Gestion Incidentes Seguridad

Proyecto AMPARO
Presentaciones
Manual de Gestin de Incidentes
Tutorial LACNIC XVII
Quito-Ecuador
Proyecto AMPARO
Ca!tulo I"
#Linea$ientos y Acciones
reco$endadas ara la %or$acin
de un C&IRT'
Autor:
Jos Luis Chvez Cortez
Informacin Bsica Inicial
Qu se protege con un CSIRT?
Alcance
!u"licaci#n $e !ol%ticas & !roce$i'ientos
Relaciones entre $i(erentes CSIRT
)sta"leci'iento $e 'e$ios $e co'unicaci#n
*ane+o $e in(or'aci#n, proce$i'ientos & pol%ticas
-escripci#n $el CSIRT
!ol%ticas
Servicios
.or'as $e noti(icaci#n $e Inci$entes
!ersonal /ue integra un CSIRT

Qu se protege con un CSIRT?
In(raestructuras Cr%ticas: Agricultura, )nerg%a,

Transporte, In$ustrias, Servicios !ostales,
Su'inistros $e Agua, Salu$ !0"lica,
Teleco'unicaciones, 1anca 2 .inanzas, 3o"ierno
In(raestructuras $e In(or'aci#n: Internet, 4ar$5are,

So(t5are & Siste'as $e Control
*ane+o $e in(or'aci#n, !roce$i'ientos & !ol%ticas
-escripci#n $el CSIRT
!ol%ticas
Servicios
.or'as $e 6oti(icaci#n $e Inci$entes

!ersonal /ue integra un CSIRT
-iversi$a$ $e conoci'ientos tecnol#gicos
!ersonali$a$: ha"ili$a$ $e co'unicaci#n & relaci#n

personal
!ersonas $e$ica$as, innova$oras, $etallistas, (le7i"les &

'et#$icas
)7periencia en el rea $e seguri$a$ $e la in(or'aci#n
!ue$an asu'ir (unciones $e: gerente, l%$er $e e/uipo &2o

supervisores
8tras .unciones: personal $e apo&o, re$actores tcnicos,

a$'inistraci#n $e re$es &2o siste'as, $esarrolla$ores,
asesores, etc
Polticas de Seguridad Informtica
-e(inici#n
)le'entos: alcance, o"+etivo, i$enti(icaci#n $e roles,

responsa"ili$a$, interacci#n, proce$i'ientos,
relaciones, 'anteni'iento, sanciones
!ar'etros para su esta"leci'iento
Razones /ue i'pi$an su aplicaci#n
I'ple'entaci#n, 'anteni'iento & e+ecuci#n
!ol%ticas Reco'en$a$as
Polticas de Seguridad Informtica
POLTICAS RECOMENDADAS
Poltica de seguridad. Poltica de tratamiento de grandes
actiidades.
Poltica de clasi!icaci"n de in!ormaci"n. Poltica de error #umano.
Poltica de comunicaci"n e$terna. Poltica de selecci"n de %ersonal.
Poltica %ara la clasi!icaci"n de los datos. Poltica de des%ido.
Poltica de aislamiento de la in!ormaci"n. Poltica de uso de dis%ositios m"iles.
Poltica de seguridad del Internet. Poltica de uso del correo electr"nico.
Poltica de noti!icaci"n de Incidentes. Poltica de entrenamiento & ca%acitaci"n.
Poltica de tratamiento de incidentes. Poltica de tele conmutaci"n de la
in!ormaci"n.
Poltica e$terna %ara el acceso de la
in!ormaci"n.
Poltica de la seguridad de la com%utadora
%ersonal.
Poltica de la seguridad de la red de
com%utadoras.
Poltica de la seguridad de los e'ui%os de
telecomunicaciones (Internos & E$ternos)
6ivel $e !riori$a$
)scalona'iento
!roceso
Registro
Clasi(icaci#n
Anlisis, Resoluci#n & Cierre
Control $e !roceso
Soporte $e Inci$entes
Gestin de Incidentes
6ivel $e !riori$a$
I'pacto: $eter'ina la
i'portancia $el inci$ente
$epen$ien$o $e c#'o ste
a(ecta a los procesos $e
negocio &2o $el n0'ero $e
usuarios a(ecta$os
9rgencia: $epen$e $el

tie'po '7i'o $e $e'ora
/ue acepte el cliente para
la resoluci#n $el inci$ente
&2o el nivel $e servicio
)scala$o
.uncional: se re/uiere el
apo&o $e un especialista
$e 's alto nivel para
resolver el pro"le'a
Jerr/uico: $e"e'os
acu$ir a un responsa"le
$e 'a&or autori$a$ para
to'ar $ecisiones /ue se
escapen $e las
atri"uciones asigna$as
a ese nivel, co'o, por
e+e'plo, asignar 's
recursos para la
resoluci#n $e un
inci$ente especi(ico
C)RRAR I6CI-)6T)
!roceso
Monitorizacin y Seguimiento
Cierre del
Incidente
Registro
La a$'isi#n a tr'ite $el inci$ente: el Centro $e Servicios $e"e $e ser capaz $e evaluar en
pri'era instancia si el servicio re/ueri$o se inclu&e en el nivel $e servicio contrata$o $el
cliente & en caso contrario reenviarlo a una autori$a$ co'petente
Co'pro"aci#n $e /ue ese inci$ente a0n no ha si$o registra$o: es co'0n /ue 's $e un
usuario noti(i/ue la 'is'a inci$encia & por lo tanto han $e evitarse $uplicaciones
innecesarias
Asignaci#n $e re(erencia: al inci$ente se le asignar una re(erencia /ue le i$enti(icar

un%voca'ente tanto en los procesos internos co'o en las co'unicaciones con el cliente
Registro inicial: se han $e intro$ucir en la "ase $e $atos asocia$a la in(or'aci#n "sica

necesaria para el procesa'iento $el inci$ente :hora, $escripci#n $el inci$ente, siste'as
a(ecta$os;
In(or'aci#n $e apo&o: se incluir cual/uier in(or'aci#n relevante para la resoluci#n $el

inci$ente /ue pue$e ser solicita$a al cliente a travs $e un (or'ulario espec%(ico, o /ue pue$a
ser o"teni$a $e la propia "ase $e $atos $e la gesti#n $e la con(iguraci#n :har$5are
interrelaciona$o;, etc
6oti(icaci#n $el inci$ente: en los casos en /ue el inci$ente pue$a a(ectar a otros usuarios
estos $e"en ser noti(ica$os para /ue conozcan co'o esta inci$encia pue$e a(ectar su (lu+o
ha"itual $e tra"a+o
Clasi(icaci#n
)sta"leci'iento $el nivel $e priori$a$: $epen$ien$o $el i'pacto & la

urgencia se $eter'ina, seg0n criterios preesta"leci$os, un nivel $e
priori$a$
Asignaci#n $e recursos: si el Centro $e Servicios no pue$e resolver el

inci$ente en pri'era instancia $esignar al personal $e soporte tcnico
responsa"le $e su resoluci#n :segun$o nivel;
*onitorizaci#n $el esta$o & tie'po $e respuesta espera$o: se asocia un

esta$o al inci$ente :por e+e'plo: registra$o, activo, suspen$i$o, resuelto,
cerra$o; & se esti'a el tie'po $e resoluci#n $el inci$ente en "ase al nivel
$e servicio correspon$iente & la priori$a$
Anlisis, resoluci#n & cierre
Anlisis: se e7a'ina el inci$ente con a&u$a $e la "ase $e $atos $e conoci'iento

para $eter'inar si se pue$e i$enti(icar con alguna inci$encia &a resuelta & aplicar
el proce$i'iento asigna$o
Resoluci#n: Si la resoluci#n $el inci$ente se escapa $e las posi"ili$a$es $el

Centro $e Servicios ste re$irecciona el 'is'o a un nivel superior para su
investigaci#n por los e7pertos asigna$os Si estos e7pertos no son capaces $e
resolver el inci$ente se seguirn los protocolos $e escala$o pre$eter'ina$os
-urante to$o el ciclo $e vi$a $el inci$ente se $e"e actualizar la in(or'aci#n
al'acena$a en las correspon$ientes "ases $e $atos para /ue los agentes
i'plica$os $ispongan $e cu'pli$a in(or'aci#n so"re el esta$o $el 'is'o
Cierre: cuan$o se ha&a soluciona$o el inci$ente se:
Con(ir'a con los usuarios la soluci#n satis(actoria $el 'is'o
Incorpora el proceso $e resoluci#n a la "ase $e $atos $e conoci'iento
Reclasi(ica el inci$ente si (uera necesario
Actualiza la in(or'aci#n en la "ase $e $atos $e gesti#n $e con(iguraciones

