Professional Documents
Culture Documents
GOBIERNO EN LNEA
REA DE INVESTIGACIN Y PLANEACIN
Repblica de Colombia - Derechos Reservados
Ttulo:
Fecha elaboracin
aaaa-mm-dd:
3 Octubre 2008
Sumario:
Palabras Claves:
Formato:
Dependencia:
Cdigo:
Lenguaje:
Castellano
Investigacin y Planeacin
Versin:
Estado:
Categora:
Autor (es):
Revis:
Aprob:
Firmas:
Informacin Adicional:
Ubicacin:
Pgina 2 de 197
Documento para
revisin por parte del
Supervisor del
contrato
CONTROL DE CAMBIOS
VERSIN
0
1
FECHA
30/09/ 2008
03/10/2008
No. SOLICITUD
RESPONSABLE
Equipo del Proyecto
Equipo del Proyecto
DESCRIPCIN
Entregable 2: Diagnstico de la Situacin Actual
Revisin interna conjunta equipo consultora Digiware
Pgina 3 de 197
TABLA DE CONTENIDO
1. AUDIENCIA ................................................................................................................................................. 20
2. INTRODUCCIN .......................................................................................................................................... 21
3. RESUMEN EJECUTIVO.................................................................................................................................. 22
4. DIAGNSTICO SITUACIN ACTUAL.............................................................................................................. 23
4.1. DIAGNSTICO 1: SEGURIDAD DE LA INFORMACIN ESTNDARES Y MEJORES PRCTICAS ..................................... 23
4.1.1. INTRODUCCIN ......................................................................................................................................................23
4.1.2. RELACIN DOCUMENTADA DE ESTNDARES Y MEJORES PRCTICAS NACIONALES E INTERNACIONALES EN SEGURIDAD DE LA
INFORMACIN.....................................................................................................................................................................23
4.1.3. MAPA DE INTERRELACIN DE ESTNDARES Y MEJORES PRCTICAS NACIONALES E INTERNACIONALES EN SEGURIDAD DE LA
INFORMACIN.....................................................................................................................................................................38
4.1.3.1. Objetivo...........................................................................................................................................................38
4.1.3.2. Estndares de Seguridad de la Informacin por categora.............................................................................38
4.1.3.3. Criterios de seleccin de Estndares de Seguridad de la Informacin. ..........................................................40
4.1.3.4. Mapa de Interrelacin de Estndares de Seguridad de la Informacin .........................................................44
4.1.3.5. Conclusiones ...................................................................................................................................................44
4.2. DIAGNSTICO 2: COMPROMISOS Y AVANCES DE COLOMBIA EN MATERIA DE SEGURIDAD DE LA INFORMACIN
NORMATIVA Y PROTECCIN DE INFORMACIN DEL INDIVIDUO............................................................................... 47
4.2.1. INTRODUCCIN ......................................................................................................................................................47
4.2.1.1. Relacin documentada compromisos internacionales de Colombia en materia de seguridad informtica..47
4.2.1.1.1. Comercio Electrnico ...................................................................................................................................47
4.2.1.1.2. Legislacin Interna en Materia de Comercio Electrnico ............................................................................49
4.2.1.1.3. Compromisos Internacionales de Colombia en Materia de Gobierno en Lnea..........................................53
4.2.1.1.4. Legislacin interna en Materia de Gobierno en Lnea.................................................................................54
4.2.1.1.5. Compromisos Internacionales en Materia de Seguridad Informtica.........................................................59
4.2.1.2. Relacin documentada de avances de Colombia en materia de proteccin de informacin del individuo y
Habeas Data ....................................................................................................................................................................61
4.2.1.2.1. Legislacin interna en Materia de Proteccin de Informacin del Individuo y Habeas Data......................61
4.2.1.2.2. Jurisprudencia Colombiana en Materia de Proteccin de Informacin del Individuo y Habeas Data ........74
4.2.1.3. Relacin documentada de avances de Colombia en materia normativa en seguridad informtica..............80
4.2.1.4. Relacin documentada de iniciativas y experiencias nacionales e internacionales en proteccin de
informacin del individuo y habeas data........................................................................................................................82
4.3. DIAGNSTICO 3: INICIATIVAS Y EXPERIENCIAS NACIONALES E INTERNACIONALES EN CSIRTS ............................................ 86
4.3.1. INTRODUCCIN ......................................................................................................................................................86
Pgina 4 de 197
Pgina 5 de 197
Pgina 6 de 197
4.3.5.20.3. Estructura.................................................................................................................................................133
4.3.5.20.4. rea de Influencia ....................................................................................................................................133
4.3.5.21. Espaa - CCN-CERT (Cryptology National Center - Computer Security Incident Response Team).............134
4.3.5.21.1. Antecedentes ...........................................................................................................................................134
4.3.5.21.2. Servicios Ofrecidos...................................................................................................................................134
4.3.5.21.3. Estructura.................................................................................................................................................135
4.3.5.21.4. rea de Influencia ....................................................................................................................................135
4.3.5.22. Espaa - INTECO-CERT (Centro de Respuestas a Incidentes en TI para PYMES y Ciudadanos)..................135
4.3.5.22.1. Antecedentes ...........................................................................................................................................135
4.3.5.22.2. Servicios Ofrecidos...................................................................................................................................136
4.3.5.22.3. rea de Influencia ....................................................................................................................................137
4.3.5.23. Estados Unidos - US-CERT (United States - Computer Emergency Readiness Team).................................137
4.3.5.23.1. Antecedentes ...........................................................................................................................................137
4.3.5.23.2. Servicios Ofrecidos...................................................................................................................................137
4.3.5.23.3. Estructura.................................................................................................................................................138
4.3.5.23.4. rea de Influencia ....................................................................................................................................138
4.3.5.24. Estonia CERT-EE (Computer Emergency Response Team of Estonia)......................................................138
4.3.5.24.1. Antecedentes ...........................................................................................................................................138
4.3.5.24.2. Servicios Ofrecidos...................................................................................................................................138
4.3.5.24.3. rea de Influencia ....................................................................................................................................139
4.3.5.25. Filipinas - PH-CERT (Philippines Computer Emergency Response Team) ...................................................139
4.3.5.25.1. Antecedentes ...........................................................................................................................................139
4.3.5.25.2. Servicios Ofrecidos...................................................................................................................................139
4.3.5.25.3. rea de Influencia ....................................................................................................................................140
4.3.5.26. Francia-CERTA (Centre d'Expertise Gouvernemental de Rponse et de Traitement des Attaques
informatiques)...............................................................................................................................................................140
4.3.5.26.1. Antecedentes ...........................................................................................................................................140
4.3.5.26.2. Servicios Ofrecidos...................................................................................................................................141
4.3.5.26.3. Estructura.................................................................................................................................................141
4.3.5.26.4. rea de Influencia ....................................................................................................................................141
4.3.5.27. Hong Kong - HKCERT (Hong Kong Computer Emergency Response Coordination Centre)........................142
4.3.5.27.1. Antecedentes ...........................................................................................................................................142
4.3.5.27.2. Servicios Ofrecidos...................................................................................................................................142
4.3.5.27.3. rea de Influencia ....................................................................................................................................143
4.3.5.28. Hungra - CERT (CERT-Hungary) ..................................................................................................................143
4.3.5.28.1. Antecedentes ...........................................................................................................................................143
4.3.5.28.2. Servicios Ofrecidos...................................................................................................................................143
4.3.5.28.3. rea de Influencia ....................................................................................................................................145
4.3.5.29. India - CERT-In (Indian Computer Emergency Response Team) .................................................................145
4.3.5.29.1. Antecedentes ...........................................................................................................................................145
4.3.5.29.2. Servicios Ofrecidos...................................................................................................................................145
4.3.5.29.3. Estructura.................................................................................................................................................147
4.3.5.29.4. rea de Influencia ....................................................................................................................................147
4.3.5.30. Japan - JPCERT/CC (JP CERT Coordination Center) .....................................................................................147
4.3.5.30.1. Antecedentes ...........................................................................................................................................147
4.3.5.30.2. Servicios Ofrecidos...................................................................................................................................148
4.3.5.30.3. rea de Influencia ....................................................................................................................................149
4.3.5.31. Mxico UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cmputo) ............................149
Pgina 7 de 197
Pgina 8 de 197
4.3.6.1. CIRTISI Colombia (Centro de Informacin y Respuesta Tcnica a Incidentes de Seguridad Informtica de
Colombia) ......................................................................................................................................................................166
4.3.6.1.1. Antecedentes .............................................................................................................................................166
4.3.6.1.2. Servicios Ofrecidos.....................................................................................................................................167
4.3.6.1.3. Estructura...................................................................................................................................................168
4.3.6.1.4. rea de Influencia ......................................................................................................................................170
4.3.6.2. CSIRT Colombia (COL CSIRT) .........................................................................................................................171
4.3.6.2.1. Antecedentes .............................................................................................................................................171
4.3.6.2.2. Servicios Ofrecidos.....................................................................................................................................172
4.3.6.2.3. Estructura...................................................................................................................................................172
4.3.6.2.4. rea de Influencia ......................................................................................................................................172
4.3.6.3. Comit Interamericano Contra el Terrorismo de la OEA (CICTE)..................................................................172
4.3.6.3.1. Antecedentes .............................................................................................................................................172
4.4. DIAGNSTICO 4: INICIATIVAS Y PROGRAMAS NACIONALES DE SENSIBILIZACIN A LA COMUNIDAD PARA EL USO ADECUADO DE LOS
SERVICIOS ELECTRNICOS .......................................................................................................................................174
4.4.1. INTRODUCCIN ....................................................................................................................................................174
4.4.2. RELACIN DOCUMENTADA .....................................................................................................................................174
4.4.3. CONCLUSIONES ....................................................................................................................................................175
5. TERMINOLOGA .........................................................................................................................................176
6. APNDICES ................................................................................................................................................191
7. BIBLIOGRAFA............................................................................................................................................197
Pgina 9 de 197
LISTA DE FIGURAS
ILUSTRACIN 1: PASES CON CSIRTS MIEMBROS DE FIRST
ILUSTRACIN 2: ESTRUCTURA DE ENISA
ILUSTRACIN 3: CERT APOYADOS POR EL CENTRO DE COORDINACIN DE LA UNIVERSIDAD CARNEGIE MELLON
ILUSTRACIN 4: ESTRUCTURA CNCERT/CC
ILUSTRACIN 5: SISTEMA DE LA RED PBLICA NACIONAL DE RESPUESTA A EMERGENCIAS DE SEGURIDAD CHINA
ILUSTRACIN 6: ESTRUCTURA CIRTISI COLOMBIA
Pgina 10 de 197
96
103
108
124
125
168
DERECHOS DE AUTOR
Portal www.iso27000.es
http://www.iso27000.es/avisolegal.html
Permisos obtenidos del autor. Respuesta obtenida al correo electrnico enviado 02/10/2008, permitiendo el uso,
reproduccin y traduccin de los contenidos.
External use and translations: You must request our permission to use our documents or prepare derivative works
for external use, or to make translations. Requests should be addressed to the SEI Licensing Agent through email
to permission@sei.cmu.edu or surface mail to SEI Licensing Agent, Software Engineering Institute,Carnegie
Mellon University, Pittsburgh PA 15213.
Se solicita autorizacin.
Reproduction of material published on this web site is authorized, provided the source is acknowledged, unless it
is stated otherwise. Where prior permission must be obtained for the reproduction or use of material published on
this web site the above mentioned permission shall be cancelled and restrictions shall be imposed through a legal
notice as appropriate published on that specific material.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
APCERT. http://www.apcert.org/.
Pgina 11 de 197
Terena. http://www.terena.org/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
Argentina ArCERT
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
The material on this web site is covered by copyright. Apart from any use permitted under the Copyright Act
1968, no part may be reproduced or distributed by any process or means, without the prior written permission of
AusCERT.
AusCERT acknowledges all instances where copyright is held by, or shared with, another organisation. In such
cases, each copyright owner should be contacted regarding reproduction or use of that material.
Se solicita autorizacin. Respuesta:
Hash: RIPEMD160
Hi Fernando,
We are happy for you to translate the sections of our website that you have highlighted. Additionally we have in
the last week assisted New Zealand via a workshop to aid them in the creation of a National CERT, and we also
provide training for the purpose of creating National CERT teams.
Please do not hesitate to contact us further regarding the possibility of training and further collaboration.
Regards,
- -- Jonathan Levine
Computer Security Analyst | Hotline: +61 7 3365 4417
AusCERT, Australia's National CERT | Fax: +61 7 3365 7031
The University of Queensland | WWW: www.auscert.org.au
QLD 4072 Australia | Email: auscert@auscert.org.au
La informacin presentada en este portal tiene finalidad informativa, especialmente dirigida a los responsables de
seguridad, administradores de redes y sistemas, personal informtico y en general cualquier individuo que cumpla
labores al interior de la Administracin del Estado. El mal uso de la informacin entregada puede ser sancionado
en conformidad al estatuto administrativo.
Como el acceso a este portal es pblico, en los casos en que se detecte uso malicioso de la informacin, o
intentos de quebrantar la seguridad del sistema, CSIRT Chile se reserva el derecho de ejercer todas las acciones
legales correspondientes contra quien resulte responsable de dichos actos, amparado en la Ley General de
Telecomunicaciones y la Ley de Delito Informtico.
Pgina 13 de 197
Queda estrictamente prohibido utilizar la informacin presentada en este portal sin el conocimiento y
consentimiento formal por parte de CSIRT Chile, en especial para efectos contrarios a los buscados por este
equipo.
Se solicita autorizacin.
Pgina 14 de 197
For more detailed information, you can contact the Internet Incident Response Support Center
(Tel : 118 / cert@certcc.or.kr;cert@krcert.or.kr).
Se solicita autorizacin.
Informacin sobre estas pginas pueden ser protegidas por los derechos de autor
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
Los textos, diseos, imgenes, bases de datos, logotipos, estructuras, marcas y otros elementos de esCERT-UPC,
incluido todo lo referente a ALTAIR, estn protegidos por la normativa de aplicacin respecto a la propiedad
intelectual e industrial. esCERT-UPC autoriza a los usuarios a reproducir, copiar, distribuir, transmitir, adaptar o
modificar exclusivamente los contenidos de la web de esCERT-UPC, siempre que se especifique la fuente y/o los
autores.
Todos los elementos que forman el sitio Web, as como su estructura, diseo y cdigo fuente de la misma, son
titularidad de INTECO y estn protegidos por la normativa de propiedad intelectual e industrial.
Se prohbe la reproduccin total o parcial de los contenidos de este sitio Web, as como su modificacin y/o
distribucin sin citar su origen o solicitar previamente autorizacin.
Pgina 15 de 197
INTECO no asumir ninguna responsabilidad derivada del uso por terceros del contenido del sitio Web y podr
ejercitar todas las acciones civiles o penales que le correspondan en caso de infraccin de estos derechos por
parte del usuario.
You are permitted to reproduce and distribute documents on this web site in whole or in part, without changing
the text you use, provided that you include the copyright statement or "produced by" statement and use the
document for noncommercial or internal purposes. For commercial use or translations, send your email request to
webmaster@us-cert.gov.
Se solicita autorizacin.
Francia-CERTA. http://www.certa.ssi.gouv.fr/
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
Except where specifically noted, all material on this site is Crown copyright.
Material featured on this site is subject to Crown copyright protection unless otherwise indicated. The Crown
copyright protected material may be reproduced free of charge in any format or media without requiring specific
permission, provided that the material is reproduced accurately and is not further disseminated in any way, and
on condition that the source of the material and its copyright status are acknowledged.
The permission to reproduce Crown copyright protected material does not extend to any material on this site that
is identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained
from the copyright holders concerned.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
The material featured on this site is subject to Crown Copyright protection unless otherwise indicated. The Crown
Copyright protected material (other than CPNI logo and website design) may be reproduced free of charge in any
format or medium provided it is reproduced accurately and not used in a misleading context. Where any of the
Pgina 17 de 197
Crown Copyright items on this site are being republished or copied to others, the source of the material must be
identified and the copyright status acknowledged.
The permission to reproduce Crown protected material does not extend to any material on this site which is
identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained from
the copyright holders concerned.
For further information on Crown copyright policy and licensing arrangements, please refer to the guidance on
OPSI's website at www.opsi.gov.uk/advice/crown-copyright/copyright-guidance/index.htm.
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
1. SingCERT Security Alerts (such as advisories and bulletins): Permission is granted to reproduce and distribute
SingCERT security alerts in their entirety, provided the SingCERT PGP signature or the PGP signature of the
original creator of the alerts is included and provided the alert is used for noncommercial purposes with the intent
of increasing the awareness of the Internet community.
2. All materials produced by SingCERT except as noted in Section 1, "SingCERT security alerts": Requests for
permission to reproduce documents or Web pages or to prepare derivative works or external and commercial use
should be addressed to SingCERT through email to cert@singcert.org.sgThis e-mail address is being protected
from spam bots, you need JavaScript enabled to view it.
Se solicita autorizacin.
Pgina 18 de 197
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
CIRTISI COLOMBIA.
http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de
%202007%202.pdf
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
Solicitud de Autorizacin de uso y traduccin presentada a los diferentes organismos que as lo requieren:
Ttulo:
In order to design a CSIRT for the program Gobierno en Lnea (e-government) of Colombia, we want to identify
a documented relation of national and international initiatives and experiences in CSIRTs. Then we request
authorization to translate and to reproduce available information in your web page relating to precedents, offered
services, structure of the CSIRT and area of coverage.
The results will be compiled and presented in a technical paper "Design of a CSIRT for the Program Gobierno en
Linea of Colombia " in the chapter " Documented Relation of National and International Experiences and
Initiatives in CSIRTs ".
Cordial greeting,
Fernando Gaona
Organizations Team Leader
Project "Model of the Computer Security Management for e-Government"
Telephone (+57 3164720780)
Program "Agenda de Conectividad": http://www.agenda.gov.co/
Digiware: http://www.digiware.com.co/Digiware/index1.html
Pgina 19 de 197
1. AUDIENCIA
Este documento est dirigido a todo el equipo que interviene en el proyecto Modelo de Seguridad
Informtica para la Estrategia de Gobierno en Lnea de parte tanto del contratista como del contratante, y
tiene como propsito, lograr la ambientacin y comprensin de los objetivos y expectativas del proyecto en
mencin con la estrategia de Gobierno en Lnea, para que una vez teniendo claro el marco de referencia,
se pueda involucrar a la comunidad nacional e internacional relacionada con el tema de la seguridad de la
informacin, a las entidades pblicas y privadas, as como a la comunicad acadmica en general.
Pgina 20 de 197
2. INTRODUCCIN
El inters y la preocupacin por la seguridad de la informacin se han incrementado durante los ltimos
aos, puesto que nuevas amenazas surgen cada da con el uso de los servicios y tecnologas informticas,
las telecomunicaciones, el acceso a Internet y el comercio electrnico. Es as, como las diferentes
entidades del pas son cada vez ms dependientes del uso de redes pblicas, volviendo crtica la prestacin
de servicios, la estabilidad y productividad de las infraestructuras nacionales que componen esta nueva eeconoma emergente que es necesario de igual forma, urgente proteger.
Bajo la ptica y alcance de los principios definidos en la Estrategia de Gobierno en Lnea, existen dos que
corresponden a: "Proteccin de la informacin del individuo" y "Credibilidad y confianza en el Gobierno en
Lnea". Para lograr el cumplimiento de estos objetivos, se requiere que tanto los Servicios de Gobierno en
Lnea como la Intranet Gubernamental cumplan con los tres elementos fundamentales de la Seguridad de
la Informacin, a saber: disponibilidad de la informacin y los servicios; integridad de la informacin y los
datos; y, confidencialidad de la informacin.
Para la correcta administracin de la Seguridad Informtica, se deben establecer y mantener programas y
mecanismos que busquen cumplir con los tres requerimientos mencionados, no nicamente bajo la
perspectiva tecnolgica de las mejores prcticas y estndares internacionales en seguridad de la
informacin, sino tambin es necesario, abordar la problemtica de la seguridad desde la perspectiva
organizacional y jurdica, con el fin de consolidar una buena prctica en el Estado Colombiano, en lo
referente a la prestacin segura de los Servicios de Gobierno en Lnea.
Todo lo anterior debe estar acompaado de los instrumentos normativos que eliminen las barreras de
implementacin, as como de los elementos de divulgacin y capacitacin que apoyen la implementacin
del proyecto de seguridad para que le den confianza al usuario final y a los prestadores de servicios de
Gobierno en Lnea.
Pgina 21 de 197
3. RESUMEN EJECUTIVO
En materia de seguridad de la informacin existe un amplio panorama de normas tcnicas, estndares y
mejores prcticas que han sido emitidas por entidades gubernamentales, grupos de inters, institutos de
normalizacin, organizaciones independientes y comunidad acadmica, de las cuales se elabor una
relacin documentada, que sin ser exhaustiva, refleja el estado del arte en lo referente a los Sistemas de
Gestin de Seguridad de la Informacin - SGSI.
En Colombia, las normas internacionales en seguridad de la informacin, han sido adoptadas por el
Instituto Colombiano de Normas Tcnicas y Certificacin, ICONTEC, por otra parte, el Gobierno Colombiano
ha generado normativas de control interno como el MECI 1000 y de calidad como la NTCGP 1000 apoyado
por estndares internacionales (COSO, ISO9001 respectivamente).
Las organizaciones de distintos sectores, ven en la implementacin de sistemas de gestin, ventajas
competitivas que apoyan sus procesos misionales.
En el componente jurdico, adems de haber compilado la normatividad existente en seguridad informtica,
habeas data y proteccin de informacin del individuo, se ha logrado un compendio de normas que
vinculan al Estado Colombiano o actualmente estn vigentes en materia de Gobierno en Lnea, comercio
electrnico y manejo legal de la informacin, describiendo una a una cada norma haciendo nfasis en su
vigencia y aplicacin, incluyendo las normas de derecho comparado ms relevantes.
A nivel de Centros de Respuesta a Incidentes de Seguridad Computacional CSIRT (por las siglas en ingls
de Computer Security Incident Response Teams), se incluye una relacin documental de algunas
experiencias nacionales e internacionales relacionadas, considerando sus antecedentes, servicios ofrecidos,
su estructura y rea de influencia, con el fin de identificar mejores prcticas para la constitucin de un
CSIRT para el Estado Colombiano.
En cuanto a las iniciativas y programas nacionales de sensibilizacin a la comunidad para el uso adecuado
de los servicios electrnicos, se incluye una relacin documental de algunas pocas iniciativas en este
sentido y que denotan lo importante que es para Gobierno en Lnea prever esta actividad como una de las
ms importantes a desarrollar para que el modelo de seguridad informtica propuesto sea una realidad.
Pgina 22 de 197
Introduccin
La siguiente tabla hace mencin a los principales estndares y mejores prcticas nacionales e
internacionales organizadas por tipo de organismo: (ltimo acceso = .a; toda la tabla 30/09/2008)
Nombre Documento
Resumen
Enlace documento
Pgina 23 de 197
Vigencia y
Aplicacin
Fuente
2006-03-22
ICONTEC
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
ISO/IEC 13335-1:2004.
2006-03-22
ICONTEC
2006-09-22
ICONTEC
2008-05-28
ICONTEC
2006-08-30
ICONTEC
2008
ICONTEC
The Standard for Good Practice for Enfoca la seguridad de la informacin https://www.isfsecuritystandard.com/
Information Security
desde una perspectiva del negocio y SOGP07/index.htm
proporciona a una base prctica para
evaluar los acuerdos en seguridad de
2007
ISF,
Information
Security
Forum
Pgina 24 de 197
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
2007
ISM3
Consortium
Septiembre
de 1996
NIST
Abril de
1998
NIST
Febrero de
2006
NIST
Julio de
2002
NIST
Junio de
2002
NIST
ISM3,
Information
Security Extiende los principios de gestin de http://www.ism3.com/
Management Maturity Model v2.00
calidad de la ISO9001 a sistemas de
gestin
de
seguridad
de
la
informacin (ISM). Se enfoca no tanto
en controles sino en los procesos
comunes
de
seguridad
de
informacin.
NIST SP 800-14 Generally Accepted Proporciona una base para revisar los http://csrc.nist.gov/publications/nistp
Principles and Practices for Securing programas de seguridad de TI. ubs/800-14/800-14.pdf
Information Technology Systems
Permite ganar un entendimiento de
los
requerimientos
bsicos
de
seguridad para los sistemas de TI.
Describe 8 principios y 14 prcticas de
seguridad.
