Diseo y dimensionamiento de un equipo de un

equipo de respuesta ante incidentes de seguridad

informtica (CSIRT). Caso de estudio: ESPE
Roberto Andrade
Direccin de posgrado, Escuela Politcnica del Ejrcito,
Sangolqu-Ecuador
robertoandrade533@hotmail.com

Resumen El presente artculo se enfoca en el

diseo y dimensionamiento de un equipo de respuesta ante
incidentes informticos (CSIRT) para la Escuela
Politcnica del Ejrcito. En este contexto se ha realizado
una recopilacin de informacin del estndar ISO/IEC
27035, la gua NIST SP 800-61, el modelo de gestin
ITILv3 y las directrices del CERT/CC, relacionado con
grupos de incidentes de seguridad informticos para ser
aplicados a la implementacin del CSIRT acadmico. Para
que el CSIRT apoye a los objetivos estratgicos de la ESPE
se determin los factores crticos de xito (CSF) de la
Institucin y se analiz el esquema de seguridad
informtica existente en la ESPE comparados con los
controles definidos en la norma ISO/IEC 27002; esta
observacin se efectu realizando el anlisis de riesgo
conforme la gua NIST 800-30 y la herramienta de
evaluacin de seguridad CSET 4.0 del US-CERT. La
factibilidad financiera se determin en base al anlisis de
costo beneficio, considerando el presupuesto referencial
para la implementacin del CSIRT y el valor de la
resolucin de incidentes, aplicando el Proyecto de
Modelacin y Anlisis de Costo de Incidentes - ICAMP-II.
La validacin de la eficiencia y operatividad de los
procesos de manejo de incidentes de seguridad informtica
de la ESPE, se efectu mediante simulaciones de varios
escenarios utilizando la herramienta SIMPROCESS.
Palabras clave; CSIRT; grupo de respuesta ante
incidentes informticos, NIST: Instituto Nacional de Estndares
y Tecnologa, CERT/CC: equipo de respuesta a emergencias
computacionales, ICAMP-II: proyecto de modelado y anlisis de
costo de incidentes.

I.

INTRODUCTION

El crecimiento en la penetracin de Internet en Ecuador al

31.4 % al ao 2011, segn los datos del INEC (2011) est
relacionado con el desarrollo de los servicios electrnicos
asociados con la actividad social, comercial, financiera,
educativa, salud, entre otras de la sociedad, conforme lo indica
el Foro Mundial Econmico en su reporte Global de
Tecnologa de Informacin del 2012 (Foro Mundial

Walter Fuertes, PhD.

Direccin de posgrado, Escuela Politcnica del Ejrcito,
Sangolqu-Ecuador
wmfuertesd@espe.edu.ec

Econmico, 2012). Sin embargo ha existido tambin un

aumento en las amenazas informticas que tienen como
finalidad robar informacin personal, realizar ataques de
denegacin de servicio, realizar fraudes con tarjetas de crdito
o afectar a la imagen de una institucin, como lo demuestran
en sus reportes anuales de ataques informticos varias
organizaciones relacionadas con temas de seguridad como es
el caso de SYMANTEC (2012)
Esto ha obligado a las organizaciones a realizar un anlisis
ms profundo acerca de la seguridad de la informacin y
comprender que la implementacin de mecanismos de
seguridad como firewalls, herramientas antivirus y anti-spam,
es solo parte de una arquitectura de seguridad, que debe
integrar polticas, estndares, normas, modelos de gestin de
tecnologa y operaciones de seguridad, para minimizar el
impacto ante un ataque a la actividades de la organizacin
(Gonzles R. , 2005).
Las organizaciones han entendido que si los mecanismos
de proteccin implementados fallan, es necesario contar con
procesos estructurados y personal especializado que maneje
los incidentes de seguridad de informacin y restablezca los
sistemas en el menor tiempo posible (Georgia, 2003). De esta
manera lo comprendi el Gobierno de Estados Unidos cuando
en el ao de 1998 un gusano de internet Morris afecto al 10%
de las mquinas en Internet de esa poca, incluyendo a las de
la NASA y provocando prdidas estimadas en los 96 millones
de dlares (Rajnovic, 2011), que llevo a la creacin del primer
grupo de respuesta ante incidentes computacionales
(CERT/CC).
El objetivo de establecer grupo de respuesta ante
incidentes informticos denominados CERT, CSIRT o CIRT,
es contar con un punto nico de contacto en las organizaciones
para la recepcin de notificaciones de seguridad, manejo de
incidentes y anlisis de vulnerabilidades en los recursos y
servicios que soportan a la informacin (Haller, 2011).
Muchos pases a nivel mundial han considerado la
implementacin de estos grupos como punto de contacto a
nivel nacional
ante eventos de seguridad informtica
(Killcrece, 2004)
Varias universidades han cumplido un rol principal en la
implementacin de los CSIRT nacionales, es as el caso de la

Universidad de Carnegie Mellon en la que se estableci el

primer grupo de respuesta ante incidentes y las universidades
Autnoma de Mxico, de Chile, Nacional de Asuncin de
Paraguay que son parte de los CERT de sus respectivos pases
(Universidad Carnegie Mellon, 2004)

relacionados y en la seccin V se presentan las conclusiones y

lneas de trabajo futuras en base a los resultados obtenidos.

