidades .................................... 209

4. Sanciones por incumplimiento ....................................................................... 210


207

1. Objetivo

Definir los lineamientos básicos para el reporte, clasificación y respuesta de

incidentes y vulnerabilidades que se identifiquen en los sistemas de la universidad.

2. Responsables del cumplimiento

Todo el personal de la universidad.

3. Definiciones

Es norma de la Universidad:

Consideraciones especiales

Se considera como un Incidente a cualquier evento que comprometa la

seguridad de la información de los sistemas de la universidad, los eventos que

pueden ocurrir son:

o Accesos no autorizados a los sistemas

o Modificación de Páginas Web

o Problemas en la Red y correo electrónico

o Ataques de Virus

o Mal uso de Recursos Informáticos


208

o Mal funcionamiento de Hardware y Software

o No cumplimiento de políticas de Seguridad

Todo el personal que labora en la universidad debe conocer los

procedimientos establecidos para el reporte de incidentes que ocurran en los

sistemas de la universidad.

El personal encargado de Administrar cada uno de los servidores de la

Universidad es responsable del reporte de vulnerabilidades encontradas en los

sistemas y equipos que administran.

Los reportes de Incidentes y Vulnerabilidades deben ser enviados al Equipo

CSIRT-UTPL que es el Equipo encargado del análisis, clasificación y respuesta

inmediata de los mismos.

El Equipo CSIRT-UTPL es el responsable de coordinar actividades de

capacitación a los usuarios de la universidad acerca de la forma de realizar el

reporte de incidentes y vulnerabilidades (Ver Norma: N04: Concientización y

Capacitación a los Usuarios)

PARA USUARIOS FINALES:

Reporte de Incidentes de Seguridad

Cualquier incidente que sea detectado en los sistemas de la Universidad

debe ser reportado inmediatamente al Equipo de Respuesta a Incidentes

de Seguridad Informática de la Universidad (CSIRT-UTPL) a través de un

reporte de incidentes (ver Estándar Técnico: Formato para el Reporte de

Incidentes).

Puede contactarse con el personal del Equipo CSIRT-UTPL mediante correo

electrónico, teléfono o por visitando el portal del CSIRT-UTPL.


209

Ante cualquier incidente NO debe realizar acciones por sí mismo, sino

reportarlos al Equipo CSIRT-UTPL.

PARA ADMINISTRADORES DE SERVIDORES:


Todos los usuarios de la Universidad deben reportar cualquier tipo de

vulnerabilidad observada en de los sistemas que manejan con el objetivo de

prevenir los incidentes en los sistemas de información.

Por ninguna circunstancia deben proceder a realizar pruebas con las posibles

vulnerabilidades encontradas, estas deben ser reportadas al Equipo CSIRT-

UTPL.

El mecanismo para reportar vulnerabilidades consiste en el envío de un

formulario en el que se registrará la información requerida. (ver estándar

técnico: Formato para el Reporte de Vulnerabilidades)

PARA EQUIPO CSIRT-UTPL

Reporte y Respuesta a Incidentes y Vulnerabilidades

Toda la información recibida debe ser manejada de acuerdo a las normas

establecidas en el Manual de Gestión de Seguridad de la Información (Ver

Norma: N02: Tratamiento de la Información).

Toda la información recibida en el Equipo CSIRT-UTPL, debe ser clasificada

(Ver Procedimiento: Clasificación de la Información)

Una vez clasificada la información se procede a brindar respuestas. (Ver

Procedimiento: Respuesta a Incidentes y Vulnerabilidades).


210

Constantemente se debe realizar el monitoreo constante de alertas y

vulnerabilidades (ver Norma: N013: Monitoreo) de todos los servidores y

sistemas críticos de la universidad, esta información debe ser enviada a los

encargados del Laboratorio de investigación CSIRT-UTPL para que sean

estudiados, estos deben ser enviados haciendo uso de los reportes

establecidos. (Ver Estándar Técnico: Reporte de Vulnerabilidades).