NIST
SP
800-16
Technology Security
Pgina 25 de 197
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
Diciembre
de 2007
NIST
2004-02-04
NIST
2005
Asis
International
General Security Risk Assessment Consiste en una gua de 7 pasos para http://www.asisonline.org/guidelines/
Guideline
evaluar los riesgos de seguridad.
inprogress_published.htm
2003
Asis
International
2008
Asis
International
2007
Asis
International
2007
ITGI e ISACA
System
Protection
Profile
Industrial Control Systems
Information
Guideline
Asset
Cobit 4.1 Control Objectives For Marco de Referencia para el Gobierno http://www.itgi.org/
Information
And
Related y control de TI. Se presenta como un
Technology.
modelo de procesos que se subdivide
en 4 dominios, 34 procesos y 215
objetivos de control. Para cada uno de
los procesos de TI se presenta un
Pgina 26 de 197
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
2006
ISACA
2008
ISACA
Cobit
Security
Baseline
An Esta gua de supervivencia se centra www.isaca.org
Information Security Survival Kit
en
los
riesgos
especficos
de
seguridad de la informacin en una
forma
sencilla
de
seguir
e
implementar tanto para el usuario en
casa como para el usuario de
pequeas,
medianas
o
grandes
empresas,
e
igualmente
para
ejecutivos y miembros de juntas
directivas de grandes organizaciones.
2007
ISACA
ITIL
2007
OGG(British
Office of
Government
Commerce)
2004
Standards
Australia
ASNZ
4360:
Management
2004:
Pgina 27 de 197
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
2006-06-20
Consejo
Superior de
Administracin
Electrnica
2004
OCDE(Organiz
acin de
Cooperacin y
desarrollo
Econmico)
Criterios
de
Seguridad, Proporciona un conjunto de medidas http://www.csi.map.es/csi/criterios/p
Normalizacin y Conservacin
organizativas y tcnicas de seguridad, df/criterios.pdf
normalizacin y
conservacin para
garantizar el cumplimiento de los
requisitos legales para la validez y
eficacia
de
los
procedimientos
administrativos de la Administracin
General del Estado, que utilicen los
medios
2004-06-24
Ministerio de
Administracion
es Pblicas
NFPA 75 Standard for the Protection Establece los requerimientos mnimos http://www.nfpa.org/aboutthecodes/
of
Information
Technology para la proteccin de los equipos de AboutTheCodes.asp?DocNum=75&coo
Equipment, 2009 Edition
tecnologa de informacin y las reas kie%5Ftest=1
de equipos de TI contra daos
causados por el fuego o sus efectos
asociados (humo, corrosin, calor y
agua).
Septiembre
5 de 2008
NFPA(National
Fire Protection
Association)
NFPA 76 Standard
Protection
A partir de
Octubre 10
de 2008
NFPA(National
Fire Protection
Association)
2005
TIA
(Telecommuni
cations
Industry
Association)
electrnicos,
informticos
y
telemticos en el ejercicio de sus
potestades.
for
the
of Telecommunications
ANSI/CSA/EIA/TIA-942
Telecommunications
Infrastructure
Standard
Data
Pgina 28 de 197
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
Centers
2008-08-03
SANS
2008-06-18
SANS
Improving
Security individuos y grupos que toman hitepapers/awareness/1526.php
Decision Making
decisiones
y provee una gua
descriptiva para mejorar la calidad de
los procesos de toma de decisiones
guiando hacia la toma de mejores
decisiones de seguridad.
2004-07-23
SANS
Discute
la
implementacin
de http://www.sans.org/score/hipaa/hip
identificacin de usuario nico que es aa1.pdf
parte de la regulacin de seguridad
HIPAA.
2004
SANS
Vara segn
el
documento
SANS
2005-06-10
ISO
2005-06-15
ISO
Pgina 29 de 197
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
security management
ISO/IEC 27001:2005
Information
technology -- Security techniques -Information security management
systems -- Requirements
especifica
los
requisitos
para http://www.iso.org/iso/iso_catalogue.
implantar, operar, vigilar, mantener, htm
evaluar un sistema de seguridad
informtica explcitamente
2005-10-14
ISO
2008-06-04
ISO
ISO/IEC 12207:2008 Systems and Establece un marco comn para los http://www.iso.org/iso/iso_catalogue. 2008-03- 18
software engineering - Software life procesos del ciclo de desarrollo del htm
cycle processes
software.
Contiene
procesos,
actividades y tareas a ser aplicadas
en la adquisicin de un producto o
servicio de software y durante el ciclo
de vida de los productos de software.
ISO
ISO/IEC19790:2006
Information Especifica cuatro niveles de seguridad http://www.iso.org/iso/iso_catalogue.
technology -- Security techniques -- para mdulos criptogrficos.
htm
Security
requirements
for
cryptographic
modules
Entre los objetivos funcionales de
seguridad estn:
2006-03-09
ISO
2008-06-26
ISO
Especificacin de mdulo
Puertos e interfaces
Roles, servicios y autenticacin
Modelo de estado finito
Seguridad Fsica
Ambiente Operacional
Administracin
de
llaves
criptogrficas
Auto tests
Aseguramiento del diseo
Mitigacin de otros ataques
Pgina 30 de 197
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
modules
ISO/IEC 18043:2006
Information
technology -- Security techniques -Selection,
deployment
and
operations of intrusion detection
systems
Describe el cmo
para los http://www.iso.org/iso/iso_catalogue.
administradores
y
usuarios
que htm
desean: entender los beneficios y
limitaciones de los IDS; desarrollar
una estrategia y un
plan de
implementacin para IDS; administrar
efectivamente los IDS; integrar la
intrusin y deteccin en las prcticas
de seguridad de la organizacin;
entender los riesgos y problemas
legales generados con el deployment
de los IDS.
2006-06-19
ISO
ISO/IEC
TR
18044:2004
Information technology -- Security
techniques -- Information security
incident management
2004-10-12
ISO
ISO/TR 13569:2005
Financial Es una gua para el desarrollo de un http://www.iso.org/iso/iso_catalogue.
services -- Information security programa
de
seguridad
de htm
guidelines
informacin
para
instituciones
financieras. Incluye discusin de
polticas, organizacin y estructura,
componentes legales y normativos.
2005-11-22
ISO
2006-05-08
ISO
Pgina 31 de 197
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
Asymmetric ciphers
ISO/IEC 27002:2005
Information
technology -- Security techniques -Code of practice for information
security management
2005-06-15
ISO
2006-07-04
ISO
Especifica
los
requerimientos
y http://www.iso.org/iso/iso_catalogue.
proporciona gua para las entidades htm
de auditoria y certificacin de los
SGSI.
2007-02-13
ISO
ISO/IEC
27799:2008
Health Presenta una gua de mejores http://www.iso.org/iso/iso_catalogue.
informatics -- Information security prcticas para la seguridad de la htm
management
in
health
using informacin en el rea de la salud.
ISO/IEC 27002
Aplica para la informacin de salud en
todos sus aspectos; en todas las
formas posibles de presentacin de la
informacin
(palabras,
nmeros,
registros de sonidos, dibujos, video,
imgenes, etc.)
2008-06-12
ISO
ISO/IEC 18045:2008
Information
technology -- Security techniques -Methodology
for
IT
security
evaluation
2008-08-19
ISO
Pgina 32 de 197
Vigencia y
Aplicacin
Fuente
2006-12-01
ISO
2006-10-31
ISO
Proporciona
una
gua
en
los http://www.iso.org/iso/iso_catalogue.
requerimientos de proteccin de los htm
datos para facilitar la transferencia de
los datos de salud entre fronteras
nacionales.
2004-03-17
ISO
2007-04-04
ISO
ISO/TR
22221:2006
Health
informatics - Good principles and
practices
for
a
clinical
data
warehouse
2006-10-25
ISO
2006-05-04
ISO
Resumen
Enlace documento
Pgina 33 de 197
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
2008-01-07
ISO
ISO
17090-1:2008
Health
informatics
-Public
key
infrastructure -- Part 1: Overview of
digital certificate services
2008-02-14
ISO
Define
un
modelo
general
de http://www.iso.org/iso/iso_catalogue.
administracin
de
claves htm
independiente
del
algoritmo
criptogrfico que se use. Identifica el
objetivo, los conceptos bsicos y los
servicios de la administracin de
claves.
1996-12-26
ISO
2004-06-10
ISO
2008-07-17
ISO
2008-07-17
ISO
2008-07-17
ISO
Pgina 34 de 197
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
(SQL/CLI)
2008-07-17
ISO
2008-07-17
ISO
2008-07-17
ISO
2008-07-17
ISO
ISO/IEC9075-13:2008 Information
technology -- Database languages - SQL -- Part 13: SQL Routines and
Types
Using
the
Java
TM
Programming Language (SQL/JRT)
2008-07-17
ISO
Pgina 35 de 197
ISO
2008-08-26
ISO
Vigencia y
Aplicacin
Fuente
2008-07-02
ISO
2005-09-22
ISO
2008-08-19
ISO
2008-08-19
ISO
ISO/IEC
TR
19791:2006
Information technology -- Security
techniques -- Security assessment
of operational systems
2006-05-15
ISO
2002-10-17
ISO
Framework
Resumen
Enlace documento
electrnica.
Pgina 36 de 197
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
2004-11-19
ISO
ISO/IEC
TR
15443-2:2005
Information technology -- Security
techniques -- A framework for IT
security assurance -- Part 2:
Assurance methods
2005-09-19
ISO
2006-05-04
ISO
ISO/IEC
TR
15443-1:2005
Information technology -- Security
techniques -- A framework for IT
security assurance -- Part 1:
Overview and framework
2005-02-08
ISO
ISO/IEC 24762:2008
Information
technology -- Security techniques -Guidelines for information and
communications technology disaster
recovery services
2008-01-31
ISO
Pgina 37 de 197
4.1.3.
La presente relacin documentada pretende dar una orientacin sobre el grado de alineacin
entre los estndares y mejores prcticas para la seguridad de la informacin y su Interrelacin
con respecto a la norma NTCGP 1000:2004 y el Modelo MECI.
4.1.3.2. Estndares de Seguridad de la Informacin por categora.
The Standard of Good Practice for Information Security 2007. Ha sido desarrollada por el
Information Security Forum, ISF. La versin disponible actualmente corresponde al ao
2007.
NIST SP 800-14 Generally Accepted Principles and Practices for Securing Information
Technology Systems. Esta gua fue desarrollada por el National Institute of Standards and
Technology, NIST y la fecha de su publicacin corresponde a septiembre de 2006.
Mejores prcticas de Gobierno y Control en Tecnologa de Informacin:
Cobit 4.1 Control Objectives for Information and related Technology (COBIT).
IT Control Objectives for Sarbanes Oxley
CONCT- Control Objectives for Net Centric Technologies.
NIST SP 800 53 Recommended Security Controls for Federal Information Systems
MAGERIT
Octave
General Security Risk Assessment Guidelines, ASIS International.
Normas para planeacin de continuidad del negocio:
Pgina 39 de 197
Para seleccionar los estndares o mejores prcticas a ser comparados, se tuvo en cuenta su
propsito primario, el grado de reconocimiento a nivel mundial y la alineacin con la estrategia de
Gobierno en Lnea, adems se tienen presente los principios y ejes de accin de la estrategia de
Gobierno en lnea:
Principios:
o
o
o
o
o
o
Ejes de Accin:
o Mejores servicios (respuesta a necesidades, calidad, ahorro, atencin unificada,
satisfaccin, simplificacin de trmites, acceso multicanal);
o Transparencia y participacin (visibilidad, conocimiento, confianza, participacin, control
social, interaccin y retroalimentacin);
o Eficiencia del Estado (informacin de calidad, oportuna y estandarizada, racionalizacin y
optimizacin de recursos);
Al analizar los requerimientos de Gobierno en Lnea y considerando fundamental la necesidad de
desarrollar un marco de gestin para el gobierno de la seguridad de la informacin en el Estado
Colombiano, se seleccionaron los siguientes estndares cuyo propsito y principios intrnsecos,
se alinean con la estrategia de Gobierno en Lnea de manera general:
Criterios de Comparacin.
Pgina 40 de 197
seleccionados,
se
establecieron
Propsito
Principios
Modelo PHVA
Niveles de Madurez
Establecimiento del Sistema de Gestin
Gestin de riesgos
Requisitos de documentacin
Responsabilidad y compromiso de la direccin
Gestin de recursos
Monitoreo
Mejoramiento
Poltica de Seguridad
Organizacin de la Seguridad de la Informacin
Gestin de activos
Seguridad de los recursos humanos
Seguridad fsica y del entorno
Seguridad en la operacin y soporte de TI
Seguridad del ciclo de desarrollo de los Sistemas de Informacin
Seguridad de las aplicaciones
Control de acceso
Gestin de incidentes de seguridad de la informacin
Gestin de continuidad del negocio
Cumplimiento
En el anexo A de la norma se define una tabla detallada de objetivos de control y controles, los
cuales quedan agrupados y numerados de la siguiente forma:
A.5 Poltica de seguridad
A.6 Organizacin de la informacin de seguridad
A.7 Administracin de recursos
A.8 Seguridad de los recursos humanos
A.9 Seguridad fsica y del entorno
A.10 Administracin de las comunicaciones y operaciones
A.11 Control de accesos
A.12 Adquisicin de sistemas de informacin, desarrollo y mantenimiento
A.13 Administracin de los incidentes de seguridad
A.14 Administracin de la continuidad de negocio
A.15 Cumplimiento (legales, de estndares, tcnicas y auditoras)
ISM3 v 2.00
El modelo de madurez para la administracin de la seguridad de la informacin extiende los
principios de gestin de calidad de la norma ISO 9001 para sistemas de gestin de seguridad de
la informacin. ISM3 est orientado a procesos y utiliza niveles de madurez de capacidad y de
cubrimiento. Define los procesos de seguridad organizados por nivel estratgico, tctico y
operativo, e incorpora en su descripcin los siguientes elementos:
Pgina 42 de 197
ISM3 alinea los objetivos de negocio con los objetivos de seguridad y requiere que la
organizacin defina sus objetivos de seguridad, los cuales se constituyen en base para el diseo,
implementacin y monitoreo del sistema de gestin de seguridad. ISM3 ha sido desarrollado por
ISM3 Consortium y representa los esfuerzos de profesionales de la seguridad, acadmicos y la
industria para proponer alternativas que procuren una mejor gestin de la seguridad de la
informacin.
The Standard of Good Practice for Information Security
El estndar de buenas prcticas para seguridad de la informacin del Information Security Forum
(ISF) est basado en la investigacin y experiencia prctica de sus miembros. Enfoca la
seguridad de la informacin desde una perspectiva del negocio y proporciona a una base prctica
para evaluar los acuerdos en seguridad de la informacin de una organizacin. El estndar divide
la seguridad en seis componentes:
Administracin de la seguridad
Aplicaciones crticas del negocio
Instalacin de computadores
Redes
Desarrollo de sistemas
Ambiente de usuario final
La primera versin del estndar fue liberada en 1996 y se actualiza y mejora cada 2 aos con la
finalidad de responder a las necesidades de organizaciones lderes internacionales, refinar las
mejores prcticas en seguridad de informacin y mantener alineamiento con otros estndares
relacionados con seguridad de la informacin tales como la ISO 27002 y Cobit 4.1.
Cobit 4.1
Cobit (Objetivos de Control para la Informacin y tecnologa Relacionada) consiste en un conjunto
de documentos clasificados como buenas prcticas generalmente aceptadas para el gobierno de
la tecnologa de informacin, el control y el aseguramiento. La primera versin fue liberada por
Information Systems Audit. And Control Foundation (ISACF) en 1996. En el ao 1998 se liber la
segunda versin con objetivos de control adicionales y las herramientas de implementacin. En el
ao 2000 el IT Governance Institute (ITGI) liber la tercera versin que inclua las guas
administrativas y nuevos objetivos de control. En el 2005 el ITGI public Cobit 4.0 con un enfoque
al gobierno de TI. La versin actual Cobit 4.1 fue liberada en el 2007.
Cobit 4.1 se compone de 4 dominios, 34 procesos y 215 objetivos de control. En la descripcin de
cada proceso adems de los objetivos de control se identifican los criterios de informacin
impactados por el proceso, los recursos de TI utilizados, la alineacin del proceso con las reas
de gobierno de TI, las entradas, salidas y actividades del proceso, el diagrama RACI, las metas y
mtricas de proceso y el modelo de madurez para evaluar el proceso.
Pgina 43 de 197
ITIL v 3
ITIL Service Management versin 3 es una serie de 6 libros considerados como mejores prcticas
para la administracin y garanta de alta calidad en la prestacin de servicios de TI. Los libros se
titulan:
La primera versin de ITIL fue creada en los ochentas por la oficina de Gobierno de Comercio del
Reino Unido (OGC). La segunda versin en los 90 y la versin 3 fue liberada a mediados del
2007 con un enfoque orientado al proceso y al ciclo de vida del servicio.
AS/NZ 4360 Risk Management
El estndar australiano AS/NZ 4360 es una gua para el establecimiento e implementacin del
proceso de administracin de riesgos involucrando las siguientes etapas:
Comunicacin y consulta
Establecimiento del contexto
Identificacin de los riesgos
Anlisis de los riesgos
Evaluacin de los riesgos
Tratamiento de los riesgos
Monitoreo y revisin
La primera versin fue liberada en 1999 y posteriormente se liber una nueva versin en el 2004.
4.1.3.4. Mapa de Interrelacin de Estndares de Seguridad de la Informacin
El uso de la tecnologa, las comunicaciones e Internet en las prcticas comerciales y las nuevas
amenazas de seguridad que surgen cada da han generado un continuo inters por parte de las
organizaciones, Gobierno, industria y comunidad en general por administrar la seguridad de la
Pgina 44 de 197
Una forma de entender cmo se alinean e integran los estndares y mejores prcticas se ilustra
en el siguiente grfico:
COSO es un marco de referencia para el control interno en las organizaciones. Las entidades del
estado adoptaron el MECI, modelo de control interno el cual est basado en COSO.
Cobit es un marco de referencia para el Gobierno y control de TI basado en un modelo de
procesos de TI que puede ser adaptado a cualquier tipo de organizacin. Cobit se enfoca en el
qu se necesita hacer no en el cmo, por eso, la audiencia objetivo es la gerencia de negocio
senior, la gerencia senior de TI y los auditores. Cobit est alineado con COSO, con la ISO9000 y
con la ISO27002. El IT Governance Institute, ITGI, ha desarrollado y mantiene actualizados los
Pgina 45 de 197
mapas de Cobit con diferentes estndares y mejores prcticas para identificar armonizacin y
alineamiento,
La ISO 9000 es el estndar para gestin de calidad en las organizaciones. En las entidades del
estado, se adopt la NTCGP1000 el cual representa la norma tcnica de calidad en la gestin
pblica.
ITIL se basa en definir procesos de mejores prcticas para el soporte y la gerencia del servicio de
TI. Provee un contexto estratgico y de negocio para la toma de decisiones sobre TI y describe el
mejoramiento continuo del servicio como una actividad de toda la empresa para mantener la
entrega de valor a los clientes. ITIL tiene gran aplicabilidad para empresas que prestan servicios
de TI.
De la familia ISO27000, el estndar ISO/IEC 27001 especifica los requerimientos para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestin de seguridad.
Este estndar se encuentra alineado con la ISO 9000 y su adopcin en empresas colombianas se
est incrementando cada vez ms por las exigencias de la economa globalizada y necesidades
de certificacin de sus productos y servicios. En las empresas del estado, tambin se ha
incrementado la necesidad de implementar iniciativas para la seguridad de la informacin
basadas en la ISO27001 y utilizando como gua de implementacin los controles para la
confidencialidad, integridad y disponibilidad de la informacin definidos en la ISO27002.
El ISF-SGOP representa una base prctica para evaluar los acuerdos en seguridad de la
informacin de una organizacin. Las prcticas detalladas de este estndar pueden ser
adoptadas en los acuerdos de seguridad de la informacin por parte de: los administradores de
seguridad de la informacin, los administradores de negocio, los administradores de TI, los
auditores de TI, el personal de terceras partes encargado de administrar y soportar la
infraestructura de TI.
El ISM3 representa una buena base para definir, establecer, implementar y monitorear los
procesos de gestin de seguridad de la informacin.
El marco de referencia de NIST para seguridad de computadores que est conformado por una
serie de documentos denominados NIST SP 800, si bien no se incluy en la comparacin de
estndares del Anero 1, representa una valiosa herramienta de mejores prcticas para
implementar seguridad de la informacin.
La comparacin de algunos estndares y mejores prcticas con la norma NTCGP1000:2004 y el
modelo de control interno permite identificar alineamiento entre s. En ese sentido y considerando
que existe una creciente adopcin del modelo de seguridad basado en la ISO27001 por parte de
entidades del estado, para la Estrategia de Gobierno en Lnea se puede recomendar este
estndar como la base para implementar un sistema de gestin de seguridad de la informacin
apoyado con otros estndares que proporcionan mayor nivel de detalle en la implementacin de
los procesos de seguridad de la informacin y los controles y aseguramiento requeridos.
Pgina 46 de 197
Introduccin
Resumen
Enlace documento
Vigencia y
Aplicacin
http://www.secretariasenado.
gov.co/leyes/L0178_94.HTM
A partir de la
fecha de
publicacin de la
ley aprobatoria,
Ley 178 de
1994, esto es
diciembre 29 de
1994.
(.a. 24/09/08).
Fuente
Organizacin
Mundial de la
Propiedad
Intelectual.
Recomendaciones
generales
en
materia de comercio electrnico,
tendientes al logro de su tratamiento
uniforme a nivel internacional.
Aspectos reflejados en la Ley 527 de
http://www.uncitral.org/pdf/sp
anish/texts/electcom/05-
Pgina 47 de 197
A partir de
diciembre 16 de
1996.
Asamblea
General de la
Organizacin
Resumen
Enlace documento
Vigencia y
Aplicacin
89453_S_Ebook.pdf
Fuente
de las
Naciones
Unidas.
(.a. 24/09/08).
http://www.cecolda.org.co/ind
ex.php?option=com_content&t
ask=view&id=193&Itemid=46
A partir de
Febrero 2 de
2000.
Organizacin
Mundial de la
Propiedad
Intelectual.
Diciembre 09 de
1999
Organizacin
para la
Cooperacin y
el Desarrollo
Econmico
Rige a partir de
julio 24 de 2002.
Organizacin
Mundial de la
Propiedad
Intelectual.
A partir de
diciembre 12 de
2001.
Asamblea
General de la
Organizacin
de las
Naciones
Unidas.
A partir de
2005.
Asamblea
General de la
Organizacin
de las
Naciones
(.a. 24/09/08).
empresa.
http://www.oecd.org/dataoecd
/18/27/34023784.pdf
(.a. 29/09/08).
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=6076#1
(.a. 24/09/08).
http://www.uncitral.org/pdf/sp
anish/texts/electcom/mlelecsig-s.pdf
(.a. 24/09/08).
http://www.uncitral.org/pdf/sp
anish/texts/electcom/0657455_Ebook.pdf
Pgina 48 de 197
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
Unidas.
(.a. 24/09/08).
http://www.comunidadandina.
org/normativa/dec/d691.htm
A partir de
agosto 13 de
2008.
Comunidad
Andina de
Naciones.
(.a. 24/09/08).
Resumen
Enlace documento
http://www.secretariasenado.
gov.co/leyes/L0527_99.HTM
Norma de aplicacin transversal,
toda vez que se aplica a todos
los mensajes de datos sin
importar su naturaleza, temtica
o sector, Por medio de la cual
se define y reglamente el acceso
y uso de los mensajes de datos,
del comercio electrnico y de las
firmas digitales, y se establecen
las entidades de certificacin y
se dictan otras disposiciones y
el Decreto reglamentario 1747
de septiembre 11 de 2000 Por
el
cual
se
reglamenta
parcialmente la Ley 527 de
1999, en lo relacionado con las
entidades de certificacin, los
certificados
y
las
firmas
digitales.
(.a. 24/09/08).
http://web.minjusticia.gov.co/
jurisprudencia/CorteConstituci
onal/2000/Constitucionalidad/
C-662-00.htm
Vigencia y
Aplicacin
Fuente
A partir de su
publicacin, en
el diario oficial,
agosto 21 de
1999.
Congreso de la
Repblica de
Colombia.
Junio 08 de
2000.
Corte
Constitucional
de Colombia.
A partir de su
promulgacin,
septiembre 11
de 2000.
Congreso de la
Repblica de
Colombia.
(.a. 24/09/08).
http://www.mincomercio.gov.
co/eContent/documentos/nor
matividad/decretos/decreto_1
747_2000.pdf
(.a. 24/09/08).
Pgina 49 de 197
http://www.alcaldiabogota.gov
.co/sisjur/consulta_tematica.js
p
Congreso de la
Repblica de
Colombia.
A partir de su
promulgacin,
julio 18 de 2000.
Congreso de la
Repblica de
Colombia.
A partir de su
publicacin, en
el diario oficial,
julio 30 de 2002.
Presidencia de
la Repblica
de Colombia.
A partir de su
promulgacin,
diciembre 5 de
2003.
Presidencia de
la Repblica
de Colombia.
(.a. 24/09/08).
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=6252
(.a. 24/09/08).
http://www.dafp.gov.co/leyes/
D1524002.HTM
Establece
un
rgimen
de
responsabilidades
para
los
proveedores de servicio de
internet
y
prestadores
de
servicio
de
hospedaje
de
contenido en un servidor para
un sitio Web en relacin con el
objeto de la norma, a saber:
Un ao despus
de su
promulgacin,
julio 24 de 2001.