so"re los ele'entos $e con(iguraci#n i'plica$os en el inci$ente
Cierra el inci$ente
Gestin de Incidentes CSIRT
*8-)L8S 8R3A6I<ACI86AL)S CSIRT
*o$elo )/uipo $e Seguri$a$
*o$elo -istri"ui$o
*o$elo Centraliza$o
*o$elo Co'"ina$o
*o$elo Coor$ina$or
Recomendaciones para la posible insercin
del CSIRT en la organizacin y sus posibles
modelos de relacin
modelos de relacin
TI!8S -) )STR9CT9RAS 8R3A6I<ACI86AL)S
*o$elo .uncional
*o$elo "asa$o en el !ro$ucto
*o$elo "asa$o en los Clientes
*o$elo 4%"ri$o
*o$elo *atricial
*8-)L8 .96CI86AL
modelos de relacin
MODELO FUNCIONAL
FORTALEAS
DE!ILIDADES
"ermite econom#a$ de e$cala en
lo$ de%artamento$ &uncionale$'
"ermite el de$arrollo de
(a)ilidade$ en %ro&undidad'
"ermite *ue la organizacin
alcance $u$ o)+eti,o$ &uncionale$'
E$ me+or con uno o uno$ cuanto$
%roducto$'
Re%ue$ta lenta a lo$ cam)io$ del
entorno'
"uede (acer *ue la$ deci$ione$
$e acumulen en la %arte $u%erior-
con $o)recarga de la +erar*u#a'
Conduce a una mala
coordinacin (orizontal entre
de%artamento$'
Da lugar a una menor inno,acin'
Im%lica un %unto de ,i$ta limitado
de la$ meta$ organizacionale$'
*8-)L8 1ASA-8 )6 )L !R8-9CT8
modelos de relacin
MODELO !ASADO EN EL "RODUCTO
FORTALEAS DE!ILIDADES
De$centraliza la toma de deci$ione$'
Se utiliza en organizacione$ grande$'
R.%ida ada%tacin de unidade$ de tra)a+o'
"ermite *ue lo$ %ro)lema$ de coordinacin e
integracin $ean detectado$ lo m.$ %ronto
%o$i)le y $e le$ de una $olucin r.%ida'
Altamente recomendada %ara la
im%lementacin de cam)io$ r.%ido$'
Se logra ai$lar lo$ %ro)lema$ concerniente$ a
un %roducto re$%ecto a lo$ dem.$ y e,ita *ue
inter&ieran lo$ %ro)lema$ de una &uncin con
todo$ lo$ %roducto$'
"ermite el em%leo de e*ui%o e$%ecializado
%ara el mane+o de materiale$- a$# como de
$i$tema$ e$%ecializado$ de comunicacione$'
Sati$&accin del Cliente'
Reduce la o%ortunidad de utilizar e*ui%o o %er$onal
e$%ecializado'
Entor%ece la e$tandarizacin'
Coordinacin de&iciente entre l#nea$ del %roducto'
Se entor%ece la comunicacin entre e$%eciali$ta$- ya *ue
a(ora %re$entan $u$ $er,icio$ en di&erente$ unidade$'
Lo$ em%leado$ de la organizacin $e di,iden en gru%o$ y
$e encarga de la %roduccin de un %roducto e$%eci&ico-
adem.$ cada gru%o tiene un e$%eciali$ta %ara cada
&uncin y un gerente *ue e$ el re$%on$a)le de $u%er,i$ar
el %roce$o *ue $e lle,a a ca)o %ara la o)tencin del
%roducto o $er,icio y adem.$ en,#a un re%orte al director
general de la organizacin acerca de la e,olucin de e$te
%roce$o- e$te director general e$ el re$%on$a)le de
$u%er,i$ar *ue cada gerente realice de &orma adecuada $u
tra)a+o y &i+a la$ meta$ de la organizacin'
*8-)L8 1ASA-8 )6 L8S CLI)6T)S
modelos de relacin
MODELO !ASADO EN EL CLIENTE
FORTALEAS
DE!ILIDADES
Me+ora la ada%tacin a la$
nece$idade$ del cliente'
De$centralizacin del %roce$o de
deci$in'
Me+or e$tandarizacin de
%roducto$'
Sati$&accin del Cliente'
/e$tin de nic(o$ de negocio de
la organizacin'
Di&icultad de coordinacin con lo$
de%artamento$ organizado$ $o)re
otra$ )a$e$- con una con$tante
%re$in de lo$ gerente$ $olicitando
e0ce%cione$ y tratamiento
e$%ecial'
En cierta$ oca$ione$ %ueden
reducir$e o incrementar$e cierto$
ti%o$ de cliente$- ya $ea %or
rece$ione$ econmica$ donde lo$
comercio$ minori$ta$ tienden a
di$minuir y %or el contrario $e
incrementan lo$ muy %e*ue1o$
negocio$- e$to re*uiere m.$
,endedore$ %ero di$minuye el
grado de e&iciencia de lo$ mi$mo$'
modelos de relacin
*8-)L8 4=1RI-8
MODELO 23!RIDO
Coordinacin entre y dentro de
la$ l#nea$ del %roducto'
Coincidencia de o)+eti,o$ entre
la$ di,i$ione$ y la central'
E&iciencia en lo$ de%artamento$
centralizado$'
Ada%ta)ilidad- coordinacin en
la$ di,i$ione$'
Se crean con&licto$ entre el
%er$onal cor%orati,o y el
di,i$ional'
Alto$ co$to$ admini$trati,o$'
modelos de relacin
*8-)L8 *ATRICIAL
MODELO MATRICIAL
Logra la coordinacin nece$aria %ara
$ati$&acer la$ demanda$ duale$ de lo$
cliente$'
Com%arte &le0i)lemente lo$ recur$o$
(umano$ entre %roducto$'
Ada%tada %ara deci$ione$ com%le+a$ y
cam)io$ &recuente$ en un entorno
ine$ta)le'
"ro%orciona o%ortunidade$ %ara el
de$arrollo de (a)ilidade$ tanto
&uncionale$ como en %roducto$'
E$ m.$ adecuada en organizacione$
de tama1o mediano con %roducto$
m4lti%le$'
Recur$o$ 2umano$ com%artido$'
Somete a lo$ %artici%ante$ a la e0%eriencia de una
autoridad dual5 e$to %uede $er &ru$trante y oca$ionar
con&u$in'
Im%lica *ue lo$ %artici%ante$ nece$itan )uena$
(a)ilidade$ inter%er$onale$ y muc(a ca%acitacin'
Con$ume tiem%o5 im%lica &recuente$ reunione$ y
$e$ione$ %ara la $olucin de con&licto$'
No &uncionar. a meno$ *ue lo$ %artici%ante$ entiendan y
ado%ten relacione$ colegiada$ en lugar de ti%o ,ertical'
Re*uiere grande$ e$&uerzo$ %ara mantener el e*uili)rio
de %oder'
R)C8*)6-ACI86)S -) S)39RI-A- .ISICA >
A*1I)6TAL
Local .%sico
)spacio & *ovili$a$
Trata'iento Ac0stico
A'"iente Cli'tico
Instalaci#n )lctrica
!icos & Rui$os )lectro'agnticos
Ca"lea$o
Ilu'inaci#n
Seguri$a$ .%sica $el Local
!r#7i'os !asos:
Asegura'iento contra situaciones 4ostiles
Control $e Accesos
Recomendaciones generales respecto a la infraestructura
fsica necesaria en las etapas iniciales
C86CL9SI?6
)valuar & controlar per'anente'ente la seguri$a$ (%sica $el local es la "ase para
co'enzar a integrar la seguri$a$ co'o una (unci#n pri'or$ial $entro $e cual/uier
organizaci#n
Tener controla$o el a'"iente & acceso (%sico per'ite:
-is'inuir siniestros
Tra"a+ar 'e+or 'antenien$o la sensaci#n $e seguri$a$
-escartar (alsas hip#tesis si se pro$u+eran inci$entes
Tener los 'e$ios para luchar contra acci$entes
Las $istintas alternativas estu$ia$as son su(icientes para conocer en to$o 'o'ento
el esta$o $el 'e$io en el /ue nos $ese'pe@a'osA & as% to'ar $ecisiones
so"re la "ase $e la in(or'aci#n "rin$a$a por los 'e$ios $e control a$ecua$os
)stas $ecisiones pue$en variar $es$e el conoci'iento $e la reas /ue recorren
ciertas personas hasta la e7tre'o $e evacuar el local en caso $e acci$entes
R)C8*)6-ACI86)S S81R) ARQ9IT)CT9RA -)
R)-)S -) 96 CSIRT
A'"iente .%sico
In(raestructura $e Re$
4ar$5are
So(t5are
In(raestructura $e Teleco'unicaciones
-iagra'as Sugeri$os
A'"iente .%sico
Breas A$'inistrativas: las reas a$'inistrativas as% co'o las salas $e reuniones o
apo&o po$rn ser co'parti$as con el resto $e la organizaci#n
Breas 8perativas: tales co'o salas $e tra"a+o $e los e/uipos tcnicos, sala $e
servi$ores & sala $e la"oratorios son consi$era$os a'"ientes cr%ticos & $e"ern
tener i'ple'entaciones $e aspectos $e seguri$a$ (%sica espec%(ica
Ambientes Crticos: a'"iente asila$o $e otros $eparta'entos, seg'entaci#n $el
circuito $e servicios, acceso restringi$o al a'"iente $e tra"a+o, o"e$ecer la pol%tica
$e in(or'aci#n $el CSIRT &2u organizaci#n
Recomendaciones: el acceso & per'anencia en el local $e terceras personas sea
aco'pa@a$o por integrantes $el CSIRT & tener sie'pre a $isposici#n 'e$ios $e
protecci#n & prevenci#n: e7tintores, sensores $e hu'o, rocia$ores, circuito interno
$e televisi#n, piso (also, pare$es re(ractarias, ca+a (uerte para el al'acena'iento $e
$ocu'entos secretos, siste'a e'presarial $e al'acena+e $e copias $e seguri$a$
reas Fsicas Mnimas: recepci#n, o(icina $el $irector, cuarto $e seguri$a$ :Ca+a
.uerte;, sala $e reuniones, sala $e archivos & al'acena'iento $e 'e$ios, sal$a $e
capacitaci#n2entrena'iento, sala $e operaciones, la"oratorio, sala $e servi$ores
In(raestructura $e Re$
La in(raestructura $e la re$ $e co'puta$ores $el CSIRT $e"e estar separa$a $e
la in(raestructura $e la organizaci#n en /ue est hospe$a$a )l CSIRT $e"e
tener una estructura propia $e su"re$es & $o'inios Re$ $e la organizaci#n &
re$ $el CSIRT
Se reco'ien$a /ue el CSIRT tenga una estructura $e re$ $e co'puta$ores
aisla$a, per'itien$o i'ple'entar seg'entos $e re$es con (unciones
espec%(icas Al 'enos $e"en $e e7istir $os seg'entos $entro $e la re$ CSIRT:
Re$ para la operaci#n en a'"iente $e pro$ucci#n: para el al'acena+e $e los
$atos & e+ecuci#n $e las tareas relativas a los servicios
Re$ para tareas $e la"oratorio: para la aplicaci#n $e prue"as & estu$ios
Las re$es /ue se conectan con el a'"iente e7terno :Internet; $e"en $e ser
protegi$as por 'e$io $e $ispositivos $e seguri$a$ seg0n su necesi$a$
:.ire5all, !ro7&, I-S, I!S, etc;
RED SE/URA SE/MENTADA
SE"ARADA DE LA OR/ANIACI6N
Detalle$ De$cri%cin
Caracter#$tica$
E$*uema %ara )rindar $er,icio$ reacti,o$ y
%roacti,o$'
Se%aracin &#$ica de la red CSIRT y de la
organizacin'
Enlace$ %ara el acce$o al Internet redundante$
%ara la red CSIRT'
Sen$ore$ y Ser,idor con Si$tema de Deteccin de
Intru$o$ 7IDS8'
Red ai$lada %ara "rue)a$ de la)oratorio'
Tre$ rede$ di&erente$'
Ni,ele$ de acce$o interno$ regulado %or lo$
Fire9all$ entre la Organizacin y el CSIRT'
Acce$o a Internet
o
Enlace de la Organizacin: ; M)%$'
o
Enlace$ redundante$ CSIRT: < M)%$'
o
Enlace %ara red de La)oratorio: ; M)%$'
So&t9are
Se %uede utilizar $o&t9are li)re'
Beneficios en la implementacin de un CSIRT as
como su !nlisis Situacional e Implementacin de
su Presupuesto de In"ersin y #uncionamiento
!ENEFICIOS EN LA IM"LEMENTACI6N DE UN CSIRT
Un %unto de contacto &ocal y con&ia)le dentro de la
comunidad %ara el mane+o de incidente$ de
$eguridad in&orm.tica'
"romue,e un de$arrollo en la utilizacin de
in&rae$tructura tecnolgica )a$ado en la$ )uena$ y
me+ore$ %r.ctica$ %ara la adecuada coordinacin de
la re$%ue$ta a incidente$ de $eguridad in&orm.tica'
Un %unto e$%ecializado y a$e$or %ara la %roteccin
de la$ di$tinta$ acti,idade$ in&orm.tica$ de lo$
$ectore$ *ue con&orman $u comunidad o)+eti,o'
!rinda in&ormacin $o)re ,ulnera)ilidade$ y la$
a$ocia con $u$ re$%ecti,a$ recomendacione$ %ara la
$u mitigacin y=o control'
"ro,ee $er,icio$ de %u)licacin de in&ormacin
e&icace$ con la &inalidad de $ocializar la cultura de
$eguridad in&orm.tica'
"romue,e y de$arrolla materiale$ de
concientizacin- educacin y entrenamiento en
,ariedad de tema$ de $eguridad in&orm.tica'
"artici%a y com%arte e0%eriencia$ con e*ui%o$
$imilare$ y %ro,eedore$ de $er,icio$ de $eguridad
in&orm.tica %ara $u %romocin y actualizacin- a$#
como %ara el e$ta)lecimiento de me+ore$ e$trategia$
%ara el mane+o de incidente$ de $eguridad
in&orm.tica'
Admini$tra %unto$ de contacto con otro$ CSIRT$
%ara re$%aldar la$ di$tinta$ e$trategia$ de $eguridad
in&orm.tica en un $entido m.$ glo)al'
A%oya a otra$ in$titucione$ *ue lo re*uieran a
de$arrollar ca%acidade$ %ro%ia$ %ara el mane+o de
incidente$ a$# como la im%lantacin de )uena$ y
me+ore$ %r.ctica$ de $eguridad in&orm.tica'
"o$ee un e*ui%o %er$onal e$%ecializado en
con$tante %roce$o de actualizacin con la intencin
de )rindar $er,icio$ de $o%orte in&orm.tico$ con un
alto ni,el de e&icacia y e&iciencia a lo$ di$tinto$
re*uerimiento$ *ue la comunidad demande de $u
re$%ecti,o CSIRT'
Beneficios en la implementacin de un CSIRT as
como su !nlisis Situacional e Implementacin de
su Presupuesto de In"ersin y #uncionamiento
AN>LISIS FODA /ENERAL "ARA UN CSIRT
ELEMENTO DESCRI"CI6N
FORTALEAS "o$ee el re$%aldo de la organizacin *ue lo (o$%eda a$# como el recorrido *ue la mi$ma tenga
en la comunidad a la *ue %ertenece'
Un %unto &ocal %ara la noti&icacin y tratamiento de incidente$ de $eguridad'
Di$%oni)ilidad de %er$onal t?cnico cali&icado y actualizado'
Dado el conocimiento *ue %o$ee $u %er$onal- el CSIRT e$ rele,ante %ara el %roce$o de
educacin %ara la $eguridad y %re,encin de incidente$'
O"ORTUNIDADES De$arrollo de relacione$ comerciale$ de largo %lazo con lo$ cliente$'
!4$*ueda$ de alianza$ con tercero$ *ue com%lementen lo$ $er,icio$ en el mercado o)+eti,o'
/ran nece$idad de coordinacin de incidente$ de $eguridad in&orm.tica'
"royecto de inter?$ general %ara todo$ lo$ $ectore$ de la $ociedad'
No e0i$te centralizacin en la medicin de $eguridad in&orm.tica en el $egmento de $er,icio'
DE!ILIDADES E0%eriencia'
Reconocimiento del tra)a+o del nue,o CSIRT'
Lo$ $ectore$ %4)lico y %ri,ado no tienen la %rioridad ni la co$tum)re de a$e$orar$e %or un ente
e$%ecializado en tema$ de $eguridad in&orm.tica'
In&rae$tructura TIC d?)il' Inci%iente regulacin de $er,icio$ in&orm.tico$'
AMENAAS De$aceleracin de la econom#a mundial y local'
R.%ida o)$ole$cencia de lo$ e*ui%o$ in&orm.tico$'
Com%etidore$ ya e$ta)lecido$ en el mercado de la $eguridad in&orm.tica'
Re$%aldo &inanciero limitado'
!a+o$ incidente$ de $eguridad in&orm.tica %ueden de$em)ocar en di&icultar el auto
$o$tenimiento del CSIRT'
La convergencia $e los siste'as 'ultiplica e7ponencial'ente los