A nivel latinoamericano la implementacin de CSIRTs

acadmicos ha tomado fuerza en los ltimos aos y existe al
menos un grupo de respuesta a incidentes de este tipo en cada
pas de la regin exceptuando actualmente a Bolivia y Per
(Ministerio de Comunicaciones-Repblica de Colombia,
2008). En el caso particular de Ecuador la Universidad
Tcnica Particular de Loja UTPL, cuenta con un CSIRT
acadmico implementado en el 2008 como parte del proyecto
AMPARO y del trabajo de tesis de REBECA PILCO
Creacin de un equipo de respuesta para la Universidad
Tcnica Particular de Loja - UTPL (Pilco, 2008) y la Red
Nacional de Investigacin y Educacin del Ecuador CEDIA
implemento en el ao 2012 un CSIRT con la finalidad de ser
un punto de contacto de las universidades ecuatorianas.

A. Marco Terico
Para el anlisis de factibilidad tcnica y financiera de la
implementacin del CSIRT de la ESPE, se realiz la
recopilacin de los procesos de gestin de incidentes de
tecnologa definidos en el modelo de gestin ITILv3 (United
Kingdoms Cabinet Office, 2011), la norma ISO/IEC 27035
(International Organization for Standardization, 2011), la gua
NIST SP 800-61 rev2 (National Institute of Standards and
Technology, 2011), el manual de gestin de incidentes del
proyecto AMPARO (LACNIC, 2010) y las publicaciones
realizadas por el CERT/CC de la Universidad Carniege
Mellon (2004), sobre la cual se sustent el dimensionamiento
de la infraestructura tecnolgica y la estructura organizacional
del CSIRT (Georgia, 2003).

La Escuela Politcnica del Ejrcito ha tenido en cuenta

que no est exenta de riesgos que afecten a la seguridad de su
informacin y la importancia de mantener la disponibilidad de
los servicios tecnolgicos para el cumplimiento en sus
actividades diarias, por lo que se ha enfocado en el
mejoramiento de los controles de seguridad informtica como
se presenta en el trabajo propuesto por Patricio Moscoso y
Ricardo Guangalango (2011), Evaluacin tcnica de la
seguridad informtica del data center de la Politcnica del
Ejrcito y el manejo de requerimientos de tecnologa por
parte de la comunidad acadmica de la Institucin que se
presenta en el trabajo de Alejandra Cuadros y Gabriela
Velsquez (2011), Anlisis, rediseo e implantacin de los
procesos basados en ITIL, para el rea de gestin y soporte
tcnico de la Unidad de Tecnologa de Informacin y
Comunicacin de la Escuela Politcnica del Ejrcito

En base a la informacin recopilada se observ que el

proceso de implementacin del CSIRT, se conforma de cinco
etapas con objetivos y actividades especficas (ver Figura 1).

En funcin a la misin de la ESPE en la formacin

profesional, la investigacin y la vinculacin con la
comunidad, la implementacin de un CSIRT acadmico a ms
de la proteccin a la informacin y servicios de la Institucin,
aportar a la creacin de nuevos grupos especializados en el
pas y al foment de una cultura de seguridad informtica en la
sociedad (West-Brown, 1998).
En este contexto este artculo se enfoca en el proceso de
diseo y dimensionamiento del equipo ante respuesta de
incidentes para la Escuela Politcnica del Ejrcito, aplicando
las directrices definidas en la norma ISO/IEC 27035
(International Organization for Standardization, 2011), la
NIST 800-61, ITIL v3 y publicaciones del CERT/CC para la
implementacin del CSIRT acadmico, considerando la
realidad de las universidades pblicas del pas,
especficamente la ESPE en base a sus recursos tecnolgicos,
humanos y financieros disponibles y a su misin institucional.
El artculo ha sido estructurado de la siguiente manera: En
la seccin II se describe la metodologa empleada para el
anlisis de factibilidad tcnica y financiera para la
implementacin del CSIRT, en la seccin III se presentan los
resultados obtenidos y un breve anlisis de los mismos, en la
seccin IV se evala el aporte de la investigacin a trabajos

II.

METODOLOGA

Etapa 1.Alistamiento y definicin de procedimientos.

Etapa 2.Capacitacin y entrenamiento.
Etapa 3.Gestin de alertas e investigacin.
Etapa 4. Respuesta a incidentes y apoyo a la comunidad.
Etapa 5. Operacin, revisin y mejoramiento continuo.