(.a. 24/09/08).
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=10935
(.a. 24/09/08).
Pgina 50 de 197
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=20808
A partir de su
promulgacin,
junio 30 de
2006.
Presidencia de
la Repblica
de Colombia.
(.a. 24/09/08).
http://www.secretariasenado.
gov.co/leyes/L1065006.HTM
A partir de su
promulgacin,
julio 29 de 2006.
Congreso de la
Repblica de
Colombia.
(.a. 24/09/08).
Congreso de la
Repblica.
Ley 1150 de 2007.
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=25678
Enero 16 de
2008.
(.a. 24/09/08).
http://www.mincomunicacione
s.gov.co/mincom/src/user_doc
s/Archivos/normatividad/2007
/Resolucion/R999de2007.pdf
28 de marzo de
2007.
Ministerio de
Comunicacione
s.
(.a. 24/09/08).
Presidencia de
la Repblica.
Decreto 1929 de 2007.
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=25311
A partir de su
promulgacin,
mayo 29 de
2007.
(.a. 24/09/08).
Se expide el Rgimen
Proteccin de los Derechos
los Suscriptores y/o Usuarios
los
Servicios
de
de
de
de
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=26684
Pgina 51 de 197
A partir de su
promulgacin,
septiembre 19
de 2007.
Comisin de
Regulacin de
Telecomunicac
iones.
(.a. 24/09/08).
Presidencia de
la Repblica.
Decreto 4510 de 2007.
Por
el
cual
se
modifica
parcialmente el Decreto 1929 de
2007, factura electrnica.
Por
la
cual
se
modifica
parcialmente la resolucin CRT1732 de 2007, en materia de
proteccin
de
derechos
de
suscriptores y/o usuarios de los
servicios de Telecomunicaciones.
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=27589
A partir de su
promulgacin,
noviembre 23 de
2007.
(.a. 24/09/08).
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=27909&iu=0#1
A partir de su
promulgacin,
diciembre 07 de
2007.
Comisin de
Regulacin de
Telecomunicac
iones.
(.a. 24/09/08).
El
artculo
8
del
Decreto
reglamenta
el
Sistema
Electrnico para la Contratacin
Pblica SECOP-.
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=31185#0
A partir de su
promulgacin,
julio 07 de 2008.
Presidencia de
la Repblica
de Colombia.
(.a. 24/09/08).
http://www.secretariasenado.
gov.co/leyes/L1221008.HTM
Norma
de
promocin
y
regulacin
al
teletrabajo,
tendiente al reconocimiento de
sus
bondades
y
aplicacin
integral de sus prerrogativas, en
consonancia con el derecho
sustancial preexistente.
A partir de su
promulgacin,
julio 16 de 2008.
Congreso de la
Repblica de
Colombia.
A partir de su
promulgacin,
Septiembre 03
de 2008.
Ministerio de
Comunicacione
s de la
Repblica de
Colombia.
(.a. 24/09/08).
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=32350
(.a. 24/09/08).
Pgina 52 de 197
delegacin
de
dominio bajo el
http://www.secretariasenado.
gov.co/leyes/L1231008.HTM
Rgimen
de
la
factura
electrnica como ttulo valor,
unificando
los
postulados
existentes
en
el
contexto
tributario y comercial tendientes
a su funcionalidad eficaz y
adecuado
mecanismo
de
financiacin
para
la
micro,
pequea, y mediana empresa.
(.a. 24/09/08).
Tres meses
posteriores a su
promulgacin
(Octubre 17 de
2008).
Congreso de la
Repblica de
Colombia.
El
Gobierno
Nacional
debe
reglamentar
la
puesta
en
circulacin
de
la
factura
electrnica como ttulo valor.
Resumen
Enlace documento
Vigencia y
Aplicacin
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=17079#0
A partir de la
publicacin de la
Ley aprobatoria
970 de 2005, en
el diario oficial,
julio 15 de 2005.
Fuente
Artculo 10
Convencin de las Naciones Unidas
contra la Corrupcin, aprobada
mediante Ley 970 de 2005.
Informacin pblica
Habida cuenta de la necesidad de
combatir la corrupcin, cada Estado
Parte, de conformidad con los
principios fundamentales de su
derecho
interno,
adoptar
las
medidas que sean necesarias para
aumentar la transparencia en su
administracin pblica, incluso en lo
relativo
a
su
organizacin,
funcionamiento
y
procesos
de
adopcin de decisiones, cuando
proceda. Esas medidas podrn
incluir, entre otras cosas:
(.a. 24/09/08).
a)
La
instauracin
de
procedimientos o reglamentaciones
que permitan al pblico en general
obtener,
cuando
proceda,
informacin sobre la organizacin, el
funcionamiento y los procesos de
adopcin de decisiones de su
administracin pblica y, con el
debido respeto a la proteccin de la
intimidad y de los datos personales,
sobre las decisiones y actos jurdicos
que incumban al pblico;
b)
La
simplificacin
de
los
procedimientos
administrativos,
cuando proceda, a fin de facilitar el
acceso del pblico a las autoridades
encargadas de la adopcin de
decisiones, y
c) La publicacin de informacin, lo
que podr incluir informes peridicos
Pgina 53 de 197
Asamblea
General de la
Organizacin
de las
Naciones
Unidas.
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
Vigencia y
Aplicacin
Fuente
Resumen
Enlace documento
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=2581
Rige a partir de
su
promulgacin,
agosto 19 de
1990.
Presidencia de
la Repblica
de Colombia.
Febrero 9 de 2000.
Departamento
Nacional de
Planeacin y
Ministerio de
Comunicacione
s de Colombia.
Un ao despus
de su
promulgacin,
julio 24 de 2000.
Congreso de la
Repblica de
Colombia.
(.a. 24/09/08).
El Ministerio de Comunicaciones y el
Departamento
Nacional
de
Planeacin ponen a consideracin
del Comit Nacional de Poltica
Econmica y Social el programa
Agenda de Conectividad con la
finalidad de promover las bondades
de las tecnologas de la informacin
(Y actualmente se adhieren las de
comunicacin) en el sector pblico,
as la competitividad del sector
productivo, postulados concebidos
en consonancia con el Plan Nacional
de Desarrollo 1998 2002 Cambio
para Construir la Paz.
http://www.agenda.gov.co/do
cuments/files/CONPES%20307
2.pdf
Es
importante
garantizar
la
veracidad
y suficiencia
de
la
informacin
contenida
en
las
respectivas pginas Web, so pena de
llegar a afectar bienes jurdicos
tutelados tales como el Orden
Econmico-Social.
http://www.secretariasenado.
gov.co/leyes/L0599000.HTM
(.a. 24/09/08).
(.a. 24/09/08).
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
http://www.secretariasenado.
gov.co/leyes/L0588000.HTM
Rige a partir de
su
promulgacin,
julio 06 de 2000
Congreso de la
Repblica de
Colombia.
Rige a partir de
su
promulgacin,
febrero 15 de
2002
Alcalda Mayor
de Bogot
D.C.
Abril 09 de 2003
Congreso de la
Repblica de
Colombia.
Rige a partir de
la fecha de su
promulgacin,
Congreso de la
Repblica de
Notarias
y
Consulados
pueden
convertirse
en
entidades
de
certificacin, a la vez que utilizar
todos los medios magnticos o
electrnicos que requieran para el
archivo de la informacin.
(.a. 24/09/08).
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=4604
(.a. 24/09/08).
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=6922
(.a. 24/09/08).
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
Pgina 55 de 197
Resumen
Enlace documento
?i=8620#0
Vigencia y
Aplicacin
Fuente
julio 03 de 2003.
Colombia.
Rige a partir de
su
promulgacin,
enero 13 de
2004
Presidencia de
la Repblica
de Colombia.
A partir de su
publicacin, en
el diario oficial,
enero 2 de
2004.
Congreso de la
Repblica de
Colombia.
Rige a partir de
su
promulgacin,
julio 07 de 2004.
Congreso de la
Repblica de
Colombia.
Rige a partir de
su
promulgacin,
septiembre 23
de 2004.
Congreso de la
Repblica.
(.a. 24/09/08).
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=11233
(.a. 24/09/08).
http://www.secretariasenado.
gov.co/leyes/L0872003.HTM
(.a. 24/09/08).
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=14145
(.a. 24/09/08).
Artculo
33. Mecanismos
de
publicidad. La publicidad de las
convocatorias ser efectuada por
cada entidad a travs de los medios
que garanticen su conocimiento y
permitan la libre concurrencia, de
acuerdo con lo establecido en el
reglamento.
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=14861
Pgina 56 de 197
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
http://www.ramajudicial.gov.c
o/csj_portal/assets/DECRETO
%204110%20DE%202004.pdf
A partir de la
fecha de
publicacin, en
el diario oficial,
diciembre 13 de
2004.
Presidencia de
la Repblica
de Colombia.
A partir de la
fecha de
publicacin, en
el diario oficial,
mayo 23 de
2005.
Presidencia de
la Repblica
de Colombia.
Rige a partir de
su
promulgacin,
julio 08 de 2005.
Congreso de la
Repblica de
Colombia.
http://www.ram
ajudicial.gov.co/
csj_portal/jsp/fr
ames/index.jsp?i
dsitio=6&idsecci
Consejo
Superior de la
Judicatura
reclamaciones y consultas.
La Comisin Nacional del Servicio
Civil publicar en su pgina web la
informacin
referente
a
las
convocatorias, lista de elegibles y
Registro Pblico de Carrera.
(.a. 24/09/08).
http://www.anticorrupcion.gov
.co/marco/normas_ci_publico/
D.1599de2005.pdf
(.a. 24/09/08).
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=17004
(.a. 24/09/08).
Reglamentan
la
utilizacin
de
medios electrnicos e informticos
en el cumplimiento de las funciones
de administracin de justicia
Marzo 02 de 2006
Pgina 57 de 197
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
on=167
(. a. 30/09/08)
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=26378
A partir de su
promulgacin,
Julio 31 de 2007
Presidencia de
la Repblica
de Colombia.
Rige a partir de
su
promulgacin,
diciembre 28 de
2007.
Alcalda Mayor
de Bogot
D.C.
A partir de su
promulgacin,
abril 18 de
2008.
Presidencia de
la Repblica
(.a. 24/09/08).
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=28134#0
(.a. 24/09/08).
http://www.superservicios.gov
.co/basedoc/decreto_nacional.
shtml?x=68236
(.a. 24/09/08).
Pgina 58 de 197
Resumen
Enlace documento
Constitucin de la Unin
Internacional de
Telecomunicaciones, suscrita en
Ginebra, a 22 de diciembre de 1992.
Particularmente el artculo 37,
numeral 1), aprobada mediante Ley
252 de 1995.
http://www.superservicios.gov
.co/basedoc/leyes.shtml?x=54
979
Vigencia y
Aplicacin
Fuente
A partir de
diciembre 19 de
1995.
Unin
Internacional
de
Telecomunicac
iones
A partir de julio
19 de 2006.
Comunidad
Andina de
Naciones.
A partir de su
aprobacin en la
cuarta sesin
plenaria, junio 8
de 2008.
Organizacin
de los Estados
Americanos
(OEA),
Comisin
Interamerican
a de
Telecomunicac
iones.
(.a. 24/09/08).
Parmetros de proteccin al
consumidor de las
telecomunicaciones que debern
adoptar los Estados Miembros en sus
ordenamientos internos.
Particularmente, se debe hacer
hincapi en las obligaciones de los
operadores y proveedores de
servicios de telecomunicaciones en
lo relativo a seguridad telemtica.
1.
Adoptar el
proyecto de Estrategia
Interamericana Integral de
Seguridad Ciberntica que se
adjunta como anexo.
2.
Instar a los
Estados Miembros a implementar
dicha Estrategia.
3.
Instar a los
Estados Miembros a establecer o
identificar grupos nacionales de
vigilancia y alerta, tambin
conocidos como Equipos de
Respuesta a Incidentes de
Seguridad en Computadoras
(CSIRT).
4.
Dar renovado
nfasis a la importancia de lograr
sistemas seguros de informacin de
Internet en todo el Hemisferio.
5.
Solicitar al
Consejo Permanente que, por medio
de la Comisin de Seguridad
Hemisfrica, siga abordando esta
cuestin y contine facilitando las
medidas de coordinacin para
implementar dicha Estrategia, en
particular los esfuerzos de los
expertos gubernamentales, el
Comit Interamericano contra el
Terrorismo (CICTE), la Comisin
Interamericana de
Telecomunicaciones (CITEL) y el
Grupo de Expertos en Materia de
Delito Ciberntico de la Reunin de
http://www.comunidadandina.
org/normativa/dec/d638.htm
(.a. 24/09/08).
http://www.cicte.oas.org/Rev/
en/Documents/OAS_GA/AGRES.%202004%20(XXXIV-O04)_SP.pdf
(.a. 24/09/08).
Pgina 59 de 197
Resumen
Enlace documento
Pgina 60 de 197
Vigencia y
Aplicacin
Fuente
Ley 23 de 1981
Resumen
Enlace documento
http://www.mined
ucacion.gov.co/16
21/articles103905_archivo_p
df.pdf
Vigencia y Aplicacin
Fuente
Rige a partir de su
promulgacin, febrero de
1981
Congreso de la
Repblica de
Colombia.
A partir de su promulgacin,
enero 28 de 1982.
Congreso de la
Repblica de
Colombia.
Presidencia de
la Repblica
de Colombia.
Rige partir de su
promulgacin, noviembre 22
de 1985
Congreso de la
Repblica de
Colombia
(.a. 24/09/08).
Ley 23 de 1982
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=3431
()
(.a. 24/09/08).
http://www.dafp.g
ov.co/leyes/C_CO
NADM.HTM
(.a. 24/09/08).
Ley 96 de 1985.
Tienen
carcter
reservado
las
informaciones que reposen en los
archivos
de
la
Registradura,
referentes a la identidad de las
personas, cmo son sus datos
biogrficos, su filiacin y su frmula
dactiloscpica. De la informacin
reservada slo podr hacerse uso
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=14506
Pgina 61 de 197
Resumen
Enlace documento
Ley 30 de 1986.
Vigencia y Aplicacin
Fuente
(.a. 28/09/08).
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=2774
Rige a partir de su
promulgacin, enero 31 de
1986.
Congreso de la
Repblica de
Colombia
Rige a partir de su
promulgacin, marzo 30 de
1989.
Congreso de la
Repblica
A partir de su promulgacin,
diciembre 13 de 1990.
Congreso de la
Repblica de
Colombia.
(.a. 28/09/08).
El
artculo
583
del
Estatuto
determina
que
la
informacin
tributaria respecto de las bases
gravables y la determinacin privada
de los impuestos que figuren en las
declaraciones tributarias, tendr el
carcter de informacin reservada;
por consiguiente, los funcionarios de
la Direccin General de Impuestos
Nacionales slo podrn utilizarla
para
el
control,
recaudo,
determinacin,
discusin
y
administracin de los impuestos y
para
efectos
de
informaciones
impersonales de estadstica.
http://www.dian.g
ov.co/dian/15servi
cios.nsf/0108fdc36
39d83ff05256f0b0
06abb3d/7ae1155
d8f61bdeb05256f0
d005e587c?OpenD
ocument
(.a. 28/09/08).
Ley 43 de 1990.
Profesional
http://www.mined
ucacion.gov.co/16
21/articles104546_archivo_p
df.pdf
(.a. 24/09/08).
Pgina 62 de 197
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
Ley 52 de 1990.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=3428
Rige a partir de su
promulgacin, diciembre 28
de 1990.
Congreso de la
Repblica de
Colombia.
Asamblea
Nacional
Constituyente
(.a. 28/09/08).
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=4125
(.a. 24/09/08).
Pgina 63 de 197
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
().
libres
y
tienen
social. Se garantiza
la rectificacin en
equidad. No habr
()
http://juriscol.ban
rep.gov.co:8080/C
ICPROD/BASIS/inf
juric/normas/norm
as/DDW?W%3DLL
AVE_NORMAS%3D
'DECRETO+2110+
1992+DEPARTAME
NTO+ADMINISTRA
TIVO+DE+SEGURI
DADDAS'%26M%3D1
%26K%3DDECRET
O+2110+1992+D
EPARTAMENTO+A
DMINISTRATIVO+
DE+SEGURIDAD-
Pgina 64 de 197
A partir de la fecha de su
publicacin, en el diario
oficial, abril 7 de 1993.
Presidencia de
la Repblica
de Colombia.
Resumen
Enlace documento
DAS%26R%3DY%
26U%3D1
Vigencia y Aplicacin
Fuente
A partir de su promulgacin,
octubre 20 de 1993.
Congreso de la
Repblica de
Colombia.
(.a. 24/08/08).
()
ARTICULO
85.
SECRETO
O
RESERVA.- Por la naturaleza de las
funciones
que
cumple
el
Departamento
Administrativo
de
Seguridad,
los
documentos,
mensajes, grabaciones, fotografas y
material clasificado de la Direccin
General de Inteligencia, de las
Divisiones que de ella dependen, de
las Unidades Regionales y Grupos de
Inteligencia, tiene carcter secreto o
reservado. Igual carcter tienen las
informaciones originadas en las
dependencias de la Institucin y el
material correspondiente, cuando se
relacionen
con
asuntos
de
competencia de las Unidades de
Inteligencia. En consecuencia, no se
podrn
compulsar
copias
ni
duplicados, ni suministrar datos
relacionados con ellos salvo si
precede autorizacin expresa del
Director del Departamento.
Ley 79 de 1993.
ARTCULO
5o.
Las
personas
naturales o jurdicas, de cualquier
orden o naturaleza, domiciliadas o
residentes en el territorio nacional,
estn obligadas a suministrar al
Departamento
Administrativo
Nacional de Estadstica DANE, los
datos solicitados en el desarrollo de
Censos y Encuestas.
http://www.secret
ariasenado.gov.co
/leyes/L0079_93.
HTM
(.a. 24/09/08).
Los
datos
suministrados
al
Departamento
Administrativo
Nacional de Estadstica DANE, en el
desarrollo de los censos y encuestas,
Pgina 65 de 197
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
Permitiendo
inferir
que
la
informacin
suministrada
al
Departamento
Administrativo
Nacional de Estadstica (DANE) solo
puede ser utilizada para el fin
especfico
de
su
obtencin
(ADQUIRIENDO
INFORMACIN
RELEVANTE,
QUE
OTORGUE
VERDADEROS
INDICADORES,
Y
ACORDE
A
LA
FINALIDAD
PERSEGUIDA), cual es la realizacin
de
los
respectivos
censos
y
encuestas.
Constitucin
de
la
Unin
Internacional
de
Telecomunicaciones,
suscrita
en
Ginebra, a 22 de diciembre de 1992
(Particularmente el artculo 34,
numeral 2), aprobada mediante Ley
252 de 1995.
A partir de diciembre 19 de
1995.
http://www.supers
ervicios.gov.co/ba
sedoc/leyes.shtml
?x=54979
Unin
Internacional
de
Telecomunicac
iones.
(.a. 24/09/08).
http://www.adpos
tal.gov.co/secs/no
rmatividad/decret
o_229.htm
58.
Todo
Presidencia de
la Repblica
de Colombia.
(.a. 24/09/08).
A partir de su promulgacin,
junio 6 de 1995.
http://www.dafp.g
ov.co/leyes/L0190
_95.HTM#58
()
ARTCULO
A partir de su publicacin,
en el diario oficial, febrero 3
de 1995.
ciudadano
Pgina 66 de 197
Congreso de la
Repblica de
Colombia.
Resumen
Enlace documento
(.a. 24/09/08).
Igualmente,
en
materia
de
intervencin de los medios de
comunicacin ante la gestin de las
autoridades y funcionarios pblicos,
consagra lo siguiente:
ARTCULO
78.
En
las
investigaciones penales la reserva
de la instruccin no impedir a los
funcionarios
competentes
proporcionar a los medios de
comunicacin informacin sobre los
siguientes aspectos:
Si la medida de aseguramiento no
se ha hecho efectiva, el funcionario
podr
no
hacer
pblica
la
Pgina 67 de 197
Vigencia y Aplicacin
Fuente
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
informacin.
A partir de su promulgacin,
enero 15 de 1996.
Ley por la cual se dictas normas
sobre competencia desleal
Voluntad de
detenta para
desconocido a
Adopcin de
(Jurdicas
y
necesarias
mantenerlo
estado.
Informacin
generacin
comunidad en
http://www.secret
ariasenado.gov.co
/leyes/L0256_96.
HTM
(.a. 24/09/08).
quien lo
mantenerlo
terceros.
la medidas
Tcnicas)
para
en
dicho
de
difcil
por
la
general.
En complemento de lo precedente,
el entorno comercial concibe el
secreto empresarial, caracterizado
por:
Que
la
informacin
involucre
una
efectiva
ventaja competitiva para
su legtimo poseedor.
Que sea susceptible de
valoracin econmica.
No se requiere que el
infractor
sea
un
competidor
directo
del
legtimo poseedor.
Susceptible
de
ser
transferido a un tercero,
con deber de reserva. Lo
reprochable no es el
conocimiento del secreto,
sino su acceso por medios
ilegales.
Es
valido
que
los
competidores
intentes
cifrar
el
secreto
empresarial por medios
lcitos.
Pgina 68 de 197
Congreso de la
Repblica de
Colombia.
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
http://juriscol.ban
rep.gov.co:8080/C
ICPROD/BASIS/inf
juric/normas/norm
as/DDW?W%3DLL
AVE_NORMAS%3D
'DECRETO+300+1
997+MINISTERIO
+DE+JUSTICIA+Y
+DEL+DERECHO'
%26M%3D1%26K
%3DDECRETO+30
0+1997+MINISTE
RIO+DE+JUSTICI
A+Y+DEL+DEREC
HO%26R%3DY%2
6U%3D1
Rige a partir de su
promulgacin, febrero 13 de
1997.
Presidencia de
la Repblica
de Colombia.
Pgina 69 de 197
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
(.a. 29/09/08)
A partir de su promulgacin,
diciembre 29 de 1998.
Por la cual se dictan normas sobre
la organizacin y funcionamiento de
las entidades del orden nacional, se
expiden las disposiciones, principios
y reglas generales para el ejercicio
de las atribuciones previstas en los
numerales 15 y 16 del artculo 189
de la Constitucin Poltica y se dictan
otras disposiciones.
http://www.dafp.g
ov.co/leyes/L0489
_98.HTM#119
Congreso de la
Repblica de
Colombia.
(.a. 24/09/08).
http://www.secret
ariasenado.gov.co
/leyes/L0527_99.
HTM
(.a. 24/09/08).
Pgina 70 de 197
A partir de su publicacin,
en el diario oficial, agosto 21
de 1999.
Congreso de la
Repblica de
Colombia.
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
http://www.secret
ariasenado.gov.co
/leyes/L0555000.
HTM
A partir de su publicacin,
en el diario oficial, febrero 7
de 2000.
Congreso de la
Repblica de
Colombia.
()
()
Artculo
32.
Deberes
de
las
entidades
de
certificacin.
Las
entidades de certificacin tendrn,
entre otros, los siguientes deberes:
()
c)
Garantizar
la
proteccin,
confidencialidad y debido uso de la
informacin suministrada por el
suscriptor.
()
()
ARTICULO
17.
REGIMEN
PROTECCION AL USUARIO
DE
(.a. 24/09/08).
()
Pgina 71 de 197
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
titulares.
<Aparte
subrayado
CONDICIONALMENTE
exequible>
Cualquier
dao
causado
con
violacin de esta norma dar lugar a
la indemnizacin de perjuicios segn
las
reglas
civiles
de
la
responsabilidad, sin perjuicio de la
procedencia de la accin de tutela
para
proteger
el
derecho
fundamental a la intimidad personal
(Corte
ConstitucionalAparte
subrayado
declarado
CONDICIONALMENTE
EXEQUIBLE
por la Corte Constitucional mediante
Sentencia C-887-02 de 22 de
octubre
de
2002,
Magistrada
Ponente Dra. Clara Ins Vargas
Hernndez, "bajo el entendido que
no excluyen la proteccin de otros
derechos fundamentales mediante el
ejercicio de la accin de tutela).
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=4275
A partir de su publicacin,
en el diario oficial, julio 14
de 2000.
Congreso de la
Repblica de
Colombia.
Rige a partir de su
promulgacin, julio 06 de
2000.
Congreso de la
Repblica
A partir de su promulgacin,
septiembre 11 de 2000.
Congreso de la
Repblica de
Colombia.
(.a. 24/09/08).
Notarias
y
Consulados
pueden
convertirse
en
entidades
de
certificacin, a la vez que utilizar
todos los medios magnticos o
electrnicos que requieran para el
archivo de la informacin.
http://www.secret
ariasenado.gov.co
/leyes/L0588000.
HTM
(.a. 24/09/08).
Decreto
1747
de
2000
(Particularmente el artculo 25).