pro"le'as $e seguri$a$ plantea$os )l e/uili"ro es $i(%cil, el espectro a cu"rir
es a'plio &, co'o $i(iculta$ e7tra, el ca'po $e tra"a+o es intangi"le )sto hace
necesario $esarrollar tcnicas &2o a$aptar las e7istentes $e (or'a tal $e
circunscri"ir nuestro tra"a+o $e conseguir in(or'aci#n $entro $e un 'arco
$e seguri$a$
Cuan$o se $ise@a un siste'a se lo hace en "ase a su operativi$a$ &2o

(uncionali$a$ $e+an$o $e la$o la Seguri$a$ Ser necesario esta"lecer una
pertenencia & correspon$encia entre las tcnicas a$opta$as con(or'an$o
un siste'a $e seguri$a$A & no proce$i'ientos aisla$os /ue
contri"u&an al caos general e7istente )sto s#lo pue$e lograrse al integrar la
seguri$a$ $es$e el co'ienzo, $es$e el $ise@o, $es$e el $esarrollo
Las tecnolog%as involucra$as en estos procesos con$icionan las tcnicas

e'plea$as, los tie'pos con$icionan esas tecnolog%as &, para$#+ica'ente, las
legislaciones $e"en a$aptarse a los rpi$os ca'"ios pro$uci$os )sto hace
o"ligatorio no legislar so"re tecnolog%as actuales, sino so"re conceptos &
a"stracciones /ue po$rn ser i'ple'enta$os con $istintas tecnolog%as en el
presente & el (uturo )s urgente legislar un 'arco legal a$ecua$o, no solo /ue
castigue a los culpa"les sino /ue $esaliente acciones hostiles (uturas
C$%C&'SI$%(S
Algunos pocos 'to$os real'ente nove$osos $e in(iltraci#n ponen en

+a/ue los siste'as $e seguri$a$ A/u%, se prue"a la incapaci$a$ $e lograr
DEEF $e seguri$a$, pero ta'"in es hora $e pro"ar /ue los riesgos, la
a'enaza, & por en$e los $a@os pue$en ser lleva$os a su '%ni'a e7presi#n
*uchas veces "asta con restringir accesos a in(or'aci#n no utiliza$a o
/ue no correspon$e a los (ines plantea$os 8tras veces la capacitaci#n ser la
'e+or herra'ienta para $is'inuir $rstica'ente los $a@os
La seguri$a$ es un esta$o 'ental, la seguri$a$ per(ecta re/uiere un nivel $e

per(ecci#n /ue real'ente no e7iste, & $e hecho $u$o /ue alg0n $%a
e7ista, pero los riesgos $e"en & pue$en ser 'ane+a"les
)l costo en el /ue se incurre suele ser "a+o co'para$o con a/uellos luego $e
pro$uci$o un $a@o )l $esconoci'iento & la (alta $e in(or'aci#n son el
principal inconveniente cuan$o se eval0a la inclusi#n $e seguri$a$ co'o parte
$e un siste'a
)l $esarrollo $e so(t5are es una GcienciaH i'per(ectaA & co'o tal es vulnera"le

)s una reali$a$, la seguri$a$ involucra 'anipulaci#n $e naturaleza hu'ana
4a& /ue co'pren$er /ue la seguri$a$ consiste en tecnolog%a & pol%tica, es $ecir
/ue su co'"inaci#n & su (or'a $e utilizaci#n $eter'ina cuan seguros son los
siste'as )l pro"le'a $e la seguri$a$ no pue$e ser resuelto por 0nica
vez, es $ecir /ue constitu&e un via+e per'anente & no un $estino
C$%C&'SI$%(S
Continuacin)

Proyecto AMPARO
Ca!tulo II"
#Tiolo(!as de centros de resuesta'
Ru)?n A*uino Luna
UNAM@CERT
Modelos organizacionales
-ecisi#n (un$a'ental para un centro $e respuesta

a inci$entes
-e(inici#n $e la estructura $el centro $e respuesta

$e acuer$o a
8"+etivos
Iisi#n
*isi#n
.actores para $e(inir el 'o$elo a$ecua$o
Circunscripci#n
*isi#n
Servicios /ue se van a proporcionar
!osici#n en la organizaci#n
8"ligaciones & autori$a$
In(raestructura
.inancia'iento $e la operaci#n
)structura
*o$elos $e re(erencia
)/uipo $e seguri$a$
Centro $e respuesta centraliza$o
Centro $e respuesta $istri"ui$o
Centro coor$ina$or
6o'"re $el centro $e respuesta
6o ha& ning0n re/uisito
6o'"res actuales "asa$os en la reputaci#n

construi$a
Algunos no'"res (recuentes
IRT
CSIRT
CIRT
SIRT
CERTA
Circunscipci#n
B'"ito $e acci#n
-epen$e $e los o"+etivos
6o necesaria'ente es el sector al /ue pertenece la

organizaci#n
Co"ertura geogr(ica
Centralizado
Di$tri)uido
*isi#n
-e(inici#n "reve, clara & precisa $el prop#sito &

(unci#n
-elinea servicios & alcance $e los 'is'os

Servicios
Al iniciar operaciones: respuesta a inci$entes & los

necesarios
Atencin en $itio- coordinacin de e*ui%o$- cm%uto

&oren$e- an.li$i$ de $o&t9are malicio$o- etc'
Los servicios pue$en a'pliarse $urante la

operaci#n
Casi nunca se hace s#lo respuesta a inci$entes
"re,encin
Deteccin
Servicios
)'isi#n $e "oletines & alertas $e seguri$a$
Anlisis $e vulnera"ili$a$es
-etecci#n $e inci$entes
-i(usi#n & capacitaci#n
I'ple'entaci#n $e estn$ares & 'e+ores prcticas

Reportar, clasi(icar, asignar
C#'o se reportan los inci$entes al centro $e

respuesta
)l 'ane+o $e un inci$ente re/uiere recursos

hu'anos & 'ateriales
)(icacia & e(iciencia $epen$en $e estas acciones

iniciales
Reportar
Tel(ono :$e(inici#n $e horarios, costos;
Correo electr#nico
.or'ularios 5e"
!ersonal'ente
Clasi(icar, asignar
Siste'a para el segui'iento $e reportes $e

inci$entes
*esa $e a&u$a
"ro%ia
Tercero$ 7)u$car adecuado entrenamiento y

conocimiento del $er,icio8
Capacitaci#n $el personal so"re la recepci#n,

clasi(icaci#n, asignaci#n
Autori$a$
Autori$a$ total
Autori$a$ co'parti$a
6o autori$a$
-i(erencia
Toma de deci$ione$ en el mane+o de incidente$
-ecisi#n $e la gerencia2$irecci#n
!ersonal
9na sola persona es responsa"le
Inde%endientemente de la &orma del $er,icio: interno-

e0terno'
Je(e o a$'inistra$or & un sustituto por ausencia

!ersonal :responsa"le;
)nlace entre en centro $e respuesta & la $irecci#n

& otras uni$a$es $e la organizaci#n
!unto $e contacto con enti$a$es e7ternas
Co'unicaci#n al interior & e7terior )vitar

situaciones $e crisis por la interacci#n coti$iana
Responsa"le $e gestionar los recursos para el

centro $e respuesta
!ersonal
Caracter%sticas $el responsa"le
Dominio de a$%ecto$ t?cnico$
2a)ilidade$ de comunicacin (acia el interior y el

e0terior
entre otra$'
!ersonal
Responsa"le tcnico
Coordinar la$ acti,idade$ t?cnica$ %ara la re$%ue$ta a

incidente$
Re$%on$a)le de la calidad t?cnica
La i'precisi#n en el $o'inio tcnico pue$e 'inar

cre$i"ili$a$ $e to$o el centro $e respuesta
9n inci$ente pue$e e'peorar sin la capaci$a$

tcnica a$ecua$a
!ersonal
A$'inistraci#n $e siste'as
Re$es $e $atos
!rogra'aci#n
Soporte tcnico
-etecci#n $e intrusos
Anlisis $e vulnera"ili$a$es
Anlisis $e so(t5are 'alicioso
8tros particulares a la organizaci#n

!ersonal :sta((;
Resoluci#n $e pro"le'as
)7periencia
9na persona especialista en ca$a rea
Cola"oraci#n necesaria en inci$entes cr%ticos
A&u$a
"rograma$ de tran$&erencia de conocimiento
Re&erencia$ t?cnica$ 7li)ro$- manuale$- etc'8
"romo,er $u %artici%acin en otra$ tarea$: ela)oracin

de contenido$- in$truccin en tallere$- e,aluacin de
(erramienta$- etc'
!ersonal :sta((;
-e"e (o'entarse
Interaccin y retroalimentacin $o)re acti,idade$ de la

organizacin
Conocimiento de lo$ o)+eti,o$ y mi$in del centro de

re$%ue$ta
Intercam)io con e0%erto$ de otra$ entidade$
Intercam)io de conocimiento
!ersonal :sta((;
4a"ili$a$es
2a)ilidade$ t?cnica$
Tra)a+o en e*ui%o
Comunicacin
Facilidad de e0%re$in
E$cri)ir in&orme$ t?cnico$

!ersonal :contrataci#n;
)'plea$os
!arcial'ente e'plea$os
8utsourcing
Selecci#n $el 'o$elo
-isponi"ili$a$ $el servicio
Critici$a$ $e la in(raestructura
Qu tipo $e atenci#n se re/uiere: JK7L, en sitio

:"sica o especializa$a;
4a"ili$a$es $el personal

Selecci#n $el 'o$elo
Costos
)7periencia $el personal
)structura organizacional
-ivisi#n $e responsa"ili$a$es
!rotecci#n $e la in(or'aci#n con(i$encial
Conoci'iento espec%(ico so"re la organizaci#n
Correlaci#n $e in(or'aci#n
-iversas u"icaciones geogr(icas

-epen$encias $entro $e la organizaci#n
A$'inistraci#n
E$ta)lece %ol#tica de re$%ue$ta a incidente$
"re$u%ue$to
"er$onal
Seguri$a$ $e la in(or'aci#n
Monitoreo de o%eracin
Control $o)re di$%o$iti,o$
Noti&ican $o)re muc(o$ de lo$ incidente$