CSIRT

ETAPA I

ETAPA II

ETAPA III

ETAPA IV

ETAPA V

Alistamiento y
definicin de
procedimientos

Capacitacin y
entrenamiento

Gestin de
alertas e
investigacin

Respuesta a
incidentes y
apoyo a la
comunidad

Operacin
revisin y
mejoramiento
continuo

-Definir constitucin y
alcance
-Determinar estructura
organizativa
-Determinar los
servicios

-Establecimiento de
relaciones de confianza
-Recopilacin de
informacin acerca de
incidentes de seguridad
informtica

-Categorizacin y
priorizacin de
incidentes y amenazas
-Anlisis de incidentes
de seguridad informtica
-Definicin de
procedimiento para el
manejo de incidentes de
seguridad informatica

-Manejo de incidentes
-Generacin de
advertencias a la
comunidad
-Notificacin de
mejores prcticas de
seguridad informtica

-Generacin de
intercambio de
experiencias e
informacin para
mejorar la
administracin de
incidentes de seguridad
-Generacin de
reportes de incidentes
y vulnerabilidades
detectadas o
informadas.

Figura 1. Etapas y actividades para la implementacin de un

CSIRT.

B. Diseo y Dimensionamiento del CSIRT

a. Evaluacin de la estructura organizacional y
controles de seguridad de la ESPE.
Para el diseo y dimensionamiento del CSIRT-ESPE se
analiz la estructura organizacional de la Institucin, a fin de

determinar los factores de xito crtico (Caralli, 2004), en

funcin de los cuales se establecieron la misin, visin y
servicios del CSIRT (Killcrece, 2004); posteriormente se
evalu los controles de seguridad informtica de la ESPE
sobre los que se apoya el grupo de manejo de incidentes
(ISO/IEC 27032, 2012).
La evaluacin de seguridad se realiz mediante el anlisis
de riesgo conforme a la gua NIST SP 800-30 (2012) y el
reporte generado por la herramienta de evaluacin de
seguridad CSET4.0 del US-CERT (2011), utilizando los datos
obtenidos de los proyectos de tesis (Evaluacin tcnica de la
seguridad informtica del data center de la Politcnica del
Ejrcito y Anlisis, rediseo e implantacin de los procesos
basados en ITIL, para el rea de gestin y soporte tcnico de la
Unidad de Tecnologa de Informacin y Comunicacin de la
Escuela Politcnica del Ejrcito), de encuestas realizadas a
personal de la UTIC, y de los procesos de contratacin
pblica realizados por la Institucin en los ltimos 4 aos.

incidente de virus KIDO presentado en la ESPE en el ao

2012 y el presupuesto referencial de implementacin del
CSIRT.

Otros
Email
IDS

Deteccin
y anlisis

Formulario de
incidente
Formulario de
vulnerabilidad

Help Desk
Proveedores/ISP

Triage

Solicitar
Informacin

Reportar
incidente

Reportar
Vulnerabilidad

Anlisis

Adicionalmente se realiz un anlisis de la situacin

actual de los CSIRT acadmicos en Latinoamrica para
contrastar con la propuesta planteada para la ESPE, a fin de
verificar que la misma es factible de implementacin basada
en casos de xitos en latinoamericana.

Obtencin de
informacin
del contacto

Manejo de
incidente

Brindar
asistencia
tcnica

b. Procesos de gestin de incidentes de la CSIRTESPE.

El proceso de gestin de incidentes aplicado al CSIRT de
la ESPE, se conforma de tres subprocesos (Alber, 2004):
deteccin y anlisis, manejo de incidente y cierre del incidente
(ver Figura 2).
En la etapa de deteccin y anlisis se recepta la
informacin de incidentes va email, requerimientos al help
desk, o logs de los recursos tecnolgicos; est informacin se
registra en formularios en los que se detalla adicionalmente
datos como: nombre del informante, correo electrnico,
nmero telefnico, sistema o servicio afectado, fecha del
incidente y si existen otros usuarios afectados. La informacin
recopilada es analizada en un proceso denominado triage, en
el cual se clasifica el incidente y se prioriza los recursos
humanos y tecnolgicos de acuerdo al nivel de impacto, para
proceder a su resolucin y posterior proceso de cierre del
requerimiento recibido.
c. Evaluacin de la factibilidad financiera CSIRT
de la ESPE
Basndose en los datos obtenidos del diagnstico de la
estructura organizacional, tecnolgica y de seguridad de la
ESPE, se dimension los componentes y rubros relacionados
con el hardware, software, personal y capacitacin para la
futura implementacin del mismo en la Institucin (Rajnovic,
2011). Posteriormente se procedi a la evaluacin del costo
beneficio de la implementacin del CSIRT, tomando como
referencia el valor de la resolucin de incidentes de seguridad
informtica propuesta en el proyecto de modelado y anlisis
de costo de incidentes ICAMP-II (USENIX, 2011), para el

Coordinar
informacin y
respuesta

Cierre del
incidente

Resolucin del
incidente

Figura 2. Proceso de manejo de incidentes de seguridad

informtica del CSIRT.

d. Simulacin de los procesos de gestin de

incidentes CSIRT-ESPE
Para evaluar las mejoras en los tiempos de resolucin, la
distribucin de carga de requerimientos y el nmero de
incidentes de informticos de seguridad resueltos
exitosamente, por parte del personal de la UTIC de la ESPE, al
contar con procesos estructurados y capacitacin en seguridad
informtica, se realizaron simulaciones de diferentes
escenarios de manejo de incidentes de seguridad informtica
utilizando la herramienta SIMPROCESS (2012).
III.