ARTCULO 25. INFORMACIN. Las
entidades de certificacin estarn
obligadas a respetar las condiciones
de confidencialidad y seguridad, de
acuerdo con las normas vigentes
http://www.minco
mercio.gov.co/eCo
ntent/documentos
/normatividad/dec
retos/decreto_174
7_2000.pdf
(.a. 24/09/08).
Pgina 72 de 197
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
respectivas.
Estatuto
para
prevenir
y
contrarrestar
la
explotacin,
pornografa y turismo sexual en
menores de edad, para lo cual se
crea la Comisin de expertos en
redes globales de informacin y
telecomunicaciones.
Prev la posibilidad de que existe un
sistema
de
autorregulacin
y
cdigos de conducta eficaces en el
manejo y aprovechamiento
de
redes.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=18309
Rige a partir de su
promulgacin,
Agosto 04 de 2001.
Congreso de la
Repblica
Rige a partir de su
promulgacin, agosto 05 de
2002.
Congreso de la
Repblica de
Colombia.
Rige a partir de su
publicacin, diciembre 13 de
2004.
Presidencia de
la Repblica
de Colombia.
(.a. 24/09/08).
Establece
un
rgimen
de
prohibiciones
y
deberes
para
proveedores
o
servidores,
administradores y usuarios de redes
globales.
Artculo
6.
Confidencialidad
Declaraciones Pblicas.
http://www.secret
ariasenado.gov.co
/leyes/L0766002.
HTM
(.a. 24/09/08).
Decreto
2004.
Reglamentario
4124
de
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=15442#0
(.a. 24/09/08).
Pgina 73 de 197
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
http://web.minjust
icia.gov.co/normas
/2005/l9642005.ht
m
A partir de su promulgacin,
julio 08 de 2005.
Congreso de la
Repblica de
Colombia.
An no ha entrado en
vigencia.
Congreso de la
Repblica.
(.a. 24/09/08).
http://www.habea
sdata.com.co/pdf/
proyectoactual/Te
xtodefinitivo0806-07.pdf
(.a. 24/09/08).
Mediante el artculo 13 de la
presente
ley,
se
dispuso
la
penalizacin de la conducta consiste
en utilizacin o facilitacin de
medios de comunicacin tales como,
el correo tradicional, las redes
globales de informacin, o cualquier
otro medio de comunicacin para
obtener
contacto
sexual
con
menores o para ofrecer servicios
sexuales con estos.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=31612
La norma se encuentra en la
H. Corte Constitucional
surtiendo el trmite de
control previo de
Constitucionalidad en razn
a su jerarqua de ley
Estatutaria.
Rige a partir de su
promulgacin, julio 23 de
2008.
Congreso de la
Repblica
(.a. 24/09/08).
Resumen
Enlace documento
http://web.minjust
icia.gov.co/jurispr
udencia/CorteCons
titucional/1992/Tu
tela/T-414-92.htm
Pgina 74 de 197
Vigencia y Aplicacin
Junio 16 de 1992
Fuente
Corte
Constitucional
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
(.a. 24/09/08).
A partir de su promulgacin,
octubre 28 de 1992.
http://web.minjust
icia.gov.co/jurispr
udencia/CorteCons
titucional/1992/Tu
tela/T-577-92.htm
Corte
Constitucional
de Colombia.
(.a. 24/09/08).
A partir de su promulgacin,
marzo 18 de 1993.
Corte
Constitucional
de Colombia.
http://web.minjust
icia.gov.co/jurispr
udencia/CorteCons
titucional/1993/Tu
tela/T-110-93.htm
(.a. 24/09/08).
A partir de su promulgacin,
marzo 1 de 1995.
http://www.adalid
abogados.com/Se
ntenciaNSU08295.
pdf
Pgina 75 de 197
Corte
Constitucional
de Colombia.
Resumen
Enlace documento
El derecho a la intimidad es un
derecho
disponible.
Ciertas
personas, segn su criterio, pueden
hacer pblicas conductas que otros
optaran por mantener reservadas.
As mismo, en el desarrollo de la
vida corriente, las personas se ven
impelidas a sacrificar parte de su
intimidad como consecuencia de las
relaciones interpersonales que las
involucran. En otros casos, son
razones de orden social o de inters
general o, incluso, de concurrencia
con otros derechos como el de la
Vigencia y Aplicacin
Fuente
(.a. 24/09/08).
Octubre 30 de 1997
http://web.minjust
icia.gov.co/jurispr
udencia/CorteCons
titucional/1997/Tu
tela/T-552-97.htm
Pgina 76 de 197
Corte
Constitucional
de Colombia
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
(. a. 29/08708)
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=14517
Corte
Constitucional
de Colombia.
A partir de su promulgacin,
septiembre 5 de 2002.
Corte
Constitucional
de Colombia.
(.a. 24/09/08).
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=9903
(.a. 24/09/08).
Principio
de
Integridad:
La
informacin debe ser inalterada en
el proceso comunicativo.
Principio
de
Necesidad:
informacin contenida debe
funcional.
Junio 21 de 2000
La
ser
Clasificacin de la Informacin: La
primera gran tipologa, es aquella
dirigida
a
distinguir
entre
la
informacin
impersonal
y
la
informacin personal. A su vez, en
esta ltima es importante diferenciar
igualmente la informacin personal
contenida en bases de datos
computarizadas
o
no
y
la
informacin personal contenida en
otros medios, como videos o
fotografas, etc.
La segunda gran tipologa que
necesariamente se superpone con la
Pgina 77 de 197
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
Sentencia
C-692 de 2003
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=21852
Agosto 12 de 2003
Corte
Constitucional
de Colombia
A partir de su promulgacin,
octubre 28 de 2005.
Corte
Constitucional
de Colombia.
Mayo 09 de 2007
Corte
Constitucional
de Colombia.
http://www.adalid
abogados.com//Se
ntenciat1105%200
5.pdf
(.a. 24/09/08).
La
bsqueda
selectiva
de
informacin confidencial en bases de
datos puede afectar los derechos
fundamentales a la intimidad y al
habeas data.
No obstante la Corporacin ha
reconocido tambin que el derecho a
la intimidad no es absoluto. En este
sentido, la Corte ha establecido que
el
derecho
fundamental
a
la
intimidad "puede ser objeto de
limitaciones" restrictivas de su
ejercicio "en guarda de un verdadero
inters general que responda a los
presupuestos establecidos por el
artculo 1 de la Constitucin", sin
que por ello se entienda que pueda
http://www.alcaldi
abogota.gov.co/sis
jur/consulta_tema
tica.jsp
(.a. 24/09/08).
Pgina 79 de 197
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
Sentencia
Corte
Suprema
de
Justicia, Sala de Casacin Civil,
Expediente 05001-22-03-000-2007
00230-01 de septiembre 4 de 2007.
A partir de su promulgacin,
septiembre 4 de 2007.
http://www.adalid
abogados.com/cor
tesuprema.pdf
Corte
Suprema de
Justicia, sala
de Casacin
Civil.
M.P.: Arturo
Solarte
Rodrguez
(.a. 24/09/08).
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
Mediante el artculo 95 de la
mencionada norma, se establece la
posibilidad para que la tecnologa se
ponga
al
servicio
de
la
administracin de justicia, mediante
su uso adecuado.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=6548
A partir de su promulgacin,
marzo 15 de 1996.
Congreso de la
Repblica
(.a. 24/09/08).
Los
juzgados,
tribunales
y
corporaciones
judiciales
podrn
utilizar cualesquier medios tcnicos,
electrnicos,
informticos
y
telemticos, para el cumplimiento de
sus funciones.
Los documentos emitidos por los
citados medios, cualquiera que sea
su soporte, gozarn de la validez y
eficacia de un documento original
siempre que quede garantizada su
autenticidad,
integridad
y
el
cumplimiento de los requisitos
exigidos por las leyes procesales.
Pgina 80 de 197
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=4276
A partir de la fecha de su
promulgacin, agosto 21 de
1999
Congreso de la
Repblica
A partir de su promulgacin,
septiembre 14 de 2000
Presidencia de
la Repblica
de Colombia.
A partir de su promulgacin,
octubre 26 de 2000
Superintenden
cia de
Industria y
Comercio
A partir de su promulgacin,
julio 24 de 2002.
Presidencia de
la Repblica
(.a. 24/09/08).
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=4277#1
(.a. 24/09/08).
Establece
estndares
para
la
autorizacin y funcionamiento de las
entidades de certificacin y sus
auditores
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=5793
(.a. 24/09/08).
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=5551
(.a. 24/09/08).
Pgina 81 de 197
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=18557
Polticas,
objetivos,
estrategias,
planes, proyectos, metas, entre
otros asuntos, relacionados con las
TIC en Bogot D.C.
http://www.alcaldi
abogota.gov.co/sis
jur/consulta_tema
tica.jsp
A partir de la fecha de su
promulgacin, diciembre 15
de 2005.
Concejo de
Bogot D.C.
A partir de la fecha de su
promulgacin, agosto 18 de
2006.
Alcalda Mayor
de Bogot
D.C.
(.a. 24/09/08).
(.a. 24/09/08).
Resumen
Enlace documento
http://daccessdds.
un.org/doc/RESOL
UTION/GEN/NR0/0
46/82/IMG/NR004
682.pdf?OpenElem
ent
Vigencia y Aplicacin
Fuente
Diciembre 10 de 1948
Organizacin
de las
Naciones
Unidas ONU-
Noviembre 22 de 1969
Organizacin
de Estados
Americanos
(.a. 24/09/08).
Convencin
Americana
sobre
Derechos Humanos, Pacto de San
Jos de Costa Rica
http://www.oas.or
g/Juridico/spanish
/tratados/b32.html
Pgina 82 de 197
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
o reputacin.
(.a. 24/09/08).
Pacto Internacional
Civiles y Polticos
de
Derechos
Establece en
el artculo 18 que
nadi
podr
ser
objeto
de
injerencias arbitrarias o ilegales en
su vida privada, su familia, su
domicilio o su correspondencia, ni de
ataques ilegales a su honra y
reputacin.
http://www.unhch
r.ch/spanish/html/
menu3/b/a_ccpr_s
p.htm
Octubre 26 de 1969
Organizacin
de las
Naciones
Unidas ONU-
Abril 25 de 1976
Asamblea
Constituyente
1978.
Asamblea
Constituyente
Diciembre 14 de 1990.
Asamblea
General de la
Organizacin
de las
Naciones
Unidas
(.a. 24/09/08).
En el artculo 35 de la Carta se
reconoce
el
derecho
a
todo
ciudadano de consultar lo que conste
en registros mecanogrficos acerca
de
ellos,
pudiendo
exigir
la
actualizacin
y rectificacin
de
datos.
http://www.adalid
abogados.com/por
tuguesa.pdf
(.a. 24/09/08).
http://www.adalid
abogados.com/esp
anola.pdf
(.a. 24/09/08).
http://www.adalid
abogados.com/con
venio108.pdf
(.a. 24/09/08).
Aplicacin de la directrices a
archivos
de
datos
personales
mantenidos
por
organizaciones
Pgina 83 de 197
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
internacionales gubernamentales.
http://www.apdcat
.net/media/246.pd
f
Enero 28 de 1981
Consejo de
Europa
Octubre 24 de 1995.
Parlamento
Europeo y del
Consejo de
Europa
(.a. 24/09/08).
DIRECTIVA
PARLAMENTO
CONSEJO.
95/46/CE
EUROPEO
DEL
DEL
http://eurlex.europa.eu/Lex
UriServ/LexUriSer
v.do?uri=CELEX:3
1995L0046:ES:NO
T
()
http://mexico.use
mbassy.gov/bbf/bf
dossier_FOIA_acta
.pdf
Noviembre 1 de 1996.
Congreso de
los Estados
Unidos de
Amrica-
(.a. 24/09/08).
http://www.adalid
abogados.com/ley
19.pdf
Pgina 84 de 197
Agosto de 1999
Congreso
Nacional de
Chile
Resumen
Enlace documento
Vigencia y Aplicacin
Fuente
(.a. 24/09/08).
http://www.adalid
abogados.com/Ley
15.pdf
http://www.adalid
abogados.com/ley
25326.pdf
Diciembre de 1999
Cortes
Generales
Octubre de 2000
Poder
Legislativo
Enero de 2001
Parlamento
Europeo y
Consejo de la
Unin Europea
Enero de 2002
Congreso de la
Unin.
Marzo 15 de 2006.
Parlamento
Europeo y
Consejo de la
Unin
Europea.
(.a. 24/09/08).
(.a. 24/09/08).
http://europa.eu/e
urlex/pri/es/oj/dat/2
001/l_008/l_0082
0010112es000100
22.pdf
Tiene
por
objeto
regular
la
constitucin y operacin de las
sociedades de informacin crediticia.
http://www.adalid
abogados.com/ley
sociedades.pdf
(.a. 24/09/08).
(.a. 24/09/08).
http://eurlex.europa.eu/Lex
UriServ/LexUriSer
v.do?uri=OJ:L:200
6:105:0054:0063:
ES:PDF
(.a. 24/09/08).
ABREVIATURAS
EXPERIENCIAS
NACIONALES
Introduccin
Con el rpido desarrollo de internet, las diferentes entidades del pas son cada vez ms dependientes del
uso de redes pblicas, volviendo crtica la productividad y estabilidad de las infraestructuras nacionales que
componen esta nueva e-economa emergente y que as mismo, es urgente proteger.
Los ataques contra las infraestructuras computacionales estn aumentando de frecuencia, en sofisticacin
y en escala. Esta amenaza cada vez mayor requiere un acercamiento y colaboracin con las varias
organizaciones pblicas, privadas y la academia, que tomen el papel de liderazgo y coordinacin con el
apoyo total del gobierno tanto a nivel central como territorial.
Para tratar esta necesidad urgente, se propone el establecimiento de un grupo llamado CERT Colombia que
tendra un foco operacional en la atencin de emergencias de seguridad informtica para las transacciones
en lnea del pas, con una permanente colaboracin nacional e internacional.
Cmo consultar este captulo:
Este documento presenta de manera general y prctica como se estructura el CSIRT Colombiano,
incluyendo los siguientes aspectos:
Se incluye un marco de referencia donde se define lo que es un CSIRT, los beneficios que trae contar
con uno y se hace una relacin de algunas iniciativas y experiencias nacionales e internacionales
consideradas para el desarrollo de este documento.
Se presenta la definicin general del CSIRT, el tipo de entidad que se recomienda constituir, su misin,
visin, objeto social, representacin legal, la relacin con otras entidades y el portafolio de potenciales
productos y los objetivos y metas estratgicos definidos para su adecuado control y gestin.
Se considera un potencial portafolio de productos y servicios que hagan auto sostenible la operacin el
CSIT Colombiano.
Se definen las polticas, procesos y procedimientos que sostengan la operacin de la entidad, haciendo
una articulacin del modelo de seguridad con la NTC-GP 1000, MECI e ISO 9000.
Se desarrolla un plan de mercadeo a cinco aos que permita lograr el posicionamiento del CSIRT
Colombiano en la industria de la seguridad informtica tanto a nivel nacional como internacional.
Pgina 86 de 197
Se incluye un plan de gestin humana considerando una estructura organizacional propuesta, las
competencias requeridas para cada rol, el modelo de contratacin y Capacitacin del talento humano
del CSIRT Colombiano.
Se define el plan financiero donde se considera una poltica de inversiones y de financiacin, una
estrategia de costos, inversiones y funcionamiento y un modelo de ingresos.
Se identifican las oportunidades de exportacin de los productos y servicios establecidos, para afianzar
el posicionamiento internacional y la auto sostenibilidad del negocio.
4.3.2.
QU ES UN CSIRT
El trmino CSIRT significa Computer Security Incident Response Team (Equipo de Respuesta a Incidentes
de Seguridad Informtica), y ha sido acuado respondiendo simultneamente a diferentes abreviaturas
usadas para denotar a nivel mundial este tipo de equipos:
CSIRT (Computer Security Incident Response Team / Equipo de Respuesta a Incidentes de Seguridad
Informtica): Trmino usado en Europa.
CERT o CERT/CC (Computer Emergency Response Team / Coordination Center, equipo de respuesta a
emergencias informticas / Centro de coordinacin): Trmino registrado en los Estados Unidos de
Amrica por el CERT Coordination Center (CERT/CC).
Un CSIRT es un equipo de expertos en seguridad informtica que pretenden responder a los incidentes de
seguridad relacionados con la tecnologa de la informacin y a recuperarse despus de sufrir uno de estos
incidentes. Para minimizar los riesgos tambin se ofrecen servicios preventivos y educativos relacionados
con vulnerabilidades de software, hardware o comunicaciones y se informa a la comunidad sobre los
potenciales riesgos que toman ventaja de las deficiencias de la seguridad.
Pgina 87 de 197
4.3.3.
ANTECEDENTES
Durante la segunda mitad de los aos ochenta se vio la red Arpanet salir de la fase de I&D y convertirse en
una realidad prctica bajo el impulso del mundo universitario y desarrollada por el DoD (el Departamento
de Defensa estadounidense). La eficacia y la constante mejora de los distintos servicios, entre los cuales se
cuenta el correo electrnico, rpidamente hicieron que esta red sea indispensable para numerosos sitios.
En noviembre de 1988, un estudiante de la Universidad de Cornell lanz en esta red un programa que se
propagaba y se replicaba solo. Este programa, conocido con el nombre de gusano de Internet,
aprovechaba distintos fallos de seguridad del sistema Unix (el sistema operativo de la mayora de los
ordenadores conectados en la red). Aunque no fue programado con malas intenciones, este primer virus
informtico, se propag rpidamente obstruyendo al mismo tiempo las mquinas infectadas por mltiples
copias del gusano. En ese entonces, la red constaba de aproximadamente 60.000 ordenadores. Con slo el
3 o 4 % de las mquinas contaminadas, la red estuvo totalmente indisponible durante varios das, hasta
que se tomaron medidas cautelares (incluyendo la desconexin de numerosas mquinas de la red).
Para eliminar este gusano de Internet, se cre un equipo de anlisis ad hoc con expertos del MIT, de
Berkley, Purdue. Se reconstituy y analiz el cdigo del virus, lo cual permiti, por una parte, identificar y
corregir los fallos del sistema operativo, y por otra parte, desarrollar y difundir mecanismos de
erradicacin. Despus de este incidente, el director de obras de Arpanet, la DARPA (Defense Advanced
Research Projects Agency), decidi instalar una estructura permanente, el CERT Coordination Center
(CERT/CC) parecido al equipo reunido para resolver el incidente.
Este incidente actu como una alarma e impuls la necesidad de cooperacin y coordinacin multinacional
para enfrentarse este tipo de casos. En este sentido, la DARPA (Defence Advanced Research Projects
Agency / Agencia de Investigacin de Proyectos Avanzados de Defensa) cre el primer CSIRT: El CERT
Coordination Center (CERT/CC1), ubicado en la Universidad Carnegie Mellon, en Pittsburgh (Pensilvania,
USA).
Poco despus el modelo se adopt en Europa, y en 1992 el proveedor acadmico holands SURFnet puso
en marcha el primer CSIRT de Europa, llamado SURFnet-CERT2. El nmero de CSIRTs continu creciendo,
cada uno con su propio propsito, financiacin, divulgacin y rea de influencia. La interaccin entre estos
equipos experiment dificultades debido a las diferencias en lengua, zona horaria y estndares o
convenciones internacionales. Siguieron otros muchos equipos, y en la actualidad existen ms de 100
CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute -
Pgina 88 de 197
equipos reconocidos alrededor del mundo. Con el tiempo, los CERT ampliaron sus capacidades y pasaron
de ser una fuerza de reaccin a prestadores de servicios de seguridad completos que incluyen servicios
preventivos como alertas, avisos de seguridad, formacin y servicios de gestin de la seguridad. Pronto el
trmino CERT se consider insuficiente, y a finales de los aos noventa se acu el trmino CSIRT. En
la actualidad, ambos trminos (CERT y CSIRT) se usan como sinnimos.
Internet comenz su vertiginoso crecimiento y muchas compaas comenzaron a confiar en Internet sus
transacciones diarias. As mismo, los CSIRTs continuaron creciendo alrededor del globo, soportando
gobiernos enteros u organizaciones multinacionales.
Desde ese entonces, Internet ha seguido creciendo hasta llegar a ser la red que se conoce actualmente,
con una multiplicacin rpida de las mquinas conectadas (varios millones) y de las fuentes de agresin.
4.3.4.
Disponer de un equipo dedicado a la seguridad de las TI ayuda a las organizaciones a mitigar y evitar los
incidentes graves y a proteger su patrimonio. Otros posibles beneficios son:
Disponer de una coordinacin centralizada para las cuestiones relacionadas con la seguridad de las TI
dentro de la organizacin (punto de contacto).
Reaccionar a los incidentes relacionados con las TI y tratarlos de un modo centralizado y especializado.
Tener al alcance de la mano los conocimientos tcnicos necesarios para apoyar y asistir a los usuarios
que necesitan recuperarse rpidamente de algn incidente de seguridad.
Fomentar la cooperacin en la seguridad de las TI entre los clientes del grupo atendido
(sensibilizacin).
4.3.5.
En la actualidad existen mltiples organizaciones que usan el nombre CERT - Computer Emergency
Response Team (Equipo de Respuesta a Emergencias de Computacin) o CSIRT (trmino genrico de
significado equivalente).
A continuacin se presentan algunas de estas experiencias como primer paso fundamental para la
definicin de una propuesta de creacin del CSIRT Colombiano (.a = 30/09/2008).