Teleco'unicaciones
Incidente$ con tr.&ico de red en el %er#metro
Contacto con IS"$
Contener incidente$ en el %er#metro
Soporte tcnico
O%eracin de in&rae$tructura
Admini$tracin de $i$tema$- red- de$arrollo de $o&t9are

-eparta'ento +ur%$ico
Seguimiento a incidente$
"roce$o$ admini$trati,o$
Seguimiento legal
Re,i$in de %ol#tica$ y %rocedimiento$ %ara a+u$tar$e al

marco regulatorio
Relaciones p0"licas
"ro%orcionar in&ormacin a lo$ medio$
Comunicado$ de acuerdo a %ol#tica$ de la organizacin
Comunicacin inadecuada %uede con&undir al %4)lico y

a&ectar a la organizacin
Recursos hu'anos
Incidente$ relacionado$ con a)u$o$ o &alta$ a norma$

de la organizacin
!laneaci#n $e la continui$a$ $el negocio
Incidente$ *ue a&ectan $igni&icati,amente la o%eracin

normal
Identi&icacin de rie$go$ a$ociado$ a cada acti,o
Minimizacin de im%acto de incidente y el mane+o de

incidente$ en la$ o%eracione$
Seguri$a$ (%sica & a$'inistraci#n $e instalaciones
Acce$o a e*ui%o$ en in$talacione$ cerrada$
!u$car e,idencia
Realizar monitoreo de .rea$ e$%ec#&ica$

Equipo de respuesta
6o ha& centro $e respuesta
Respuesta a inci$entes con recursos hu'anos &

'ateriales e7istentes
Quien es responsa"le o a$'inistra el activo

proporciona la respuesta
-i(%cil esta"lecer niveles $e servicio
Respuesta e7itosa $epen$e $e ca$a in$ivi$uo
-i(%cil i'ple'entar 'e+ores prcticas & 'e+ora

continua
6o ha& in$epen$encia en el 'ane+o $e inci$entes

Equipo de respuesta
Caracter%sticas particulares
6o ha& estructura $e(ini$a
)/uipo $e respuesta a$ hoc a las circunstancias
6o ha& centralizaci#n $e reportes $e inci$entes
Responsa"le $el activo $eci$e sus 'ecanis'os

para reportar & clasi(icar inci$entes
-i(%cil realizar segui'iento $e inci$entes
Retroali'entaci#n li'ita$a
!oca o co'plica$a coor$inaci#n en el 'ane+o $e

inci$entes
Equipo de respuesta
Servicios
!rctica'ente s#lo respuesta a inci$entes
Investigaci#n super(icial por personal con otras

o"ligaciones !osi"les conclusiones e/uivoca$as
6o ha& servicios a$icionales necesarios
Alerta$ de $eguridad
!oletine$ de $eguridad
Equipo de respuesta
Recursos
6o se re/uieren recursos hu'anos a$icionales
6o se re/uiere in(raestructura a$icional
!ro"a"le'ente se re/uiera e/uipo para atenci#n $e

inci$entes 3eneral'ente se i$enti(ica la necesi$a$
luego $e ocurri$o un inci$ente
Equipo de respuesta
Ienta+as
6o se re/uiere in(raestructura a$icional
-esventa+as
6o ha& un 0nico punto $e contacto
6o ha& ele'entos para veri(icar la cali$a$ $el

servicio $e respuesta a inci$entes
6o ha& 'a&or "ene(icio $e la respuesta a

inci$entes para la organizaci#n
Centro de respuesta a
incidentes centralizado
Centro $e respuesta para to$os los inci$entes
!ersonal a$'inistrativo & operativo $e$ica$o
Respuesta a inci$entes & servicios a$icionales
-e(inici#n $e i'pulso $e estrategias $e seguri$a$
*o$elo a$ecua$o para organizaciones pe/ue@as

o con in(raestructura centraliza$a
-e"e estar cerca $e la gerencia2a$'inistraci#n en

la estructura $e la organizaci#n 6ivel alto en to'a
$e $ecisiones
-e"e contarse con personal especializa$o
An.li$i$ y recomendacione$ acertada$
!ue$e tener asesor%as2consultor%as "a+o $e'an$a
-e"en esta"lecerse canales a$ecua$os para

reportar inci$entes
9suarios internos & e7ternos

Servicios
Respuesta a inci$entes & tareas asocia$as
Re$%ue$ta en $itio- an.li$i$ de ,ulnera)ilidade$- an.li$i$

de $o&t9are malicio$o- an.li$i$ &oren$e- $eguimiento
legal- etc'
!revenci#n & $etecci#n $e inci$entes
Di&u$in y ca%acitacin
Mecani$mo$ de deteccin de incidente$ %ara alerta$
In(or'aci#n a la a$'inistraci#n2gerencia $e la
organizaci#n
Servicios a$icionales
)valuaci#n $e tecnolog%a
)valuaci#n $e riesgos
Au$itor%as $e seguri$a$
I'ple'entaci#n $e 'e+ores prcticas
Consultor%a
Recursos
)structura central
Admini$trador=coordinador del centro de re$%ue$ta
Admini$trador de la in&rae$tructura tecnolgica %ro%ia

del centro de re$%ue$ta
"er$onal admini$trati,o
"er$onal t?cnico %ara el mane+o de incidente$
"er$onal e$%ecializado %ara $er,icio$ adicionale$
De$arrolladore$ de $i$tema$ 9e)

Recursos
8tros recursos hu'anos /ue po$r%an re/uerirse
Editore$ 7%ara toda$ la$ %u)licacione$8
"er$onal de relacione$ %4)lica$
"er$onal +ur#dico
E0%erto$ t?cnico$ adicionale$

Recursos
*ateriales
In$talacione$ &#$ica$
E*ui%o de o&icina
E*ui%o$ de cm%uto y telecomunicacione$
"ro)a)lemente e*ui%o de cm%uto %ort.til
E*ui%o %ara recoleccin de e,idencia 7e*ui%o de red-

recolectore$ de tr.&ico- di$co$ duro$ grande$- etc'8
E*ui%o %ara almacenamiento de grande$ cantidade$ de

in&ormacin %ara la e,idencia digital
Recursos
Siste'as
Si$tema de $eguimiento 7tracBing8
So&t9are %ara cm%uto &oren$e
So&t9are %ara %ente$t
So&t9are %ara an.li$i$ de $o&t9are malicio$o

Ienta+as
*o$elo esta"le
!ersonal $e$ica$o
!er'ite iniciativas $e 'e+ora continua
-esventa+as
Re/uiere recursos signi(icativos
Re/uiere ca'"ios en la estructura $e la

organizaci#n
)l personal no est involucra$o en el a'"iente $e

operaci#n
incidentes distribuido
Iarios e/uipos $e respuesta
To$os los e/uipos con(or'an el centro $e

respuesta
!ersonal $e los e/uipos pue$e estar asigna$o a

tareas operativas Cola"ora cuan$o ha& inci$entes
en su rea
)l personal ta'"in po$r%a ser $e$ica$o para el

centro $e respuesta
A$'inistraci#n2coor$inaci#n centraliza$a
3arantiza niveles $e servicio
.acilita interca'"io $e in(or'aci#n

Cerca $e la $irecci#n $e la organizaci#n en la

estructura
Cuenta con un a$'inistra$or2$irector
!ersonal para la a$'inistraci#n
)sta"lecer circunstancias en las cuales el personal

tcnico act0a para el centro $e respuesta
)sta"lecer canales $e co'unicaci#n a$ecua$os
-e(inir c#'o se har el proceso $e reporte $e

inci$entes
En lo$ e*ui%o$ di$tri)uido$
De manera centralizada
Servicios
Respuesta a inci$entes & tareas asocia$as
Re$%ue$ta en $itio- an.li$i$ de ,ulnera)ilidade$- an.li$i$

de $o&t9are malicio$o- an.li$i$ &oren$e- $eguimiento
legal- etc'
!revenci#n & $etecci#n $e inci$entes
Di&u$in y ca%acitacin
Mecani$mo$ de deteccin de incidente$ %ara alerta$
In(or'aci#n a la a$'inistraci#n2gerencia $e la
organizaci#n
Servicios a$icionales $epen$en $e la

$isponi"ili$a$ $e personal
Recursos
A$'inistraci#n central

"er$onal admini$trati,o 7al meno$ una %er$ona8
Anali$ta$ %ara el mane+o de incidente$
8tros :opcional'ente;
Editore$ 7%ara %u)licacione$8
"er$onal de relacione$ %4)lica$
"er$onal +ur#dico
E0%erto$ t?cnico$ adicionale$

Recursos
*ateriales
E*ui%o de o&icina
"ro)a)lemente e*ui%o de cm%uto %ort.til


in&ormacin %ara la e,idencia digital
Recursos
Siste'as

Ienta+as
Servicios se i'ple'entan $e 'anera coor$ina$a
!ersonal especializa$o
!ersonal operativo con conoci'ientos

especializa$os $e seguri$a$
-esventa+as
6o es (cil $e i'ple'entar
!ro"le'as para asignar nuevas responsa"ili$a$es

al personal
-i(%cil coor$inar personal con $os +e(es

Centro coordinador
Coor$inar & (acilitar
Respuesta a inci$entes
*ane+o $e vulnera"ili$a$es
Circunscripci#n a'plia
Asesor%a e in(or'aci#n a otros e/uipos $e

respuesta
Interca'"io $e in(or'aci#n
-e(inici#n $e estrategias para 'itigar i'pacto $e

a'enazas
In(luencia en la to'a $e $ecisiones $e $iversas

organizaciones
Centro coordinador
!ersonal $e$ica$o
9"icaci#n (%sica central
A$'inistraci#n2$irecci#n 0nica
!ersonal especializa$o
Actuar co'o centro $e coor$inaci#n para $irigir

acciones $e respuesta a inci$entes & a'enazas a la
seguri$a$ $e la in(or'aci#n
Recolecci#n & s%ntesis $e in(or'aci#n para

co'unicar a su circunscripci#n
Centro coordinador
Servicios
Respuesta a inci$entes
Apo&o & asesor%a tcnica
Re$%ue$ta en $itio
An.li$i$ de ,ulnera)ilidade$
Cm%uto &oren$e
An.li$i$ de $o&t9are malicio$o
Seguimiento de incidente$
6o realiza to$as las tareas asocia$as al 'ane+o $e

inci$entes
Alerta so"re a'enazas a la seguri$a$ $e la

in(or'aci#n
Centro coordinador
Servicios a$icionales
-etecci#n proactiva $e a'enazas
)valuaci#n $e tecnolog%a
)valuaci#n $e 'e+ores prcticas & estn$ares $e

seguri$a$ $e la in(or'aci#n
Capacitaci#n
Mane+o de incidente$
An.li$i$ de amenaza$
Im%lementacin de tecnolog#a
Im%lementacin de me+ore$ %r.ctica$- etc'

Centro coordinador
Recursos
!ersonal

"er$onal admini$trati,o 7al meno$ una %er$ona8
Anali$ta$ %ara el mane+o de incidente$
E$%eciali$ta$ en e,aluacin de tecnolog#a$
E0%erto$ en la im%lementacin de me+ore$ %r.cita$
Editore$ 7%ara %u)licacione$8
Relacione$ %4)lica$
Centro coordinador
Recursos
*ateriales
E*ui%o de o&icina
In$talacione$ %ara la)oratorio$ de %rue)a$- incluyendo

e*ui%o de cm%uto- telecomunicacione$- etc'
E*ui%o de cm%uto %ort.til


in&ormacin %ara e,idencia digital
Centro coordinador
Recursos
Siste'as

Centro coordinador
Ienta+as
Contar con un grupo $e especialistas en 'ane+o $e

inci$entes
)7periencia se aprovecha en varias organizaciones
-esventa+as
Los especialistas no estn involucra$os en la

operaci#n $e las organizaciones
!laneaci#n co'plica$a
In$epen$encia $i(%cil
Proyecto AMPARO
Ca!tulo III"
#Prouesta de Eseciali)acin de
*unciones en el interior de un Centro de
Resuesta'
Ing Leonar$o Ii$al M CISS!
Segregacin de #unciones
Introduccin
Iarias (unciones
*o$elo 8rganizacional actual & (uturo
I$enti(icaci#n clara $e las (unciones
9na (or'a $e organizar el tra"a+o
Centro $e Respuesta N )/uipo $e Respuesta