EVALUACIN DE LOS RESULTADOS Y DISCUSIN

El anlisis de factibilidad tcnica y financiera permiti

contribuir con la presentacin de la propuesta para la
implementacin del CSIRT de la ESPE, evaluando
componentes de hardware, software, personal y capacitacin
necesarios, as como su rubro asociado.
Considerando que la ESPE es una institucin acadmica
estatal sin fines de lucro que no est exenta de ataques de
seguridad que afecten negativamente a la Institucin; se
realiz la evaluacin del costo del cdigo malicioso (KIDO),

el cul afecto a un total de 40 mquinas por un perodo de 4

das a la ESPE en el 2012. La estimacin se realiz aplicando
la propuesta del proyecto ICAMP-II, obtenindose como
resultado un valor de $16.742 con una desviacin de $2.500.
Del anlisis del costo beneficio de contar con un CSIRT, se
determin que en caso de presentarse un ataque similar
existir una rentabilidad igual al valor del obtenido si el ataque
fuera exitoso ($16.742), adems de la contribucin al
fortalecimiento de una cultura de seguridad informtica en la
sociedad. Un factor a tomar en cuenta en el CSIRT acadmico
es el recurso humano existente (estudiantes, profesores e
investigadores) en la ejecucin de investigaciones futuras
relacionadas
Aunque del presupuesto referencial obtenido para la
implementacin puede ser alto para una institucin acadmica
(ver Tabla 1), este se compensa con el recurso humano
disponible para investigacin.
El CSIRT puede operar inicialmente utilizando la
infraestructura tecnolgica existente en la Institucin y
mediante el uso de herramientas de cdigo abierto. El contar
con procesos estructurados genera rentabilidad econmica al
no tener costos indirectos relacionados con el tiempo
destinado por personal de la UTIC a resolver incidentes de
seguridad informtica.
TABLA 1. Presupuesto referencial CSIRT de la ESPE.
Presupuesto Referencial
Rubro

Tabla 2), en base a lo cual se defini los servicios a ofertar por

el CSIRT, as como su misin, visin, polticas, relaciones de
confianza, priorizacin y mtricas de evaluacin (Dorofee &
Kilcrece, 2007).
TABLA 2. Mejoras a los controles de seguridad de la ESPE.
Factores de xito crtico
Gestin de cumplimientos
de acuerdos

Planes de seguridad
informtica

Programas de capacitacin
y entrenamiento

a.

Servicios CSIRT
1.Manejo y resolucin de incidentes
2.Configuracin y mantenimiento de
herramientas de seguridad, aplicaciones e
Infraestructura
3. Auditoras de seguridad y alertas.
1.Configuracin y mantenimiento de
herramientas de seguridad, aplicaciones e
Infraestructura
2.Planeamiento de
recuperacin ante
desastres y continuidad del negocio
3. Planeamiento de polticas de seguridad.
1.Entrenamiento y educacin

Misin CSIRT de la ESPE

La misin determinada para el CSIRT de la ESPE en base

al anlisis organizacional de la Institucin es la siguiente:
Brindar el servicio de manejo de incidentes informticos a la
comunidad acadmica de la ESPE, a travs de auditoras y
planes de seguridad informtica, que permitan garantizar la
disponibilidad de los servicios tecnolgicos de la Institucin.

b.

Visin CSIRT de la ESPE

Unidad

Plataforma tecnolgica

$22.385,00

Gastos operativos
Equipos de oficina
Arriendo servicios bsicos
Especializacin
TOTAL

$280.980,00
$51.555,00
$5.400,00
$16.600,00
$376.920,00

En base al anlisis de seguridad realizado con la

herramienta CSET4.0 se determin las mejoras a realizarse en
los controles de seguridad existentes en la ESPE (ver Figura
3).

La visin definida para el CSIRT de la ESPE en base al

anlisis organizacional de la Institucin se defini como:
Consolidarse dentro de la Institucin como un organismo de
apoyo y asesora para la comunidad acadmica para el
mejoramiento de la seguridad informtica en los diferentes
recursos tecnolgicos de la ESPE y fomentar la participacin
de la comunidad acadmica en temas relacionados con la
seguridad de la informacin.

c.

Polticas del CSIRT de la ESPE

De acuerdo al anlisis a los controles de seguridad de la

norma ISO/IEC 27002 (International Organization for
Standardization, 2007) evaluados para la ESPE, para el
funcionamiento eficiente del CSIRT se debe implementar las
siguientes polticas:

Figura 3. Mejoras a los controles de seguridad de la ESPE.