Pgina 89 de 197
General en temas de
Resumen
Enlace
http://www.cert.org/
CSIRT - Handbook.pdf
General en temas de
http://www.cert.org/
CSIRT FAQ.doc
General en temas de
http://www.cert.org/
General en temas de
http://www.cert.org/
http://www.cert.org/
Teora
CSIRT
Teora
CSIRT
Teora
CSIRT
Teora
CSIRT
General en temas de
http://www.cert.org/
General en temas de
http://www.cert.org/
General en temas de
http://www.rediris.es/cert/links/csirt.es.html
General en temas de
http://www.tesink.org/thesis.pdf
Thesis.pdf
https://www.cert.org/archive/pdf/Limits-toCSIRT-Effectiveness.pdf
Limits-to-CSIRT-Effectiveness.pdf
http://www.ecsirt.net/cec/service/documents
/wp2-common-language.pdf
wp2-common-language.pdf
http://www.ecsirt.net/cec/service/documents
/wp2-and-3-guideline.pdf
wp2-and-3-guideline.pdf
http://www.arcert.gov.ar/ncursos/material/S
eg-adm-6p.pdf
Seg-adm-6p.pdf
http://www.arcert.gov.ar/cursos/seguridad_
adm/Seguridad%20para%20Administradore
s.pdf
http://www.telenor.com/telektronikk/volumes
/pdf/1.2005/Page_029-037.pdf
Seguridad%20para%20Administra
dores.pdf
http://www.rediris.es/cert/links/csirt.es.html
Teora
CSIRT
Teora
CSIRT
Teora
CSIRT
Teora
CSIRT
General en temas de
http://www.ietf.org/rfc/rfc2350.txt
General en temas de
http://www.ietf.org/rfc/rfc2196.txt
General en temas de
http://www.ietf.org/rfc/rfc3227.txt
General en temas de
http://www.terena.org/activities/tfcsirt/meeting9/jaroszewski-assistancecsirt.pdf
http://www.enisa.europa.eu/cert_guide/pag
es/05_01_04.htm
Teora
CSIRT
Teora
CSIRT
Teora
CSIRT
Teora
CSIRT
http://scm.oas.org/pdfs/2007/CICTE00188E
.pdf
Pgina 90 de 197
Fuente
Page_029-037.pdf
Resumen
Enlace
Fuente
http://dgpt.sct.gob.mx/fileadmin/ccp1/redes/
doc._472-04.doc
doc._472-04.doc
http://jiap.org.uy/jiap/JIAP2007/Presentacio
nes%20Jiap%202007/ANTEL.pdf
Antel.pdf
Experiencias en el Mundo
http://www.first.org/
Pgina Web
Experiencias en el Mundo
Pgina Web
Experiencias en el Mundo
http://www.enisa.europa.eu/cert_guide/dow
nloads/CSIRT_setting_up_guide_ENISAES.pdf
http://www.apcert.org/
Pgina Web
Experiencias en el Mundo
http://www.cert.org/
Pgina Web
Experiencias en el Mundo
Experiencias en el Mundo
http://www.bsi.bund.de/certbund/
http://www.cert.gov.sa/
Pgina Web
Pgina Web
Experiencias en el Mundo
http://www.arcert.gov.ar/
Pgina Web
Experiencias en el Mundo
http://www.auscert.org.au/
Pgina Web
Experiencias en el Mundo
www.cert.at
Pgina Web
Experiencias en el Mundo
http://www.cert.br
Pgina Web
Experiencias en el Mundo
http://www.psepcsppcc.gc.ca/prg/em/ccirc/index-en.asp
Pgina Web
Experiencias en el Mundo
Experiencias en el Mundo
Experiencias en el Mundo
http://www.csirt.gov.cl/
http://www.clcert.cl
http://www.cert.org.cn/english_web/
Pgina Web
Pgina Web
Pgina Web
Experiencias en el Mundo
http://www.krcert.or.kr/
Pgina Web
Experiencias en el Mundo
https://www.cert.dk/
Pgina Web
Experiencias en el Mundo
http://www.aecert.ae/
Pgina Web
Experiencias en el Mundo
http://escert.upc.edu/index.php/web/es/inde
x.html
Pgina Web
Experiencias en el Mundo
http://www.rediris.es/cert/
Pgina Web
Pgina 91 de 197
Resumen
Experiencias en el Mundo
Enlace
https://www.ccn-cert.cni.es/
Fuente
Pgina Web
Experiencias en el Mundo
http://www.inteco.es/rssRead/Seguridad/IN
TECOCERT
Pgina Web
Experiencias en el Mundo
http://www.us-cert.gov
Pgina Web
Experiencias en el Mundo
Experiencias en el Mundo
http://www.ria.ee/?id=28201
http://www.phcert.org/
Pgina Web
Pgina Web
Experiencias en el Mundo
http://www.certa.ssi.gouv.fr/
Pgina Web
Experiencias en el Mundo
http://www.hkcert.org/
Pgina Web
Experiencias en el Mundo
Experiencias en el Mundo
Experiencias en el Mundo
http://www.cert-hungary.hu/
http://www.cert-in.org.in/
http://www.jpcert.or.jp/
Pgina Web
Pgina Web
Pgina Web
Experiencias en el Mundo
Experiencias en el Mundo
http://www.cert.org.mx/index.html
http://www.ccip.govt.nz/
Pgina Web
Pgina Web
Experiencias en el Mundo
Experiencias en el Mundo
http://www.govcert.nl/
http://www.cert.pl/
Pgina Web
Pgina Web
Experiencias
Experiencias
Experiencias
Experiencias
http://www.qcert.org
www.govcertuk.gov.uk
www.cpni.gov.uk
http://www.singcert.org.sg/
Pgina
Pgina
Pgina
Pgina
Experiencias en el Mundo
Experiencias en el Mundo
http://www.cert.lk/
http://www.ansi.tn/en/about_cert-tcc.htm
Pgina Web
Pgina Web
Experiencias en el Mundo
http://www.cert.gov.ve/
Pgina Web
Experiencias en el Mundo
http://www.udistrital.edu.co/comunidad/grup
os/arquisoft/colcsirt/?q=colcsirt
http://www.cicte.oas.org/Rev/ES/Events/Cy
ber_Events/CSIRT%20training%20course_
Colombia.asp
http://www.udistrital.edu.co/comunidad/grup
os/arquisoft/colcsirt/?q=colcsirt
http://www.securityfocus.com/infocus/1592
Pgina Web
http://www.cic.uiuc.edu/groups/ITSecurityW
orkingGroup/archive/Report/ICAMPReport1
.pdf
http://www.cic.uiuc.edu/groups/ITSecurityW
orkingGroup/archive/Report/ICAMPReport2
.pdf
http://www.cert.org/
ICAMPReport1.pdf
en
en
en
en
el
el
el
el
Mundo
Mundo
Mundo
Mundo
Experiencias en el Mundo
Experiencias en Colombia
Developing an Effective
Incident Cost Analysis
Mechanism
Incident Cost Analysis and
Modeling Project
Aspectos Financieros de un
CSIRT
Aspectos Financieros de un
CSIRT
Aspectos Financieros de un
CSIRT
Procesos de un CSIRT
Pgina 92 de 197
Web
Web
Web
Web
ENISA
work_programme_2006.pdf
CSIRT COLOMBIA.doc
Developing an Effective Incident
Cost Analysis Mechanism.doc
ICAMPReport2.pdf
Resumen
Procesos de un CSIRT
Procesos de un CSIRT
Enlace
http://www.hig.no/index.php/content/downlo
ad/3302/70468/file/Kj%C3%A6rem%20%20Benchmarking%20CSIRT%20work%20
processes.pdf
http://www.securityfocus.com/infocus/1467
Productos y Servicios de un
CSIRT
Productos y Servicios de un
CSIRT
http://www.first.org/conference/2006/papers
/kossakowski-klaus-papers.pdf
http://www.ietf.org/rfc/rfc3013.txt
Productos y Servicios de un
CSIRT
Productos y Servicios de un
CSIRT
Estructura de un CSIRT
http://www.cert.org/
Estructura de un CSIRT
http://www.sei.cmu.edu/publications/docum
ents/03.reports/03hb001/03hb001chap07.ht
ml
http://www.cert.org/
Estructura de un CSIRT
Modelo
CSIRT
Modelo
CSIRT
Modelo
CSIRT
Modelo
CSIRT
Modelo
CSIRT
de Negocio de un
de Negocio de un
de Negocio de un
de Negocio de un
de Negocio de un
http://www.enisa.europa.eu/cert_guide/pag
es/05_02.htm
http://www.rediris.es/cert/links/csirt.es.html
http://www.terena.org/activities/tfcsirt/meeting8/huopio-certfi.pdf
http://www.enisa.europa.eu/doc/pdf/delivera
bles/enisa_csirt_setting_up_guide.pdf
http://www.cert.org/archive/pdf/NationalCSI
RTs.pdf
http://www.cert.org/
http://www.enisa.europa.eu/cert_guide/dow
nloads/CSIRT_setting_up_guide_ENISAES.pdf
Fuente
Management Processes for
CSIRTs.pdf
Kjrem - Benchmarking CSIRT
work processes.pdf
How to Design a Useful Incident
Response Policy.doc
kossakowski-klaus-papers.pdf
Recommended Internet Service
Provider Security Services and
Procedures.doc
CSIRT-services-list.pdf
ENISA - Possible services that a
CSIRT can deliver.doc
03hb001 - Organizational Models
for Computer Security Incident
Response Teams (CSIRTs)
Organizational Models for
Computer Security Incident
Response Teams.doc
Staffing Your Computer Security
Incident Response Team.doc
huopio-certfi.pdf
enisa_csirt_setting_up_guide.pdf
NationalCSIRTs.pdf
Action List for Developing a
CSIRT.pdf
CSIRT_setting_up_guide_ENISAES.pdf
Tomado de: http://www.first.org/. U.A: 2008/09/26. Publicado por: FIRST.ORG, Inc. Autor: No determinado.
Pgina 93 de 197
Clases
Conferencia Anual
Publicaciones y webservices
FIRST funciona bajo de un marco operacional, que contiene los principios que gobiernan y las reglas de
funcionamiento de alto nivel para la organizacin. Sin embargo, FIRST no ejercita ninguna autoridad sobre
la organizacin y la operacin de los equipos individuales miembros.
Comit de Direccin: El Comit de Direccin es un grupo de individuos responsables de la poltica de
funcionamiento general, de procedimientos y de materias relacionadas que afectan a FISRT en su
totalidad.
Nombre
Derrick Scholl (Chair)
Ken van Wyk (Vice-Chair)
Chris Gibson (Treasurer)
Peter Allor
Yurie Ito
Scott McIntyre
Francisco Jesus Monserrat Coll
Tom Mullen
Steve Adegbite
Arnold Yoon
Entidad
Sun Microsystems, USA
KRvW Associates, LLC, USA
Citigroup, USA/UK
IBM ISS, USA
JPCERT/CC, Japan
KPN-CERT, NL
RedIRIS, Spain
British Telecom, UK
Microsoft, USA
KrCERT/CC, Korea
Pgina 94 de 197
Vigencia
2008-2010
2007-2009
2008-2010
2008-2010
2007-2009
2008-2010
2007-2009
2007-2009
2008-2010
2007-2009
Pgina 95 de 197
CSIRT
Bunker
CAIS/RNP
CARNet CERT
CC-SEC
CCIRC
CCN-CERT
CERT POLSKA
CERT TCC
CERT-Bund
CERT-FI
CERT-Hungary
CERT-IT
CERT-In
CERT-Renater
CERT-TCC
CERT-VW
CERT.at
CERT.br
CERT/CC
CERTA
CERTBw
CFC
CGI CIRT
CIAC
CLCERT
CMCERT/CC
CNCERT/CC
CSIRT ANTEL
CSIRT Banco Real
CSIRT.DK
CSIRTUK
Cert-IST
Cisco PSIRT
Cisco Systems
Citi CIRT
ComCERT
CyberCIRT
DANTE
CSIRT
DCSIRT
DFN-CERT
DIRT
DK-CERT
E-CERT
EDS
EMC
ESACERT
ETISALAT-CERT
EWA-Canada/CanCERT
EYCIRT
Ericsson PSIRT
FSC-CERT
FSLabs
Funet CERT
GD-AIS
GIST
GNS-Cert
GOVCERT.NL
GTCERT
Goldman Sachs
GovCertUK
HIRT
HKCERT
HP SSRT
IBM
IIJ-SECT
ILAN-CERT
ILGOV-CERT
ING Global CIRT
IP+ CERT
IPA-CERT
IRIS-CERT
IRS CSIRC
Infosec-CERT
Intel FIRST Team
JANET CSIRT
JPCERT/CC
JPMC CIRT
JSOC
CSIRT
Juniper SIRT
KFCERT
KKCSIRT
KMD IAC
KN-CERT
KPN-CERT
KrCERT/CC
LITNET CERT
MCERT
MCI
MCIRT
MFCIRT
MIT Network Security
MLCIRT
MODCERT
MSCERT
MyCERT
NAB ITSAR
NASIRC
NCIRC CC
NCSA-IRST
NCSIRT
NGFIRST
NIHIRT
NISC
NIST
NN FIRST Team
NORDUnet
NTT-CERT
NU-CERT
NUSCERT
Nokia-NIRT
NorCERT
ORACERT
OS-CIRT
OSU-IRT
OxCERT
PRE-CERT
PSU
Pentest
CSIRT
Q-CERT
Q-CIRT
RBC FG CSIRT
RBSG
RM CSIRT
RU-CERT
RUS-CERT
Ricoh PSIRT
S-CERT
SAFCERT
SAIC-IRT
SAP CERT
SBCSIRT
SGI
SI-CERT
SIRCC
SITIC
SKY-CERT
SLCERT
SUNet-CERT
SURFcert
SWAT
SWITCH-CERT
SWRX CERT
Secunia Research
Siemens-CERT
SingCERT
Sprint
Stanford
Sun
SymCERT
TERIS
TESIRT
TS-CERT
TS/ICSA FIRST
TWCERT/CC
TWNCERT
Team Cymru
Telekom-CERT
ThaiCERT
CSIRT
UB-First
UCERT
UGaCIRT
UM-CERT
UNAM-CERT
UNINETT CERT
US-CERT
Uchicago Network Security
VISA-CIRT
VeriSign
YIRD
dCERT
dbCERT
e-Cop
e-LC CSIRT
esCERT-UPC
secu-CERT
Tomado
de:
http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf.
U.A:
Reglamento (CE) n 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la
Agencia Europea de Seguridad de las Redes y de la Informacin. Una agencia europea es un rgano creado por la
UE para realizar una tarea tcnica, cientfica o de gestin muy concreta perteneciente al mbito comunitario de la UE.
La ENISA desea apoyar el esfuerzo realizado por estos grupos aportando informacin acerca de las
medidas que garantizan un nivel adecuado de calidad de los servicios. Adems, la Agencia desea potenciar
su capacidad de asesorar a los Estados miembros de la UE y los rganos comunitarios en cuestiones
relacionadas con la cobertura de grupos especficos de usuarios de las TI con servicios de seguridad
adecuados. Por lo tanto, basndose en los resultados del grupo de trabajo ad-hoc de cooperacin y apoyo
a los CERT, creado en 2005, este nuevo grupo de trabajo se encargar de asuntos relativos a la prestacin
de servicios de seguridad adecuados (servicios de los CERT) a grupos de usuarios especficos.
4.3.5.2.2. Servicios Ofrecidos
Para asegurar el cumplimiento de sus objetivos segn lo precisado en su regulacin, las tareas de la
agencia se enfocan en:
Alertas y
advertencias
Tratamiento de
incidentes
Anlisis de incidentes
Apoyo a la respuesta
a incidentes
Coordinacin de la
respuesta a
incidentes
Respuesta a
incidentes in situ
Tratamiento de la
vulnerabilidad
Anlisis de la
vulnerabilidad
Respuesta a la
vulnerabilidad
Coordinacin de la
respuesta a la
vulnerabilidad
Servicios Proactivos
Comunicados
Observatorio de
tecnologa
Evaluaciones o
auditoras de la
seguridad
Configuracin y
mantenimiento de
la seguridad
Desarrollo de
herramientas de
seguridad
Servicios de
deteccin de
intrusos
Difusin de
informacin
relacionada con la
seguridad
Manejo de Instancias
Anlisis de
instancias
Respuesta a las
instancias
Coordinacin de la
respuesta a las
instancias
Gestin de la Calidad de
la Seguridad
Anlisis de riesgos
Continuidad del
negocio y
recuperacin tras un
desastre
Consultora de
seguridad
Sensibilizacin
Educacin /
Formacin
Evaluacin o
certificacin de
productos
4.3.5.2.3. Estructura
Asistir a otros CERTs y CSIRTS en la regin para conducir respuestas eficiente y eficaz a emergencia
computacionales.
Economa
Australia
Vietnam
Repblica Popular de China
India
Repblica Popular de China
Tomado de: http://www.apcert.org/. U.A: 2008/09/26. Publicado por: APCERT. Autor: No determinado.
Equipo
HKCERT
ID-CERT
JPCERT /CC
KrCERT/CC
MyCERT
PHCERT
SingCERT
ThaiCERT
TWCERT /CC
TWNCERT
Economa
Hong Kong, China
Indonesia
Japn
Corea
Malasia
Filipino
Singapur
Tailandia
Taipei china
Taipei china
Miembros Generales
Equipo
BP DSIRT
BruCERT
GCSIRT
NUSCERT
SLCERT
VNCERT
Economa
Singapur
Negara Brunei Darussalam
Filipinas
Singapur
Sri Lanka
Vietnam
Anlisis de vulnerabilidades, esperando identificar y atenuar los impactos antes de que se conviertan en
una amenaza significativa de la seguridad. Una vez que se identifica una vulnerabilidad, se trabaja con
los proveedores apropiados de la tecnologa para resolver la accin.
Examinan, catalogan y hacen ingeniera inversa sobre cdigos malvolos. Estas actividades ayudan a
entender mejor cmo el cdigo trabaja y permiten que se identifiquen las tendencias y los patrones
que pueden revelar vulnerabilidades explotables u otras amenazas potenciales.
Avisos de prevencin
CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute -
Alertas
Anlisis de vulnerabilidad
Anlisis de hardware
El Carnegie Mellon CyLab es una iniciativa universitaria, multidisciplinaria que implica ms de 200
facultades, estudiantes, y personal en Carnegie Mellon que han construido el liderazgo en tecnologa de
informacin de Carnegie Mellon. Los trabajos de CyLab se centran en la coordinacin del CERT (CERT/CC),
el conducir un centro reconocido internacionalmente de seguridad de Internet. A travs de su conexin al
CERT/CC, CyLab tambin trabaja de cerca con US-CERT - una sociedad entre el departamento de la
divisin nacional de la seguridad de la Ciberseguridad del gobierno (NCSD) y del sector privado,
protegiendo la infraestructura nacional de la informacin en Estados Unidos.
Tomado de: http://www.terena.org/. U.A: 2008/09/26. Publicado por: Terena. Autor: No determinado.
Empalmar el soporte europeo para evaluar, probar, integrar y promover nuevas tecnologas del
establecimiento de una red de conocimiento.
Junto con FIRST, TERENA organiza regularmente talleres de entrenamiento para los miembros de los
Equipos de Respuesta al incidente de Seguridad Computacional (CSIRTs), con base en materiales
desarrollados originalmente por el proyecto TRANSITS que funcion entre 2002 y 2005.
TRANSITS era originalmente un proyecto financiado por la Comunidad Econmica Europea para promover
el establecimiento de los equipos de la respuesta del incidente de la seguridad de la computadora (CSIRTs)
tratando el problema de la escasez del personal experto en CSIRTs. Esta meta ha sido tratada
proporcionando cursos de especializacin al personal de CSIRTs en temas organizacionales, operacionales,
tcnicos, de mercado y temas legales implicados en el establecimiento de un CSIRT.
Desde que el proyecto TRANSITS termin en septiembre de 2005, TERENA y FIRST unieron sus fuerzas
para organizar talleres a travs de Europa, con la ayuda de ayuda financiera de varias organizaciones. Los
talleres ms recientes han sido co-organizados y patrocinados por ENISA.
4.3.5.5.3. Estructura
La estructura de TERENA incluye:
Secretara
4.3.5.5.4. rea de Influencia
ACOnet, Austria
FCCN, Portugal
MREN, Montenegro
SURFnet, The
Netherlands
AMRES - University of
Belgrade, Serbia
ARNES, Slovenia
BELNET, Belgium
FUNET, Finland
PCSS, Poland
SWITCH, Switzerland
GARR, Italy
GRNET, Greece
RedIRIS, Spain
RENATER, France
BREN, Bulgaria
CARNet, Croatia
CESNET, Czech Republic
HEAnet, Ireland
HUNGARNET, Hungary
IUCC, Israel
RESTENA, Luxembourg
RHnet, Iceland
RoEduNet, Romania
UNI-C, Denmark
UNINETT, Norway
Malta, University of
Malta
CYNET, Cyprus
JANET(UK), United
Kingdom
LITNET, Lithuania
MARNET, FYR of
Macedonia
SANET, Slovakia
DFN, Germany
EENet, Estonia
SigmaNet, Latvia
SUNET, Sweden
Generar y publicar recomendaciones preventivas para evitar las acciones que generen daos.
Tomado de: http://www.bsi.bund.de/certbund/. U.A: 2008/09/26. Publicado por: Bundesamt fr Sicherheit in der
Investigar riesgos de seguridad con el uso de la tecnologa de informacin as como desarrollar las
medidas de seguridad.
Alemania
4.3.5.7. Arabia Saudita - CERT-SA10 (Computer Emergency Response Team - Saudi Arabia)
4.3.5.7.1. Antecedentes
El Equipo de Respuesta a Emergencia Computacionales (CERT-SA) es un organismo sin nimo de lucro
establecido para desempear un papel importante en la creacin de conocimiento, la administracin, la
deteccin, la prevencin, la coordinacin y la respuesta a los incidentes de seguridad de la informacin a
nivel nacional en Arabia Saudita.
Su misin se establece en torno a los siguientes objetivos orientados a Arabia Saudita:
Coordinar a nivel nacional los esfuerzos para promover las mejores prcticas de la seguridad y crear
confianza entre la comunidad del ciberespacio.
10
Servicios Proactivos
o
Servicios reactivos
o
Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administracin Pblica Nacional y
facilitar el intercambio de informacin para afrontarlos.
Promover la coordinacin entre los organismos de la Administracin Pblica Nacional para prevenir,
detectar, manejar y recuperar incidentes de seguridad.
Actuar como repositorio de toda la informacin sobre incidentes de seguridad, herramientas y tcnicas
de defensa
ArCERT cumple funciones de naturaleza eminentemente tcnica. No pretende investigar el origen de los
ataques ni quienes son sus responsables. Corresponde al responsable de cada organismo efectuar las
denuncias para iniciar el proceso de investigacin
11
Productos
SIMOS - Sistema de Monitoreo de Seguridad: Permite detectar las vulnerabilidades conocidas de los
servidores, que brinden servicio a travs de Internet, de los organismos de la Administracin Pblica
FW-APN - Firewall de libre disponibilidad para la Administracin Pblica Nacional: Solucin basada en
software de libre disponibilidad, eficiente, robusta y de bajos requerimientos que cubre las necesidades
Pgina 114 de 197
DNSar - Sistema de Anlisis de Servidores y Dominios DNS: DNSar es un software desarrollado por
ArCERT para analizar los servidores y dominios DNS en busca de posibles errores de configuracin y
funcionamiento.
CAL - Coordinacin y Anlisis de Logs (En desarrollo): CAL es un conjunto de software, de fcil
instalacin, que los organismos pueden instalar en una mquina dedicada para la deteccin de alertas
de seguridad en su red. Adems, estas alertas son reenviadas a ArCERT para una visin macro de
estado de seguridad de la administracin pblica.
4.3.5.8.3. Estructura
ArCERT est sustentado por un grupo de especialistas, que hoy conforman el equipo de seguridad en
redes, dedicado a investigar sobre incidentes, hacking, herramientas de proteccin y deteccin, etc., con
conocimientos y experiencia entre otras, en las siguientes reas: tecnologas informticas, Firewalls,
seguridad en Internet Intranet, deteccin y erradicacin de intrusos, polticas y procedimientos de
seguridad, administracin de riesgos, etc.
Funciona en la Oficina Nacional de Tecnologas de Informacin de la Subsecretara de Tecnologas de
Gestin de la Secretara de Gabinete y Gestin Pblica de la Jefatura de Gabinete de Ministros de
Argentina.
4.3.5.8.4. rea de Influencia
Argentina
4.3.5.9. Australia - AusCERT12 (Australia Computer Emergency Response Team)
4.3.5.9.1. Antecedentes
AusCERT es el Equipo de Respuesta a Emergencias Computacionales nacional para Australia y proporciona
asesora en temas de seguridad de la informacin de la computadora, a la comunidad australiana y a sus
miembros, como punto nico de contacto para ocuparse de dichos incidentes de seguridad que afectan o
que implican redes australianas.
12
Tomado de: http://www.auscert.org.au/. U.A: 2008/09/26. Publicado por: AusCERT, The University of Queensland,
Brisbane QLD 4072, Australia. Autor: No determinado.
AusCERT supervisa y evala amenazas globales de la red de ordenadores y las vulnerabilidades. AusCERT
publica boletines de seguridad, incluyendo estrategias recomendadas de prevencin y mitigacin.
AusCERT ofrece servicios de administracin de incidentes que puede ser una manera eficaz de parar un
ataque en curso de la computadora o proporcionar la asesora prctica en la respuesta y recuperacin de
un ataque.
4.3.5.9.2. Servicios Ofrecidos
Las organizaciones del miembro de AusCERT gozan de un nmero de servicios no disponibles al pblico en
general. Estos servicios incluyen:
Acceso a Foros.
Servicios de gerencia del incidente: incluyen la coordinacin del incidente y la direccin del incidente.
Los miembros de AusCERT reciben boletines de la seguridad va email. Los no miembros pueden
suscribir al servicio de alerta libre nacional.
AusCERT investiga el ambiente de la seguridad del Internet para el gobierno y la industria dentro de
Australia. Estructura
AusCERT es una organizacin independiente, sin nimo de lucro, con base en la Universidad de
Queensland, como parte del rea de Servicios de Tecnologa de la Informacin.
AusCERT cubre sus gastos con una variedad de fuentes incluyendo suscripciones de miembros y el
entrenamiento y educacin en seguridad informtica.
Es miembro activo del Foro FIRST y del Equipo de Respuesta a Emergencia Informtica de Asia Pacfico
(APCERT), AusCERT tiene acceso a la informacin sobre amenazas y vulnerabilidades de la red de
ordenadores que surgen de manera regional y global.
4.3.5.9.3. rea de Influencia
Australia y Asia en la regin pacfica
Pgina 116 de 197
4.3.5.10.
4.3.5.10.1.
Antecedentes
CERT.at es el CERT austraco nacional que comenz como un ensayo en marzo de 2008. Como el CERT
nacional, CERT.at es el punto de contacto primario para la seguridad informtica en el contexto nacional.
CERT.at coordina otro CERT que funciona en el rea de la infraestructura crtica o de la infraestructura de
la comunicacin. En el caso de ataques en lnea significativos contra la infraestructura austraca, CERT.at
coordina la respuesta de los operadores y de los equipos locales de la seguridad.
4.3.5.10.2.
Servicios Ofrecidos
Respuesta al incidente: CERT.at asiste al equipo de seguridad en el manejo de los aspectos tcnicos y
de organizacin de incidentes. Particularmente, proporciona ayuda o asesora con respecto a los
aspectos siguientes de la administracin del incidente:
Coordinacin del incidente: Investiga el incidente y toma las medidas apropiadas. Facilita el
contacto con otros participantes que puedan ayudar a resolver el incidente.
Actividades Proactivas:
4.3.5.10.3.
rea de Influencia
Austria
13
Tomado de: www.cert.at. U.A: 2008/09/26. Publicado por: Computer Emergency Response Team Austria. Autor: No
determinado.
4.3.5.11.
4.3.5.11.1.
El CERT.br es el equipo de respuesta a los incidentes de seguridad para el Internet brasileo, responsable
de recibir, analizar y responder a dichos incidentes.
Ms all del proceso de respuesta a los incidentes en s mismo, el CERT.br tambin acta sobre los
problemas de la seguridad, la correlacin entre los acontecimientos en el Internet brasileo y de ayuda al
establecimiento de nuevos CSIRTs en el Brasil.