Introduccin
Activi$a$es recreativas
3rupo, (a'ilias, a'igos
.le7i"ili$a$es
&as #unciones
-irectorio
-irector )+ecutivo
Co'it )+ecutivo
3erente 8peracional
-i(usi#n
In(raestructura
&as #unciones
Triage
-ocu'entaci#n
Capacitaci#n & )ntrena'iento
Log%stica
Investigaci#n
Legal
&as #unciones
3esti#n $e inci$entes
)'"a+a$ores
.or'aci#n Continua
Co'ercial
.inanciero & )con#'ico

*escripcin de #unciones
-irectorio
*ie'"ros reconoci$os en la co'uni$a$
!ol%tica
Iinculaci#n
Apo&o
.acilita$or
-irector )+ecutivo
Integrante o in,itado
.recuencia $e reuniones
Convocatoria grave & urgente

-irector )+ecutivo
Capaci$a$ $e 'an$o
Li$erazgo
*otivaci#n
Co'it )+ecutivo
Director pro tempore o no
Si e$ %ro tem%ore- &undamental *ue el Comit? E+ecuti,o

)rinde una ,i$in (omog?nena (acia el Centro y (acia la
Comunidad O)+eti,o
-irector )+ecutivo
Contacto (recuente con los restantes integrantes $el

Centro
Reunin con alg4n re%re$entante del re$to de lo$ integrante$
In(or'e peri#$ico al Co'it )+ecutivo :si e7iste; o en

su $e(ecto al -irectorio :si e7iste;
Co'it )+ecutivo
Con+unto $e -irectores )+ecutivos
Pro tempore o no
60'ero i'par $e integrantes
Reuniones peri#$icas
Convocatoria grave & urgente

3erente 8peracional
Iisi#n 's general & co'pleta $e Centro pero cercana

a la activi$a$ $iaria
6e7o entre el resto $e los integrantes $el Centro & el

-irector )+ecutivo
Capaci$a$ $e 'an$o, li$erazgo & 'otivaci#n
Reuniones peri#$icas para uni(icar criterios, $e(inir

pr#7i'as acciones & sa"er Gen /u an$a el otroH
-i(usi#n
Responsa"le $e to$as las (or'as $e co'unicaci#n con

los integrantes $e la Co'uni$a$ 8"+etivo, otros
Centros $e Respuesta, prensa, entre otros
*etas
2acer conocer la e0i$tencia del Centro
Di&undir a la Comunidad O)+eti,o in&ormacin *ue %uede

re$ultar de $u inter?$
Fomentar la Ca%acitacin y Entrenamiento de lo$ integrante$

de la Comunidad O)+eti,o
Co'unicaci#n con: Co'uni$a$ 8"+etivo, otros Centros

$e Respuesta, !rensa
I'agen 0nica
In(raestructura
Que sustenta los servicios "rin$a$os
De cara a la Comunidad O)+eti,o
De u$o e0clu$i,o interno
)+e'plos: re$, servi$ores, estaciones $e tra"a+o,

note"ooOs, la"oratorio, anlisis (orense, anlisis $e
arte(actos, preservaci#n $e evi$encia,
Capacitaci#n e i$onei$a$
!revisi#n para conte'plar las necesi$a$es (uturas

Triage
-e"e analizar los reportes $e eventos o inci$entes $e

seguri$a$ para clasi(icarlos & si correspon$e,
asignarlos para su gesti#n
Responsa"ili$a$ 0nica o co'parti$a :con 3erente

8peracional, con -irector )+ecutivo; & seg0n el caso
Cuali$a$es "usca$as en el encarga$o $el triage
Ca%acidad de correlacionar e,ento$ e incidente$ de

$eguridad
Mantener la calma en momento$ Ccom%licado$D
Sa)er di$tinguir entre lo urgente y lo im%ortante

Triage
Qu consi$erar al 'o'ento $e i$enti(icar el integrante

$el Centro /ue gestionar el inci$ente $e seguri$a$
Expertise del %otencial candidato
Carga la)oral actual del candidato
Carga la)oral &utura del candidato
E0%ectati,a de duracin de la ge$tin del incidente a

ge$tionar
E$tado de .nimo del candidato
Einculacin del candidato con *uien re%orta y otro$ %o$i)le$

integrante$ de la Comunidad O)+eti,o *ue %odr#an e$tar
,inculado$ al incidente
-ocu'entaci#n
To$o Centro $e Respuesta 'ane+a una i'portante

canti$a$ $e in(or'aci#n & en $i(erentes 'e$ios &
(or'atos
!ol%ticas & !roce$i'ientos para
/enerarla
Cla$i&icarla
Almacenarla
Re$%aldarla
De$truirla
Di&undirla
-ocu'entaci#n
-os gran$es grupos
La *ue e$ utilizada %ara el &uncionamiento del Centro de

Re$%ue$ta
La ,inculada directamente a lo$ $er,icio$ *ue )rinda
"or e+em%lo la ,inculada con un incidente de $eguridad *ue $e e$t.

ge$tionando
Capacitaci#n & )ntrena'iento
Cursos, talleres, se'inarios, charlas
Expertise en la Co'uni$a$ 8"+etivo
/e$tin de Incidente$
Crear Centro$ $imilare$
Ingreso $e (on$os para el Centro
!unto $e Re(erencia
6o s#lo aspecto tcnicos
In$enti(icar te'ticas /ue pue$en ser $e inters para la

Co'uni$a$ 8"+etivo
)scuchar las in/uietu$es $e la Co'uni$a$ 8"+etivo

Log%stica
Insu'os (ungi"les & no (ungi"les
6o re/uiere (or'aci#n tcnica

Investigaci#n
3enerar in(or'aci#n & conoci'iento en el interior $el

Centro
!ene&icio %ara el Centro y %ara la Comunidad O)+eti,o
Iincularse con otros Centros $e Respuesta
Reputaci#n
3enerar con(ianza hacia a(uera
Se'illa $e un posi"le servicio (uturo o 'e+ora $e uno

e7istente
Legal
!ro(esional integrante o no $el Centro $e Respuesta
Asesorar a /uienes gestionan inci$entes $e seguri$a$

en
Recoleccin y %re$er,acin de e,idencia
Redaccin de in&orme$
Reuniones peri#$icas entre responsa"le legal e

integrantes tcnicos $el Centro $e Respuesta, para
$i(un$ir le&es, $ecretos, or$enanzas, regla'entaciones
& "uenas prcticas
3esti#n $e Inci$entes
Servicio (un$a'ental en el Centro $e Respuesta
A cargo $e integrantes tcnicos $el Centro & con el

apo&o $e los restantes integrantes
Quizs con la (unci#n $e triage al 'is'o tie'po
Iinculaci#n con la Co'uni$a$ 8"+etivo & otros Centros

$e Respuesta
In(or'ar al 3erente 8peracional
A gestionar inci$entes se apren$e gestionan$o
Nue,o$ en la &uncin: rol de Mentor

)'"a+a$ores
*ie'"ros te'porales $el Centro, para alguna activi$a$

puntual
!er'ite
al em)a+ador conocer la realidad del Centro
al Centro identi&icar %o$i)le$ &uturo$ integrante$ del mi$mo
Contar con una %er$ona con conocimiento %ro&undo $o)re

determinado acti,o a&ectado %or un incidente de $eguridad
Su participaci#n en el Centro re/uerir /ue

previa'ente (ir'e un 6-A :Non-Disclosure Agreement;
o Co'pro'iso $e Con(i$enciali$a$
.or'aci#n Continua
-e los integrantes $el Centro
)stu$iar, leer, ser GcuriososH
TIC$
Eectore$ de ata*ue$
Mal9are
"rotocolo$
2erramienta$ 7sniffer de %a*uete$- (erramienta &oren$e8
Rede$ $ociale$- $%am- )otnet$- (oney%ot$- '''
Reuniones internas poco (or'ales para co'partir

conoci'iento
.or'aci#n Continua
Certi(icaciones internacional'ente reconoci$as $e

Gto$osH los integrantes $el Centro $e Respuesta
!osi"les
ISC;
ISACA
"MI
.inanciero & )con#'ico
.on$os para e7istir
!agas re'uneraciones, le&es sociales, har$5are,

so(t5are, li"ros, insu'os, local $el Centro,
conectivi$a$ a Internet, asistencia a con(erencias,
viticos, etc
-os 'o$elos & opciones inter'e$ias
Su$tentacin %ro%ia
"or la organizacin *ue le )rinda el hosting

*esarrollo de +anuales y
Procedimientos
I'portantes para la operaci#n $el Centro & la

vinculaci#n hacia & $es$e Ga(ueraH
!ol%ticas !roce$i'ientos
!ol%ticas !roce$i'ientos *anuales

Procedimientos
*anuales
-ocu'ento $on$e se co'pen$ia lo sustancial so"re

$eter'ina$a 'ateria
*otivos proactivos & reactivos para ela"orar nuevos &

revisar 'anuales &a e7istentes
9so $e los 'is'os por parte $e la Co'uni$a$
Crear nuevos & analizar los e7istentes

Procedimientos
!roce$i'ientos
!asos a seguir para realziar $eter'ina$a activi$a$
Se ela"oran $urante to$a la vi$a $el Centro
!icos & valles
Crear nuevos & analizar los e7istentes