Si algún incidente es ocasionado de manera intencional se deben aplicar las

medidas establecidas en la universidad para las sanciones a los responsables.

Con la información recibida de incidentes y vulnerabilidades encontrados, se

deben levantar estadísticas, en las que se indica el tipo de daño causado y el

número de incidencias del incidente o vulnerabilidad en los sistemas de la

universidad.

4. Sanciones por incumplimiento

En proceso de definición


211

NO10: Reporte, Clasificación y

Respuesta

de Incidentes y

Vulnerabilidades en la

Seguridad


212

Información del Documento

TÍTULO: Reporte, clasificación y Respuesta de Incidentes y Vulnerabilidades en

la Seguridad

VERSIÓN: 1.0

AUTOR: Rebeca Pilco Vivanco

ESTADO: Propuesto

Lista de Cambios

VERSIÓN FECHA AUTOR DESCRIPCIÓN

1.0 26-07-2008 Emisión Inicial


213


214

Contenido

1. Objetivo ................................................................................. 215

2. Responsables del cumplimiento .................................................... 215

3. Definiciones ............................................................................. 215

Consideraciones especiales ................................................................. 215

Reporte de Incidentes de Seguridad ...................................................... 216

Reporte de Vulnerabilidades ............................................................... 217

Equipo CSIRT-UTPL ........................................... ¡Error! Marcador no definido.

4. Sanciones por incumplimiento ...................................................... 218


215

5. Objetivo

Definir los lineamientos básicos para el reporte, clasificación y respuesta de

incidentes y vulnerabilidades que se identifiquen en los sistemas de la universidad.

6. Responsables del cumplimiento

Todo el personal de la universidad.

7. Definiciones

Es norma de la Universidad:

Consideraciones especiales

Se considera como un Incidente a cualquier evento que comprometa la

seguridad de la información de los sistemas de la universidad, los eventos que

pueden ocurrir son:

o Accesos no autorizados a los sistemas

o Modificación de Páginas Web

o Problemas en la Red y correo electrónico


216

o Ataques de Virus

o Mal uso de Recursos Informáticos

o Mal funcionamiento de Hardware y Software

o No cumplimiento de políticas de Seguridad

Todo el personal que labora en la universidad debe conocer los

procedimientos establecidos para el reporte de incidentes que ocurran en los

sistemas de la universidad.

El personal encargado de Administrar cada uno de los servidores de la

Universidad es responsable del reporte de vulnerabilidades encontradas en los

sistemas y equipos que administran.

Los reportes de Incidentes y Vulnerabilidades deben ser enviados al Equipo

CSIRT-UTPL que es el Equipo encargado del análisis, clasificación y respuesta

inmediata de los mismos.

El Equipo CSIRT-UTPL es el responsable de coordinar actividades de

capacitación a los usuarios de la universidad acerca de la forma de realizar el

reporte de incidentes y vulnerabilidades (Ver Norma: N04: Concientización y

Capacitación a los Usuarios)

PARA USUARIOS FINALES:

Reporte de Incidentes de Seguridad

Cualquier incidente que sea detectado en los sistemas de la Universidad

debe ser reportado inmediatamente al Equipo de Respuesta a Incidentes

de Seguridad Informática de la Universidad (CSIRT-UTPL) a través de un

reporte de incidentes (ver Estándar Técnico: Formato para el Reporte de

Incidentes).

Puede contactarse con el personal del Equipo CSIRT-UTPL mediante correo

electrónico, teléfono o por visitando el portal del CSIRT-UTPL.


217

Ante cualquier incidente NO debe realizar acciones por sí mismo, sino

reportarlos al Equipo CSIRT-UTPL.

PARA ADMINISTRADORES DE SERVIDORES:


Todos los usuarios de la Universidad deben reportar cualquier tipo de

vulnerabilidad observada en de los sistemas que manejan con el objetivo de

prevenir los incidentes en los sistemas de información.