4.3.5.11.2.
Servicios Ofrecidos
Ser un nico punto para las notificaciones de los incidentes de seguridad, para proveer la coordinacin
y la ayuda necesaria en el proceso de respuesta a los incidentes, contactando las piezas implicadas
cuando sea necesario.
Establecer un trabaje colaborativo con otras entidades, como el gobierno, los proveedores de acceso y
servicios y de Internet;
rea de Influencia
Brasil
14
Tomado de: http://www.cert.br. U.A: 2008/09/26. Publicado por: Comit Gestor da Internet no Brasil (CGI.br).
Autor: No determinado.
4.3.5.12.
4.3.5.12.1.
Divulgacin de incidentes
Servicios Ofrecidos
CCIRC le proporciona los servicios a los profesionales y los encargados de la infraestructura crtica y de
otras industrias relacionadas. Estos servicios se hacen sin cargo alguno:
15
rea de Influencia
Canad
4.3.5.13.
4.3.5.13.1.
Chile CSIRT-GOV16
Antecedentes
Tiene como propsito contribuir a asegurar el ciberespacio del Gobierno de Chile, en conformidad con lo
sealado en el artculo 17 de la Agenda Digital. Su misin es constituirse como referente en materias de
seguridad informtica para todos los servicios que forman parte de la administracin del Estado.
CSIRT Chile es dirigido por la jefatura de la Divisin Informtica del Ministerio del Interior.
4.3.5.13.2.
Servicios Ofrecidos
El equipo de trabajo CSIRT Chile ofrece a los sistemas y redes gubernamentales los siguientes servicios:
16
Tomado de: http://www.csirt.gov.cl/. U.A: 2008/09/26. Publicado por: Ministerio del Interior, Palacio de la Moneda,
Asesora en la implementacin del decreto supremo 83/2004 del Ministerio Secretara General de la
Presidencia.
4.3.5.13.3.
Estructura
El CSIRT Chile es una unidad dependiente de la Divisin de Informtica del Ministerio del Interior.
4.3.5.13.4.
rea de Influencia
Chile
4.3.5.14.
4.3.5.14.1.
El Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional CLCERT, tiene como misin
monitorear y analizar los problemas de seguridad de los sistemas computacionales en Chile, y reducir la
cantidad de incidentes de seguridad perpetrados desde y hacia stos.
Desde comienzos de 2004, el CLCERT se auto-financia a travs de su rea de capacitacin, asesoras en la
generacin de polticas pblicas concernientes a seguridad de sistemas informticos y proyectos de
colaboracin con el sector productivo.
Para ello, CLCERT se constituye como un punto nacional de encuentro, contacto y coordinacin entre
instituciones y personas relacionadas del medio local.
4.3.5.14.2.
Servicios Ofrecidos
Divulgar y poner a disposicin de la comunidad informacin que permita prevenir y resolver estos
incidentes de seguridad
17
Tomado de: http://www.clcert.cl. U.A: 2008/09/26. Publicado por: FCFM Ingeniera, Universidad de Chile. Autor: No
determinado.
Educar a la comunidad en general sobre temas de seguridad, promoviendo las polticas que permiten
su implementacin.
CLCERT promueve el uso de Internet, los sistemas computacionales abiertos, y las tecnologas de la
informacin, haciendo sus usos ms seguros y que por lo tanto gocen de la confianza de la comunidad
que los utiliza.
4.3.5.14.3.
Estructura
El origen del CLCERT (fines de 2001) est estrechamente ligado al del Laboratorio de Criptografa Aplicada
y Seguridad (CASLab). Surge como una forma en que el CASLab se vincula con el medio local.
El CLCERT y el CASLab conforman una misma unidad y comparten financiamiento, pero los mbitos de
accin son distintos. El CASLab prioriza las actividades de investigacin, formacin de capital humano
altamente especializado y tiene por mbitos de accin el medio acadmico principalmente internacional. El
CLCERT prioriza actividades de formacin profesional, extensin, transferencia tecnolgica y tiene por
principal mbito de accin el medio local.
4.3.5.14.4.
rea de Influencia
Chile
4.3.5.15.
4.3.5.15.1.
18
4.3.5.15.2.
Servicios Ofrecidos
Proporciona servicios de seguridad de la red de ordenadores y brinda orientacin para el manejo de los
incidentes de seguridad para las redes pblicas nacionales, los sistemas nacionales importantes y las
principales organizaciones, incluyendo la deteccin, prediccin, respuesta y prevencin. Recopila, verifica,
acumula y publica la informacin relacionada con la seguridad del Internet. Es tambin responsable del
intercambio de la informacin y la coordinacin de acciones con organizaciones de la seguridad
internacional.
4.3.5.15.3.
Estructura
rea de Influencia
China
4.3.5.16.
4.3.5.16.1.
Antecedentes
Para hacer frente a los ataques informticos, prevenir los casos de infraccin de seguridad informtica y
reducir al mnimo los posibles daos en Corea, el Centro de Seguridad del Internet de Corea ha dedicado
su energa a definir las medidas y metodologa eficaces para dar respuesta tcnica a los ataques, para la
proteccin de la red de comunicaciones, de la infraestructura de la red y para el refuerzo del sistema de la
prediccin y de alarmas.
Desde julio de 1996 se establece el equipo coreano de respuestas a la emergencia computacional llamado
CERTCC-KR.
En junio de 1997 se establece la Organizacin de Respuesta al Incidente en el Asia Pacfico
En febrero de 1998 se establece como el primer miembro coreano en el FIRST (foro de Equipos de la
Respuesta y de la Seguridad del Incidente).
En diciembre de 2003 se establece el KISC (Korea Internet Security Center), con su centro de operaciones
KrCERT/CC's.
4.3.5.16.2.
Servicios Ofrecidos
Estructura
19
Tomado de: http://www.krcert.or.kr/. U.A: 2008/09/26. Publicado por: Korea Internet Security Center. Autor: No
determinado.
Anlisis en virus.
Supervisin del trafico de ISPs y los Web site ms importantes nacionales o internacionales.
4.3.5.16.4.
rea de Influencia
Servicios Ofrecidos
DK CERT analiza notificaciones de las personas que se han expuesto a los incidentes de seguridad,
propone soluciones a los problemas y advierte a otros que pudieron ser blancos potenciales para
incidentes similares.
DK CERT coordina la informacin entre las partes implicadas y otras organizaciones, tales como
equipos extranjeros de respuesta y la polica.
DK CERT tiene un papel consultivo y no tiene ninguna autoridad para ordenar realizar tareas.
DK CERT puede actuar como intermediario de la informacin entre diversas partes que desean
mantener el anonimato
20
Tomado de: https://www.cert.dk/. U.A: 2008/09/26. Publicado por: DK.CERT - Danish Computer Emergency
DK CERT proporciona asesora con respecto a riesgos potenciales de seguridad y ofrece la ayuda por
ejemplo, para identificar el mtodo de ataque. Adems da instruccin en cmo los sistemas pueden ser
restaurados y como se pueden remediar los daos posibles.
4.3.5.17.3.
Estructura
DK CERT fue establecido en 1991 por el Centro para la Educacin y la Investigacin Danes UNI-C, bajo el
Ministerio Dans de la Educacin, por uno de los primeros casos del hacker en Dinamarca. DK CERT
coordina aproximadamente 10.000 incidentes de seguridad por ao.
4.3.5.17.4.
rea de Influencia
Dinamarca
4.3.5.18.
Emiratos rabes Unidos aeCERT21 (The United Arab Emirates Computer Emergency
Response Team)
4.3.5.18.1.
Antecedentes
Servicios Ofrecidos
Proporcionar a punto central confiable de contacto para el manejo de incidentes de la seguridad del
ciberespacio en los Emiratos rabes Unidos.
21
Tomado de: http://www.aecert.ae/. U.A: 2008/09/26. Publicado por: aeCERT. Autor: No determinado.
Establecer un centro nacional para divulgar la informacin sobre las amenazas, vulnerabilidades e
incidentes de la seguridad del ciberespacio.
Estructura
Ha sido establecido por la Autoridad Reguladora de Telecomunicaciones (TRA) de los Emiratos rabes
Unidos como un cuerpo consultivo que debe recomendar buenas prcticas, polticas, procedimientos y
tecnologas, sin embargo sin ejercer ninguna autoridad sobre su adopcin ni responsabilidad sobre la
administracin de los riesgos de la ciberseguridad.
4.3.5.18.4.
rea de Influencia
Antecedentes
A principios de la dcada de los noventa surge en Europa una iniciativa dispuesta a crear Equipos de
Respuestas a Incidentes de Seguridad en Ordenadores. Gracias al apoyo del programa tcnico TERENA se
empiezan a crear CSIRT europeos, es entonces cuando aparece, concretamente a finales de 1994, esCERTUPC (Equipo de Seguridad para la Coordinacin de Emergencias en Redes Telemticas - Universidad
Politcnica de Catalua) como primer centro espaol dedicado a asesorar, prevenir y resolver incidencias
de seguridad en entornos telemticos.
esCERT - UPC ayuda y asesora en temas de seguridad informtica y gestin de incidentes en redes
telemticas.
Los principales objetivos son:
Informar sobre vulnerabilidades de seguridad y amenazas.
22
Divulgar y poner a disposicin de la comunidad informacin que permita prevenir y resolver incidentes
de seguridad.
De esta forma esCERT pretende mejorar la seguridad de los sistemas informticos y a su vez aumentar el
nivel de confianza de las empresas y de los usuarios en las redes telemticas.
4.3.5.19.2.
Servicios Ofrecidos
Para llevar a cabo sus objetivos esCERT-UPC ofrece a la comunidad una serie de servicios que van desde la
respuesta a incidentes a la definicin de una poltica de seguridad para las empresas, pasando por la
formacin.
Respuesta a Incidentes
Formacin
4.3.5.19.3.
Estructura
esCERT es miembro de TF-CSIRT (Task Force-Collaboration of Incident Response Teams) y junto con otros
equipos de seguridad como los de las compaas Telia o British Telecom.
Forma parte de EPCI (European Private CERT Initiative) una agrupacin de CERTs europeos privados.
Dentro de EPCI se encuentran compaas como BT, Alcacel o Siemens.
esCERT en el mbito mundial participa en el FIRST, principal foro de coordinacin de los diferentes CERTs
de todo el mundo.
4.3.5.19.4.
rea de Influencia
Espaa
4.3.5.20.
4.3.5.20.1.
Antecedentes
El servicio de seguridad de RedIRIS (IRIS-CERT) tiene como finalidad la deteccin de problemas que
afecten a la seguridad de las redes de centros de RedIRIS, as como la actuacin coordinada con dichos
centros para poner solucin a estos problemas. Tambin se realiza una labor preventiva, avisando con
tiempo de problemas potenciales, ofreciendo asesoramiento a los centros, organizando actividades de
acuerdo con los mismos, y ofreciendo servicios complementarios.
IRIS-CERT es miembro del FIRST desde el 11 de Febrero de 1997. Adems ha sido contribuidor al piloto
EuroCERT desde el 25 de Marzo de 1997 hasta la finalizacin del mismo en Septiembre de 1999.
Actualmente participa activamente en el Task Force auspiciado por TERENA, TF-CSIRT, para promover la
cooperacin entre CSIRTs en Europa.
Los usuarios del servicio de seguridad son de tres tipos:
Instituciones afiliadas a RedIRIS: Incluye universidades y otros centros de investigacin. Estos usuarios
tienen derecho a todos los servicios (por definicin) y pueden participar en la coordinacin de los
mismos.
Otros servicios de seguridad nacionales e internacionales: IRIS-CERT acta como punto de contacto y
de coordinacin de incidentes para otros servicios de seguridad. El mbito de coordinacin es toda
Espaa. El mbito de representacin es todo el mundo. IRIS-CERT es miembro de FIRST, fue
contribuyente del proyecto EuroCERT y actualmente participa en el Task Force de TERENA TF-CSIRT,
para promover la cooperacin entre CSIRTs en Europa. IRIS-CERT tambin puede actuar de enlace con
las fuerzas de seguridad del Estado (Polica y Guardia Civil), aunque no tomar accin judicial en
nombre de terceros, y limitar su participacin en tales procesos a la asesora tcnica.
Proveedores y usuarios de Internet en Espaa: El servicio ofrecido a stos, fuera de las instituciones de
RedIRIS, se limita a lo siguiente:
o
Uso de los recursos pblicos de IRIS-CERT (Servidor web, FTP, listas de correo).
23
Tomado de: http://www.rediris.es/cert/. U.A: 2008/09/26. Publicado por: IRIS - CERT. Autor: No determinado.
4.3.5.20.2.
Servicios Ofrecidos
IRIS-CERT ofrece una serie de servicios principalmente orientados a las instituciones afiliadas a RedIRIS.
Algunos de estos servicios se ofrecen, as mismo, a la comunidad de Internet.
Comunidad RedIRIS
o
Auditora en lnea
Comunidad de Internet
o
Gestin de incidentes.
EL servicio no tiene costo para quien tenga derecho a usar el servicio. No se presta servicio a nadie ms. El
Plan Nacional de I+D financia una red para los investigadores, y un servicio de seguridad que garantice la
integridad de la misma. La coordinacin de incidentes ajenos a RedIRIS es una tarea adicional, necesaria
para llevar a cabo ese servicio.
4.3.5.20.3.
Estructura
IRIS-CERT funciona bajo el auspicio y con la autoridad delegada del director de RedIRIS.
El IRIS-CERT espera trabajar cooperativo con los administradores y los usuarios de sistema en las
instituciones conectadas RedIRIS, evitando relaciones autoritarias.
4.3.5.20.4.
rea de Influencia
Espaa
4.3.5.21.
Espaa - CCN-CERT24 (Cryptology National Center - Computer Security Incident Response
Team)
4.3.5.21.1.
Antecedentes
Este servicio se creo a principios de 2007 como CERT gubernamental espaol y est presente en los
principales foros internacionales en los que se comparte objetivos, ideas e informacin sobre la seguridad
de forma global.
Su principal objetivo es contribuir a la mejora del nivel de seguridad de los sistemas de informacin de las
tres administraciones pblicas existentes en Espaa (general, autonmica y local).
Su misin es convertirse en el centro de alerta nacional que coopere y ayude a todas las administraciones
pblicas a responder de forma rpida y eficiente a los incidentes de seguridad que pudieran surgir y
afrontar de forma activa las nuevas amenazas a las que hoy en da estn expuestas.
4.3.5.21.2.
Servicios Ofrecidos
Para contribuir a esta mejora del nivel de seguridad, el CCN-CERT ofrece sus servicios a todos los
responsables de Tecnologas de la Informacin de las diferentes administraciones pblicas a travs de
cuatro grandes lneas de actuacin:
Investigacin y divulgacin de las mejores prcticas sobre seguridad de la informacin entre todos los
miembros de las administraciones pblicas. En este sentido, las citadas Series CCN-STIC elaboradas por
el CCN ofrecen normas, instrucciones, guas y recomendaciones para garantizar la seguridad de los
Sistemas TIC en la Administracin.
24
Tomado de: https://www.ccn-cert.cni.es/. U.A: 2008/09/26. Publicado por: Centro Criptolgico Nacional. Ministerio
de Defensa de Espaa. Autor: No determinado.
El CCN-CERT ofrece informacin, formacin y herramientas para que las distintas administraciones puedan
desarrollar sus propios CERTs, permitiendo a este equipo actuar de catalizador y coordinador de CERTs
gubernamentales.
4.3.5.21.3.
Estructura
rea de Influencia
Espaa
4.3.5.22.
Espaa - INTECO-CERT25 (Centro de Respuestas a Incidentes en TI para PYMES y
Ciudadanos)
4.3.5.22.1.
Antecedentes
25
Actuar como enlace entre las necesidades de PYMEs y ciudadanos y las soluciones que ofertan las
empresas del sector de la seguridad de las tecnologas de la informacin.
4.3.5.22.2.
Servicios Ofrecidos
Para llevar a cabo la misin de concienciacin, formacin, prevencin y reaccin en materia de seguridad
en tecnologas de la informacin, INTECO-CERT ofrece un catlogo de servicios a los usuarios:
Foros de Seguridad.
Cooperacin y coordinacin con otras entidades de referencia en el sector, tanto a nivel nacional como
internacional.
pblico sin
materia de
Pequea y
y recursos
rea de Influencia
Espaa
4.3.5.23.
4.3.5.23.1.
Establecido en 2003 para proteger la infraestructura del Internet de la nacin, US-CERT coordina la
defensa contra y respuestas a los ataques del ciberespacio a travs de la nacin.
US-CERT es cargado con la proteccin de la infraestructura del Internet coordinando la defensa y la
respuesta a los ataques del ciberespacio.
4.3.5.23.2.
Servicios Ofrecidos
US-CERT es responsable de
26
Tomado de: http://www.us-cert.gov. U.A: 2008/09/26. Publicado por: Department of Homeland Security - USA.
Autor: No determinado.
US-CERT obra recprocamente con las agencias federales, industria, la comunidad de investigacin, el
estado y los gobiernos locales, y otros para divulgar la informacin de la seguridad del ciberespacio
entre el pblico.
4.3.5.23.3.
Estructura
rea de Influencia
Estados Unidos
4.3.5.24.
4.3.5.24.1.
Servicios Ofrecidos
Orientacin en el incidente
27
Tomado de: http://www.ria.ee/?id=28201. U.A: 2008/09/26. Publicado por: Department for Handling Information
rea de Influencia
Estonia
4.3.5.25.
4.3.5.25.1.
Servicios Ofrecidos
Proporciona informacin sobre la futura tecnologa que puede plantear amenazas de la seguridad.
Genera alarmas sobre medidas a tomar contra amenazas existentes o prximas de la seguridad.
28
Tomado de: http://www.phcert.org/. U.A: 2008/09/26. Publicado por: Philippines Computer Emergency Response
Team. Autor: No determinado.
4.3.5.25.3.
rea de Influencia
Filipinas
4.3.5.26.
Francia-CERTA29 (Centre d'Expertise Gouvernemental de Rponse et de Traitement des
Attaques informatiques)
4.3.5.26.1.
Antecedentes
El Primer Ministro anunci la creacin del CERTA, tras la decisin del Comit Interministerial para la
Sociedad de la Informacin (CISI), en enero de 1999 e inaugurado en febrero de 2000, con el fin de
reforzar la proteccin de las redes del Estado contra los ataques. A fin de reforzar y coordinar la lucha
contra las intrusiones en los sistemas informticos de las administraciones del Estado, el Gobierno decide la
creacin de una estructura de alerta y de asistencia en la Internet encargada de la misin de vigilar y
responder a los ataques informticos.
Los dos principales objetivos del CERTA son:
Para alcanzar estos dos objetivos, deben llevarse a cabo en paralelo las tres misiones siguientes:
Administrar la resolucin de un incidente (si es necesario en relacin con la red mundial de los CERT).
El CERTA es miembro del FIRST desde el 12 de setiembre de 2000 y participa en la actividad TF-CSIRT
(Computer Security Incident Response Team) que es la coordinacin de los CERT europeos.
En la actualidad existen varios CERT en Francia. Esta es la lista de los equipos miembros del FIRST o de la
TF-CSIRT:
29
Tomado de: http://www.certa.ssi.gouv.fr/. U.A: 2008/09/26. Publicado por: Premier Ministre / Secrtariat Gnral
de la Dfense Nationale / Direction centrale de la scurit des systmes d'information. Autor: No determinado.
El Cert-IST es el CERT dedicado al sector de la Industria, de los Servicios y del Terciario (IST). Fue
creado a finales del ao 1998 por cuatro socios: ALCATEL, el CNES, ELF y France Tlcom;
El CERT-RENATER es el CERT dedicado a la comunidad de los miembros del GIP RENATER (Red
Nacional de telecomunicaciones para la tecnologa, la Enseanza y la Investigacin).
4.3.5.26.2.
Servicios Ofrecidos
Centralizacin de las solicitudes de asistencia tras los incidentes de seguridad (ataques) en las redes y
sistemas de informaciones: recepcin de las solicitudes, anlisis de los sntomas y eventual correlacin
de los incidentes;
Tratamiento de las alertas y reaccin a los ataques informticos: anlisis tcnico, intercambio de
informaciones con otros CERT, contribucin a estudios tcnicos especficos;
Prevencin por difusin de informaciones sobre las precauciones que tomar para minimizar los riesgos
de incidente o, por lo menos, sus consecuencias;
Coordinacin eventual con las dems entidades (fuera del campo de accin): centros de competencia
en redes, operadores y proveedores de acceso a Internet, CERT nacionales e internacionales.
4.3.5.26.3.
Estructura
Dicha estructura depende de la Secretara General de la Defensa Nacional y trabajar en red con los
servicios encargados de la seguridad de la informacin en todas las administraciones del Estado.
Participar en la red mundial de los CERT (Computer Emergency Response Team).
El CERTA depende de la Direccin Central de la Seguridad de Sistemas de Informacin (DCSSI) en la
Secretara General de la Defensa Nacional (SGDN), y se encarga de asistir a los organismos de la
administracin en la instalacin de medios de proteccin y en la resolucin de los incidentes o las
agresiones informticas de las cuales son vctimas. Constituye el complemento indispensable para las
acciones preventivas ya aseguradas por la DCSSI y que son anteriores en el procedimiento de seguridad de
los sistemas de informacin.
4.3.5.26.4.
rea de Influencia
Francia
4.3.5.27.
4.3.5.27.1.
Hong Kong - HKCERT30 (Hong Kong Computer Emergency Response Coordination Centre)
Antecedentes
Servicios Ofrecidos
Respuesta a Incidentes: HKCERT proporciona respuesta durante 24 horas al da, 7 das a la semana.
Acepta incidentes por telfono, fax y e-mail. HKCERT asiste y coordina las acciones de recuperacin
para los incidentes.
Alarma de la Seguridad: HKCERT supervisa de cerca la informacin sobre temas relacionadas con la
seguridad tales como ltimos virus, debilidades de la seguridad y divulga la informacin al pblico.
Publicacin: HKCERT publica pautas, listas de comprobacin, alarmas y artculos relacionados con la
seguridad. Estos documentos incluyen la informacin sobre vulnerabilidades de la seguridad,
estrategias de defensa y deteccin temprana de ataques probables. HKCERT tambin publica un boletn
de noticias mensual que proporciona la informacin ms reciente en seguridad computacional y de la
red.
30
Tomado de: http://www.hkcert.org/. U.A: 2008/09/26. Publicado por: HKCERT. Autor: No determinado.
4.3.5.27.3.
rea de Influencia
Hong Kong
4.3.5.28.
4.3.5.28.1.
Servicios Ofrecidos
31
Tomado de: http://www.cert-hungary.hu/. U.A: 2008/09/26. Publicado por: CERT Hungary. Autor: No determinado.
Avisos: Los avisos incluyen, pero no se limitan a las alarmas de la intrusin, las advertencias de la
vulnerabilidad y las recomendaciones de seguridad. Los avisos permiten proteger sistemas y redes
contra problemas encontrados antes de que puedan explotar.
Difusin de la informacin relacionada con la Seguridad: Este servicio provee una recopilacin de
informacin til para mejorar la seguridad. Tal informacin puede incluir:
Ajustes de proveedores
Accin a tomar para proteger los sistemas y las redes afectadas o amenazadas por el intrusos
Educacin y entrenamiento: Con seminarios, los talleres, los cursos y clases particulares, CERT-Hungra
educa sobre soluciones de seguridad computacional. Los temas pueden ser:
o
Incidente y pautas
Otra informacin necesaria para proteger, detectar, divulgar y responder a los incidentes de la
seguridad computacional.
4.3.5.28.3.
rea de Influencia
Hungra
4.3.5.29.
4.3.5.29.1.
Antecedentes
El propsito del CERT-In es convertirse en la agencia de confianza de la comunidad india para responder a
los incidentes de la seguridad de computacional. CERT-In asiste a los miembros de la comunidad india para
ejecutar medidas proactivas para reducir los riesgos de los incidentes de la seguridad informtica.
4.3.5.29.2.
Servicios Ofrecidos
Servicios Reactivos
32
Tomado de: http://www.cert-in.org.in/. U.A: 2008/09/26. Publicado por: Department of Information Technology.
Comparte la informacin y las lecciones aprendidas con el CERT/CC, otros CERTs y las
organizaciones.
Procedimientos de recuperacin
Anlisis de artefactos
Servicios Proactivos
o
Perfilar atacantes.
Funciones
o
Divulgacin
Anlisis
Respuesta
Envo de recomendaciones para la recuperacin y la contencin del dao causada por los
incidentes.
4.3.5.29.3.
Estructura
CERT-In funciona bajo auspicios y con la autoridad delegada del Departamento de Tecnologa de
Informacin, del Ministerio de Comunicaciones y Tecnologa de Informacin, del gobierno de la India.
CERT-In trabaja cooperativamente con los oficiales de informacin y los administradores de sistema de
varias redes sectoriales y de gobierno.