Evaluando la estructura organizacional de la ESPE se

determin los factores de xito crtico de la Institucin (ver

Poltica de seguridad de la informacin

Poltica de usuarios

Poltica de transmisin de informacin

Poltica de notificacin de incidentes

Poltica de tratamiento de incidentes

d.

Establecimiento de relaciones de confianza

para el CSIRT de la ESPE

El establecimiento de relaciones de confianza permite

mejorar los procesos de manejo de incidentes, a travs del
intercambio de informacin entre grupos similares. A nivel
local se estable acuerdos con:

CSIRT-CEDIA

CSIRT-SUPERTEL

e.

FIRST

OAS

ITU-D

IMPACT

AP-CERT

Mtricas para la evaluacin del cumplimiento

y desempeo del CSIRT.

La eficiencia de los procesos de manejo de incidentes

de seguridad informtica requiere de su monitoreo continuo
por lo cual se establecieron mtricas de evaluacin (vase
Tabla 5).
TABLA5. Mtricas de evaluacin de los procesos de manejo de
incidentes.
Descripcin

CSIRT-FFAA
Mientras que a nivel internacional las relaciones de
confianza se establecen con:

f.

Mantenimiento
de la Calidad
del Servicio

Mantenimiento
de satisfaccin
al cliente

Priorizacin manejo de incidentes

La priorizacin del manejo de incidentes de la ESPE se

determina en base al anlisis de riesgo realizado y los tiempos
de resolucin son establecidos en concordancia con el modelo
de gestin ITIL v3 utilizado en la UTIC (vase Tablas 3 y 4).

Resolucin de
incidentes en
los tiempos
establecidos

TABLA 3. Priorizacin manejo de incidentes.

Priorizacin
manejo de
incidentes

ALTA

MEDIANA

BAJA

Impacto
Servicio
1.Sistema de Gestin
Administrativa
2. Sistema Financiero
3. Sistemas de Gestin
acadmica
1.Portal de servicios
Institucionales
2.Correo electrnico
Institucional
1.Servicios de Internet
2.Repositorios de FTP
3.Telefona

Vector de amenaza
1.Actividad de cdigo
malicioso
2.Vulnerabilidad de
Parches
1.Actividad de
reconocimiento
2.Deformacin WEB
3.Spam
1. Denegacin de
servicio.
2.Uso no autorizado

TABLA 4. Tiempo de resolucin de incidentes.

Ponderacin del
riesgo

Mtrica
Nmero de incidentes de severidad Alta.
Nmero de incidentes severidad Mediana y Baja.
Nmero de otros incidentes.
Nmero de incidentes incorrectamente categorizados.
Nmero de incidentes incorrectamente escalado.
Nmero de incidentes que no pasaron por el Help
Desk.
Nmero de incidentes que no fueron cerrados o
resueltos sobre las horas.
Nmero de incidentes resueltos antes de que el
usuario notifique.
Nmero de incidentes abiertos nuevamente.
Nmero de usuarios/clientes encuestas enviadas.
Nmero de encuestas respondidas.
Promedio de puntaje encuesta a usuario (total o por
categora de pregunta).
Promedio de tiempo de espera antes de la respuesta al
incidente.
Nmero de incidentes registrados.
Nmero de incidentes resueltos por Help Desk.
Nmero de incidentes intensificados por Help Desk.
Tiempo promedio para restablecer el servicio desde la
primera llamada.
Tiempo promedio para restaurar la severidad del
incidente.
Tiempo promedio para restaurar la urgencia del
incidente.

Accin y perodo de ejecucin

Respuesta postTiempo de respuesta
incidente

ALTO

1 hora

SI

MEDIANO

4 horas

No, al menos que sea

requerido

BAJO

Siguiente da laboral

NO

g.

Simulacin
incidentes

de

procesos

de

gestin

de

Los resultados obtenidos al contar con procesos de gestin

de incidentes de seguridad informticos como parte del CSIRT
de la ESPE, se determinaron en base a simulaciones realizadas
con la herramienta SIMPROCESS (vase Figura 4).
En la simulacin se consideraron varios parmetros como:
ponderacin de los incidentes, personal del CSIRT, tiempos de
resolucin entre otros. Los tiempos para la ejecucin de los
diferentes procesos del manejo de incidentes, se establecieron
de acuerdo a recomendaciones definidas en el modelo de
gestin ITILv3, y los niveles de escalamiento de acuerdo al
proceso establecido actualmente en la UTIC (ver Tabla 6).
Para las diferentes simulaciones se utiliz un valor
promedio de 100 requerimientos diarios realizados al Help
Desk de la ESPE, de acuerdo a los reportes obtenidos de la
herramienta de administracin de tickets Service Desk,
utilizada por la UTIC para la gestin de incidencias
informticas y requerimientos de TI solicitados por la
comunidad acadmica de la ESPE.