*ise,o de un #lu-ograma del Proceso
de Gestin de Incidentes. end to end
.ase !reMInci$ente
:no ha& inci$ente reporta$o;
.ase Inci$ente
:el inci$ente est sien$o
gestiona$o;
.ase !ostMInci$ente
:el inci$ente ha si$o cerra$o;
In(or'es
-ocu'entaci#n
interna
In(or'aci#n para
to$a o parte $e la
Co'uni$a$
8"+etivo
In(or'aci#n para
otros Centros $e
Respuesta
-ecisiones:
!ol%ticas
!roce$i'ientos
Capacitaci#n
*anuales
Tutoriales
!ol%ticas,
!roce$i'ientos &
*anuales
Integrantes
> (unciones
Centro $e
Respuesta
prepara$o
In&ormacin de contacto
Mecani$mo de re%orte de
e,ento$ o incidente$
Celulare$
So&t9are %ara $er,icio$ de
$eguridad e intercam)io de
in&ormacin
Sitio del Centro
E$tacione$ de tra)a+o
La%to%$
Ser,idore$
E*ui%amiento de red
E$tacione$ y $er,idore$ de
la)oratorio
Di$%o$iti,o$ de
almacenamiento
Im%re$ora
C.mara de &oto$- &ilmadora
2erramienta$: sniffers-
analizadore$ de %rotocolo-
an.li$i$ &oren$e
2erramienta$ Cde tallerD
In$umo$ %ara %re$er,ar
e,idencia
Ca%acitacin- &ormacin y
entrenamiento
E$tado del arte de la
$eguridad y &uente$ de
in&ormacin a la$ cuale$
recurrir
Mecani$mo$ %ara alertar a la
Comunidad O)+eti,o
So&t9are %arc(e$ %ara mitigar
)vento o
inci$ente?
Inci$ente?
68
SI
Se noti(ica al
/uien
report#
SI
68
.ases en la 3esti#n $e un Inci$ente $e Seguri$a$
-eter'inaci#n
:es un evento o un inci$ente
$e un integrante $e la C8?;
Solicitudde
in&ormacin
Reporte
Rcepci#n $e
in(or'aci#n
Internet
La)oratorio
-ocu'entaci#n
interna
P
Reuniones
Co'uni$a$
8"+etivo?
68
SI
Se registra
Inci$ente
$e Seguri$a$
para
gestionar
QQTriagePP
Ciclo
$e Ii$a
$e un
Inci$ente
$e
Seguri$a$
Reporte
Iarias(uentesposi"les :
correoelectrnico
IDS- I"S- ID"S
&a0
&ormulario9e)
nota
Fire9all
llamadatele&nica
c(at
(a)lado
%ren$a
RSS
log$
Fe)
GOrigen,eri&icado H
Solicitar
in&ormacin
%ara,eri&icar
origen
NO
GE,entoo
incidenteH
SI
NO
Sele
in&ormaa
*uienlo
re%ort
Seregi$trala
accin
GIn&ormacin
%ro%orcionada
"or medio
adecuado H
SI
Se$olicitael
en,iodela
in&ormacin
%or medio
adecuado
NO
GSeo)tieneenun
%lazorazona)le H
NO
SI
GSeo)tieneenun
%lazorazona)le H
NO
SI
GIncidenteH
NO
SI
SI
Inci$ente
a
gestionar
-eter'inaci#n
El o)+eti,o e$ determinar
de una manera y con un
e$&uerzo razona)le- *ue
alguien (a re%ortado un
e,ento o incidente de
$eguridad' "uede tratar$e de
una denuncia annima
E$ im%ortante *ue m.$ all.
*ue el re%orte llegue %or un
medio in&ormal- $e de la
%ueda ,alidar
Si e$ un e,ento- $e
regi$trar.- %rinci%almente
con &ine$ e$tad#$tico$ y $e
le in&ormar. a *uien lo
re%ort de la deci$in
tomada
Si e$ un incidente de
$eguridad- $e lo ge$tionar. y
$e le in&ormar. de ello a
*ui?n lo re%ort
Sele
in&ormaa
*uienlo
re%ort
Si no e$ un e,ento ni un
incidente- $e regi$trar.-
%rinci%almente con &ine$
e$tad#$tico$ y $e le in&ormar.
a *uien lo re%ort de la
deci$in tomada
Se entiende %or C%lazo
razona)leD- una $emana
Se entiende %or C%lazo
razona)leD- una $emana
GComunidad
O)+eti,oH
SI
NO
Inci$ente a
gestionar
Regi$tro
"roce$o de
an.li$i$ de la
in&ormacin
reca)ada y
$olicitud de m.$
in&ormacin
Sealmacenaenun$er,idor - lain&ormacin*ue$e
conoce(a$tae$emomento
GSe re*uiere m.$
in&ormacin de *ui?n
lo re%ortH
GSe re*uiere
in&ormacin de otro$
Centro$H
GSe re*uiere
in&ormacin de la
Comunidad
O)+eti,oH
Se $olicita
in&ormacin
NO
SI
SI
SI
NO
NO
GSe o)tiene la
in&ormacin $olicitadaH
SI
Seane0aala
in&ormacin*ueya$e
di$%one$o)reel
incidente*ue$ee$t.
ge$tionando
GSe re*uiere in&ormar
a la Iu$ticiaH
NO
SI
Se ela)ora
documento %ara
Legal
Sealmacenael documentoela)orado
J
D
Nada
<
J
;
K
R
D J
R
K ;
J <
In&orme de Cierre
"roce$o de
ela)oracin
de In&orme
De,olucin al
Cliente
In&orme
De,olucin al
Cliente
L
"roce$o de
ela)oracin
de In&orme de
Cierre
Se en,#a
In&orme
De,olucin
al Cliente
Se en,#a
in&ormacin
a la Iu$ticia
Inci$ente
& !ostMInci$ente
Referencias
M' Fe$t@!ro9n- D' StiB,oort- M' Mo$$aBo9$Bi- /' Millcrece- R'

Rue&le y M' a+iceB- 2and)ooB &or Com%uter Security
Incident Re$%on$e Team$ 7CSIRT$8- a)ril ;NNJ-
(tt%:==999'cert'org=arc(i,e=%d&=c$irt@(and)ooB'%d&'
Forum o& Incident Re$%on$e and Security Team$-

(tt%:==999'&ir$t'org'
FIRST Tec(nical Collo*uia-

(tt%:==999'&ir$t'org=e,ent$=collo*uia'
ISACA- (tt%:==999'i$aca'org'
International In&ormation Sy$tem$ Security Certi&ication

Con$ortium- Inc'- (tt%:==999'i$c;'org'
"ro+ect Management In$titute- (tt%:==999'%mi'org'

Proyecto !+P!R$
Captulo III/
0Propuesta de (specializacin de
#unciones en el interior de un Centro de
Respuesta1
Proyecto AMPARO
Ca!tulo III"
#Prouesta de Pol!ticas y
Procedi$ientos Princiales ara la
Oeracin de un Centro de Resuesta a
Incidentes de &e(uridad In%or$+tica'
$b-eti"os
Realizar propuestas $e
C#$igo $e Stica
!ol%tica $e Seguri$a$ L#gica
!ol%tica $e Seguri$a$ .%sica & A'"iental
!ol%tica $e 3esti#n $e Inci$entes

Cdigo de 2tica
Co), Code of Etics
-e(iniciones
La ?tica e$ el Ccon+unto de norma$ morale$ *ue rigen la

conducta de la %er$ona en cual*uier .m)ito de la ,ida'D
Una norma e$ una Cregla *ue $e de)e $eguir o a *ue $e

de)en a+u$tar la$ conducta$- tarea$- acti,idade$- etc'D
La moral e$ una Cdoctrina del o)rar (umano *ue %retende

regular de manera normati,a el ,alor de la$ regla$ de
conducta y lo$ de)ere$ *ue e$ta$ im%lican'D
Un ,alor e$ el Cgrado de utilidad o a%titud de la$ co$a$- %ara

$ati$&acer la$ nece$idade$ o %ro%orcionar )iene$tar o
deleiteD'
Cdigo de 2tica
8"+etivos
.o'entar la tica en sus integrantes
Incentivar el co'porta'iento tico uni(or'e
Alentar a un co'porta'iento si'ilar $e parte $e sus

pares & $e los integrantes $e la Co'uni$a$ 8"+etivo
.ortalecer la i'agen $el Centro $e Respuesta & $e ca$a

uno $e sus integrantes
Cdigo de 2tica
Linea'ientos generales para ela"orarlo
Lengua+e
*oral
Aceptaci#n
Cdigo de 2tica
Ialores 'orales
Ialor 'oral es to$o a/uello /ue lleve al ho'"re :& a la

'u+er; a $e(en$er & crecer en su $igni$a$ $e persona
)l valor 'oral con$uce al "ien 'oral
Se le consi$era co'o un "ien pues nos 'e+ora,

per(ecciona, co'pleta
)ncuesta para seleccionar cules incluir

Cdigo de 2tica
Ialores 'orales
Respeto
4onesti$a$
Soli$ari$a$
Responsa"ili$a$
Cr%tica constructiva
3ratitu$
8pti'is'o
Superaci#n
Eoluntad
Inno,acin
"aciencia
Ama)ilidad
Em%at#a
Sencillez
"ro&e$ionali$mo
Alegr#a
Poltica de Seguridad &gica
La Seguri$a$ L#gica en un Centro $e Respuesta es la

seguri$a$ en el uso $el so(t5are & los siste'as, la
protecci#n $e los $atos, procesos & progra'as as%
co'o la $el acceso or$ena$o & autoriza$o $e los
usuarios a la in(or'aci#n Involucra to$as a/uellas
'e$i$as esta"leci$as para 'ini'izar los riesgos $e
seguri$a$ asocia$os con sus operaciones coti$ianas
lleva$as a ca"o utilizan$o las tecnolog%as $e la
in(or'aci#n & la co'unicaciones La correcta
i'ple'entaci#n $e las 'is'as cola"orar para la
a$ecua$a operaci#n $el Centro
La in(or'aci#n, co'o recurso valioso $e una

organizaci#n, esta e7puesta a actos tantos
intencionales co'o acci$entales $e violaci#n $e su
con(i$enciali$a$, alteraci#n, "orra$o & copia, por lo
/ue se hace necesario /ue el usuario, propietario $e
esa in(or'aci#n, a$opte 'e$i$as $e protecci#n
contra accesos no autoriza$os
La in(or'aci#n, co'o recurso valioso $e una

organizaci#n, esta e7puesta a actos tantos
intencionales co'o acci$entales $e violaci#n $e su
con(i$enciali$a$, alteraci#n, "orra$o & copia, por lo
/ue se hace necesario /ue el usuario, propietario $e
esa in(or'aci#n, a$opte 'e$i$as $e protecci#n
contra accesos no autoriza$os
!Todo lo "ue no est# permitido est# proibidoH

8"+etivo
)sta"lecer las pautas a seguir a los e(ectos $e

resguar$ar el acceso a los $atos & /ue s#lo se per'ita
acce$er a ellos a las personas autoriza$as para
hacerlo
Alcance
To$os los $atos en el Centro $e Respuesta & los

integrantes $el 'is'o
Conteni$o
Siste'as & aplicaciones $el Centro
Admini$tradore$
Red donde $e encuentran in$talado$
No un $olo admini$trador
Control de r?gimen de licencia$ y au$encia$ %rogramada$
Cantidad de u$uario$ de&inido$5 re,i$in %eridica
Eulnera)ilidade$5 re,i$in %eridica

Conteni$o
Seguri$a$ peri'etral
De)er. contar con
IDS 7Intrusion Detection System8
I"S 7Intrusion Prevention System8
Firewall de ca%a J y <
Firewall de a%licacione$
Si$tema Antimalware
Logs de lo$ $i$tema$ anteriore$
Sincroni$mo de lo$ $i$tema$ anteriore$
Analizar lo$ logs

Conteni$o
Investigaci#n
Se de)er. realizar en in&rae$tructura %ro%ia no com%artida
La"oratorio
Se de)er. realizar en in&rae$tructura %ro%ia no com%artida
Contrase@as Ga$'inistra$orH
Slo conocida$ %or *uiene$ realmente la$ re*uieren %ara

tra)a+ar
No de)en $er la$ mi$ma$ %ara todo$ lo$ $i$tema$
Se de)en modi&icar %eridicamente
Re$%etar un &ormato ).$ico de C&ortalezaD

Conteni$o
Contrase@as GusuariosH
Slo conocida$ %or $u due1o
No de)en $er la$ mi$ma$ %ara todo$ lo$ $i$tema$
Se de)en modi&icar %eridicamente
Re$%etar un &ormato ).$ico de C&ortalezaD
Contrase@as
No di$%oni)le$ %ara tercero$
Im%lementar en lo$ $i$tema$ cr#tico$ mecani$mo$ de

c(e*ueo de &ortaleza de la$ contra$e1a$
Conteni$o
G*%ni'o privilegioH
Actualizaci#n $e (ir'as
Ieri(icaci#n peri#$ica $e la actualizaci#n auto'tica

$el Siste'a Anti'al5are
1lo/ueos $e cuentas ante sucesivos intentos (alli$os
Siste'as operativos a utilizar
Ni,ele$ de $eguridad adecuado$
Ca%acidad de admini$tracin %or %arte de lo$ integrante$ del

Centro
Correcta %re$tacin de lo$ $er,icio$ *ue )rindan

Poltica de Seguridad #sica y
!mbiental
Anlisis $e Riesgos
!ro"a"ili$a$ $e ocurrencia
Severi$a$
Controles para 'itigarlos
8"+etivo: Brea Segura

!mbiental
Riesgos Seguri$a$ .%sica
-erru'"e total o parcial
Atenta$os
Ian$alis'o
4uelgas
!mbiental
Riesgos Seguri$a$ A'"iental
.uego
4u'o
Inun$aci#n
4u'e$a$
Te'peratura
.alla $el siste'a $e ventilaci#n o $el siste'a $e aire

acon$iciona$o
-esastres naturales: sis'os, huracanes, ciclones,

torna$os, tor'entas, ra&os
!mbiental
Controles
.%sicos
Tcnicos
A$'inistrativos
A'"ientales
!mbiental
Controles .%sicos
3uar$ias
*uros
Cercas elctricas
Re+as
Ilu'inaci#n
Cerra$uras
!mbiental
Controles Tcnicos
C'aras
Lectores $e tar+etas $e acceso
I$enti(ica$ores "io'tricos
-etectores $e 'ovi'iento
Alar'as sonoras & visuales
-etectores $e apertura $e puertas o ventanas