4.3.5.29.4.
rea de Influencia
India
4.3.5.30.
4.3.5.30.1.
JPCERT/CC es el primer CSIRT establecido en Japn. Se coordina con los proveedores de servicios de red,
vendedores de productos de seguridad, agencias estatales, as como las asociaciones gremiales de la
industria. En la regin Pacfica de Asia, JPCERT/CC ayud a formar APCERT (Equipo de Respuesta a
Emergencias Computacionales de Asia Pacfico) y ejerce la funcin de secretara para APCERT. Es miembro
del Foro de Equipos de Respuesta y Seguridad del Incidente (FIRST).
Los objetos de JPCERT/CC son:
33
Tomado de: http://www.jpcert.or.jp/. U.A: 2008/09/26. Publicado por: JPCERT/CC. Autor: No determinado.
Servicios Ofrecidos
Incidente Respuesta y anlisis: JPCERT/CC proporciona ayuda tcnica para divulgar problemas de la
seguridad de la siguiente manera:
o
Con base en informacin proporcionada por los sitios afectados, JPCERT/CC determina los
daos.
Adicionalmente genera un informe semanal y trimestral sobre respuestas y anlisis de incidentes y otra
informacin relevante a la seguridad computacional.
Coordinacin con otros CSIRTs: Siendo el primer CSIRT formado en Japn, mantiene relaciones
cercanas establecidas con mucho CSIRTs no slo en la Asia y la regin pacfica, sino tambin en otras
regiones. La coordinacin y la colaboracin con esos CSIRTs es crucial para el uso seguro de la
tecnologa del Internet en todo el mundo.
Coordinacin de Proveedores: Con el fin de evitar, reduce al mnimo o recupera del dao con eficacia y
eficiencia, la coordinacin con los proveedores que pudieron afectar la seguridad del Internet es
Pgina 148 de 197
rea de Influencia
Japn
4.3.5.31.
4.3.5.31.1.
34
Tomado de: http://www.cert.org.mx/index.html. U.A: 2008/09/26. Publicado por: UNAM-CERT. Autor: Jefe del
Departamento de Seguridad en Cmputo: Juan Carlos Guel. Lder del Proyecto: Alejandro Nez Sandoval.
4.3.5.31.2.
Servicios Ofrecidos
Anlisis de Riesgos.
Test de Penetracin.
Anlisis Forense.
Auditorias de Seguridad.
Tecnologas de Seguridad.
Desarrollo de Soluciones.
Asesoras.
4.3.5.31.3.
Estructura
rea de Influencia
Mxico
4.3.5.32.
4.3.5.32.1.
El Centro para la Proteccin de la infraestructura Crtica (CCIP) es la agencia de estatal dedicada al trabajo
con las organizaciones, la industria y el gobierno relacionados con la infraestructura crtica de Nueva
Zelandia, para mejorar la proteccin y la seguridad computacional de amenazas.
4.3.5.32.2.
Servicios Ofrecidos
Investigar y analizar los incidentes del ciberespacio que ocurren contra la Infraestructura Crtica
Nacional.
Trabajar con las agencias de proteccin de la Infraestructura Crtica Nacional tanto de manera local
como internacionalmente para mejorar el conocimiento de la seguridad del ciberespacio en Nueva
Zelandia.
4.3.5.32.3.
Estructura
El Centro para la Proteccin de la Infraestructura Crtica (CCIP) es una unidad de negocio dentro de la
oficina de Seguridad de Comunicaciones del Gobierno (GCSB).
La persona responsable del CCIP y de GCSB es el Primer Ministro de Nueva Zelandia.
4.3.5.32.4.
rea de Influencia
Nueva Zelandia
35
Tomado de: http://www.ccip.govt.nz/. U.A: 2008/09/26. Publicado por: Centre for Critical Infrastructure Protection.
Autor: No determinado.
4.3.5.33.
4.3.5.33.1.
Holanda GOVCERT.NL36
Antecedentes
Servicios Ofrecidos
Coordinacin: Acta como punto central de la emergencia de incidentes relacionados con la seguridad,
tales como virus informticos y deteccin de vulnerabilidades.
Ayuda en caso de incidentes: Ofrece ayuda haciendo frente a todas las clases de incidentes,
extendindose al correo Spam, a los ataques de la red de la escala grande, con un soporte 7*24.
4.3.5.33.3.
rea de Influencia
Holanda
36
Tomado de: http://www.govcert.nl/. U.A: 2008/09/26. Publicado por: GOV-CERT.NL. Autor: No determinado.
4.3.5.34.
4.3.5.34.1.
El CERT Polska es el nombre oficial del equipo desde el enero de 2001. Era conocido antes como CERT
Nask. Desde el febrero de 1997 el CERT Polska ha sido un miembro del Foro Mundial de Equipos de
Respuesta y Seguridad del Incidente - FIRST. El CERT Nask fue establecido en marzo de 1996 segn la
disposicin del director de Nask (Red Acadmica y de Investigacin en Polonia).
Sus objetivos son constituir un nico punto confiable de atencin a incidentes y prevencin en Polonia para
los clientes de la comunidad Nask y otras redes en Polonia, responder por los incidentes de seguridad,
proveer informacin referente a la seguridad y advertencias de los ataques en cooperacin con otros
equipos de respuesta a incidentes por todo el mundo
4.3.5.34.2.
Servicios Ofrecidos
El CERT Polska registra las peticiones, alertas y proporcionar datos e informes estadsticos de
incidentes.
El CERT Polska brinda informacin actual sobre problemas de seguridad y su solucin (va web y lista
de suscripcin).
4.3.5.34.3.
Estructura
rea de Influencia
Polonia
37
Tomado de: http://www.cert.pl/. U.A: 2008/09/26. Publicado por: CERT Polska. Autor: No determinado.
4.3.5.35.
4.3.5.35.1.
Como Equipo Nacional de Respuesta a Incidente de Seguridad Computacional de Qatar, Q-CERT coordinar
el sistema de actividades de la ciber - seguridad necesarias para mejorar la proteccin de infraestructuras
crticas en la nacin y en la regin.
Para alcanzar esta meta, Q-CERT trabajar con las agencias y la industria estatal para formar una
estrategia de la gerencia de riesgo para la seguridad del ciberespacio que incluye los siguientes frentes:
Disuasin
Proteccin
Respuesta
Reconstitucin y recuperacin
Investigacin y desarrollo
Q-CERT cubre todas las organizaciones autorizadas para utilizar el dominio del cdigo de pas.qa, as como
la poblacin en general de Qatar que utiliza el Internet. Incluye al gobierno de Qatar, a los negocios e
instituciones educativas que utilizan el Internet para sus operaciones. Los socios estratgicos incluyen la
industria petrolera del aceite, la industria de servicios financieros, la industria de las telecomunicaciones, y
los ministerios del estado de Qatar. Q-CERT trabajar con los institutos educativos en Qatar para aumentar
conocimiento de la seguridad de la informacin y para mejorar prcticas de seguridad de la informacin.
4.3.5.35.2.
Servicios Ofrecidos
Talleres, seminarios, y cursos diseados para aumentar el conocimiento acerca de la seguridad del
ciberespacio.
38
Tomado de: http://www.qcert.org. U.A: 2008/09/26. Publicado por: Supreme Council of Information &
Comunication Technology. Autor: No determinado.
Provee un Web site para brindar informacin sobre las amenazas que emergen, nuevas
vulnerabilidades y otros temas de seguridad.
Estructura
Q-CERT es un organismo nacional patrocinado del Consejo Supremo para la Tecnologa de Informacin y
de Comunicaciones (ictQATAR) del estado de Qatar en asocio con el programa CERT que es parte de
Instituto de Ingeniera de Software de la Universidad Carnegie - Mellon en Pittsburgh, Estados Unidos.
4.3.5.35.4.
rea de Influencia
GovCertUK nace en febrero de 2007, como la autoridad tcnica nacional para el aseguramiento de la
informacin y proporciona la funcin de CERT al gobierno britnico. Asiste a organizaciones del sector
pblico en la respuesta a los incidentes de seguridad computacional y proporciona asesora para reducir la
exposicin a la amenaza.
39
Tomado de: www.govcertuk.gov.uk. U.A: 2008/09/26. Publicado por: CESG GovCertUK Incident Response Team.
Autor: No determinado.
Este papel incluye disponer de una capacidad de respuesta a emergencias de las organizaciones del sector
pblico que pueden requerir la ayuda tcnica y la asesora durante perodos de ataque electrnico o de
otros incidentes de la seguridad de la red.
El equipo GovCertUK presta ayuda tcnica y asesora al Centro para la Proteccin de la Infraestructura
Nacional (Centre for the Protection of National Infrastructure CPNI40), que proporcionar un papel similar
de ayuda a la infraestructura nacional crtica, a las organizaciones del sector pblico y privado, protegiendo
la seguridad nacional ayudando as a reducir la vulnerabilidad de la infraestructura nacional al terrorismo y
a otras amenazas.
4.3.5.36.2.
Servicios Ofrecidos
Promueven las mejores prcticas entre los operadores de la infraestructura nacional, compartiendo la
informacin.
rea de Influencia
40
Tomado de: www.cpni.gov.uk. U.A: 2008/09/26. Publicado por: Centre for the Protection of National Infrastructure
CPNI. Autor: No determinado.
4.3.5.37.
4.3.5.37.1.
Servicios Ofrecidos
Colabora con los proveedores y otros CERTs para encontrar soluciones a los incidentes de la seguridad
4.3.5.37.3.
Estructura
SingCERT fue establecido inicialmente en octubre de 1997 como programa de la autoridad del desarrollo
de Infocomm de Singapur, en colaboracin con el Centro para la Investigacin del Internet de la
Universidad Nacional de Singapur.
4.3.5.37.4.
rea de Influencia
Singapur
41
Tomado de: http://www.singcert.org.sg/. U.A: 2008/09/26. Publicado por: Singapur SingCERT. Autor: No
determinado.
4.3.5.38.
4.3.5.38.1.
Antecedentes
Servicios Ofrecidos
Direccin en incidentes: Este servicio implica responder a una peticin o a una notificacin
asociada a la deteccin de un acontecimiento inusual, que puede afectar el funcionamiento, la
disponibilidad o la estabilidad de los servicios o sistemas informticos.
SLCERT realizar pasos para identificar el incidente y para clasificar la severidad del incidente,
asesorando en cmo contener el incidente y suprimir la causa. Una vez los sistemas se
recuperan completamente, SLCERT genera un informe de incidente detallando su naturaleza,
medidas tomadas para recuperarse de incidente y medidas preventivas recomendadas para el
futuro.
Alarmas: Este servicio se utiliza para divulgar la informacin en relacin con virus informticos,
bromas y vulnerabilidades de la seguridad, y en lo posible, para proporcionar recomendaciones
a corto plazo para ocuparse de las consecuencias de tales ataques.
42
Tomado de: http://www.cert.lk/. U.A: 2008/09/26. Publicado por: Sri Lanka SLCERT. Autor: No determinado.
Talleres: Estos servicios son dirigido para aumentar el conocimiento acerca de la seguridad de
la informacin. Se orientan a los profesionales ms tcnicos, que realizan tareas diarias
relacionadas con la seguridad de la informacin.
Base de Conocimiento: La base de conocimiento es un servicio pasivo ofrecido por SLCERT a los
interesados con documentos, artculos, noticias, etc., publicado en el Web site de SLCERT y los
medios. Se busca proporcionar una gama de recursos del conocimiento que permitan a
cualquier persona encontrar informacin til para ayudar a aumentar su comprensin de la
seguridad de la informacin.
Servicios de la Consulta: Estos servicios se orientan a proveer medios de toma de decisiones con
respecto a la seguridad de la informacin, y para tomar las medidas necesarias para consolidar las
defensas.
o
Soporte Consultivo para Poltica Nacional: ste es un servicio realizado por SLCERT como
obligacin con la nacin. Como autoridad primaria en seguridad de la informacin en Sri Lanka,
SLCERT es responsable de generar y de hacer cumplir estndares de seguridad de la
informacin a nivel nacional.
4.3.5.38.3.
rea de Influencia
Sri Lanka
4.3.5.39.
4.3.5.39.1.
A partir de 2002 se establece el ncleo de un CSIRT en Tnez, que condujo en 2004 al lanzamiento oficial
del CERT-TCC (Computer Emergency Response Team - Centro Tunecino de Coordinacin), un CSIRT
pblico gestionado por la Agencia Nacional para la Seguridad Computacional.
El CERT-TCC tiene los siguientes objetivos:
Proporcionar un soporte confiable7*24, con un solo punto de contacto para las emergencias, para
ayudar a manejar incidentes de la seguridad y para asegurar la proteccin del Ciberespacio nacional y
la continuidad de servicios crticos nacionales a pesar de ataques.
Proporcionar el entrenamiento y la certificacin de alto nivel para los aprendices y los profesionales.
Informar sobre las mejores prcticas y sobre aspectos de organizacin de la seguridad, con un foco
especial en la gerencia de la intervencin y de riesgo.
Poner en ejecucin los mecanismos que permitan alertar y dar respuesta a organizaciones y a
instituciones, para desarrollar sus propias capacidades de la gerencia del incidente
Facilitar la comunicacin entre el profesional y los expertos que trabajan en estructuras de seguridad y
estimular la cooperacin entre y a travs de los negocios pblicos y privados de las agencias estatal y
de las organizaciones acadmicas.
43
Tomado de: http://www.ansi.tn/en/about_cert-tcc.htm. U.A: 2008/09/26. Publicado por: National Agency for
Servicios Ofrecidos
Publicaciones: Como material del conocimiento, se desarrollan y distribuyen folletos y guas que
explican a los usuarios de una manera simple y clara las amenazas y cmo proteger sus
sistemas. Tambin distribuyen libremente los CDs con las herramientas de seguridad y de
control parental, libres para el uso domstico, pero tambin los patches.
Informacin y actividades de alertas: Una de las principales tareas es detectar y analizar amenazas y
transmitir esa informacin a los administradores de sistema y a la comunidad de usuarios. CERT-TCC
divulga regularmente informacin y alarmas sobre vulnerabilidades crticas y actividades malvolas a
travs de sus listas de distribucin y con su web site. Analiza las vulnerabilidades potenciales,
recogiendo la informacin, trabajando con otros CSIRTs y proveedores de software para conseguir las
soluciones a estos problemas.
Direccin y ayuda del incidente: Segn la ley relacionado con la seguridad computacional, las
corporaciones privadas y pblicas deben informar al CERT-TCC sobre cualquier incidente, que pueda
tener impacto en otros sistemas de informacin nacionales, con la garanta de confidencialidad ala que
estn obligados los empleados del CERT-TCC y los interventores de la seguridad, bajo sanciones
penales. Las organizaciones tanto privadas como pblicas deben confiar en el CERT-TCC por lo cual se
obligan a guardar confidencial sobre sus identidades y la informacin sensible proporcionada. Tambin
deben ser neutrales, que permita trabajar con las entidades y las entidades sin predisposicin.
Se establecieron telfonos 7*24 que permiten a los profesionales y a los ciudadanos divulgar y llamar
para solicitar ayuda en caso de incidentes de la seguridad computacional y tambin para solicitar la
informacin y/o la ayuda en cualquier tema relacionado a la seguridad.
En las actividades de direccin de la vulnerabilidad y del incidente se asigna una prioridad ms alta a
los ataques y a las vulnerabilidades que afectan directamente el ciberespacio nacional. En este sentido
se comenz a desarrollar un sistema llamado Saher que permite determinar y predecir amenazas
grandes y potenciales a las infraestructuras de telecomunicacin sensibles y al Ciberespacio local,
basado en cdigo abierto que permite supervisar la seguridad del Ciberespacio nacional en tiempo real
para la deteccin temprana de ataques masivos. El primer prototipo fue desplegado en noviembre de
2005.
Para asegurar una respuesta rpida y correcta en caso de ataques grandes contra el Ciberespacio, se
ha desarrollado un plan global de la reaccin basado en el establecimiento de clulas de crisis
coordinadas a nivel de varios agentes del Ciberespacio nacional ( ISPs, IDCs, proveedores de acceso,
redes corporativas grandes) con CERT-TCC actuando como coordinador entre ellos.
Estructura
Equipo Amen: A cargo del anlisis del incidente y coordinacin y respuesta en sitio y en caso de
emergencia nacional.
Equipo Saherel: A cargo de la deteccin del incidente y del artefacto, que desarrolla y maneja un
sistema de supervisin para el ciberespacio nacional, basado en soluciones de cdigo abierto. Est
tambin a cargo de dar asistencia tcnica y ayuda para el despliegue de las soluciones de cdigo
abierto.
4.3.5.39.4.
rea de Influencia
Tnez
4.3.5.40.
4.3.5.40.1.
44
Tomado de: http://www.cert.gov.ve/. U.A: 2008/09/26. Publicado por: Venezuela CERT.ve. Autor: No determinado.
Determinacin de requisitos legales, estatutarios y regulatorios que deberan satisfacer los entes de la
Administracin Pblica, sus usuarios, contratistas y proveedores de servicios.
Establecimiento de los principios, objetivos y requisitos que forman parte del tratamiento de la
informacin que el Gobierno Nacional ha desarrollado para apoyar sus operaciones.
Para ello el VenCERT (Centro de Respuestas ante incidentes telemticos del Sector Pblico) implementar
un conjunto de polticas, prcticas, y procedimientos y los controles que garanticen el cumplimiento de los
objetivos especficos de seguridad. Asimismo, orientar y asesorar en la definicin de estructuras
organizativas, funciones de software y necesidades de formacin.
El VenCERT deber igualmente constituirse en eje central de un sistema de investigacin cientfica aplicada
a la seguridad telemtica, convirtindose en demandante principal de sus productos y proveedor
permanente de nuevos temas de investigacin.
4.3.5.40.2.
Servicios Ofrecidos
Promover la coordinacin entre los organismos de la Administracin Pblica para prevenir, detectar,
manejar y recuperar incidentes de seguridad.
Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administracin Pblica y facilitar
el intercambio de informacin para afrontarlos.
Crear listas de correo con el fin de mantener informados a los directores de informtica sobre las
noticias ms recientes en materia de seguridad.
4.3.5.40.3.
Estructura
rea de Influencia
4.3.6.
Brindar apoyo a las entidades gubernamentales para la prevencin y rpida deteccin, identificacin,
manejo y recuperacin frente a amenazas a la seguridad informtica.
Interactuar con los entes de polica judicial generando un espacio de consulta frente a las amenazas de
seguridad e investigaciones informticas.
Proporcionar informacin especializada y conocimiento a las autoridades de polica judicial durante los
procesos investigativos relacionados con la seguridad informtica.
Consolidar el capitulo HTCIA (High Technology Crime Investigation Association) Colombia y adelantar
las actividades necesarias para su permanencia y crecimiento
45
http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de%20
2007%202.pdf. U.A: 2008/09/26. Publicado por: el Programa Gobierno en Lnea. Autor: No determinado.
Proporcionar alertas tempranas frente a amenazas informticas que puedan desestabilizar la tecnologa
y la seguridad nacional.
Brindar una adecuada respuesta a incidentes de seguridad informtica, con un enfoque metodolgico
que propenda por la eficiencia de las investigaciones realizadas.
Establecer canales de comunicacin nacionales expeditos de manera que sea posible ofrecer una
atencin a incidentes en forma efectiva.
Promover la coordinacin nacional con otras entidades pertinentes del orden regional
Establecer contactos con equipos de similar naturaleza o propsito y con organizaciones que agrupen
estos equipos, tanto a nivel nacional como internacional.
El CIRTISI - Colombia propone desarrollar sus actividades dentro de los siguientes ejes estratgicos:
Actividad Operacional: Obtener diagnsticos reales sobre las diferentes amenazas informticas que se
generan a partir de una cobertura de servicios y sectores definida y, de la permanente capacitacin y
optimizacin tecnolgica.
La conformacin del CIRTISI involucrara cinco reas o divisiones con liderazgo propio de manera que se
puedan cubrir diversos aspectos de la seguridad informtica nacional.
Divisin de Infraestructura y Asesora: Esta divisin ser la encargada de todo el planeamiento logstico
y estratgico necesario para la conformacin y puesta en operacin del CIRTISI - Colombia, apoyando
directamente a la direccin general y junta directiva que se designe.
Pgina 168 de 197
Ministerio de Comunicaciones
El CIRTISI Colombia tendra un alcance nacional que abarca el sector Gobierno y brindara apoyo a las
entidades gubernamentales para la prevencin y rpida deteccin, identificacin, manejo y recuperacin
frente a amenazas a la seguridad informtica.
Tambin brindara apoyo tcnico y proporcionara informacin especializada a los cuerpos de polica judicial
y de control en aspectos relacionados con la seguridad informtica. En estos casos, manteniendo reserva
en la informacin reportada a los organismos y teniendo en cuenta las responsabilidades y controles que el
manejo de este tipo de informacin requiere.
El CIRTISI establecera canales de interlocucin con usuarios del sector privado y la academia con el
propsito de ampliar la informacin en materia de tendencias e investigacin. En este sentido, har
seguimiento a los principales dispositivos, aplicaciones y herramientas (hardware, software), a fin de
conocer las vulnerabilidades de los sistemas operativos, alertar y obrar en consecuencia. Adicionalmente,
mantendr una base de datos de incidentes de seguridad, la cual servir para consulta, seguimiento, y
permitir llevar un registro histrico de los mismos.
El CIRTISI brindara capacitacin especializada a las reas tcnicas de las diferentes entidades nacionales.
Teniendo en cuenta que la cooperacin e intercambio de informacin entre equipos de esta naturaleza est
basada en la confianza, el CIRTISI - Colombia estara llamado a constituirse en el punto focal confiable
para organismos similares en el mbito internacional. El CIRTISI entrara en contacto con otros Equipos de
Seguridad existentes en el mundo, y con las organizaciones que los agrupan, y establecera canales
comunicacin permanente para facilitar el intercambio de informacin tcnica, experiencias, metodologas,
procesos, buenas prcticas y otros servicios que ofrecen dichas organizaciones.
Desarrollar una Base de Datos que contenga la informacin concerniente a los diferentes incidentes de
seguridad informticos existentes y las preguntas ms frecuentemente contestadas (FAQ's).
Utilizar la clasificacin taxonmica de los incidentes y ataques con cdigo malicioso propuesta en el
proyecto de maestra en Teleinformtica titulado "ANLISIS DE INCIDENTES RECIENTES DE
SEGURIDAD EN INTERNET 1995 a 2003" para ofrecer una respuesta oportuna, eficaz y eficiente a los
distintos reportes y alertas que se reciban diariamente en el centro de respuesta.
Establecer detalladamente los servicios que prestar el centro de respuesta con respecto a los
incidentes de seguridad informticos.
Integrar la base de datos del Centro de Respuesta a incidentes y ataques con cdigo malicioso, al
portal WEB del COL-CSIRT que est siendo desarrollado por el grupo de investigacin ARQUISOFT de
la Universidad Distrital Francisco Jos de Caldas.
46
47
Tomado
de:
http://www.cicte.oas.org/Rev/en/Documents/OAS_GA/AG-RES.%202004%20(XXXIV-O-04)_SP.pdf.
U.A: 2008/09/26. Publicado por: Comit Interamericano Contra el Terrorismo de la OEA. Autor: No determinado.
El suministro de informacin sobre medidas para mitigar y remediar los ataques y amenazas
En mayo de 2008 se llev a cabo en la ciudad de Bogot una capacitacin en Fundamentos para creacin
y manejo de un CSIRT organizada por la Secretara del CICTE en coordinacin con la Cancillera y la
Polica Nacional de Colombia (DIJIN), con la participacin de representantes de Bolivia, Chile, Ecuador,
Paraguay, Per, Repblica Dominicana, y Colombia, con responsabilidades tcnicas y/o polticas relativas al
desarrollo de su infraestructura nacional de seguridad ciberntica, incluida la creacin y desarrollo de
Computer Security Incident Response Teams (CSIRT).
PHISHING
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
2004/11/01
Asociacin
Bancaria y de
Entidades
Financieras de
Colombia Asobancaria
No Aplica
Banco de
Bogot
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
No Aplica.
Empresa de
Telecomunicaci
ones de
Bogot ETB
E.S.P.
No Aplica.
Grupo
Bancolombia
CONSEJOS PARA
TENER SIEMPRE
PRESENTES
SEGURIDAD EN LAS
TRANSACCIONES, UN
COMPROMISO
COMPARTIDO ENTRE
BANCOLOMBIA Y SUS
CLIENTES
BIENVENIDO A LA
CAPACITACION
VIRTUAL
EL "PRESTAR EL
NOMBRE" ES UNA
PRCTICA INDEBIDA
QUE UTILIZAN LOS
FRAUDULENTOS PARA
ADQUIRIR NUESTROS
SERVICIOS
No Aplica.
Ministerio de
Comunicacione
s de Colombia
Proyecto
Preprese de
Agenda de
Conectividad.
Telefnica S.A.