Categora de incidentes: Se defini tres entidades

que hacen referencia a los niveles de ponderacin de
incidentes de seguridad informticos: Alta, Mediana y Baja
(ver Figura 5). Estos valores son iguales para los 4 escenarios
de anlisis.

Figura 5 Ponderacin de incidentes definidos en SIMPROCESS.

Figura 4. Proceso de manejo de incidentes simulado en

SIMPROCESS.
TABLA 6. Tiempos de resolucin y niveles de escalamiento UTIC.
Tiempo
de
resolucin
Soporte primer nivel
30 min
Soporte segundo nivel
60 min
Soporte tercer nivel
4 horas
Proveedores
24 horas
Niveles de soporte

Niveles de escalamiento
Help Desk
Redes y comunicaciones
Sistemas de informacin
Proveedores/CSIRTs

Nomenclatura
GT1
GT2
GT3
GT4

Recursos: Para el proceso de simulacin se tom en

cuenta el nmero de personal de la UTIC en Help Desk, y en
soporte de segundo (GT2) y tercer nivel (GT3) de la UTIC,
que est asignado en el manejo de incidentes informticos.
Adicionalmente se consider la contratacin de un experto
certificado en incidentes de seguridad (Incident Handler) para
personal del CSIRT.
En la herramienta SIMPROCESS, las reas de Help
Desk, GT2 y GT3 definen en el campo resources, y la
cantidad de personal para cada rea se define en el campo
Global Attribute Definitions (ver Figuras 6 y 7).

La simulacin se realiz analizando cuatro escenarios

diferentes que se describen a continuacin:

Escenario 1: Proceso de manejo de incidentes en el que

se cuenta con un experto en seguridad y documentacin
organizada bajo el modelo de gestin ITILv3. Los
incidentes de seguridad informtica son resueltos por el
personal del CSIRT, Help Desk y soporte de segundo y
tercer nivel de la UTIC.

Escenario 2: Proceso de manejo de incidentes en el que

no se cuenta con un experto en seguridad y
documentacin organizada bajo el modelo de gestin
ITILv3. Los incidentes de seguridad informtica son
resueltos por el personal del Help Desk y soporte de
segundo y tercer nivel de la UTIC.

Escenario 3: Proceso de manejo de incidentes en el que

no se cuenta con un experto en seguridad ni
documentacin organizada bajo el modelo de gestin
ITILv3. Los incidentes de seguridad informtica son
resueltos por el personal del Help Desk y soporte de
segundo y tercer nivel de la UTIC.

Escenario 4: Proceso de manejo de incidentes en el que

se cuenta con dos expertos en seguridad y documentacin
organizada bajo el modelo de gestin ITILv3. Los
incidentes de seguridad informtica son resueltos por el
personal del CSIRT, Help Desk y soporte de segundo y
tercer nivel de la UTIC.

Para la simulacin se establecieron los siguientes

parmetros en la herramienta SIMPROCESS.

Figura 6. Definicin de las reas de TI en la herramienta SIMPROCESS.

Figura 7. Definicin del nmero de personal en cada rea de la UTIC

Registro: Se consider para la etapa de registro de

incidentes, que la notificacin pueden venir de diferentes
fuentes hacia el personal del Help Desk y del CSIRT (Incident
Handler). Se estima el tiempo de 1 minuto para que el
personal notificado registre la incidencia.
Triage: Para este proceso se consideraron las
siguientes variantes en los escenarios de anlisis; primero se
consider que la evaluacin del incidente (categorizacin y
priorizacin) debe realizarse por parte de un experto
certificado en seguridad con un tiempo estimado de 10
minutos. En el segundo y tercer escenario se considera que no

se cuenta con un experto en seguridad certificado y la

evaluacin la realiza el personal de Help Desk con un tiempo
de resolucin de 30 minutos (ver Figura 8).

Las simulaciones realizadas permitieron determinar

los siguientes resultados:
Nmero de incidencias resueltas: En los escenarios en los
que no se contaba con personal experto en seguridad
informtica (Incident Handler), se present valores menores
de incidencias resueltas; en el escenario 4, donde se consider
un experto de seguridad adicional el nmero de incidencias
resueltas prcticamente se duplic, especialmente en la
categorizadas con ponderacin Alta (ver Figura 10).

Figura 8. Definicin del proceso de Triage en SIMPROCESS.

Anlisis: Para esta parte del proceso se consideraron

para las simulaciones dos variantes de escenarios. En el primer
escenario las incidencias categorizadas como altas son
analizadas por personal del CSIRT, de Help Desk y de soporte
de segundo y tercer nivel de la UTIC. Para el segundo
escenario no se cuenta con personal de CSIRT y el proceso de
anlisis es efecta por personal de Help Desk y de soporte de
segundo y tercer nivel de la UTIC (ver Figura 9).