!mbiental
Controles A$'inistrativos
)lecci#n a$ecua$a $el sitio
Inventarios & su control peri#$ico
Registros o logs $e los accesos al sitio & su anlisis
Control $e las personas /ue acce$en
)scritorios $e recepci#n & $e vali$aci#n $e

cre$enciales & asistencia
!mbiental
Controles A'"ientales
Detectore$ de (umo
Detectore$ de agua
Detectore$ de cam)io$ im%ortante$ de la tem%eratura del aire
Detectore$ de cam)io im%ortante en la (umedad
Sen$ore$ de contaminacin del aire
In$%eccione$ %or %arte de %er$onal del Cuer%o de !om)ero$
Materiale$ de con$truccin no in&lama)le$
Ca)leado el?ctrico no in&lama)le y en ducto$ adecuado$
Adecuado$ e0tintore$ %ort.tile$

Poltica de Seguridad #sica y !mbiental
Te3to de la propuesta
Conteni$o
Realizar un Anlisis $e Riesgos & repetirlo con una

perio$ici$a$ no 'a&or a J a@os
Con+unto '%ni'o $e riesgos a consi$erar
Se $e"er i'ple'entar, co'o '%ni'o:
Clara delimitacin de la &rontera del medio
Im%edir el &.cil acce$o
Almacenamiento de lo regi$trado %or la$ c.mara$ de

$eguridad
Iluminacin *ue %ermita en todo momento y circun$tancia la

correcta ,i$ualizacin de lo *ue ocurre
Poltica de Gestin de Incidentes
La !olitica $e 3esti#n $e Inci$entes $ocu'enta los

linea'ientos (un$a'entales a respetar para cu'plir
a$ecua$a'ente con el principal servicio $e un Centro
$e Respuesta
!or tratarse $el servicio /ue le $a la raz#n $e e7istir al

Centro, re/uiere especial atenci#n $ocu'entar su
pol%tica & to$os los proce$i'ientos asocia$os
Consi$eraciones previas
)7pectativas
!roactivo: !revenir inci$entes $e seguri$a$
Reactivo: Respon$er inci$entes $e seguri$a$
Apren$er $e lo ocurri$o
La 3esti#n $e Inci$entes $e Seguri$a$ es el con+unto

$e to$as las acciones, 'e$i$as, 'ecanis'os,
reco'en$aciones, tanto proactivos co'o reactivos,
ten$ientes a evitar & eventual'ente respon$er $e
'anera e(icaz & e(iciente a inci$entes $e seguri$a$
/ue a(ecten activos $e una organizaci#n 'ini'izan$o
su i'pacto en el negocio & la pro"a"ili$a$ $e /ue se
repita
.ase !reMInci$ente
.ase Inci$ente
gestiona$o;
.ase !ostMInci$ente
In(or'es
-ocu'entaci#n
interna
In(or'aci#n para
to$a o parte $e la
Co'uni$a$
8"+etivo
In(or'aci#n para
otros Centros $e
Respuesta
-ecisiones:
!ol%ticas
!roce$i'ientos
Capacitaci#n
*anuales
Tutoriales
!ol%ticas,
!roce$i'ientos &
*anuales
Integrantes
> (unciones
Centro $e
Respuesta
prepara$o
Celulare$
in&ormacin
Sitio del Centro
La%to%$
Ser,idore$
E*ui%amiento de red
la)oratorio
Di$%o$iti,o$ de
almacenamiento
Im%re$ora
an.li$i$ &oren$e
e,idencia
entrenamiento
recurrir
Comunidad O)+eti,o
)vento o
inci$ente?
Inci$ente?
68
SI
Se noti(ica al
/uien
report#
SI
68
.ases en la 3esti#n $e un Inci$ente $e Seguri$a$
-eter'inaci#n
Solicitudde
in&ormacin
Reporte
Rcepci#n $e
in(or'aci#n
Internet
La)oratorio
-ocu'entaci#n
interna
P
Reuniones
Co'uni$a$
8"+etivo?
68
SI
Se registra
Inci$ente
$e Seguri$a$
para
gestionar
QQTriagePP
Ciclo
$e Ii$a
$e un
Inci$ente
$e
Seguri$a$
!roactivi$a$
Sustenta$a en
Sen$i)ilizacin
Ca%acitacin y entrenamiento
Te$t$ de "enetracin
Auditor#a$
.ase !reMInci$ente
!ol%ticas,
!roce$i'ientos &
*anuales
Integrantes
> (unciones
Centro $e
Respuesta
prepara$o
Celulare$
in&ormacin
Sitio del Centro
La%to%$
Ser,idore$
E*ui%amiento de red
la)oratorio
Di$%o$iti,o$ de
almacenamiento
Im%re$ora
an.li$i$ &oren$e
e,idencia
entrenamiento
recurrir
Comunidad O)+eti,o
Reactivi$a$
Sustenta$a en
Com%render el incidente
Identi&icar la$ ,ulnera)ilidade$ in,olucrada$
Ai$larla$
Analizar lo$ arte&acto$ in,olucrado$
Recu%erar lo$ $i$tema$ a&ectado$
Eeri&icar *ue ya no $on ,ulnera)le$ %or lo meno$ a lo *ue

oca$ion el incidente
A$e$orar a la organizacin a&ectada $o)re cmo ge$tionar la

in&ormacin ,inculada al incidente
La e,entual recoleccin y %re$er,acin de e,idencia %ara una

%o$i)le in$tancia +udicial'
Reactivi$a$
.ase Inci$ente
gestiona$o;
)vento o
inci$ente?
Inci$ente?
Se noti(ica al
/uien
report#
SI
68
-eter'inaci#n
Solicitudde
in&ormacin
Reporte
Rcepci#n $e
in(or'aci#n
Internet
La)oratorio
-ocu'entaci#n
interna
P
Co'uni$a$
8"+etivo?
SI
Se registra
Inci$ente
$e Seguri$a$
para
gestionar
QQTriagePP
Luego $e la tor'enta .ase !ostMInci$ente

In(or'es
-ocu'entaci#n
interna
In(or'aci#n para
to$a o parte $e la
Co'uni$a$
8"+etivo
In(or'aci#n para
otros Centros $e
Respuesta
-ecisiones:
!ol%ticas
!roce$i'ientos
Capacitaci#n
*anuales
Tutoriales
Reuniones
-e(iniciones
)vento
toda ocurrencia o)$er,a)le en un $i$tema
Inci$ente $e seguri$a$
una ,iolacin o una amenaza de ,iolacin inminente

7intencional o no8 a la$ %ol#tica$ de $eguridad y=o a la$
%ol#tica$ de u$o ace%ta)le de una organizacin
)+e'plos $e )ventos
enviar un correo electr#nico
enviar S!A*
reci"ir un 3)T en un servi$or Te"
enviar un S*S
no $e+ar pasar un seg'ento TC! S>6 en un fire$all
reci"ir un S*S con propagan$a no solicita$a
$e+ar pasar un seg'ento TC! S>6 en un fire$all

)+e'plos $e Inci$entes $e Seguri$a$
acce$o no autorizado a un $i$tema
"or ele,acin de %ri,ilegio$
"or acce$o al arc(i,o de passwords
DoS 7Denial of Service8
En,#o de %a*uete$ mal&ormado$
Flooding de ICM"
$a)ota+e
u$o ina%ro%iado de alg4n $i$tema
Amenaza$ ,#a correo electrnico o ,#a SMS
Ser,idor de una organizacin como re%o$itorio de ,ideo$ no

,inculado$ al tra)a+o
)+e'plos $e Inci$entes $e Seguri$a$
acti,idade$ de Ingenier#a Social
&raude
di$tri)ucin de alg4n malware
/u$ano
Eiru$
com)inacin de alguno$ de lo$ anteriore$ en,iar un correo

electrnico
Referencias
/' Millcrece- M' Mo$$aBo9$Bi- R' Rue&le y M' a+iceB- State o&
t(e "ractice o& Com@%uter Security Incident Re$%on$e Team$
7CSIRT$8- octu)re ;NNJ' En l#nea:
(tt%:==999'cert'org=arc(i,e=%d&=NJtrNNK'%d&'
Internet Security Sy$tem$- Com%uter Security Incident

Re$%on$e "lanning @ "re@%aring &or t(e Ine,ita)le' En l#nea:
(tt%:== document$'i$$'net=9(ite%a%er$=c$ir%lanning'%d&'
N' !ro9nlee y E' /uttman- E0%ectation$ &or Com%uter

Security Incident Re@$%on$e- +unio KOOP' En l#nea:
(tt%:==999'r&c@editor'org=r&c=r&c;JQN't0t'
Referencias
R' S(irey- Internet Security /lo$$ary- Eer$ion ;- ago$to de

;NNR' En l#nea: (tt%:==999'r&c@editor'org=r&c=r&c<O<O't0t'
M' Scar&one- T' /rance y M' Ma$one- Com%uter Security

Incident 2andling /uide S Re,i$ion K- marzo de ;NNR' En
l#nea: (tt%:==c$rc'ni$t'go,=%u)lication$=ni$t%u)$=PNN@TK@
re,K=S"PNN@TKre,K'%d&'
T' Frig(t- 2o9 to De$ign a U$e&ul Incident Re$%on$e "olicy-

octu)re ;NNK' En l#nea:
(tt%:==999'$ecurity&ocu$'com=in&ocu$=K<TR'
Poltica de Proteccin de la Informacin
Propuesta
Con(i$encial
El acce$o a la mi$ma en &orma remota de)er. $er a$egurando la

con&idencialidad y la integridad utilizando alguno$ de lo$ $iguiente$
%rotocolo$: (tt%$- $&t% o $$('
De re*uerir$e- la tran$mi$in de in&ormacin $ecreta $er. ci&rada con

cla,e %4)lica de largo m#nimo de KN;< )it$'
"odr. almacenar$e en e$tacione$ de tra)a+o- $er,idore$- note)ooB$ o

di$%o$iti,o$ de almacenamiento %ort.tile$- a$egurando
con&idencialidad con cla,e de largo m#nimo de KN;< )it$'
No %odr. almacenar$e en $i$tema$ remoto$ %ro%ietario$ de lo$

integrante$ del Centro'
No de)e $er comentada con ninguna %er$ona a+ena al Centro de

Re$%ue$ta'
Propuesta
9so interno
Cuando $e trata de in&ormacin en &ormato lgico- el nom)re del

mi$mo- el ,alor de la 4ltima ,er$in- la &ec(a de creacin- la &ec(a de
(ec(o %4)lico y el ,alor del (a$( $e de)er. almacenar en un
di$%o$iti,o de almacenamiento en una ca+a &uerte in$talada dentro del
$itio del Centro'
Cuando $e trata de in&ormacin en &ormato &#$ico- la mi$ma no %odr.