4.4.3. Conclusiones
La bsqueda en cuanto a iniciativas nacionales en temas de sensibilizacin a la comunidad en el uso
adecuado de las tecnologas permite establecer que los avances en este aspecto en Colombia son tenues
por no decir nulos. Las entidades que ms han desarrollado esfuerzos sobre el particular son las entidades
del sector financiero y las de las telecomunicaciones en razn a que el fraude es uno de sus riesgos
inherentes y que han sido vctimas de ataques informticos. Dichas iniciativas tienen por limitante que slo
llegan al universo de clientes y usuarios de los servicios de cada una de dichas entidades.
En cuanto al proyecto Preprese desarrollado por Agenda de Conectividad, es un esfuerzo ms orientado
a la difusin de conocimientos tcnicos que a campaas de sensibilizacin, aunque su diseo puede
tomarse como base para el desarrollo de campaas de toma de conciencia en seguridad de la informacin,
un reto bien importante que enfrenta Gobierno en Lnea y que puede ser el diferenciador para que el
modelo de seguridad definido por la consultora se implemente de manera exitosa.
5. TERMINOLOGA48
A
Accin correctiva: (Ingls: Corrective action). Medida de tipo reactivo orientada a eliminar la causa de una
no-conformidad asociada a la implementacin y operacin del SGSI con el fin de prevenir su repeticin.
Accin preventiva: (Ingls: Preventive action). Medida de tipo pro-activo orientada a prevenir potenciales
no-conformidades asociadas a la implementacin y operacin del SGSI.
Accreditation body: Vase: Entidad de acreditacin.
Aceptacin del Riesgo: (Ingls: Risk acceptance). Segn [ISO/IEC Gua 73:2002]: Decisin de aceptar un
riesgo.
Activo: (Ingls: Asset). En relacin con la seguridad de la informacin, se refiere a cualquier informacin o
sistema relacionado con el tratamiento de la misma que tenga valor para la organizacin. Segn [ISO/IEC
13335-1:2004]: Cualquier cosa que tiene valor para la organizacin.
Alcance: (Ingls: Scope). mbito de la organizacin que queda sometido al SGSI. Debe incluir la
identificacin clara de las dependencias, interfaces y lmites con el entorno, sobre todo si slo incluye una
parte de la organizacin.
Alerta: (Ingls: Alert). Una notificacin formal de que se ha producido un incidente relacionado con la
seguridad de la informacin que puede evolucionar hasta convertirse en desastre.
Amenaza: (Ingls: Threat). Segn [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el
cual puede causar el dao a un sistema o la organizacin.
48
Anlisis de riesgos: (Ingls: Risk analysis). Segn [ISO/IEC Gua 73:2002]: Uso sistemtico de la
informacin para identificar fuentes y estimar el riesgo.
Anlisis de riesgos cualitativo: (Ingls: Qualitative risk analysis). Anlisis de riesgos en el que se usa una
escala de puntuaciones para situar la gravedad del impacto.
Anlisis de riesgos cuantitativo: (Ingls: Quantitative risk analysis). Anlisis de riesgos en funcin de las
prdidas financieras que causara el impacto.
Asset: Vase: Activo.
Assets inventory: Vase: Inventario de activos.
Audit: Vase: Auditora.
Auditor: (Ingls: Auditor). Persona encargada de verificar, de manera independiente, la calidad e
integridad del trabajo que se ha realizado en un rea particular.
Auditor de primera parte: (Ingls: First party auditor). Auditor interno que audita la organizacin en
nombre de ella misma. En general, se hace como mantenimiento del sistema de gestin y como
preparacin a la auditora de certificacin.
Auditor de segunda parte: (Ingls: Second party auditor). Auditor de cliente, es decir, que audita una
organizacin en nombre de un cliente de la misma. Por ejemplo, una empresa que audita a su proveedor
de outsourcing.
Auditor de tercera parte: (Ingls: Third party auditor). Auditor independiente, es decir, que audita una
organizacin como tercera parte independiente. Normalmente, porque la organizacin tiene la intencin de
lograr la certificacin.
Auditor jefe: (Ingls: Lead auditor). Auditor responsable de asegurar la conduccin y realizacin eficiente y
efectiva de la auditora, dentro del alcance y del plan de auditora aprobado por el cliente.
Auditora: (Ingls: Audit). Proceso planificado y sistemtico en el cual un auditor obtiene evidencias
objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una
organizacin.
Autenticacin: (Ingls: Authentication). Proceso que tiene por objetivo asegurar la identificacin de una
persona o sistema.
Authentication: Vase: Autenticacin.
Availability: Vase: Disponibilidad.
B
BS7799: Estndar britnico de seguridad de la informacin, publicado por primera vez en 1995. En 1998,
fue publicada la segunda parte. La parte primera es un conjunto de buenas prcticas para la gestin de la
seguridad de la informacin -no es certificable- y la parte segunda especifica el sistema de gestin de
seguridad de la informacin -es certificable-. La parte primera es el origen de ISO 17799 e ISO 27002 y la
parte segunda de ISO 27001. Como tal estndar, ha sido derogado ya, por la aparicin de estos ltimos.
BSI: British Standards Institution. Comparable al AENOR espaol, es la Organizacin que ha publicado la
serie de normas BS 7799, adems de otros varios miles de normas de muy diferentes mbitos.
Business Continuity Plan: Vase: Plan de continuidad del negocio.
C
CERT (Computer Emergency Response Team): Equipo de Respuesta a Emergencias Computacionales
(Marca registrada por la Universidad Carnegie - Melon).
Certification body: Vase: Entidad de certificacin.
CIA: Acrnimo ingls de confidencialidad, integridad y disponibilidad, los parmetros bsicos de la
seguridad de la informacin.
CID: Acrnimo espaol de confidencialidad, integridad y disponibilidad, los parmetros bsicos de la
seguridad de la informacin.
CCEB: Criterio Comn para la Seguridad de Tecnologa de Informacin.
Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los
objetivos de la auditora, sirve de evidencia del plan de auditora, asegura su continuidad y profundidad y
reduce los prejuicios del auditor y su carga de trabajo. Este tipo de listas tambin se pueden utilizar
durante la implantacin del SGSI para facilitar su desarrollo.
Clear desk policy: Vase: Poltica de escritorio despejado.
CobiT: Control Objectives for Information and related Technology. Publicados y mantenidos por ISACA. Su
misin es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnologa de
Informacin rectores, actualizados, internacional y generalmente aceptados para ser empleados por
gerentes de empresas y auditores.
Cdigo malicioso (Malicious Code, Malware): Cubre virus, gusanos, y Troyanos electrnicos. Se pueden
distribuir a travs de varios mtodos incluyendo el email, Web site, shareware / freeware y de otros
medios tales como material promocional.
Compromiso de la Direccin: (Ingls: Management commitment). Alineamiento firme de la Direccin de la
organizacin con el establecimiento, implementacin, operacin, monitorizacin, revisin, mantenimiento y
mejora del SGSI.
Confidencialidad: (Ingls: Confidenciality). Acceso a la informacin por parte nicamente de quienes estn
autorizados. Segn [ISO/IEC 13335-1:2004]:" caracterstica/propiedad por la que la informacin no est
disponible o revelada a individuos, entidades, o procesos no autorizados.
Confidenciality: Vase: Confidencialidad.
Contramedida: (Ingls: Countermeasure). Vase: Control.
Control: Las polticas, los procedimientos, las prcticas y las estructuras organizativas concebidas para
mantener los riesgos de seguridad de la informacin por debajo del nivel de riesgo asumido. (Nota: Control
es tambin utilizado como sinnimo de salvaguarda o contramedida.
Control correctivo: (Ingls: Corrective control). Control que corrige un riesgo, error, omisin o acto
deliberado antes de que produzca prdidas. Supone que la amenaza ya se ha materializado pero que se
corrige.
Control detectivo: (Ingls: Detective control). Control que detecta la aparicin de un riesgo, error, omisin
o acto deliberado. Supone que la amenaza ya se ha materializado, pero por s mismo no la corrige.
Control disuasorio: (Ingls: Deterrent control). Control que reduce la posibilidad de materializacin de una
amenaza, p.ej., por medio de avisos disuasorios.
Control preventivo: (Ingls: Preventive control). Control que evita que se produzca un riesgo, error,
omisin o acto deliberado. Impide que una amenaza llegue siquiera a materializarse.
Control selection: Vase: Seleccin de controles.
Corrective action: Vase: Accin correctiva.
Corrective control: Vase: Control correctivo.
COSO: Committee of Sponsoring Organizations of the Treadway Commission. Comit de Organizaciones
Patrocinadoras de la Comisin Treadway. Se centra en el control interno, especialmente el financiero. En
Colombia este estndar fue utilizado para realizar el estndar de control interno MECI.
Countermeasure: Contramedida. Vase: Control.
Pgina 179 de 197
CSIRT (Computer Security Incident Response Team): Equipo de Respuesta a Incidentes de Seguridad
Computacional
D
Declaracin de aplicabilidad: (Ingls: Statement of Applicability; SOA). Documento que enumera los
controles aplicados por el SGSI de la organizacin -tras el resultado de los procesos de evaluacin y
tratamiento de riesgos- adems de la justificacin tanto de su seleccin como de la exclusin de controles
incluidos en el anexo A de la norma.
Denial of service: Vase: Negacin de Servicios.
Desastre: (Ingls: Disaster). Cualquier evento accidental, natural o malintencionado que interrumpe las
operaciones o servicios habituales de una organizacin durante el tiempo suficiente como para verse la
misma afectada de manera significativa.
Detective control: Vase: Control detectivo.
Deterrent control: Vase: Control disuasorio.
Directiva: (Ingls: Guideline). Segn [ISO/IEC 13335-1:2004]: una descripcin que clarifica qu debera ser
hecho y cmo, con el propsito de alcanzar los objetivos establecidos en las polticas.
Disaster: Vase: Desastre.
Disponibilidad: (Ingls: Availability). Acceso a la informacin y los sistemas de tratamiento de la misma por
parte de los usuarios autorizados cuando lo requieran. Segn [ISO/IEC 13335-1:2004]: caracterstica o
propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada.
E
Entidad de acreditacin: (Ingls: Accreditation body). Un organismo oficial que acredita a las entidades
certificadoras como aptas para certificar segn diversas normas. Suele haber una por pas. Son ejemplos
de entidades de acreditacin: ENAC (Espaa), UKAS (Reino Unido), EMA (Mxico), OAA (Argentina)...
Entidad de certificacin: (Ingls: Certification body). Una empresa u organismo acreditado por una entidad
de acreditacin para auditar y certificar segn diversas normas (ISO 27000, ISO 9000, ISO 14000, etc.) a
empresas usuarias de sistemas de gestin.
F
Fase 1 de la auditora: Fase en la que, fundamentalmente a travs de la revisin de documentacin, se
analiza en SGSI en el contexto de la poltica de seguridad de la organizacin, sus objetivos, el alcance, la
evaluacin de riesgos, la declaracin de aplicabilidad y los documentos principales, estableciendo un marco
para planificar la fase 2.
Fase 2 de la auditora: Fase en la que se comprueba que la organizacin se ajusta a sus propias polticas,
objetivos y procedimientos, que el SGSI cumple con los requisitos de ISO 27001 y que est siendo efectivo.
FIRST (Forum of Incident Response and Security Teams): Foro global de Equipos de Respuesta a
Incidentes y Seguridad.
First party auditor: Vase: Auditor de primera parte.
G
Gestin de claves: (Ingls: Key management). Controles referidos a la gestin de claves criptogrficas.
Gestin de riesgos: (Ingls: Risk management). Proceso de identificacin, control y minimizacin o
eliminacin, a un coste aceptable, de los riesgos que afecten a la informacin de la organizacin. Incluye la
valoracin de riesgos y el tratamiento de riesgos. Segn [ISO/IEC Gua 73:2002]: actividades coordinadas
para dirigir y controlar una organizacin con respecto al riesgo.
Pgina 181 de 197
H
Hacking: Es el trmino que cubre cualquier tentativa de tener acceso desautorizado a un sistema
informtico.
Humphreys, Ted: Experto en seguridad de la informacin y gestin del riesgo, considerado "padre" de las
normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002.
I
I4: Instituto Internacional para la Integridad de la Informacin, asociacin similar a la ESF, con metas
anlogas y con sede principal en los EE.UU. Es manejado por el Instituto de Investigacin de Standford.
IBAG: Grupo asesor de empresas de Infosec, representantes de la industria que asesoran al Comit de
Infosec. Este comit est integrado por funcionarios de los gobiernos de la Comunidad Europea y brinda su
asesoramiento a la Comisin Europea en asuntos relativos a la seguridad de TI.
IEC: International Electrotechnical Commission. Organizacin internacional que publica estndares
relacionados con todo tipo de tecnologas elctricas y electrnicas.
IIA: Instituto de Auditores Internos.
Impacto: (Ingls: Impact). El coste para la empresa de un incidente -de la escala que sea-, que puede o
no ser medido en trminos estrictamente financieros -p.ej., prdida de reputacin, implicaciones legales,
etc.
Impact: Vase: Impacto.
Tomar el control de la computadora del alguien diferente usando un virus informtico, un error
del software, un Troyano, etc.
Phishing: Generalmente enviando correos electrnicos que intentan inducir a brindar datos
importantes.
Pharming: Redirigir trfico de la red de un servidor a otra red controlada para descubrir cdigos
de acceso o informacin confidencial.
ISO: Organizacin Internacional de Normalizacin, con sede en Ginebra (Suiza). Es una agrupacin de
organizaciones nacionales de normalizacin cuyo objetivo es establecer, promocionar y gestionar
estndares.
ISO 17799: Cdigo de buenas prcticas en gestin de la seguridad de la informacin adoptado por ISO
transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio de nomenclatura el
1 de Julio de 2007.
ISO 19011: Guidelines for quality and/or environmental management systems auditing. Gua de utilidad
para el desarrollo de las funciones de auditor interno para un SGSI.
ISO 27001: Estndar para sistemas de gestin de la seguridad de la informacin adoptado por ISO
transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicacin en 2005.
ISO 27002: Cdigo de buenas prcticas en gestin de la seguridad de la informacin (transcripcin de ISO
17799). No es certificable. Cambio de oficial de nomenclatura de ISO 17799:2005 a ISO 27002:2005 el 1
de Julio de 2007.
ISO 9000: Normas de gestin y garanta de calidad definidas por la ISO.
ISO/IEC TR 13335-3: Information technology . Guidelines for the management of IT Security .Techniques
for the management of IT Security. Gua de utilidad en la aplicacin de metodologas de evaluacin del
riesgo.
ISO/IEC TR 18044: Information technology . Security techniques . Information security incident
management Gua de utilidad para la gestin de incidentes de seguridad de la informacin.
ISSA: Information Systems Security Association.
ISSAP: Information Systems Security Architecture Professional. Una acreditacin de ISC2.
ISSEP: Information Systems Security Engineering Professional. Una acreditacin de ISC2.
ISSMP: Information Systems Security Management Professional. Una acreditacin de ISC2.
ITIL: IT Infrastructure Library. Un marco de gestin de los servicios de tecnologas de la informacin.
ITSEC: Criterios de evaluacin de la seguridad de la tecnologa de informacin. Se trata de criterios
unificados adoptados por Francia, Alemania, Holanda y el Reino Unido. Tambin cuentan con el respaldo
de la Comisin Europea (vase tambin TCSEC, el equivalente de EEUU).
J
JTC1: Joint Technical Committee. Comit tcnico conjunto de ISO e IEC especfico para las TI.
K
Key management: Vase: Gestin de claves.
L
Lead auditor: Vase: Auditor jefe.
M
Major nonconformity: Vase: No conformidad grave.
Malware: Vase: Cdigo malicioso.
Management commitment: Vase: Compromiso de la Direccin.
N
NBS: Oficina Nacional de Normas de los EE.UU.
Negacin del Servicio (Denial of Service DoS): Los ataques de negacin del servicio se disean
generalmente para obstruir sistemas informticos de red con una inundacin de trfico en la red. Esta
inundacin del trfico tiene a menudo el efecto de negar el acceso al sistema informtico para los usuarios
legtimos. El trfico indeseado se genera a menudo usando los sistemas informticos inocentes conocidos
como zombis, que se ha infectado previamente con cdigo malvolo.
NIST: (ex NBS) Instituto Nacional de Normas y Tecnologa, con sede en Washington, D.C.
No conformidad: (Ingls: Nonconformity). Situacin aislada que, basada en evidencias objetivas,
demuestra el incumplimiento de algn aspecto de un requerimiento de control que permita dudar de la
O
Objective evidence: Vase: Evidencia objetiva.
Objetivo: (Ingls: Objetive). Declaracin del resultado o fin que se desea lograr mediante la
implementacin de procedimientos de control en una actividad de TI determinada.
OCDE: Organizacin de Cooperacin y Desarrollo Econmico. Tiene publicadas unas guas para la
seguridad de la informacin.
P
PDCA: Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las actividades de planificar
(establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y
actuar (mantener y mejorar el SGSI).
Plan de continuidad del negocio: (Ingls: Bussines Continuity Plan). Plan orientado a permitir la
continuacin de las principales funciones del negocio en el caso de un evento imprevisto que las ponga en
peligro.
Plan de tratamiento de riesgos: (Ingls: Risk treatment plan). Documento de gestin que define las
acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la informacin inaceptables
e implantar los controles necesarios para proteger la misma.
Poltica de seguridad: (Ingls: Security policy). Documento que establece el compromiso de la Direccin y
el enfoque de la organizacin en la gestin de la seguridad de la informacin. Segn [ISO/IEC
27002:2005]: intencin y direccin general expresada formalmente por la Direccin.
Poltica de escritorio despejado: (Ingls: Clear desk policy). La poltica de la empresa que indica a los
empleados que deben dejar su escritorio libre de cualquier tipo de informaciones susceptibles de mal uso al
finalizar el da.
Preventive action: Vase: Accin preventiva.
Preventive control: Vase: Control preventivo.
Q
Qualitative risk analysis: Vase: Anlisis de riesgos cualitativo.
Quantitative risk analysis: Vase: Anlisis de riesgos cuantitativo.
R
Residual Risk: Vase: Riesgo Residual.
Riesgo: (Ingls: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para
causar una prdida o dao en un activo de informacin. Segn [ISO Gua 73:2002]: combinacin de la
probabilidad de un evento y sus consecuencias.
Riesgo Residual: (Ingls: Residual Risk). Segn [ISO/IEC Gua 73:2002] El riesgo que permanece tras el
tratamiento del riesgo.
Risk: Vase: Riesgo.
Risk acceptance: Vase: Aceptacin del riesgo.
Risk analysis: Vase: Anlisis de riesgos.
Risk assessment: Vase: Valoracin de riesgos.
Risk evaluation: Vase: Evaluacin de riesgos.
Risk management: Vase: Gestin de riesgos.
Risk treatment: Vase: Tratamiento de riesgos.
S
Safeguard: Salvaguardia. Vase: Control.
Salvaguardia: (Ingls: Safeguard). Vase: Control.
Sarbanes-Oxley: Ley de Reforma de la Contabilidad de Compaas Pblicas y Proteccin de los Inversores
aplicada en EEUU desde 2002. Crea un consejo de supervisin independiente para supervisar a los
auditores de compaas pblicas y le permite a este consejo establecer normas de contabilidad as como
investigar y disciplinar a los contables. Tambin obliga a los responsables de las empresas a garantizar la
seguridad de la informacin financiera.
Scope: Vase: Alcance.
Second party auditor: Vase: Auditor de segunda parte.
Security Policy: Vase: Poltica de seguridad.
Segregacin de tareas: (Ingls: Segregation of duties). Reparto de tareas sensibles entre distintos
empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por
negligencia.
Segregation of duties: Vase: Segregacin de tareas.
Seguridad de la informacin: Segn [ISO/IEC 27002:2005]: Preservacin de la confidencialidad, integridad
y disponibilidad de la informacin; adems, otras propiedades como autenticidad, responsabilidad, no
repudio y fiabilidad pueden ser tambin consideradas.
Seleccin de controles: Proceso de eleccin de los controles que aseguren la reduccin de los riesgos a un
nivel aceptable.
SGSI: (Ingls: ISMS). Sistema de Gestin de la Seguridad de la Informacin. Segn [ISO/IEC 27001:2005]:
la parte de un sistema global de gestin que, basado en el anlisis de riesgos, establece, implementa,
opera, monitoriza, revisa, mantiene y mejora la seguridad de la informacin. (Nota: el sistema de gestin
incluye una estructura de organizacin, polticas, planificacin de actividades, responsabilidades,
procedimientos, procesos y recursos.)
Servicios de tratamiento de informacin: (Ingls: Information processing facilities). Segn [ISO/IEC
27002:2005]: cualquier sistema, servicio o infraestructura de tratamiento de informacin o ubicaciones
fsicas utilizados para su alojamiento.
Pgina 188 de 197
T
TCSEC: Criterios de evaluacin de la seguridad de los sistemas de computacin, conocidos tambin con el
nombre de Orange Book (Libro naranja), definidos originalmente por el Ministerio de Defensa de los
EE.UU. Vase tambin ITSEC, el equivalente europeo.
TERENA (Trans-European Research and Education Networking Association): Una organizacin europea que
soporta la Internet y las actividades y servicios sobre la infraestructura con la comunidad acadmica.
TF-CSIRT: Foro internacional para la cooperacin en CSIRT a nivel Europeo. Consiste en 2 grupos, uno
cerrado accessible solo para equipos acreditados y uno abierto acesible a cualquier persona interesada en
CSIRT. TF-CSIRT es una de las actividades de la organizacin internacional TERENA.
Third party auditor: Vase: Auditor de tercera parte.
Threat: Vase: Amenaza.
TickIT: Gua para la Construccin y Certificacin del Sistema de Administracin de Calidad del Software.
Tratamiento de riesgos: (Ingls: Risk treatment). Segn [ISO/IEC Gua 73:2002]: Proceso de seleccin e
implementacin de medidas para modificar el riesgo.
V
Valoracin de riesgos: (Ingls: Risk assessment). Segn [ISO/IEC Gua 73:2002]: Proceso completo de
anlisis y evaluacin de riesgos.
Pgina 189 de 197
W
WG1, WG2, WG3, WG4, WG5: WorkGroup 1, 2, 3, 4, 5. Grupos de trabajo del subcomit SC27 de JTC1
(Joint Technical Committee) de ISO e IEC. Estos grupos de trabajo se encargan del desarrollo de los
estndares relacionados con tcnicas de seguridad de la informacin.
6. APNDICES
Anexo 1
Anexo 3
Anexo 4
Acuerdos.pdf
Anexo 5
Anexo 6
ARTICULO 583.pdf
Anexo 7
Anexo 8
Anexo 9
CONPES 203072.pdf
Anexo 10
Anexo 11
Anexo 12
Anexo 13
Anexo 14
Anexo 15
Anexo 16
Anexo 17
Decisin 638.pdf
Anexo 18
Anexo 19
Anexo 20
Anexo 21
Anexo 22
Anexo 23
Anexo 24
Anexo 25
Anexo 26
Anexo 27
Anexo 28
Anexo 29
Anexo 30
Anexo 31
Anexo 32
Anexo 33
Anexo 34
Anexo 35
Anexo 36
Anexo 37
Anexo 38
Anexo 39
Anexo 40
Anexo 41
Anexo 42
Anexo 43
Anexo 44
Anexo 45
DIRECTIVA 95.pdf
Anexo 46
Anexo 47
LEY 25326.pdf
Anexo 48
Anexo 49
Anexo 50
Anexo 51
Anexo 52
Anexo 53
Anexo 54
Anexo 55
Anexo 56
LEY 23 DE 1981.pdf
Anexo 57
LEY 23 DE 1982.pdf
Anexo 58
Anexo 59
Anexo 60
Ley 25326.pdf
Anexo 61
Anexo 62
Anexo 63
LEY 30 DE 1986.pdf
Anexo 64
LEY 43 DE 1990.pdf
Anexo 65
Anexo 66
LEY 52 DE 1990.pdf
Anexo 67
Anexo 68
Anexo 69
Anexo 70
Anexo 71
Anexo 72
Anexo 73
Anexo 74
Anexo 75
Anexo 76
Anexo 77
LEY 79 DE 1993.pdf
Anexo 78
Anexo 79
Anexo 80
Anexo 81
Anexo 82
LEY 96 DE 1985.pdf
Anexo 83
Anexo 84
Anexo 85
Anexo 86
Anexo 87
Anexo 88
Anexo 89
LEY N 19.pdf
Anexo 90
Anexo 91
Anexo 92
OCDE.pdf
Anexo 93
Anexo 94
Anexo 95
Anexo 96
Anexo 97
Anexo 98
Anexo 99
Anexo 100
Anexo 101
Anexo 102
Sentencia C-662-00.pdf
Anexo 103
Anexo 104
Anexo 105
Anexo 106
Anexo 107
Anexo 108
Anexo 109
Anexo 110
Anexo 111
Sentencia T-552-97.pdf
Anexo 112
Anexo 113
7. BIBLIOGRAFA