Por ninguna circunstancia deben proceder a realizar pruebas con las posibles

vulnerabilidades encontradas, estas deben ser reportadas al Equipo CSIRT-

UTPL.

El mecanismo para reportar vulnerabilidades consiste en el envío de un

formulario en el que se registrará la información requerida. (ver estándar

técnico: Formato para el Reporte de Vulnerabilidades)

PARA EQUIPO CSIRT-UTPL

Reporte y Respuesta a Incidentes y Vulnerabilidades

Toda la información recibida debe ser manejada de acuerdo a las normas

establecidas en el Manual de Gestión de Seguridad de la Información (Ver

Norma: N02: Tratamiento de la Información).

Toda la información recibida en el Equipo CSIRT-UTPL, debe ser clasificada

(Ver Procedimiento: Clasificación de la Información)

Una vez clasificada la información se procede a brindar respuestas. (Ver

Procedimiento: Respuesta a Incidentes y Vulnerabilidades).


218

Constantemente se debe realizar el monitoreo constante de alertas y

vulnerabilidades (ver Norma: N013: Monitoreo) de todos los servidores y

sistemas críticos de la universidad, esta información debe ser enviada a los

encargados del Laboratorio de investigación CSIRT-UTPL para que sean

estudiados, estos deben ser enviados haciendo uso de los reportes

establecidos. (Ver Estándar Técnico: Reporte de Vulnerabilidades).

Si algún incidente es ocasionado de manera intencional se deben aplicar las

medidas establecidas en la universidad para las sanciones a los responsables.

Con la información recibida de incidentes y vulnerabilidades encontrados, se

deben levantar estadísticas, en las que se indica el tipo de daño causado y el

número de incidencias del incidente o vulnerabilidad en los sistemas de la

universidad.

8. Sanciones por incumplimiento

En proceso de definición


219

PR1N01 CLASIFICACIÓN DE LA INFORMACIÓN

Objetivo

Establecer pasos básicos para la clasificación de toda la información recibida al

CSIRT-UTPL, la misma que incluye los reportes de Incidentes y Vulnerabilidades.

Procedimiento

1. Enviar un acuse de recibo de que el reporte fue recibido y que brindará una

respuesta lo antes posible.

2. Realizar un proceso de Triage (clasificación) de todos los reportes recibidos

que consiste en:

a. Ordenar la información para determinar si los incidentes reportados

ya han sido atendidos anteriormente.

b. Asignar una prioridad a los incidentes reportados en base a la

Metodología para el manejo de incidentes y vulnerabilidades de la

Universidad.

c. Almacenar la información de acuerdo a la siguiente clasificación:

CSIRT #: para identificar a los incidentes.

VULN #: Para identificar a las vulnerabilidades.

INFO #: Para clasificar información de menor prioridad.


220

PR2N01 RESPUESTA A IINCIDENTES Y VULNERABILIDADES

Objetivo

Definir los pasos que se deben seguir para la respuesta a incidentes y

vulnerabilidades.

Procedimiento

1. Realizar una Evaluación Inicial del incidente.

2. Utilizar la Metodología para la Identificación de Vulnerabilidades,

análisis Forense y Atención a Incidentes de Seguridad en los Servidores

de la UTPL, esta debe ser aplicada según el caso que amerite, debe

realizarse el registro de vulnerabilidades encontradas en los servidores

de la Universidad, haciendo uso de los formatos señalados. (Ver

Estándar Técnico : Formato para el Registro de vulnerabilidades de los

Servidores)

1. Determinar las causas, responsables y el tipo del incidente que se ha

reportado, y enviar un informe a la persona que reportó el incidente

(Ver Estándar Técnico: Respuesta a Incidentes) indicando la respuesta

para el mismo.

Documents

Universidad Tecnica de Loja