$alir del $itio del Centro de Re$%ue$ta'
La in&ormacin de u$o interno no de)e $er di&undida &uera del .m)ito

del Centro de Re$%ue$ta'
De)er. e0i$tir control de acce$o a la mi$ma'
El acce$o a la mi$ma en &orma remota de)er. $er a$egurando la

con&idencialidad y la integridad'
En $i$tema$ remoto$ %ro%ietario$ de lo$ integrante$ del Centro $lo

%odr. $er almacenada ci&rada con cla,e de largo m#nimo de KN;<
)it$'
No de)e $er comentada con ninguna %er$ona a+ena al Centro de

Re$%ue$ta'
Propuesta
!0"lica
Cuando $e trata de in&ormacin en &ormato lgico- el

nom)re del mi$mo- el ,alor de la 4ltima ,er$in- la &ec(a
de creacin- la &ec(a de (ec(o %4)lico y el ,alor del (a$(
$e de)er. almacenar en un di$%o$iti,o de
almacenamiento en una ca+a &uerte in$talada dentro del
$itio del Centro'
Cuando $e trata de in&ormacin en &ormato &#$ico- %ara

*ue $ea con$iderada ,.lida y aut?ntica- $iem%re de)e
e0i$tir la mi$ma in&ormacin en &ormato lgico $eg4n lo
e0%re$ado en el %.rra&o anterior'
Poltica de *ifusin de la Informacin
Propuesta
8"+etivo
-eter'inar, para to$a la in(or'aci#n /ue gestiona el

Centro $e Respuesta, a /uienes se pue$e $i(un$ir,
utilizan$o /u 'to$os & con /u 'ecanis'os $e
protecci#n
Alcance
Aplica a to$a la in(or'aci#n /ue gestione el Centro $e

Respuesta )n este conte7to gestionar in(or'aci#n
i'plica alguna $e las siguientes acciones con la
in(or'aci#n: reci"ir, procesar, al'acenar, $estruir,
generar & enviar
Propuesta
Conteni$o
In(or'aci#n reci"i$a
Toda la In&ormacin reci)ida en el Centro de Re$%ue$ta

de)er. %re$er,ar la cla$i&icacin otorgada %or *ui?n la
gener' Una di$minucin del ni,el de cla$i&icacin de)er.
re*uerir *ue %re,iamente *uien la (aya generado otorgue %or
e$crito el con$entimiento corre$%ondiente'
Toda la in&ormacin a$ociada a la ge$tin de un incidente de

$eguridad o a un e,ento $er. cla$i&icada como con&idencial'
Propuesta
Conteni$o
In(or'aci#n procesa$a
Toda in&ormacin %roce$ada en el Centro de Re$%ue$ta

de)er. $er cla$i&icada de acuerdo a lo e0%re$ado en la
"ol#tica de Cla$i&icacin de la In&ormacin'
Toda la in&ormacin %roce$ada en el Centro de Re$%ue$ta

de)er. %re$er,ar la cla$i&icacin otorgada %or *ui?n la gener
y re$%etar la$ condicione$ de di&u$in %or ?l e0%re$ada$' El
cam)io de alguna$ de e$ta$ condicione$ de)er. re*uerir *ue
a %riori $e o)tenga un con$entimiento %or e$crito *ue lo
autorice'
Propuesta
Conteni$o
In(or'aci#n al'acena$a
Eer "ol#tica de Almacenamiento de la In&ormacin'
In(or'aci#n $estrui$a
Eer "ol#tica de De$truccin de la In&ormacin'
In(or'aci#n genera$a
Toda la in&ormacin generada en el Centro de)er. tener

e0%licitada $u cla$i&icacin en )a$e a la "ol#tica de
Cla$i&icacin de la In&ormacin'
Propuesta
Conteni$o
In(or'aci#n envia$a
Si $e trata de in&ormacin generada en el Centro- $e de)er.

di&undir e0%licitando la cla$i&icacin de la mi$ma'
Uuien en,#a la in&ormacin- $iem%re de)e ,eri&icar *ue el

de$tinatario e$ *uien $e de$ea y *ue e$ correcto *ue $ea
reci)ida %or ?l'
Si $e trata de di&u$in de in&ormacin generada %or %er$ona$

o $i$tema$ e0terno$ al Centro de Re$%ue$ta y $e re*uiere
%or %arte del de$tinatario de la mi$ma conocer $u origen-
%re,io a in&ormarlo $e de)e contar con el ,i$to )ueno %or
e$crito de tal autorizacin'
Propuesta
Conteni$o
In(or'aci#n clasi(ica$a co'o Gcon(i$encialH o

GsecretaH
E#a red
E#a di$%o$iti,o de almacenamiento
E#a %a%el
In(or'aci#n con $estino Ju$icial
Ccon&idencialD o C$ecretaD
Re$%on$a)le Legal- Director E+ecuti,o
Regi$tro
Propuesta
Conteni$o
In(or'aci#n ni Gcon(i$encialH ni GsecretaH
A$egurar *ue (aya llegado al de$tino
In(or'aci#n para la prensa
Con $olicitud %re,ia %or e$crito
An.li$i$ de la re$%ue$ta a cargo de: Director E+ecuti,o-

/erente O%eracional- Re$%on$a)le de Di&u$in y
Re$%on$a)le Legal'
Control de integridad de la re$%ue$ta'
Regi$tro
Propuesta
Conteni$o
In(or'aci#n ni Gcon(i$encialH ni GsecretaH
A$egurar *ue (aya llegado al de$tino
In(or'aci#n para la prensa
Con $olicitud %re,ia %or e$crito
An.li$i$ de la re$%ue$ta a cargo de: Director E+ecuti,o-

/erente O%eracional- Re$%on$a)le de Di&u$in y
Re$%on$a)le Legal'
Control de integridad de la re$%ue$ta'
Regi$tro
Poltica de Guarda de la Informacin
Propuesta
8"+etivo
)sta"lecer, para to$a la in(or'aci#n /ue se al'acena

el Centro $e Respuesta, /u tipos $e protecci#n &
control se $e"en i'ple'entar
Alcance
Co'pren$e a to$a la in(or'aci#n al'acena$a en el

Centro $e Respuesta
Propuesta
Conteni$o
Respal$o $e la in(or'aci#n
"rocedimiento de Re$%aldo de la In&ormacin
Sitio $e respal$o
Propuesta
Conteni$o
In(or'aci#n cr%tica
A*uella *ue en ca$o de ,er$e com%rometida en cuanto a

alguna de $u$ %ro%iedade$ de $eguridad- a&ectar#a
$eriamente al due1o de la mi$ma
Seg4n $eccin CIn&ormacin Cr#ticaD del "rocedimiento de

Re$%aldo de In&ormacin
Siste'as cr%ticos
A*uel *ue en ca$o de ,er$e com%rometido en cuanto a

$eriamente la o%eracin del Centro de Re$%ue$ta
Seg4n $eccin CSi$tema$ Cr#tico$D del "rocedimiento de

Propuesta
Conteni$o
In(or'aci#n GsecretaH o Gcon(i$encialH es estaciones

$e tra"a+o & servi$ores
Ci&rado
In(or'aci#n GsecretaH o Gcon(i$encialH
En %a%el o unidad de almacenamiento 7CD- DED- pendrive8

en ca+a &uerte %ro%iedad del Centro in$talada en $u $itio &#$ico
A*uel *ue en ca$o de ,er$e com%rometido en cuanto a

$eriamente la o%eracin del Centro de Re$%ue$ta
Seg4n $eccin CSi$tema$ Cr#tico$D del "rocedimiento de

Propuesta
Conteni$o
Ca$a $ocu'ento $e gesti#n $el Centro
/enerar do$ hashes con &uncione$ de hash di$tinta$ y lo$

,alore$ guardado$ en una unidad de almacenamiento
e0clu$i,a- dentro de ca+a &uerte %ro%iedad del Centro
in$talada en $u $itio &#$ico
6ote"ooOs
Di$%o$iti,o$ de almacenamiento con contenido ci&rado
Servi$ores
Redundancia e integridad
In(or'aci#n $e inci$entes gestiona$os
retenida- al meno$ tre$ a1o$ a %artir de la a%ertura del

mi$mo'
Referencias
ISO=IEC TR KPN<<:;NN<' /e$tin de incidente$ de la

$eguridad de la in&ormacin'
ISO=IEC ;RNNK:;NNQ' Si$tema$ de /e$tin de la Seguridad

de la In&ormacin S Re*ui$ito$'
ISO=IEC ;RNN;:;NNQ7KRROO8' Cdigo de )uena$ %r.ctica$

%ara la ge$tin de la $eguridad de la in&ormacin'

Gestion Incidentes Seguridad

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Gestion Incidentes Seguridad

Загружено:

Авторское право:

Доступные форматы

Proyecto AMPARO

Qu se protege con un CSIRT?

!u"licaci#n $e !ol%ticas & !roce$i'ientos

Relaciones entre $i(erentes CSIRT

)sta"leci'iento $e 'e$ios $e co'unicaci#n

*ane+o $e in(or'aci#n, proce$i'ientos & pol%ticas

-escripci#n $el CSIRT

.or'as $e noti(icaci#n $e Inci$entes

!ersonal /ue integra un CSIRT

In(raestructuras Cr%ticas: Agricultura, )nerg%a,

In(raestructuras $e In(or'aci#n: Internet, 4ar$5are,

-escripci#n $el CSIRT

.or'as $e 6oti(icaci#n $e Inci$entes

-iversi$a$ $e conoci'ientos tecnol#gicos

!ersonali$a$: ha"ili$a$ $e co'unicaci#n & relaci#n

!ersonas $e$ica$as, innova$oras, $etallistas, (le7i"les &

)7periencia en el rea $e seguri$a$ $e la in(or'aci#n

!ue$an asu'ir (unciones $e: gerente, l%$er $e e/uipo &2o

8tras .unciones: personal $e apo&o, re$actores tcnicos,

)le'entos: alcance, o"+etivo, i$enti(icaci#n $e roles,

!ar'etros para su esta"leci'iento

Razones /ue i'pi$an su aplicaci#n

I'ple'entaci#n, 'anteni'iento & e+ecuci#n

Anlisis, Resoluci#n & Cierre

9rgencia: $epen$e $el

Asignaci#n $e re(erencia: al inci$ente se le asignar una re(erencia /ue le i$enti(icar

Registro inicial: se han $e intro$ucir en la "ase $e $atos asocia$a la in(or'aci#n "sica

In(or'aci#n $e apo&o: se incluir cual/uier in(or'aci#n relevante para la resoluci#n $el

)sta"leci'iento $el nivel $e priori$a$: $epen$ien$o $el i'pacto & la

Asignaci#n $e recursos: si el Centro $e Servicios no pue$e resolver el

*onitorizaci#n $el esta$o & tie'po $e respuesta espera$o: se asocia un

Anlisis: se e7a'ina el inci$ente con a&u$a $e la "ase $e $atos $e conoci'iento

Resoluci#n: Si la resoluci#n $el inci$ente se escapa $e las posi"ili$a$es $el

Cierre: cuan$o se ha&a soluciona$o el inci$ente se:

Con(ir'a con los usuarios la soluci#n satis(actoria $el 'is'o

Incorpora el proceso $e resoluci#n a la "ase $e $atos $e conoci'iento

Reclasi(ica el inci$ente si (uera necesario

Actualiza la in(or'aci#n en la "ase $e $atos $e gesti#n $e con(iguraciones

*o$elo )/uipo $e Seguri$a$

*o$elo "asa$o en el !ro$ucto

*o$elo "asa$o en los Clientes

)spacio & *ovili$a$

!icos & Rui$os )lectro'agnticos

Seguri$a$ .%sica $el Local

Asegura'iento contra situaciones 4ostiles

La convergencia $e los siste'as 'ultiplica e7ponencial'ente los

Cuan$o se $ise@a un siste'a se lo hace en "ase a su operativi$a$ &2o

Las tecnolog%as involucra$as en estos procesos con$icionan las tcnicas

Algunos pocos 'to$os real'ente nove$osos $e in(iltraci#n ponen en

La seguri$a$ es un esta$o 'ental, la seguri$a$ per(ecta re/uiere un nivel $e

)l $esarrollo $e so(t5are es una GcienciaH i'per(ectaA & co'o tal es vulnera"le

-ecisi#n (un$a'ental para un centro $e respuesta

-e(inici#n $e la estructura $el centro $e respuesta

.actores para $e(inir el 'o$elo a$ecua$o

Servicios /ue se van a proporcionar

8"ligaciones & autori$a$

Centro $e respuesta centraliza$o

Centro $e respuesta $istri"ui$o

6o'"re $el centro $e respuesta

6o ha& ning0n re/uisito

6o'"res actuales "asa$os en la reputaci#n

Algunos no'"res (recuentes

-epen$e $e los o"+etivos

6o necesaria'ente es el sector al /ue pertenece la