Obtencin de registros (Registration): En esta etapa

del proceso se simul el contar con registros de incidentes
ocurridos anteriormente. La simulacin en esta etapa del
proceso comprende dos variantes de escenarios. En el primero
que se cuenta con documentacin estructurada de incidencias
anteriores o procedimientos de manejo de incidentes en un
valor de 80%; Para el segundo escenario se consider el caso
contario con una existencia limitada documentacin de un
valor del 20%.

Porcentaje de ocupacin del personal: En los escenarios en

los que no se contaba con personal experto en seguridad
informtica (Incident Handler), se present mayor porcentaje
de ocupacin del personal del Help Desk, debido a que estos
se encontraban recibiendo requerimientos y atendiendo
incidencias. Adicionalmente el tiempo que el personal de Help
Desk requiere para analizar una incidencia y ofrecer el
tratamiento es mayor debido a que no cuenta con una
especializacin en seguridad informtica.
En el escenario 3, donde no se contaba con documentacin
organizada se present un incremento en el grado de
ocupacin del personal de soporte de segundo nivel (GT2),
debido a que a que se gener mayor escalamiento de
incidencias por parte del Help Desk, al no tener procesos
definidos para el manejo de incidentes.
En el escenario 4 se present un incremento en la
ocupacin del personal de las diferentes reas, debido a que se
resolvi un mayor nmero de incidencias en el mismo perodo
de tiempo (ver Figura 11).
Costos: En los escenarios en los que se contaba con
personal experto en seguridad informtica (Incident Handler),
se present un mayor costo del valor a pagar al personal por la
resolucin de incidentes, esto es debido a que el valor salariohora del personal certificado es mayor. Si se analizan el
nmero de incidencias de ponderacin Alta resueltas y el costo
de incidente que podra generarse debido al impacto de estas
incidencias, se tiene una buena relacin costo beneficio de
contar con personal especializado.

Figura 9. Definicin de procesos de anlisis de incidencias

Nota: Evl Inc Alta incluye a personal del CSIRT, HELP DESK y
Soporte de segundo y tercer nivel.
Evl Inc Media incluye a personal del HELP DESK y Soporte
de segundo y tercer nivel.
Evl Inc Baja incluye a personal del HELP DESK.

Figura 10. Simulacin de nmero de incidencias resueltas.

investigaciones afines y el apoyo al mejoramiento de la cultura

de seguridad informtica de la sociedad. Mediante las
simulaciones realizadas a los procesos de manejo de
incidentes se valid la eficiencia y operatividad de los mimos,
as como el incremento en el nmero de incidencias resueltas
satisfactoriamente en menor tiempo.

Figura 11. Simulacin de porcentaje de ocupacin del personal

Un aporte adicional de las simulaciones realizadas, es la

verificacin de la importancia de contar con procesos de
documentacin de las incidencias presentadas y la
capacitacin del personal de tecnologa en gestin de
incidentes de seguridad, a fin de mejorar los tiempos de
resolucin y la reduccin de escalamientos incorrectos a
personal de mayor nivel de especializacin.
IV.

TRABAJOS RELACIONADOS

Actualmente la implementacin de CSIRTs est enfocada

a organizaciones con fines de lucro, en las cules se puede
justificar la inversin financiera frente al costo de incidentes
de seguridad informtica, que afectan a la continuidad del
negocio, la perdida de informacin o al deterioro de la imagen
institucional. Por tal motivo existe limitada documentacin
sobre la implementacin de CSIRTs acadmicos, por lo cual
esta tesis aporta a la evaluacin de los mismos a nivel
latinoamericano y aplicacin de las etapas de implementacin
definidas en las publicaciones del CERT/CC, la gua NIST SP
800-61 y la norma ISO/27035 para el CSIRT acadmico. En
este trabajo adicionalmente contribuye a establecer la
justificacin de la inversin econmica en base a el anlisis de
costo beneficio, mediante la validacin del modelo de costo de
anlisis de incidentes propuestos por el ICMAP-II, utilizando
los valores de salarios aprobados por el Ministerio de
Relaciones Laborales y el escalafn docentes fijado por Ley
Orgnica de Educacin Superior (LOES) del Ecuador, as
como el costo de usuario calculado a partir del valor de la
matrcula y duracin del periodo acadmico de la ESPE para
obtener una rentabilidad al implementar el CSIRT en una
institucin acadmica. Un aporte adicional de esta tesis al
trabajo propuesto por el CERT UTPL es incluir en la
propuesta de implementacin, la utilizacin del estndar
ISO/IEC 27035 la gua NIST 800-61, las directrices del
CERT/CC y la validacin de los procesos de manejo de
incidentes mediante
simulaciones con la herramienta
SIMPROCESS.
V.

CONCLUSIONES Y TRABAJOS FUTUROS

Para el diseo y dimensionamiento de un CSIRT para la

ESPE, se utiliz las directrices del estndar ISO/IEC 27035, la
gua NIST SP 800-61, el modelo de gestin ITILv3 y el
CERT/CC. La factibilidad financiera realizada en base al
anlisis de costo beneficio y la aplicacin de la propuesta del
proyecto ICAMP-II permite evidenciar una rentabilidad
econmica a la Institucin, el aporte al fomento de

Como trabajo futuro se prev realizar la aplicabilidad del

CSIRT en la ESPE, considerando que se ha elaborado en este
trabajo las etapas I, II, III del proceso de implementacin del
CSIRT, que corresponden al diseo y dimensionamiento; y se
han establecido los procedimientos que permiten ejecutar las
etapas IV y V que se relacin con la operatividad, revisin y
mejoramiento del CSIRT.
.
REFERENCIAS
[1]
[2]
[3]

[4]
[5]

[6]
[7]

[8]

[9]
[10]
[11]

[12]
[13]

[14]

[15]
[16]
[17]
[18]
[19]
[20]

Alber, C. (2004). Defining Incident Management Processes for

CSIRTs:A work in progress. Pensilvania: Universidad Carnegie Mellon.
CACI. (2012). SIMPROCESS. Recuperado el 27 de 10 de 2012, de
http://simprocess.com
Caralli, R. (2004). The Critical Sucess Factor Method: Establishing a
Foundation for Enterprise Security Managment. Hanscom, USA:
Carniege Mellon.
Cisco Press. (2008). End to End Network Security Defense-in-Depth.
Indianapolis: Cisco Press.
Cuadros, A., & Velsquez, G. (2011). Anlisis. Rediseo e
Implementacin de los procesos, basados en ITIL, para el rea de
gestin y soporte tcnico de la Unidad de Tecnologa de Informacin y
Comunicaciones de la Escuela Politcnica del Ejrcito. Sangolqu.
Dorofee , A., & Kilcrece, G. (2007). Incident Managment Capability
Metrics Version 1.0. Hanscom: Software Engineering Institute.
Foro Mundial Econmico. (2012). Global IT Report 2012. Recuperado
el
20
de
Julio
de
2012,
de
http://www3.weforum.org/docs/Global_IT_Report_2012.pdf
Georgia, K. (2003). Organizational Models for Computer Security
Incident Response Teams (CSIRTs). Pensilvania: Universidad Carnegie
Mellon.
Gonzles, R. (2005). Un modelo efectivo para la administracin de
incidentes de Seguridad de Informacin.
Gonzles, R. M. (2005). Un modelo efectivo para la administracin de
incidentes de seguridad.
Guangalango, R., & Moscoso, P. (2011). Evaluacin Tcnica de la
Seguridad Informtica del DATA CENTER de la Escuela Politcnica
del Ejrcito. Sangolqu: ESPE.
Haller, J. (2011). Best Practices for National Cyber Security.
Pensilvania: Carniege Mellon.
INEC. (2011). Ecuador Estdistico Intituto Nacional de Estadsticas y
Censos.
Recuperado
el
20
de
Julio
de
2012,
de
http://www.inec.gob.ec/sitio_tics/internet.html
International Organization for Standardization. (2007). ISO/IEC 27002
Security Techniques- Code of practice fpr information security
managment.
International Organization for Standardization. (2011). ISO/IEC
27035:2011 Information Security Incident Managment.
ISO/IEC 27032. (2012). Information technology - Security techniques Guidelines for cybersecurity.
Killcrece, G. (2004). Steps for creating National CSRT. Pensilvania.
LACNIC. (2010). Manual de Gestin de Seguridad Informtica.
www.proyectoamparo.net.
Ministerio de Comunicaciones-Repblica de Colombia. (2008). Diseo
de un CSIRT de Colombia. Bogot.
National Institute of Standards and Technology. (2011). Computer
Security Incident Handling.

[21] NIST SP 800-30. (2012). Risk Managment Guide for Information

Technology Systems.
[22] Pilco, R. (2008). Creacin de un Equipo de Respuesta a Incidentes de
Seguridad Para la Universidad Tcnica Particular de Loja. Loja.
[23] Rajnovic, D. (2011). Computer Incident Response and Product Security.
Cisco Press.
[24] Symantec. (2012). Internet Security Threat Report. Recuperado el 20 de
septiembre de 2012, de http://www.symantec.com/threatreport/
[25] TB-Security. (2008). Equipos de respuesta ante incidentes. Equipos de
respuesta ante incidentes, (pg. 19). Montevideo.

[26] United Kingdoms Cabinet Office. (2011). Information Technology

Infraestructure Library.
[27] Universidad Carnegie Mellon. (2004). Steps for creating National
CSIRT . Pensilvania.
[28] US-CERT. (2011). http://www.us-cert.gov. Recuperado el 26 de 08 de
2012, de http://www.us-cert.gov/control_systems/csetdownload.html#i
[29] USENIX. (2011). Incident Cost Analysis and Modeling Project.
[30] West-Brown, M. (1998). Handbook for Computer Security Incidente
Response Team . Pensilvania: Universidad Carneige Mellon.